Bitwarden’ı önermiyorum

 (マリウス.com)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Yıllarca self-hosted olarak kullanma deneyiminin sonucunda Bitwarden, resmi sunucunun ağırlığı, giderek belirsizleşen açık kaynak yönelimi, düşük istemci kalitesi ve tekrarlanan güvenlik sorunları nedeniyle artık önerilmesi zor bir seçenek haline geldi
  • Resmi Bitwarden server, C# backend ve MSSQL Express merkezli ağır bir yapı sunarken, Rust tabanlı gayriresmî uyumlu sunucu Vaultwarden daha basit ve hafif olduğu için küçük ve orta ölçekli dağıtımlarda tercih ediliyor
  • 2024’te istemcilere eklenen @bitwarden/sdk-internal için kısıtlayıcı lisans, tepkinin ardından GPLv3 ile yeniden lisanslandı; ancak bu durum, ücretsiz ve açık kaynak kısımdan çok SaaS aboneliği odağında ilerlendiği yönündeki kaygıları artırdı
  • Bitwarden istemcilerinde kasa içe aktarma hataları, organization kasası ile individual kasa arasında öğe taşımanın olmaması, düz metin JSON dışa aktarma geçici çözümleri, otomatik güncellemeler nedeniyle kasaya erişememe, yavaş arayüz ve kullanışsız otomatik doldurma UX’i gibi sorunlar birikti
  • Tüm kimlik bilgilerini tek bir kasaya emanet etmek yerine; uzmanlık/müşteri projeleri, PII hesapları, PII olmayan hesaplar, altyapı ve tek kullanımlık sırları ayırarak SaaS parola yöneticisi, KeePass türevleri, HashiCorp Vault ve pass gibi araçlarla bölümlendirmek daha uygun

Artık Bitwarden’ı önermememin arka planı

  • Yaklaşık 4 yıl önce hardened OpenBSD üzerinde LastPass benzeri bir sistemi kendin barındırma yöntemini paylaşarak OpenBSD instance’ı ya da Raspberry Pi bare metal üzerinde Vaultwarden çalıştırıp bunu Bitwarden istemci uygulamasının backend’i olarak kullanma kurulumunu ele almıştım
  • Benzer bir yaklaşımı yıllarca bizzat kullandıktan sonra, artık Bitwarden kullanımını önermiyorum sonucuna vardım
  • Temel sorunlar; resmi sunucunun ağırlığı, açık kaynak yöneliminin belirsizliği, istemci uygulamalarının kalite ve UX’i, tekrarlanan güvenlik sorunları ve tüm kimlik bilgilerini tek bir parola yöneticisine emanet etmenin yarattığı risk olarak özetlenebilir

Premium çift lisanslı parola yöneticisi

  • Wikipedia, Bitwarden’ı hassas bilgileri saklayan premium açık kaynak parola yönetim hizmeti olarak tanımlıyor ve Bitwarden, Inc. tarafından sahiplenilip geliştirildiğini belirtiyor
  • Bitwarden, resmi sunucuyu ve çoğu platform için istemci uygulamalarını geliştiriyor; ayrıca kendi barındırmasını yapmak istemeyen kullanıcılar için bir SaaS ürünü de sunuyor
  • Barındırılan ürünün fiyatı rakip ürünlerle benzer olsa da işlev farkları var; ancak ister barındırılan sürüm ister self-hosted kullanım olsun, istemci uygulaması aynı
  • Bitwarden, 2022’de PSG growth equity liderliğinde 100 milyon dolarlık yatırım aldı; Battery Ventures da bu tura katıldı
  • Açık kaynağı sürdürmeye çalışan bir parola yöneticisi ile, yönetim kurulunda 100 milyon dolarlık yatırımın geri dönüşünü bekleyen yatırımcıların bulunduğu bir parola yöneticisi aynı şey değil; bu noktadan sonra ürünün kullanıcılardan çok yatırımcılara doğru yönelmesi kolaylaşıyor

Resmi sunucu ile Vaultwarden karşılaştırması

  • Bitwarden’ı kendi başınıza host ettiğinizde nispeten hızlı biçimde enterprise software cehennemine girdiğiniz yönünde değerlendirmeler var
  • Standart Bitwarden server dağıtımı, ağır bir C# backend’dir ve yanında MSSQL Express gelir; PostgreSQL veya MariaDB gibi Linux dostu veritabanlarıyla çalışmaz
  • Dağıtım ölçeği ve yüksek erişilebilirlik gereksinimlerine göre Kubernetes kullanmanız gerekebilir; bu da ek yük ve karmaşıklık yaratır
  • Küçük ve orta ölçekli dağıtımlarda çoğu zaman Vaultwarden tercih edilir
    • Vaultwarden, Rust ile yazılmış gayriresmî bir Bitwarden uyumlu sunucudur
    • Resmi Bitwarden server’dan daha basit ve hafiftir; bu da yöneticiler için büyük fark yaratır
    • GitHub yıldız sayısının resmi uygulamanın yaklaşık 3 katı görünmesi, Bitwarden’ın teknik kullanıcılarının resmi stack’in bugünkü yönünü nasıl karşıladığı üzerine düşündürüyor
  • 100 milyon dolarlık Series B yatırımı almış bir şirketin, çok daha başarılı bir backend uygulaması geliştiren kişileri resmi stack’i optimize edip hızlandırmak için ekibe katmayı değerlendirmesi mümkündü

