Hlavní heslo vašeho správce hesel zabezpečuje váš trezor. Je to v podstatě klíč k odemknutí přístupu ke všem ostatním heslům. Pomohlo by, kdybyste vždy používali dlouhé, složité a unikátní heslo. To je však pro správce hesel ještě důležitější, vzhledem k citlivým informacím, které chrání. O něco méně zřejmé je, jak se vaše hlavní heslo používá ke generování šifrovacího klíče.
Stejně jako u jiných webových stránek, které bezpečně ukládají hesla, Bitwarden před uložením výsledku do své databáze zahašuje vaše heslo. Tato hašovaná hodnota se používá k ověření vaší služby a jako šifrovací klíč pro vaše data v trezoru. Tento proces je bezpečnostním standardem, protože hashovací algoritmy jsou jednosměrné funkce. Proces hašování za účelem určení hlavního hesla nemůžete vrátit, i když znáte hašovanou hodnotu.
Jediný útok, který lze provést proti zahašovanému heslu, je útok hrubou silou, kdy hacker hádá heslo, dokud neskončí se stejným výsledkem. Navíc, protože jakákoli drobná změna hesla generuje zcela jiný hashovaný výsledek, neexistují žádné stopy, že by váš odhad byl blízko. Webové stránky ověřují, že jste zadali správné heslo, tím, že zkontrolují hash zadaného hesla s heslem v databázi.
Proč měnit nastavení šifrovacího klíče?
Bitwarden používá hashovací algoritmus PBKDF2, který je speciálně navržen pro hashování hesel. Jednou z jeho klíčových vlastností je, že můžete nastavit, kolik iterací algoritmus projde. Počet iterací je balanční hrou mezi potřebnou úrovní zabezpečení a dostupným výpočetním výkonem.
Na nejslabším zařízení, které hodláte pravidelně používat, se doporučuje vyladit počet iterací tak, aby trval čtvrt sekundy. Původně byl doporučený počet iterací 1000. Přesto se zlepšením výpočetního výkonu v moderních CPU je doporučený počet iterací 100 000 od roku 2021. Toto číslo je navrženo tak, aby netrvalo tak dlouho, aby vás jako uživatele obtěžovalo, ale aby bylo dostatečně pomalé, aby výrazně omezilo výkon útoků na hádání hesla.
Spropitné: Počet iterací je klíčovou vlastností PBKDF2, protože může výrazně zpomalit jakýkoli pokus o hrubou sílu. Například u moderních spotřebních počítačových komponent je možné provádět miliony odhadů za sekundu pomocí mnoha starších hashovacích algoritmů, jako je MD5.
Se správně naladěným PBKDF2 to můžete snížit na nízké tisíce nebo dokonce na stovky odhadů za sekundu. Díky tomu je mnohem těžší provést útok hrubou silou, který se opírá o co nejvíce odhadů.
Bitwarden ve výchozím nastavení spustí doporučených 100 000 iterací na vašem zařízení a poté dalších 100 000, když se vaše data dostanou na servery. I když nemůžete konfigurovat počet iterací na straně serveru, můžete změnit počet iterací na straně klienta.
Pokud je váš počítač zastaralý a pomalý a odemykání vašeho trezoru pravidelně trvá dlouho, možná budete chtít snížit počet iterací. Naopak, pokud používáte pouze rychlá a moderní zařízení, možná budete chtít zvýšit počet iterací pro zvýšení bezpečnosti.
Jak změnit nastavení šifrovacího klíče
Abyste mohli změnit nastavení šifrovacího klíče, musíte použít Webový trezor Bitwarden. Přepněte na „Nastavení“. Přejděte dolů na „Nastavení šifrovacího klíče“, pak si přečtěte všechna související varování. Poté zadejte své hlavní heslo pro ověření vlastnictví účtu. Rozbalovací nabídka „Algoritmus KDF“ vám umožňuje vybrat, kterou variantu PBKDF2 chcete použít. V současnosti je však k dispozici pouze jedna možnost, „PBKDF2 SHA-256“.
Spropitné: KDF znamená Key Derivation Function, zatímco PB na začátku PBKDF2 znamená Password-Based. KDF je jiný název pro hashovací funkci.
Jediné nastavení, které zde můžete skutečně změnit, je počet iterací. Pomohlo by, kdybyste to vyladili pro nejslabší zařízení, které plánujete používat k pravidelnému přístupu k trezoru. Například na výkonném PC byste to mohli vyladit tak, aby to trvalo půl sekundy. Odemknutí vašeho trezoru na vašem méně výkonném telefonu by pak mohlo trvat deset sekund, pokud tak učiníte. Bude to nepříjemné, když se to stane pokaždé, když k tomu budete chtít získat přístup.
Jakmile vyberete několik iterací, klikněte na „Změnit KDF“. Tím se odhlásíte z aktuální relace a vyprší platnost všech ostatních relací. Může však trvat až hodinu, než se projeví na jiných zařízeních. Měli byste se co nejdříve ručně odhlásit ze všech ostatních relací a poté se znovu přihlásit. Provádění změn ve vašem trezoru pomocí starého šifrovacího klíče může poškodit celý váš trezor, takže hrajte bezpečně.
Závěr
Chcete-li co nejvíce nakonfigurovat zabezpečení, můžete upravit nastavení šifrovacího klíče. Jednou z možností, kterou vám Bitwarden umožňuje konfigurovat, je počet iterací PBKDF2 použitých pro vaše hlavní heslo. Můžete to použít k posílení zabezpečení hesla nebo ke zvýšení výkonu na nižších nebo starších zařízeních. Podle kroků v této příručce můžete nakonfigurovat nastavení šifrovacího klíče.