1 pontos por GN⁺ 2023-09-26 | 1 comentários | Compartilhar no WhatsApp
  • O Bitwarden é uma plataforma de segurança de credenciais que protege senhas, passkeys e segredos usados por pessoas e empresas com criptografia de ponta a ponta open source
  • Oferece, em uma única suíte de produtos, geração, armazenamento e preenchimento automático de senhas, cofres empresariais centralizados, ferramentas de administração, sincronização ilimitada entre dispositivos, compartilhamento e auto-hospedagem
  • A proteção vai além de contas humanas e se estende a agentes de IA e máquinas, aplicando acesso criptografado just-in-time com aprovação humana a cada acesso de agente
  • O Bitwarden apresenta como bases de confiança mais de 80.000 organizações, milhões de usuários individuais, mais de 100.000 membros da comunidade, auditorias de terceiros e criptografia de conhecimento zero
  • Além da conta básica gratuita, oferece os planos Premium por US$ 1,65/mês, Families por US$ 3,99/mês, Teams por US$ 4 por usuário/mês e Enterprise por US$ 6 por usuário/mês; os preços exibidos são em USD, com cobrança anual e sem impostos inclusos

Proteja senhas, passkeys e segredos em um só lugar

  • O Bitwarden é uma plataforma que protege senhas, passkeys e segredos dos quais pessoas, agentes de IA e máquinas dependem
  • Os pilares básicos do produto são open source, criptografia de ponta a ponta e uma arquitetura escalável
  • Os usuários podem gerar e armazenar senhas fortes e preenchê-las automaticamente em várias contas
  • Em ambientes empresariais, credenciais são organizadas e gerenciadas com cofres centralizados e ferramentas de administração
  • A transparência open source, auditorias de terceiros e análises da comunidade sustentam a confiança em segurança

Abordagem de acesso para pessoas, agentes de IA e máquinas

  • Os recursos voltados a pessoas concedem aos funcionários apenas as credenciais necessárias e oferecem suporte a geração, armazenamento e preenchimento automático de senhas
  • Para agentes de IA, oferece acesso criptografado de ponta a ponta no momento necessário e exige aprovação humana a cada vez
  • Os recursos voltados a máquinas limitam o escopo de acesso a segredos de desenvolvedores, como chaves de API, senhas de banco de dados e tokens de acesso

Bases de confiança e escala de uso

  • O Bitwarden afirma ser usado por mais de 80.000 organizações e milhões de pessoas para proteção de credenciais
  • Os elementos de segurança e confiança são os seguintes
    • Atende ou supera padrões internacionais de compliance
    • Com criptografia de conhecimento zero, somente o usuário pode acessar as informações
    • Há mais de 100.000 membros da comunidade no GitHub, nos fóruns do Bitwarden e no Reddit
  • A empresa afirma ter ficado em 1º lugar por 11 trimestres consecutivos na categoria Enterprise User Satisfaction do G2 Enterprise Grid Report

Principais recursos usados por empresas e indivíduos

  • Empresas podem usar SSO, SCIM e auto-hospedagem como opções de implantação
  • Equipes de TI verificam o status de uso de credenciais por meio de logs de eventos e controles de acesso
  • Oferece recursos para reduzir riscos de credenciais em todos os funcionários e dispositivos
  • Usuários individuais reduzem a necessidade de lembrar senhas e podem usar preenchimento automático de login em vários dispositivos e navegadores
  • A proteção de contas pessoais inclui alertas de violação

Conjunto de recursos do gerenciador de senhas

  • Gerar, armazenar e preencher automaticamente

    • Protege senhas e passkeys fortes e exclusivas para cada conta
    • Permite armazenar com segurança e preencher instantaneamente em dispositivos ilimitados
  • Administração centralizada

    • Gerencia, em um só lugar, controles de acesso, políticas, propriedade centralizada de itens e relatórios de segurança
  • Integração com ferramentas