Bitwarden lite ve açık kaynak yönelimi

  • Görünen o ki Bitwarden, Vaultwarden’ı resmi proje olarak benimsemek yerine, Vaultwarden’ın ana geliştiricisini işe alıp mevcut backend’in daha hafif bir sürümü olan Bitwarden lite’ı duyurdu
  • Bitwarden lite hâlâ Microsoft .NET tabanlı bir hizmet ve tipik bir Vaultwarden instance’ının tükettiği RAM’in 3 katından fazlasını gerektiriyor gibi değerlendiriliyor
  • Bitwarden’ın açık kaynak niteliği son bir yıl içinde daha da bulanıklaştı
    • 2024’ün sonlarında kullanıcılar, istemcilere yeni @bitwarden/sdk-internal bağımlılığının eklendiğini fark etti
    • Söz konusu lisans, bu SDK’nın Bitwarden dışı yazılımlarda, Bitwarden uyumlu olmayan uygulamalarda veya başka SDK’lar geliştirmek için kullanılamayacağını söylüyordu
  • Açık kaynak iddiasındaki bir üründe bu tür lisans metni, önemli bir dönüm noktası olarak görüldü
  • Topluluktan gelen ciddi tepkinin ardından Bitwarden bunu bir “paketleme hatası” olarak adlandırdı ve sonunda SDK’yı GPLv3 ile yeniden lisansladı
  • Teknik olarak sorun çözülmüş olsa da felsefi açıdan, ücretsiz ve açık kaynak bölümünün yem; asıl ürünün ise SaaS aboneliği olduğu ve topluluğun da sorun bildirimi ile çeviri sağlamakla sınırlı kaldığı bir yöne gidildiği hissi güçleniyor
  • İlgili eleştiriler arasında The freeware parts are bait de yer alıyor

Asıl sorun istemci uygulamaları

  • Backend’i dışarıda tutsak bile, Bitwarden’ın en büyük sorunu istemci uygulamaları olarak öne çıkıyor
  • Tanıtılan özelliklerin beklendiği gibi çalışmadığı, çıkışının üzerinden 10 yıl geçmiş olmasına rağmen temel işlevlerin hâlâ eksik olduğu ve benzer fiyatlı alternatiflerle kıyaslandığında kullanıcı arayüzünün zayıf kaldığı belirtiliyor
  • Bitwarden tamamen FOSS topluluğunun çabası olsaydı bu kusurlar bir ölçüde tolere edilebilirdi; ancak şirket risk sermayesi aldığı için aynı ölçütü uygulamak zor
  • Topluluğun bürokratik süreçlere bağlanmış görünmesi de Bitwarden’ın bir topluluk çabasından çok bir şirket ürünü olduğunu gösteriyor

Kasa taşıma sorunları

  • Yaklaşık 1 yıl önce, kapalı bir platform yerine yıllık abonelikle açık kaynak yazılımı desteklemek düşüncesiyle rakip bir üründen Bitwarden’a geçmek isteyen bir kullanıcıya yardım edildi
  • Mevcut parola yöneticisinden yeni Bitwarden hesabına kasa içe aktarma sürecinde sorun çıktı ve GitHub hata raporuna göre en az bir kasada içe aktarmayı başarılı kılmak için ciddi teknik geçici çözümler gerekti
  • Geçiş ve içe aktarma işlevleri, Bitwarden’ın pazarlama materyallerinde ve dokümantasyonunda çeşitli yerlerde tanıtılıyordu; ayrıca aynı sorunu yaşayan başka kullanıcılar da zaten vardı
  • Buna rağmen Bitwarden’ın bu sorunu ele almak yerine topluluk forumunda yeni bir tartışma açılmasını istediği düşünüldü
  • Bu tür kurumsal bürokrasi, açık kaynak yazılım görüntüsüyle bağdaşmıyor; ayrıca hem açık kaynak yazılımda hem de ücretli üründe tanıtılan özellikler fiilen çalışmıyorsa bunu savunmak zor
  • Aynı içe aktarma işlemi Bitwarden’ın kapalı kaynak alternatiflerinde test edildiğinde ise sorunsuz çalıştı

