Der Passwort-Manager Bitwarden soll besser geschützte Zugänge erhalten. Nutzerinnen und Nutzer, die bislang keine Zwei-Faktor-Authentifizierung aktiviert haben, müssen bei Nutzung auf neuen, bislang unbekannten Geräten dann einen Bestätigungscode aus einer E-Mail angeben. Es handelt sich somit um eine Art erzwungene Zwei-Faktor-Authentifizierung "light". Der Mechanismus soll jetzt im Februar aktiviert werden.
Anzeige
Das hat Bitwarden kürzlich in einem Blog-Beitrag angekündigt. Passwort-Vaults seien ein wertvolles Ziel für Angreifer, schreibt das Projekt. Daher sei es wichtig, sicherzustellen, dass sie stark gesichert sind. "Bitwarden führt eine neue Verifikationsmaßnahme für Anmeldungen von unbekannten Geräten ein, um den Schutz von Konten ohne die Sicherheitsmaßnahme des 2FA-Log-ins erheblich zu verbessern", schreiben die Autoren, "dies stellt sicher, dass die sensiblen Informationen der Nutzerinnen und Nutzer in privater Hand und außerhalb der Reichweite von Angreifern bleiben."
Der beste Schutz für einen Bitwarden-Passwort-Vault sei demnach ein starkes Passwort, das niemals an anderer Stelle genutzt wurde. Die nächstbeste Variante sei der zweistufige Log-in mit Zwei-Faktor-Authentifizierung, um die Zugangssicherheit zu schützen. "Viele Nutzerinnen und Nutzer folgen diesen Empfehlungen, aber einige tun das nicht, was ihr Risiko erhöht, ein Opfer eines Cyberangriffs zu werden wie Credential Stuffing (dem automatischen Ausprobieren von Passwörtern) oder von Phishing", schreibt Bitwarden.
Der Mechanismus selbst ist relativ einfach: Kurz nach Eingabe der E-Mail-Adresse und des Passworts des Bitwarden-Kontos schickt Bitwarden einen Verifizierungscode an die hinterlegte E-Mail-Adresse, sofern der Server das Gerät nicht erkennt, 2FA nicht aktiviert ist und auch kein Single-Sign-On (SSO) genutzt wird. Betroffene benötigen dann Zugriff auf ihre E-Mails, um auf den Code zuzugreifen und ihn der Bitwarden-App zu übergeben.
Bitwarden weist darauf hin, dass es problematisch sein kann, wenn Betroffene ihre E-Mail-Zugangsdaten in Bitwarden ablegen und kein 2FA aktiviert haben. Der Zugriff auf das Mail-Konto könnte dann nicht mehr möglich sein, und in der Folge auch der Zugang zum Passwort-Vault. Wer kein 2FA aktiviert habe, solle daher sicherstellen, anderweitig auf die E-Mails zugreifen zu können. Am besten sei jedoch, direkt den zweistufigen Log-in zu aktivieren.