    • Pode ser integrado a provedores de SSO, serviços de diretório, ferramentas de SIEM, agentes de IA e ferramentas das quais a empresa depende
  • Importação

    • Permite migrar senhas de navegadores ou de outros gerenciadores de senhas em poucos minutos
  • Compartilhamento

    • Permite compartilhar com colegas de equipe por meio de coleções da organização ou enviar textos e arquivos criptografados pelo Bitwarden Send
  • Auto-hospedagem

    • Permite hospedar o Bitwarden on-premises ou em uma nuvem privada para garantir soberania dos dados
    • Mais recursos: Bitwarden Features

Access Intelligence e defesa contra phishing

  • Access Intelligence é um recurso que identifica aplicativos de IA em uso na organização e reduz riscos de credenciais
  • Senhas fracas ou reutilizadas podem se tornar um caminho para comprometimento de contas
  • O Bitwarden ajuda a criar senhas fortes e exclusivas para cada site e aplicativo
  • Ele não faz preenchimento automático em sites maliciosos parecidos, ajudando na defesa contra phishing

Planos

  • Planos individuais
    • Premium: US$ 1,65/mês, cobrado a US$ 19,80/ano
      • Oferece autenticador integrado, anexos de arquivos, acesso de emergência, relatórios de segurança e outros recursos
      • Permite compartilhar itens do cofre com 1 outro usuário
    • Families: US$ 3,99/mês, até 6 pessoas, cobrado a US$ 47,88/ano
      • Oferece 6 contas premium, compartilhamento ilimitado, coleções ilimitadas e armazenamento da organização
    • O gerenciamento básico de senhas é sempre oferecido gratuitamente
  • Planos empresariais
    • Teams: US$ 4 por usuário/mês, com cobrança anual
      • Além dos recursos Premium, oferece compartilhamento de credenciais, auditoria de atividades baseada em logs de eventos, sincronização com diretórios existentes e automação de provisionamento SCIM
    • Enterprise: US$ 6 por usuário/mês, com cobrança anual
      • Além dos recursos Premium e Teams, oferece controles de acesso granulares, integração de SSO sem senha, recuperação de conta, flexibilidade de auto-hospedagem, mitigação de riscos com Access Intelligence e plano Families gratuito para todos os usuários
    • Organizações de grande porte podem discutir planos personalizados por meio de contato com vendas
  • Os preços exibidos são assinaturas anuais em USD e não incluem impostos

1 comentários

 
GN⁺ 2023-09-26
Opiniões do Hacker News
  • Eu queria gostar do Bitwarden por ser open source, mas o 1Password está muito à frente
    É irônico que o 1Password 8 ainda seja muito melhor, mesmo tendo passado por uma grande refatoração para uma UI baseada em Node, que muita gente detestou
    Tentei ensinar meu pai a usar o Bitwarden porque havia uma tradução para o idioma nativo dele, mas no uso real pequenos defeitos foram se acumulando a ponto de torná-lo quase inutilizável: falhas no autocompletar, falhas ao detectar o salvamento de logins, contas desconectando, autenticação biométrica no navegador falhando porque o app em segundo plano foi encerrado, UI de administração péssima etc.
    O plano individual é barato, mas o plano familiar é caro; a auto-hospedagem também é possível, mas tem custo
    Quando as pessoas falam em auto-hospedagem, geralmente se referem ao vaultwarden, refeito em Rust, mas, até onde sei, ele nunca foi auditado, então não sei como dá para confiar quanto à possibilidade de vulnerabilidades remotas
    O Bitwarden também recebeu investimento de VC, e eu entendo que ele precisa crescer, mas sinto falta de projetos pertencentes a negócios sustentáveis sem pressão por crescimento. O mesmo vale para o 1Password, mas fico inseguro se uma startup financiada por VC continuará confiável daqui a um ano