Kasalar arasında öğe taşımanın olmaması

  • Geçiş sorunları yalnızca ilk içe aktarmayla sınırlı değil
  • Bitwarden içinde organization kasası ile individual kasası arasında öğe taşımaya çalışsanız bile, seçili öğeleri başka bir yere taşıyan düzgün bir özellik hâlâ yok
  • Birkaç giriş öğesi varsa kopyalayıp düzenleyebilirsiniz, ancak yüzlerce öğeyi düzenleme, organizasyondan ayrılma veya birden çok organizasyonu birleştirme gibi durumlarda tekrar eden iş aşırı artıyor
  • Bitwarden desteğinin ve topluluk başlığının önerdiği resmi geçici çözüm, kaynak kasayı şifrelenmemiş JSON olarak dışa aktarmak, dosyayı düzenlemek ve ardından hedef kasaya yeniden içe aktarmak
  • Bu süreç, 500'den fazla kimlik bilgisinin ~/Downloads ya da Dropbox, OneDrive, iCloud gibi bulut eşitleme dizinlerinde düz metin olarak bulunması gibi bir güvenlik riski yaratıyor
  • Dışa aktarma işleminde dosya ekleri, çöp kutusundaki öğeler, parola geçmişi ve zaman damgaları yer almıyor
  • SSH anahtar dosyaları, lisans anahtarları, görsel biçimde kurtarma kodları gibi ek dosyalara veya uyumluluk/denetim amaçlı parola geçmişine dayanan organizasyonlar için bu yaklaşım kabul edilebilir değil
  • Kimlik bilgilerinin tek doğruluk kaynağı olması gereken bir ürünün 10. yılında bile 500 öğeyi eksiksiz şekilde başka bir kasaya taşıyacak bir düğme sunmaması, mühendislik önceliklerini ortaya koyuyor

İstemci güncellemelerinin işlevleri bozması sorunu

  • Bitwarden, kullanıcılara önceden haber vermeden istemci güncellemeleri yayımlıyor ve bu güncellemeler bazen istemci tarafında kasaya erişilememesine yol açabiliyor
  • Seyahatteyken telefon gece boyunca prize takılı kalmışken F-Droid Bitwarden'ı güncelledi ve ertesi sabah banka girişim için gereken Bitwarden uygulamasında kasaya erişemedim
  • Nedenini anlamak zaman aldı ve durumu bitwarden/android sorunu ile Vaultwarden tartışması üzerinden doğruladım
  • Bitwarden arka ucunu barındıran UPDC bende olduğu için daha kötü bir durumdan kaçınabildim
  • İstemci ile arka uç arasında uyumsuzluk yaratan bir protokol değişikliği gibi görünen güncellemeleri zorla itmeleri sorumsuzca geldi ve çevrimdışı modda parola yöneticisine güvenmek zorunda olan kullanıcılar için Bitwarden'a güvenilemeyeceği sonucuna götürdü
  • Sonrasında Bitwarden istemcisinde otomatik güncellemeleri kapattım ve tüm parolaların güncel anlık görüntüsünü KeePassChi, KeePassXC, KeePassDX tabanlı yerel yedeklere aktardım
  • Bu sorunun, Bitwarden çalışanlarının iddiasının aksine yalnızca Vaultwarden'a özgü olmadığını düşünüyorum
    • bitwarden/android deposunda benzer birçok rapor var
    • 2025.12.x sürüm gerilemesi için, girişten sonra ana parolanın iki kez istendiği ve uygulamanın çöktüğü yönünde raporlar var
    • 2025.6.0 sürümü için, birçok kullanıcıda açılışta anında çökmeye neden olduğu bildirilmiş
  • Android uygulaması 2024'te .NET MAUI'den yerel Kotlin'e tamamen yeniden yazıldı ve v2024.10.1 sonrasında her çeyreklik sürümde gerilemelerin sürdüğü değerlendiriliyor

Kullanıcı deneyimi ve masaüstü/mobil uygulama kalitesi

  • Bitwarden, telefon ve masaüstünde arayüz açısından öznel olarak en kötü uygulamalardan biri olarak değerlendirildi
  • Yıllarca kullanmış olmama rağmen ungoogled-chromium eklentisini ya da masaüstü/mobil uygulamaları açmak bile isteksizlik yaratıyordu
  • Electron tabanlı masaüstü uygulamasını kaynaktan derlemek son derece zahmetli ve hazır Flatpak sürümü Wayland üzerinde düzgün çalışmıyor
  • İstemciler ve eklentiler çevrimdışı kullanımı destekliyor, ancak çevrimdışı kullanım merkez alınarak tasarlanmış gibi görünmüyor
    • Mobil uygulama ya da tarayıcı eklentisi açılırken arka uca bağlanmaya çalışıyormuş gibi gecikmeler oluşuyor
    • Arka ucun açık internete konmadığı kurulumlarda bu gecikme birkaç saniyeden birkaç dakikaya kadar sürebiliyor
    • Kasanın kilidini açarken eşitlemeyi kapatıp gereksiz beklemeyi önlemenin bir yolu yok gibi görünüyor
  • Tarayıcı eklentisindeki Vault giriş listesi de kullanışsız
    • Genelde diğer parola yöneticilerinde liste öğesine tıklamak giriş formunu doldurur
    • Bitwarden'da liste öğesinin tamamına tıklayınca ayrıntı ekranı açılıyor, otomatik doldurma için sağdaki küçük Fill düğmesine basmak gerekiyor
    • Fareyle üzerine gelince büyük liste öğesi vurgulanıyor ama gerçek otomatik doldurma yalnızca küçük düğmeye bağlı olduğu için kullanması zor
    • Liste öğesine tıklamayı otomatik doldurma, küçük düğmeyi de ayrıntı açma olarak değiştiren bir ayar da görünmüyor
  • Benzer sorunlar Hacker News ve toplulukta da tekrar tekrar görülüyor
  • 2021'den beri topluluk forumunda duran, öğe bazında basit düzenleme geçmişi gibi özellik istekleri de ele alınmadı; MSP satıcıları da “buzul hızında özellik geliştirme” diye açıkça eleştiriyor

