Beheer zelf je wachtwoorden met Bitwarden

Door: koen-vervloesem | 29 november 2019 10:07

Apps & Software

Inhoudsopgave

  1. Inleiding
  2. Pagina 2

Een wachtwoordkluis in de cloud is handig, want dan heb je op al je apparaten toegang tot je wachtwoorden. Maar dan moet je de aanbieder wel vertrouwen. Een andere oplossing is Bitwarden: een opensource-wachtwoordkluis die je ook op een server thuis kunt installeren. Zo profiteer je van de voordelen van een cloudgebaseerde wachtwoordkluis, maar behoud je de volledige controle over je wachtwoorden.

Een wachtwoordkluis neemt de taak van je over om wachtwoorden te onthouden, zodat je voor elk account een uniek en sterk wachtwoord kunt gebruiken. Het resultaat is dat je accounts veiliger zijn. Maar er staan ook risico’s tegenover. Doordat je je wachtwoorden zelf niet meer onthoudt, kun je ze allemaal in één keer verliezen. En als iemand erin slaagt om in te breken in je wachtwoordkluis, lopen in één klap al je accounts gevaar.

De keuze voor een specifieke wachtwoordkluis is dus niet iets om lichtzinnig over te doen, je legt immers al je eieren in één mandje. Een interessante oplossing is Bitwarden: zowel de clients als de server zijn opensource, en de clients bestaan voor Windows, macOS, Linux, alle mogelijke webbrowsers, Android en iOS. Al je wachtwoorden worden aan de kant van de client versleuteld, zodat de Bitwarden-server ze niet ziet, en je kunt je toegang extra beveiligen met tweefactorauthenticatie. Bovendien biedt Bitwarden ook extra functionaliteit om veilige wachtwoorden te genereren en dubbel gebruik van wachtwoorden te signaleren.

01 Op je eigen server of niet?

In tegenstelling tot de meeste andere cloudgebaseerde wachtwoordkluizen kun je Bitwarden ook op je eigen server installeren. Dat is de oplossing die onze voorkeur verdient, maar eerst bekijken we wat de ontwikkelaar van Bitwarden (het bedrijf 8bit Solutions) op zijn server aanbiedt. De clients werken allemaal met zowel de server van 8bit Solutions als je eigen server, dus je kunt gerust eerst de officiële server uitproberen om te zien of Bitwarden iets voor je is, voordat je de server zelf installeert.

Als je gebruikmaakt van de officiële server, is de basisversie gratis. Die basisversie biedt al best uitgebreide mogelijkheden. Je krijgt op een onbeperkt aantal toestellen toegang tot je wachtwoordkluis, waarin je een onbeperkt aantal accounts kunt opslaan. Ook tweefactorauthenticatie en het genereren van veilige wachtwoorden behoren tot de mogelijkheden.

Voor 10 dollar per jaar upgrade je naar de premiumversie, die je onder andere rapporten geeft over je wachtwoordhygiëne. Verder heeft 8bit Solutions ook nog accounts voor organisaties. Er is een gratis organisatie-account voor twee personen, ideaal voor een koppel dat wachtwoorden met elkaar wil delen. Voor 1 dollar per maand heb je een groepsaccount voor vijf gebruikers, handig voor gezinnen. En voor bedrijven zijn er nog extra accounttypes met onder andere logs, integratie met directoryservices zoals Active Directory en LDAP, en gebruikersgroepen. Als je niet graag je eigen server beheert, probeer dan zeker eens een van deze accounttypes uit.

01 De gratis basisversie op de officiële server van Bitwarden biedt al best uitgebreide mogelijkheden.

02 Op welke server?

Als je besloten hebt om zelf een Bitwarden-server te draaien, is de vraag: waar? Je kunt dat op een vps doen, waarop je bijvoorbeeld Ubuntu Server of Debian geïnstalleerd hebt. Daardoor heb je overal toegang tot je wachtwoordkluis. Dat is het meest flexibel, maar brengt ook risico’s met zich mee: omdat je server publiek toegankelijk is, dien je veel aandacht te besteden aan de beveiliging.