    • Quando o 1Password anunciou que migraria para um app Electron horrível, avaliei os principais gerenciadores de senhas e até produtos menos conhecidos, como o Strongbox, mas, mesmo com a piora de UX no 1Password 8, ele ainda era incomparavelmente superior
      Aguentei no V7 até poucas semanas atrás, quando precisei fazer upgrade por circunstâncias externas, então olhei tudo de novo, incluindo o Bitwarden, mas a UX não parecia ter melhorado; e, mais importante, por causa de uma única nota segura grande, ele recusou toda a importação
      Ele não pulou só aquela nota: não importou nada e não havia opção de ignorar, então eu teria de fazer muito trabalho manual; no fim, ele nem atendia à necessidade de colocar aquela nota necessária no cofre
    • Uso como usuário pago porque acho que o preço de 1 euro por mês é perfeito para um gerenciador de senhas, mas é verdade que ele tem falhas
      O LastPass que eu usava antes detectava campos de formulário muito melhor, e acho que a UI criada sobre um pop-up temporário foi uma escolha ruim que, mesmo depois de anos, eles nunca trocaram direito por um modelo de nova aba. Deveriam ter feito como LastPass, uBlock Origin e TreeStyleTabs
    • Fico curioso para saber quando você usou pela última vez. Houve uma mudança de UI recentemente e ela ficou melhor do que era
      As contas individuais e familiares são mais baratas que as do 1Password, e, sendo cliente pago do Bitwarden há bastante tempo, nunca passei por esses problemas
      A propósito, o 1Password recebeu quase US$ 1 bilhão em investimento de VC, então a pressão por crescimento deve ser enorme
    • Dizer “o Bitwarden também recebeu investimento de VC. Tudo bem” não está nem um pouco tudo bem
      Investimento de VC significa que, em algum momento, vão tentar recuperar o dinheiro, e serviços de gerenciamento de senhas são importantes demais para ficarem sob esse tipo de pressão
      Considerando o histórico de muitos outros serviços financiados por VC que se degradaram muito, parece bem possível que um dia eles mantenham suas senhas como reféns se você não pagar, ou façam algo igualmente radical
    • Hospedar em data center é caro, mas hospedar em casa não é. Se você já paga por internet, é só aproveitá-la
      Meu servidor doméstico custa cerca de 3 euros por mês em eletricidade e roda não só o Vaultwarden, mas também Home Assistant, Nextcloud, Jellyfin, Immich e vários outros serviços
      Com Docker e Compose, a manutenção também é simples; rodo tudo na rede privada e limito o acesso externo por VPN quando necessário
      Hospedar um único serviço sai caro, mas rodar vários serviços juntos fica muito mais barato
  • Também existe o vaultwarden, uma implementação open source do servidor em Rust: https://github.com/dani-garcia/vaultwarden

    • O servidor oficial do Bitwarden também é software livre e open source baseado em AGPL: https://github.com/bitwarden/server
    • A única coisa que falta no Vaultwarden é SSO/OAuth. Há um PR relacionado aberto há anos, mas agora já perdi a esperança de que seja mesclado
    • Uso Vaultwarden para senhas da equipe e Password Store para uso pessoal
      Não tive problemas, exceto quando, ao migrar para outro servidor, ele inicialmente não reconheceu o banco de dados no volume Docker restaurado; e é igualmente possível que isso tenha sido um problema do Docker ou que eu tenha feito algo errado
    • Uso o vaultwarden para fins pessoais e ele é excelente
  • Fiquei surpreso com a quantidade de reações negativas, mais do que eu esperava. Na minha cabeça, o Bitwarden continuava sendo um produto querido no HN
    Eu pago o premium de US$ 10 por ano e uso; não sei bem quais recursos de fato aproveito, mas gosto do produto em si
    Só que não pesquisei muito os concorrentes, então fico curioso se há grandes vantagens em outros gerenciadores