Bitwarden CLI'nin riskli arayüzü

  • Bitwarden CLI'nin kullanıcı arayüzü de kötü bulunuyor
  • bw aracının list komutu, --show-credentials gibi ek bayraklar olmadan bile parolalar ve TOTP kodları dahil tüm öğe ayrıntılarını çıktı olarak veriyor
  • bw list komutunun yanlışlıkla başka bir yere pipe edilerek tüm kimlik bilgilerinin istemeden açığa çıkabileceği durumların yeterince hesaba katılmadığı bir tasarım olduğu eleştiriliyor
  • Bitwarden CLI'nin TypeScript ile yazılmış bir terminal aracı olması da sorun olarak gösteriliyor
    • Çok sayıda çalışma zamanı ve bağımlılık içeriyor
    • JavaScript yığını, CI ortamlarında düşünmeden çalıştırılabilecek kadar hafif bir seçenek olarak artık görülmüyor

Güvenlik geçmişi

  • Bir parola yöneticisinin temel görevi, kullanıcıları güvende tutmak ve kimlik bilgilerini güvenli biçimde saklamaktır.
  • 2016'dan beri var olan bir ürün olarak Bitwarden, gerçek üretim ortamına dağıtılmış azımsanmayacak sayıda güvenlik sorunu yaşamış olmasıyla eleştiriliyor.
  • Bu olayların her birinin tek başına ölümcül olduğu anlamına gelmese de, olay sonrası müdahaleye dayalı güvenlik yaklaşımı, şaşırtıcı bulgulara verilen “tasarlanmış davranış” türü tepkiler, güvenlik açısından kritik CLI'nin Node.js araç zincirine bağımlılığı ve dış araştırmacıların önceden işaret ettiği sorunların geç ele alınması bir problem olarak gösteriliyor.

  • 2023: KDF

    • Ocak 2023'te, LastPass ihlalinin hemen ardından güvenlik araştırmacısı Wladimir Palant, Bitwarden'ın duyurduğu 200,001 PBKDF2 yinelemesinin gerçekte 100,000 civarında olduğuna dair bir analiz yayımladı.
    • Bunun nedeni, ek sunucu tarafı yinelemelerin yalnızca oturum açmada kullanılan ana parola karmasına uygulanması, kasadaki verileri koruyan şifreleme anahtarına ise uygulanmamasıydı.
    • Sızdırılmış kasaya erişen bir saldırganın sunucuyu tamamen atlayabileceği ve fiili güvenlik seviyesinin LastPass ile aynı hale geldiği değerlendirildi.
    • İstemci tarafındaki varsayılan yineleme sayısı da o dönemde OWASP tavsiyesinin altında olan 100,000 idi ve bu endişe 2020'den beri dile getiriliyordu.
    • Bitwarden sonunda varsayılanı 600,000 seviyesine yükseltip Argon2 desteği ekledi, ancak ilk değişiklik yalnızca yeni hesaplara uygulandığından mevcut kullanıcıların KDF ayarlarını elle değiştirmesi gerekti.

  • 2023: Windows Hello atlatma

    • 2023'te RedTeam Pentesting, Windows masaüstü istemcisindeki “Bitwarden Heist” adlı güvenlik açığını açıkladı.
    • Bu açık CVE-2023-27706 olarak kayda geçti; etki alanı yöneticisi ayrıcalıklarına sahip bir saldırgan, Windows Hello veya ana parola istemi olmadan yerel DPAPI deposundan kasanın çözme anahtarını çıkarabiliyordu.
    • Araştırmacılar, düşük ayrıcalıklı bir kullanıcı oturumunda çalışan herhangi bir sürecin DPAPI'den kasayı açmak için kullanılan kimlik bilgilerini isteyebildiğini belirtti.
    • Düzeltme, ilk açıklamadan aylar sonra 2023.4.0 sürümüne eklendi.

  • 2023: çapraz kaynak otomatik doldurma

    • Aynı yıl CVE-2023-27974 açıklandı.
    • Bitwarden tarayıcı uzantısı, güvenilen bir sayfaya gömülü çapraz alan adlı iframe içinde de temel alan adı eşleşiyorsa kimlik bilgisi doldurmayı sunuyordu.
    • Örneğin trusted.com, attacker.trusted.com iframe'ini içeriyor ve bu alt alan adı üçüncü bir tarafın kontrolündeyse kimlik bilgileri çalınabiliyordu.
    • Bitwarden, uyumluluk nedeniyle iframe'leri bu şekilde ele alması gerektiğini ve “Auto-fill on page load” seçeneğinin varsayılan olarak açık olmadığını söyledi.
    • Bu seçenek açık olan kullanıcılar için bu pek de teselli sayılmaz.