Een andere optie is om de Bitwarden-server in je thuisnetwerk te draaien, bijvoorbeeld op je nas of een Linux-server. Je kunt dit nu ook publiek toegankelijk maken via port-forwarding in je router. Een andere optie is om de Bitwarden-server alleen op je thuisnetwerk toegankelijk te maken.

Dat klinkt onhandiger dan het is: omdat je Bitwarden-clients hun wachtwoordkluis bij elke inlog en periodiek synchroniseren met de server, heb je altijd een versleutelde kopie van je wachtwoordkluis. Zo kun je ook onderweg, als je geen toegang hebt tot je Bitwarden-server, bij je wachtwoorden. Wil je onderweg toch op een veiliger manier toegang krijgen tot je Bitwarden-server, draai dan een vpn-server in je thuisnetwerk, samen met een dienst voor dynamische dns. Zo kun je via een vpn-verbinding naar je dynamische dns bij je server.

03 Bitwarden of Bitwarden_rs?

Dan is er nog één keuze die je dient te maken: draai je de serversoftware van Bitwarden zelf of een implementatie van een derde partij? Bitwarden geeft instructies over hoe je zijn serversoftware op je eigen server kunt installeren, maar dat is vrij bewerkelijk. Bovendien zijn de systeemvereisten behoorlijk zwaar: 2 GB RAM, 10 GB schijfruimte en een 1,4GHz-processor.

Gelukkig heeft Daniel García een onofficiële server geschreven die compatibel is met de Bitwarden-api: bitwarden_rs. Die is volledig compatibel met alle Bitwarden-clients en stelt heel wat minder eisen. En als je Ansible-NAS op een Ubuntu-server draait, kun je heel eenvoudig Bitwarden_rs in de vorm van een Docker-container draaien (zie de masterclass over Ansible-NAS in Computer!Totaal 9). Dat is dan ook de aanpak die we in dit artikel gebruiken: we gaan ervan uit dat je Ansible-NAS op Ubuntu 18.04 draait in je thuisnetwerk, en installeren daarmee Bitwarden_rs. Gebruik je een andere configuratie, zoek dan in de wiki van Bitwarden_rs hoe je het programma zelf in een Docker-container installeert.

03 De wiki van Bitwarden_rs bevat informatie over alle configuratiemogelijkheden.

04 Bitwarden_rs inschakelen

Log in op je Ubuntu-server met Ansible-NAS. Creëer eerst een willekeurige lange tekenreeks:

openssl rand -base64 48

Kopieer ze naar je klembord. Open dan het configuratiebestand van Ansible-NAS:

cd ansible-nas

nano group_vars/all.yml

Schakel Bitwarden_rs in met de volgende regel onder # Password Management:

bitwarden_enabled: true

Zoek dan verder naar de extra opties voor Bitwarden onder het kopje ### Bitwarden. Zorg dat er de volgende twee regels staan, met de willekeurige tekenreeks die je gekopieerd had:

bitwarden_admin_token: q0xoPiDMpsP4ZXA5KqoXO4wAkMGt/fx0tofyuSHH96e3U3H8DA9Hr8T8lFpC3CnM

bitwarden_allow_signups: true

04 Stel Bitwarden_rs in het configuratiebestand van Ansible-NAS in.

05 Externe toegang en tls

Standaard maakt Bitwarden_rs gewoon gebruik van poort 80 voor een onversleutelde http-verbinding. Met onze wachtwoorden nemen we geen risico’s, dus daar willen we https van maken. Tegelijk willen we dat de server ook van buiten ons netwerk bereikbaar is. Gelukkig bestaat er een eenvoudige manier om zowel toegang van buitenaf als automatische aanmaak en hernieuwing van tls-certificaten af te handelen: Traefik.

Ansible-NAS maakt het wel heel eenvoudig om diensten zoals Bitwarden_rs via Traefik bereikbaar te maken. Zet in het begin van het configuratiebestand van Ansible-NAS de volgende regel:

traefik_enabled: true

Verder vul je de dynamische domeinnaam in die je gebruikt:

ansible_nas_domain: example.com

0 Reactie(s) op: Beheer zelf je wachtwoorden met Bitwarden

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.