    • Eu também fiquei realmente surpreso
      Há muitos comentários do tipo “está muito à frente”, mas não fica muito claro o que isso significa em termos concretos
      Meus empregos recentes usavam LastPass e 1Password, e uso Bitwarden para uso pessoal; para mim, o Bitwarden é muito melhor
      O plugin do navegador detecta com mais confiabilidade a entrada e a alteração de senhas, sugere salvar e atualizar, e a versão para iOS também se integra de forma mais fluida ao preenchimento automático de senhas de outros apps nativos
      Ele pode ficar atrás em recursos de compartilhamento em equipe, mas isso é irrelevante para uso pessoal
      Parece haver uma raiva ao estilo HN pelo fato de a maior parte do Bitwarden ser open source, mas não 100% por causa de alguns componentes proprietários; acho difícil entender essa postura de que software deveria cair do céu como maná e não poder sustentar um negócio
      Também é estranho que o VS Code, que segue uma lógica parecida, não receba esse ressentimento; talvez melhore se o Bitwarden fizer uma UI de modo escuro mais convincente
    • No mundo de software, existe esse fenômeno estranho em que uma solução open source é cobrada por um padrão mais alto do que outros softwares da mesma área
      Eu também uso o Bitwarden Premium e gosto. Minha organização usa outro gerenciador de senhas de nível enterprise, que é muito mais complexo e tem uma interface mais lenta
      Tenho como princípio que, se consigo obter 80% da mesma funcionalidade em open source, vou usar isso mesmo que não seja “o melhor”
    • Sinceramente, parece uma tentativa organizada de derrubar um concorrente
      Até agora, no HN, eu só via posts elogiando o Bitwarden, e usando-o diretamente quase não encontrei os problemas de que reclamam aqui
      Minha única insatisfação é que o login por biometria no app desktop é meio tosco, mas não é um problema decisivo
    • Uso o Bitwarden há algum tempo e, para mim, ele funciona perfeitamente bem. Faz o que preciso sem reclamações especiais
  • Para referência, o Bitwarden recebeu US$ 100 milhões em investimento de VC no ano passado
    É bem provável que em algum momento venha pressão para monetizar agressivamente
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • As principais alternativas são LastPass e 1Password; o LastPass está ruindo por falhas de segurança, e o 1Password recebeu cerca de US$ 1 bilhão em investimento de VC: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      Em algum momento, é preciso simplesmente aceitar e conviver com isso. O produto que você usa pode mudar no futuro, e talvez seja preciso migrar para outro depois
      A alternativa é colocar algo como KeePass em um pendrive e abrir mão de sincronização em nuvem e integração com preenchimento automático em navegadores e apps nativos, mas, na verdade, esses recursos são justamente o ponto central desses produtos
      Sem isso, talvez um bilhete de papel na gaveta da mesa seja até melhor
    • Minha regra de vida é sair rapidamente de um produto quando entram investidores de VC ou private equity
    • Por que diabos um serviço de gerenciamento de senhas precisaria de tanto dinheiro?
      Pior ainda: o que eles pretendem fazer daqui para frente para convencer VCs de que conseguirão um retorno maior do que esse valor?
    • Como alguém que prefere muito mais negócios bootstrap, uma rodada desse tamanho parece insana
      Se você tem um produto tão popular e em crescimento, fico sinceramente curioso sobre por que aceitar tanto dinheiro
    • Obrigado pela informação. É muito dinheiro entrando em um serviço barato e do qual é tão fácil migrar
      Fico um pouco preocupado
  • O Bitwarden é bom. Uso em todos os lugares e ele gerencia bem minhas senhas
    Para mim, o recurso essencial é que a função de organizações é fácil de usar, permitindo compartilhar senhas facilmente com minha esposa
    Muitas vezes precisamos compartilhar contas financeiras ou relacionadas aos filhos, então ambos precisamos das senhas, e o Bitwarden torna isso muito simples