  • 2025: DOM tabanlı clickjacking

    • Ağustos 2025'te güvenlik araştırmacısı Marek Tóth, kötü amaçlı bir sayfanın tek bir tıklamayla Bitwarden tarayıcı uzantısına kredi kartı bilgileri ve kişisel verileri otomatik doldurtabildiği DOM tabanlı bir clickjacking saldırı türünü açıkladı.
    • Açık Nisan 2025'te, kamuya açıklanmasından 4 ay önce bildirilmişti, ancak Bitwarden bunu “moderate severity” olarak sınıflandırdı.
    • Yama, araştırmacının ambargosu bittiği gün yayımlanan 2025.8.2 sürümüne dahil edildi.

  • 2026: Shai-Hulud

    • Yazının kaleme alınmasından birkaç gün önce, resmi Bitwarden CLI istemcisi 2026.4.0, devam eden Checkmarx tedarik zinciri saldırısında ele geçirildi.
    • Etkilenen paket sürümünün @bitwarden/cli2026.4.0 olduğu görülüyor ve kötü amaçlı kod, paket içindeki bw1.js dosyasına yerleştirildi.
    • Saldırının, Bitwarden CI/CD hattındaki ele geçirilmiş bir GitHub Action'dan yararlandığı ve bunun kampanyada etkilenen diğer depolarla uyumlu olduğu düşünülüyor.
    • Kötü amaçlı Bitwarden npm paketini yükleyen kuruluşların bunu kimlik bilgisi sızıntısı ve CI/CD ihlali olayı olarak ele alması gerekiyor.
    • Yük, Bun çalışma zamanını indiriyor, ikinci aşama Shai-Hulud solucanını çözüyor ve GitHub ile npm token'ları, SSH anahtarları, kabuk geçmişi, AWS, GCP, Azure kimlik bilgileri, GitHub Actions sırları ve hatta yapay zeka araçlarının kullandığı MCP yapılandırma dosyalarına kadar topluyordu.
    • Çalınan veriler, kurbanın kendi GitHub hesabında herkese açık bir depo otomatik oluşturulup oraya yüklenerek dışarı sızdırılıyordu.
    • Bitwarden'ın npm dağıtım hattı yaklaşık 19 saat boyunca ele geçirilmiş durumdaydı ve 334 geliştiricinin kötü amaçlı paketi indirmesi için yeterli zaman vardı.
    • Bitwarden'ın resmi açıklaması son kullanıcı kasa verilerine erişilmediğini vurgulasa da, CI hattında bw çalıştıran kullanıcılar o makinede bulunan diğer sırları saldırganlara fiilen teslim etmiş oldu.
    • bw, Go veya Rust ekosistemlerinde yaygın olan tek, statik bağlı bir ikili olsaydı npm biçimindeki bu etki alanı ortaya çıkmayabilirdi değerlendirmesi yapılıyor.
    • Go ve Rust ekosistemlerinde de tedarik zinciri saldırıları artsa da, başarılı bir saldırının önündeki eşik hâlâ daha yüksek kabul ediliyor.

Bundan sonraki yaklaşım: böl ve izole et

  • Tüm kullanım senaryolarına ve yapılandırmalara kusursuz uyan tek bir parola yöneticisi olmadığı sonucuna varılıyor.
  • Kişisel yaşamda kasa veya tek tek parolaları başkalarıyla paylaşma ihtiyacı olmayabilir, ancak iş tarafında bu yaygındır.
  • Banka hesabı veya sigorta portalı oturum açmalarının CLI araçlarında kullanılması gerekmeyebilir, ancak birden fazla cihazdan erişilebilir olmaları gerekir.
  • Bulut depolama sırlarının veya dağıtım için SSH özel anahtarlarının telefona senkronize edilmesi gerekmeyebilir, ancak programatik olarak çağrılabilen bir komut satırı aracından erişilebilir olmaları gerekir.
  • Her şeyi tek bir yazılım veya platformla çözmeye çalışmak yerine, kimlik bilgisi kümelerini daha iyi bölümlere ayırmak daha mantıklıdır.
  • Güvenlik açısından da parola gruplarını farklı yazılım ve hizmetlere ayırmak, veri ihlali durumunda etki alanını azaltabilir.

Kimlik bilgilerini sınıflandırma ve araç seçimi

  • Grup A: profesyonel·müşteri projeleri

    • Grup A, platform girişleri gibi profesyonel·müşteri projesi kimlik bilgilerinden oluşur
    • Uygun kasa paylaşımı, müşterinin gerçekten kullandığı araçlarla entegrasyon, SSO, kurumsal cihazlarda tarayıcı eklentileri, denetim günlükleri sunan ve barındırma yükünü ortadan kaldıran bir SaaS parola yöneticisi kullanılır
    • Platform tescilli bir ürün olduğu için normalde tercih etmem, ancak bu grubun kapsamı yalnızca müşteri işleriyle sınırlı olduğundan bu ödünleşimi kabul ediyorum

