Hlavné heslo správcu hesiel zabezpečuje váš trezor. Je to v podstate kľúč na odomknutie prístupu ku všetkým vašim ostatným heslám. Pomohlo by, keby ste vždy používali dlhé, zložité a jedinečné heslo. Pre správcu hesiel je to však ešte dôležitejšie vzhľadom na citlivé informácie, ktoré chráni. O niečo menej zrejmé je, ako sa vaše hlavné heslo používa na generovanie šifrovacieho kľúča.
Rovnako ako u iných webových stránok, ktoré bezpečne ukladajú heslá, Bitwarden pred uložením výsledku do svojej databázy hashuje vaše heslo. Táto hašovaná hodnota sa používa na vašu autentifikáciu v službe a ako šifrovací kľúč pre vaše údaje trezora. Tento proces je bezpečnostný štandard, pretože hashovacie algoritmy sú jednosmerné funkcie. Proces hašovania na určenie hlavného hesla nemôžete vrátiť späť, aj keď poznáte hašovanú hodnotu.
Jediný útok, ktorý je možné vykonať proti hashovanému heslu, je útok hrubou silou, pri ktorom hacker uhádne heslo, až kým nedosiahne zhodný výsledok. Navyše, keďže každá menšia zmena hesla generuje úplne iný hašovaný výsledok, neexistujú žiadne stopy, že by váš odhad bol blízko. Webové stránky overia, či ste zadali správne heslo, a to tak, že porovnajú hodnotu hash zadaného hesla s heslom v databáze.
Prečo meniť nastavenia šifrovacieho kľúča?
Bitwarden používa hashovací algoritmus PBKDF2, ktorý je špeciálne navrhnutý na hashovanie hesiel. Jednou z jeho kľúčových funkcií je, že môžete nastaviť počet iterácií, ktorými algoritmus prechádza. Počet iterácií predstavuje rovnováhu medzi úrovňou potrebnej bezpečnosti a dostupným výkonom spracovania.
Na najslabšom zariadení, ktoré plánujete pravidelne používať, sa odporúča vyladiť počet iterácií tak, aby trval štvrť sekundy. Pôvodne bol odporúčaný počet iterácií 1 000. Napriek tomu, s vylepšeniami výpočtového výkonu v moderných CPU, odporúčaný počet iterácií je 100 000 od roku 2021. Toto číslo je navrhnuté tak, aby netrvalo tak dlho, aby vás ako používateľa obťažovalo, ale aby bolo dostatočne pomalé na to, aby výrazne obmedzilo výkon útokov na uhádnutie hesla.
Tip: Počet iterácií je kľúčovou vlastnosťou PBKDF2, pretože môže výrazne spomaliť akýkoľvek pokus o hrubú silu. Napríklad s modernými spotrebnými počítačovými komponentmi je možné robiť milióny odhadov za sekundu pomocou mnohých starších hashovacích algoritmov, ako je MD5.
So správne naladeným PBKDF2 to môžete znížiť na nízke tisíce alebo dokonca stovky odhadov za sekundu. Vďaka tomu je oveľa ťažšie vykonať útok hrubou silou, ktorý sa spolieha na čo najviac odhadov.
Bitwarden predvolene spustí odporúčaných 100 000 iterácií na vašom zariadení a potom ďalších 100 000, keď sa vaše údaje dostanú na jeho servery. Aj keď nemôžete nakonfigurovať počet iterácií na strane servera, môžete zmeniť počet iterácií na strane klienta.
Ak je váš počítač starý a pomalý a odomykanie vášho trezoru pravidelne trvá dlho, možno budete chcieť znížiť počet opakovaní. Naopak, ak používate iba rýchle a moderné zariadenia, možno budete chcieť zvýšiť počet iterácií, aby ste zvýšili bezpečnosť.
Ako zmeniť nastavenia šifrovacieho kľúča
Aby ste mohli zmeniť nastavenia šifrovacieho kľúča, musíte použiť Webový trezor Bitwarden. Prepnúť na „nastavenie“. Prejdite nadol na „Nastavenia šifrovacieho kľúča“, potom si prečítajte všetky súvisiace upozornenia. Potom zadajte svoje hlavné heslo na overenie vlastníctva účtu. Rozbaľovacie pole „Algoritmus KDF“ vám umožňuje vybrať variant PBKDF2, ktorý chcete použiť. V súčasnosti je však k dispozícii iba jedna možnosť, „PBKDF2 SHA-256“.
Tip: KDF znamená Key Derivation Function, zatiaľ čo PB na začiatku PBKDF2 znamená Password-Based. KDF je iný názov pre hašovaciu funkciu.
Jediné nastavenie, ktoré tu môžete skutočne zmeniť, je počet iterácií. Pomohlo by, keby ste to vyladili pre najslabšie zariadenie, ktoré plánujete používať na pravidelný prístup k trezoru. Môžete to napríklad naladiť tak, aby to trvalo pol sekundy na výkonnom počítači. Odomknutie trezoru na vašom menej výkonnom telefóne by potom mohlo trvať desať sekúnd, ak by ste tak urobili. Bude to nepríjemné, keď sa to stane zakaždým, keď k nemu budete chcieť pristupovať.
Po výbere niekoľkých iterácií kliknite na „Zmeniť KDF“. Týmto sa odhlásite z vašej aktuálnej relácie a platnosť všetkých vašich ostatných relácií vyprší. Môže však trvať až hodinu, kým sa prejaví na iných zariadeniach. Mali by ste sa čo najskôr manuálne odhlásiť zo všetkých ostatných relácií a potom sa znova prihlásiť. Vykonaním zmien vo vašom trezore pomocou starého šifrovacieho kľúča môžete poškodiť celý váš trezor, takže hrajte bezpečne.
Záver
Ak chcete svoje zabezpečenie nakonfigurovať čo najviac, môžete upraviť nastavenia šifrovacieho kľúča. Jednou z možností, ktorú vám Bitwarden umožňuje konfigurovať, je počet iterácií PBKDF2 použitých vo vašom hlavnom hesle. Môžete to použiť na posilnenie zabezpečenia hesla alebo zvýšenie výkonu na nižších alebo starších zariadeniach. Podľa krokov v tejto príručke môžete nakonfigurovať nastavenia šifrovacieho kľúča.