    • Eu também usava assim, até perceber que minha esposa e eu podíamos simplesmente usar uma única conta do Bitwarden
    • Eu também uso o recurso de compartilhamento, isto é, a função de organizações, mas talvez eu simplesmente não saiba usar: depois de compartilhar, parece que não dá para ver nem copiar a senha
      O mesmo vale até para itens que eu mesmo compartilhei. Quando dá para usar o preenchimento automático, tudo bem, mas ele nem sempre funciona ou está disponível
  • O título induz a erro. Isso não é totalmente “gratuito e open source”
    O servidor do Bitwarden usa uma estrutura de licença dupla
    Parte é open source sob AGPL, e alguns recursos ficam sob a licença Bitwarden, de código disponível
    Além disso, mesmo o core open source exige registro para self-hosting, supostamente para fornecer serviços complementares como atualizações de segurança, servidor de relay de push e verificação de licença
    Não está na documentação, mas pelo fato de pedirem para não compartilhar a chave de licença entre instalações, imagino que também haja uma melhora de telemetria
    Entendo a necessidade de uma licença de código disponível, mas, se o resultado não é grátis como cerveja nem livre como liberdade de expressão, não sei por que licenciar partes como open source
    Tenho curiosidade real sobre qual é a vantagem que empresas obtêm ao fazer marketing como open source de produtos que quase não são open source
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • O conteúdo diz que “Commercial.Core e integração SSO: parte do novo código de módulos projetado e desenvolvido para grandes organizações e ambientes empresariais é distribuída sob a Bitwarden License, uma licença de código disponível”
      O restante do Bitwarden é software gratuito/livre, tanto em custo quanto em liberdade. Não sei por que pensar diferente
      O Vaultwarden existe e é compatível com os clientes do Bitwarden
    • Não sei por que todo mundo presume que, se algo é open source, precisa necessariamente ser gratuito e ter uma licença permissiva que permite qualquer coisa
      Dando uma olhada rápida no site, parece mais uma abertura por transparência do que pelo espírito de software livre e open source
    • Talvez pouca gente realmente se importe, mas pela redação do FAQ de licenciamento parece ser possível hospedar o servidor como somente FOSS
      O api inclui o Commercial Core sob a Bitwarden License, mas diz que ele pode ser desativado ao passar o argumento /p:DefineConstants="OSS" para o dotnet ao compilar o módulo
    • Como você mesmo disse, é marketing
  • Me surpreende que Padloc ainda não tenha sido mencionado
    Tem criptografia ponta a ponta, é open source, fácil de hospedar por conta própria e tem boa UI e UX
    Coloquei toda a minha família para usar e, depois de mais de um ano usando, acabei contribuindo ativamente
    Também há um app desktop baseado em Tauri
    Declaração de interesse: tenho permissão de contribuição, mas não recebo vendas nem receita semelhante
    https://padloc.app

    • No Google Play em um Pixel 7 com Android 13, aparece “Este app foi criado para uma versão antiga do Android e não está disponível para o seu dispositivo”, e não dá para instalar
      As avaliações também não inspiram confiança
    • É a primeira vez que vejo, e o branding e o design gritam “projeto de estudante, mantenha distância”
      Não é nem de longe a impressão que eu gostaria de ter de um gerenciador de senhas. Para referência, sou designer de UI/UX
    • Fico curioso se há sincronização por Wi-Fi
      As grandes empresas parecem estar removendo todas esse recurso, mas a única coisa que quero de um gerenciador de senhas é não armazenar todas as minhas senhas na nuvem
  • O Bitwarden não é perfeito, mas chamar pass de “fácil” é engraçado
    Especialmente quando você precisa compartilhar senhas com familiares muito menos técnicos, e o 1Password muitas vezes atrapalha por causa de uma UI teimosa
    Acho que o Bitwarden encontra um bom equilíbrio entre segurança, preço e design
    Mas concordo com as preocupações sobre financiamento e mudanças na liderança