  • Grup B: PII içeren hesaplar

    • Grup B, banka hesapları ve çevrim içi alışveriş siteleri gibi PII içeren hesapların kimlik bilgilerinden oluşur
    • Bu hesaplar zaten ad, adres, doğum tarihi ve ödeme bilgileri gibi kişisel veriler içeriyor; bu hizmetlerin kendileri de düzenli olarak sızdırılıyor ve bu durum Have I Been Pwned üzerinden de görülebiliyor
    • Bir parola yöneticisinin ihlal edilmesinin, saldırganın bildiği bilgiyi anlamlı biçimde genişletmediğini düşünüyorum
    • TOTP ve Passkeys varken burada önemli olan şey cihazlar arası erişilebilirlik, güvenilirlik ve çevrim dışı işlevlerdir
    • Grup A ile otomatik olarak birlikte ihlal edilmemesi için farklı bir sağlayıcının ikinci, ayrı bir bulut tabanlı parola yöneticisini kullanıyor; farklı bir ana parola ve farklı bir kurtarma mekanizması bulunduruyorum
    • En az bir GrapheneOS cihazında mobil uygulamayı çalıştırmayı planladığımdan, Google Play Services'e bağımlı olmayan ve mümkünse açık kaynak ya da kaynak kodu açık istemciler sunan çözümleri tercih ediyorum

  • Grup C: PII içermeyen hesaplar

    • Grup C, internet forumlarını, web sitelerini, gizliliğe saygı duyan hizmetleri ve PII barındırmayan hesapları kapsar
    • Bu grup için bulut hizmeti gerekmiyor ve zaten istenmiyor
    • KeePassChi, KeePassXC ve KeePassDX kullanılıyor; veritabanı dosyaları ise Syncthing ile cihazlar arasında senkronize edilen bir klasörde tutuluyor
    • Bu yaklaşım daha önce Syncthing ile merkeziyetsiz bir Dropbox kurmayı anlatan yazıda da ele alınmıştı
    • .kdbx dosyasının kendisi şifreli olduğu için, Syncthing ihlal edilip saldırgan dosyayı ele geçirse bile işe yarar bilgi elde etmek için KeePassChi/KeePassXC şifrelemesini kırması gerekir
    • Mobilde ise Android üzerindeki KeePassDX aynı dosyayı sorunsuz okuyor

  • Grup D: altyapı

    • Grup D, sunucu girişleri ve SSH anahtarları gibi altyapı kimlik bilgilerinden oluşur
    • Kişisel kimlik bilgileri Grup C ile aynı şekilde saklanır
    • Betiklerin, CI işlerinin ve uzak sunucuların gerçekten kullandığı kimlik bilgileri için HashiCorp Vault kullanılır
    • HashiCorp Vault, OpenBSD kurulumunda PKI amacıyla zaten çalıştırdığım bir araçtı
    • Tek kullanıcı için biraz fazla olsa da erişim politikaları, otomasyon ajanları için token tabanlı kimlik doğrulama, desteklenen durumlarda kısa ömürlü kimlik bilgileri ve denetim günlükleri sağlar
    • Infisical de değerlendiriliyor

  • Grup E: tek seferlik kimlik bilgileri

    • Grup E, API anahtarları, kişisel erişim token'ları ve yalnızca komut satırında kullanılan rastgele sırları kapsar
    • Eski pass aracı kullanılır
    • pass, her sırrı Git deposu içinde ayrı bir GPG ile şifrelenmiş dosya olarak saklar
    • Yapısı basittir, denetlenmesi kolaydır ve kabuk betikleri ile dotfiles ile iyi uyum sağlar
    • Git deposu GitHub'da değil, kendi altyapımda bulunuyor ve yalnızca başka bir makineden gerçekten erişmem gerektiğinde elle senkronize ediyorum

Tek kasadan birden çok araca geçişten çıkarılan sonuç

  • Tek kasa dünyasından gelen kullanıcılara bu, fazla sayıda hareketli parçaya sahip aşırı bir kurulum gibi görünebilir
  • Bitwarden'ı yıllarca her iş için tek çözüm olarak kullandıktan sonra, one size fits all yaklaşımının pratikte one size fits poorly olduğu sonucuna vardım
  • Kimlik bilgilerini birden fazla araca bölmek, başta beklediğimden çok daha az sancılı oldu; çünkü her araç belirli bir iş için daha uygundu
  • Araçlardan biri ihlal edilse bile etki alanı tüm kimlik bilgileri yerine tek bir sır kategorisiyle sınırlı kalır

Nihai değerlendirme

  • Bitwarden'ı yıllarca self-host ettikten sonra, ürünün başlangıçta beklediğim yönden giderek uzaklaştığını düşünüyorum
  • Raspberry Pi'ye zar zor sığan enterprise öncelikli mimari, yarım kalmış hafif backend girişimi, SDK lisans tartışmaları, özellik işleme hızındaki yavaşlık, yıllardır düzeltilmeyen UX sorunları ve en başta yayımlanmaması gereken güvenlik meseleleri bir araya gelince “herkes için açık kaynak parola yöneticisi” anlatısıyla uyuşmayan bir tablo ortaya çıkıyor
  • Bu, alternatiflerin evrensel olarak daha iyi olduğu ya da sorunsuz olduğu anlamına gelmiyor
  • Parola yöneticileri doğası gereği zordur ve bu alandaki tüm oyuncuların kendine özgü sorunları vardır
  • Tüm kimlik bilgilerinizi tek bir yazılıma ne kadar fazla emanet ettiğinizi ve bu tercihin hâlâ doğru olup olmadığını katı biçimde sorgulamak gerekir; bu durumda artık doğru tercih olmadığı sonucuna vardım