  • Uso com satisfação e acho conveniente, mas fico me perguntando o quão seguro é, na prática, reunir tudo que é importante, incluindo 2FA, em um único lugar na nuvem
    Parece um alvo valioso demais
    Por outro lado, sincronizar tudo manualmente é trabalhoso, e no fim eu criptografo no meu computador e depois sincronizo pela nuvem, então também me pergunto qual é a diferença

    • Você precisa conseguir criar uma senha única e suficientemente forte para cada serviço que usa. Na gestão de contas, esse é absolutamente o primeiro passo mais importante
      Em escala, pessoas que não usam gerenciador de senhas reutilizam senhas. Ponto
      A forma que mais melhora de fato a segurança das contas do público geral é fazer as pessoas usarem um gerenciador de senhas, mesmo levando em conta o risco de o cofre ser roubado e quebrado
      Para a maioria das pessoas, gerenciamento de senhas na nuvem é praticamente inegociável. “O cofre estava no computador, que caiu e estragou o disco” vai continuar acontecendo, e não é viável em escala fazer todo mundo manter backups corretamente
      Se você consegue criar senhas únicas e suficientemente fortes para todas as contas, pode reduzir um pequeno risco evitando um gerenciador de senhas
    • Eu também coloco quase todas as minhas senhas no Bitwarden, mas não coloco os tokens de 2FA para não pôr todos os ovos na mesma cesta
      Se você centraliza os dois segredos, na prática deixa de ser autenticação de dois fatores
      No celular uso o Aegis; no computador uso pass com extensão de OTP, com uma senha completamente diferente da do Bitwarden
      Se o cofre na nuvem do Bitwarden preocupa você, dá para subir uma instância do vaultwarden, uma implementação livre e open source do servidor em Rust, e conectar os clientes a ela. Ainda não testei pessoalmente, mas ouvi dizer que funciona bem
    • Eu uso KeePass e a sincronização não é trabalhosa
      O arquivo fica no Dropbox e sempre estava sincronizado antes de eu abrir o app em outro dispositivo
      Fazer backup do banco de dados também é tão fácil quanto copiar e colar um arquivo
    • Se os dados forem valiosos o bastante, ou se você tiver capacidade de lidar com uma abordagem melhor, talvez essa não seja a melhor solução
      Para o usuário médio, usar um gerenciador de senhas é infinitamente melhor do que usar hunter42 em todas as contas
    • Para esse uso, faço self-hosting do vaultwarden, uma implementação do servidor Bitwarden, em um Raspberry Pi em casa: https://github.com/dani-garcia/vaultwarden
      Também faço backup do banco de dados com frequência. Para mim funciona bem o suficiente, e não preciso armazenar meus dados na nuvem de uma empresa
  • Open source e fácil de usar: https://www.passwordstore.org/

    • Criei o prs para tentar resolver muitos dos incômodos que eu tinha com o pass e outros clientes
      É compatível com o pass e usa o mesmo repositório
      https://github.com/timvisee/prs
    • Isso é um pouco diferente. Mais do que um app gerenciador de senhas, é mais próximo de um padrão e de uma implementação CLI de referência para armazenar senhas criptografadas com GPG em ~/.password-store
      Também há vários clientes GUI para lidar com as senhas e ferramentas para importar de outros gerenciadores
      Parece uma boa ideia, mas me preocupa que os clientes possam ficar expostos a ataques à cadeia de suprimentos de software. Acho que eu não teria competência para avaliar cada nova versão
    • Para especialistas em computação, pode ser fácil de usar
      Tente apresentar o pass à sua família. Para pessoas comuns, até o 1Password não é fácil de configurar
      Ainda há um longo caminho até que todo mundo use um gerenciador de senhas, e a alternativa mais realista provavelmente são as passkeys
    • O pass, por design, expõe todos os sites configurados e os metadados do histórico de cada registro
      Pode ou não se encaixar no seu modelo de ameaças
    • Consulte https://github.com/passff/passff