İlgili tartışmalar

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Lobste.rs görüşleri

  • Sekme değiştirdikten sonra çıkan JavaScript'i devre dışı bırak flaş mesajı da sinir bozucu, değişen sekme başlığı da sinir bozucu
    Varsayılan olarak JavaScript'i kapatmayacağım. Çünkü çok fazla site bozuluyor
    Düzenli gittiğim sitelerin çoğunda reklam engelleyici yeterli oluyor ve NoScript'i yalnızca birkaç kötü sitede kullanıyorum; galiba bu site de o listeye girmiş

    • İnternette bir şeyler okumak için rastgele kod çalıştırmanın varsayılan beklenti olması gerçekten hoşuma gitmiyor
      Katılıyorum ama birilerinin bir şey yapması gerekiyor. Dediğin gibi, her yerde JavaScript'i açık tutmanın rahatlığı bu tek siteden daha büyük ama bir gün o rahatlık da eşiği aşacak
    • Ofiste o site “steve ballmer nude pics” ifadesini “komik” bir <title> olarak gösterdiğinden beri özellikle uzak duruyorum
    • Sadece o üslup bana hitap etmiyor
    • Ne demek istediğini anlıyorum ve ben de varsayılan olarak JavaScript'i açık tuttuğum için pratikte katılıyorum
      Yine de kötü siteler için istisna tanımıyorum; geçmişten siliyor ve tekrar gitmemeye çalışıyorum
      Aynı zamanda yazarın niyetini de anlıyorum. Sadece trollük yapmaya çalışmıyor; daha çok “Evet, bu kötü bir hareket. Ama web'de herhangi bir sitenin varsayılan olarak bunu ya da çok daha kötüsünü yapabilmesi gerçekten mantıklı mı?” demeye çalışıyor gibi görünüyor
      JavaScript sayesinde kariyerimin büyük kısmı mümkün oldu ama sadece metin ya da görsel içeren bir sayfanın hiçbir uyarı veya ipucu olmadan rastgele kod çalıştırabilmesi ve CPU, bant genişliği ve diğer kaynakları sınırsızca kullanabilmesi bana oldukça çılgınca geliyor

  • KeePassXC konusunda da içime sinmeyen noktalar var
    Yapay zeka araçlarının, parola yöneticisine istemediğim ve ihtiyaç duymadığım özelliklerin eklenme hızını artırmasından endişe ediyorum. Şimdilik daha çok hata düzeltmede kullanılıyor gibi görünüyor ama hataların çoğu düzelince sırada ne geleceği belli. Cazibe çok büyük
    Yakın zamanda “satır içi ek görüntüleyicide daha fazla dosya türü desteği (görseller, HTML, Markdown), metin dosyası eklerini düzenleme özelliği” eklediler; ben böyle bir kodun parola yöneticisinin içinde olmasını istemiyorum. Metin düzenleyiciler de var, dosya görüntüleme uygulamaları da
    1Password ile sıkı rekabet halindelerse, mümkün olan en iyi kullanıcı deneyimine odaklanmaları yeterli. Henüz KeePassX? KeePassChi? ChiPass? geliştiricilerine güvenmeye de hazır değilim

  • Neredeyse her alanda özgür ve açık kaynak yazılımı tercih ederim ama parola yöneticisi olarak bir süredir 1Password kullanıyorum
    Bu alanda para kısmamaya karar verdim ve abonelik modeli sayesinde şirketin iş modelinin ücretsiz katmandan yukarı satış yapmak değil, gerçekten çalışan bir ürün satmak olduğuna kanaat getirdim
    Açık kaynak olmasını isterdim ama bunun dışında cihazlar arası eşitleme güvenilir ve tarayıcı eklentisi de sorunsuz şekilde işini yapıyor

    • Eskiden 1Password'un uzun yıllardır hayranıydım ve 10 yıldan fazla kullandım
      Verilerimi kendi sunucularında tutmak yerine eşitleme yöntemini kendin getir yaklaşımını fiilen engellediklerinde benim için bardağı taşıran son damla oldu
      O dönemde Apple dışı istemciler de pek iyi değildi ve giderek daha fazla Apple dışı platform kullanmaya başlamam da etkili oldu. Son yıllarda bu tarafın düzeldiği anlaşılıyor ama tekrar denemedim
      Ayrılma nedenim para değildi. Şimdi veri depolamayı kendim barındırdığım VaultWarden kullanırken yine de Bitwarden'a para ödüyorum
      Özgür ve açık kaynak yazılımı tercih etsem de, böyle araçlarda verinin nerede saklandığını kontrol edebilmek mutlak ölçütüm
    • Belirli durumlarda eşitleme hâlâ başarısız oluyor
      Android cihaz dışında bir yerde kimlik bilgilerini değiştirirsem, sonrasında Android'de 1Password'u ilk kullandığımda yeni değer eşitlenmeden önce eski kimlik bilgilerini dolduruyor
      İlk giriş başarısız oluyor, nedenini fark edip ikinci kez denediğimde ise arada eşitleme tamamlanmışsa başarılı oluyor. Her seferinde sinir bozucu

  • Bitwarden'a yönelik karşı argümanlara genel olarak katılıyorum ama ortaya atılan sorunların önemli bir kısmı o kadar da büyük değil ve bazıları VaultWarden veya GrapheneOS gibi özel yapılandırmalardan kaynaklanıyor gibi görünüyor
    Yaklaşık 5-6 yıldır Bitwarden kullanıyorum ve yaşadığım tek sorun, tarayıcı eklentisi arayüzü yenilendikten sonra bir süre yavaş olmasıydı. GitHub sürümlerinden eklentinin eski sürümüne dönüp birkaç ay kullanarak çözdüm
    Madem bu kadar uzun bir yazı yazılmış, geçilebilecek SaaS alternatiflerinden de gerçekten söz edilseydi iyi olurdu. Okur kendi araştırmasını yaparsa kendine uygun SaaS parola yöneticisini seçip sonuçta daha iyi bir karara varabilir ama yine de uğraştırıcı
    Ücretsiz barındırma, çevrimdışı destek, bulut üzerinden otomatik eşitleme, otomatik doldurma kısayoluna sahip tarayıcı eklentisi ve mobil uygulama sunan başka bir parola yöneticisi; mümkünse açık kaynak bir alternatif varsa duymak isterim
    Biraz bakınca, alternatif arayanlar için Proton Pass sanki bu koşulların hepsini karşılıyor gibi görünüyor. Bir gün denerim ama şimdilik Bitwarden bana uyuyor

    • Yalnızca resmi Bitwarden yapılandırmasını kullandım ama oradaki eleştirilerden biri doğru görünüyor
      Bitwarden içinde öğeleri düzenlemek neredeyse akıl kârı değil
      En azından kuruluşlar arasında öğe taşımak için sütunları sürükleyip bırakabilmek harika olurdu ama şu an elde sadece kısıtlı bir sistem var
      Ücretli bir yazılımda gerçek çözümün kendi yönetim aracını yazmak olması komik
    • Firefox'ta hâlâ aşırı yavaş, bu yüzden eklentiyi bırakıp masaüstü uygulamasını kullanmaya başladım
    • Komut satırıyla ilgili tüm sorunlar rbw ile çözülüyor
      Nispeten yakın zamanda keşfettim ve tamamen ona geçtim

  • pass, “standart UNIX parola yöneticisi”, de güzel. 10 yıldan fazladır kullanıyorum
    https://www.passwordstore.org/

  • Bitwarden kullandığım için bu yazının beni bırakmaya ikna etmesini ve daha iyi bir yaklaşım önermesini umuyordum
    Ama bu kadar uzun bir yazı yazmaya zaman ayırıp da çok küçük şikâyetler dışında bir şey yoksa ve çok daha iyi bir öneri de gelmiyorsa, bu beni tam tersine Bitwarden konusunda daha rahat hissettiriyor

    • Neredeyse hayal kırıklığı yaratacak kadar öyle
      Bitwarden, depoyu passkey ile kilit açacak şekilde uyguluyor. Hatırlamam gereken son sır buydu
      Bir alternatif en azından bunu yapabilmeli

  • Bitwarden kullanıcısı olarak tavsiye ederim
    Ucuz, ihtiyaç duyulan tüm özellikleri sunuyor ve özgür, açık kaynak yazılım
    5 parola yönetimi çözümü, 4 komut satırı aracı, 3 ana parola ile uğraşacak zamanım yok. Bitwarden oldukça iyi
    1Password'dan tamamen kötü bir enerji alıyorum ve onunla uğraşmak istemiyorum

    • Chrome, kendi barındırdığım KeePass eşitlemesi ve Firefox'tan sonra şimdi Bitwarden'a geldim
      Geçiş yapmak ve ailemle paylaşmak için açık ara en kolayı buydu. Abonelik ücreti de çok ucuz

  • Bitwarden gibi kimlik bilgisi paylaşımını destekleyen başka açık kaynak çözümler var mı?
    15 yıldan uzun süredir KeePass/KeePassXC kullanıyorum ama geliştirici olmayan ekip üyeleriyle ya da aileyle kimlik bilgisi paketlerini paylaşmam gerektiğinde Bitwarden'dan daha iyi bir çözüm bulamadım
    Bitwarden'ı hiçbir zaman çok sevmedim ama kimlik bilgisi kasası ile paylaşım ve eşitleme açısından hep en az kötü seçenek oldu

    • Kısa süre önce Passbolt[0]'u buldum
      Bitwarden gibi kurumsal bir hava veriyor ama ilginç görünüyor. Gerçekten iyi mi bilmiyorum ama Bitwarden'a alternatif olabilir gibi duruyor
      [0]: https://www.passbolt.com/
    • Tüm parolaları hoşunuza giden başka bir parola yöneticisine taşıyıp, sadece paylaşılan kimlik bilgileri için Bitwarden kullanmaya devam edebilirsiniz

  • Bir süredir keepassXC ve keepassDX kullanıyorum. İsimleri gerçekten çok aptalca
    Bir gün ChiPass'a geçebilmeyi umuyorum

  • GPG ise… muhtemelen kendine RSA ile şifreleme gibi bir şeydir?
    age kullanmak daha iyi