1 puntos por GN⁺ 2023-09-26 | 1 comentarios | Compartir por WhatsApp
  • Bitwarden es una plataforma de seguridad de credenciales que protege contraseñas, passkeys y secretos usados por personas y empresas con cifrado de extremo a extremo de código abierto
  • Ofrece generación, almacenamiento y autocompletado de contraseñas, bóvedas empresariales centralizadas, herramientas de administración, sincronización ilimitada entre dispositivos, uso compartido y self-hosting dentro de una misma suite de productos
  • Su alcance de protección no se limita a las cuentas humanas, sino que se extiende a agentes de IA y máquinas; para el acceso de agentes aplica acceso cifrado justo a tiempo con aprobación humana en cada ocasión
  • Bitwarden afirma su confiabilidad con más de 80,000 organizaciones, millones de personas, más de 100,000 miembros de la comunidad, auditorías de terceros y cifrado de conocimiento cero
  • Además de su cuenta básica gratuita, ofrece planes Premium por USD $1.65 al mes, Families por USD $3.99 al mes, Teams por USD $4 por usuario al mes y Enterprise por USD $6 por usuario al mes; los precios mostrados son en USD, con facturación anual y sin incluir impuestos

Protege contraseñas, passkeys y secretos en un solo lugar

  • Bitwarden es una plataforma que protege las contraseñas, passkeys y secretos de los que dependen personas, agentes de IA y máquinas
  • Los pilares principales del producto son el código abierto, el cifrado de extremo a extremo y una arquitectura escalable
  • Los usuarios pueden generar contraseñas fuertes, almacenarlas y autocompletarlas en distintas cuentas
  • En entornos empresariales, organiza y administra credenciales con bóvedas centralizadas y herramientas para administradores
  • La transparencia del código abierto, las auditorías de terceros y las revisiones de la comunidad respaldan la confianza en su seguridad

Enfoque de acceso para personas, agentes de IA y máquinas

  • Las funciones para personas permiten otorgar a empleados solo las credenciales que necesitan y admiten generación, almacenamiento y autocompletado de contraseñas
  • Para agentes de IA, proporciona acceso cifrado de extremo a extremo en el momento necesario y requiere aprobación humana cada vez
  • Las funciones para máquinas limitan el alcance de acceso a secretos de desarrollador como claves API, contraseñas de bases de datos y tokens de acceso

Base de confianza y escala de uso

  • Bitwarden afirma que más de 80,000 organizaciones y millones de personas lo usan para proteger credenciales
  • Sus elementos de seguridad y confianza son los siguientes
    • Cumple o supera los estándares internacionales de cumplimiento
    • Con cifrado de conocimiento cero, solo el usuario puede acceder a su información
    • Tiene más de 100,000 miembros de la comunidad entre GitHub, los foros de Bitwarden y Reddit
  • Afirma haber ocupado el primer lugar durante 11 trimestres consecutivos en la categoría Enterprise User Satisfaction del G2 Enterprise Grid Report

Funciones principales para empresas y personas

  • Las empresas pueden usar SSO, SCIM y self-hosting como opciones de despliegue
  • Los equipos de TI verifican el estado de uso de credenciales con registros de eventos y controles de acceso
  • Ofrece funciones para reducir el riesgo de credenciales en todos los empleados y dispositivos
  • Los usuarios individuales pueden reducir la carga de recordar contraseñas y usar autocompletado de inicio de sesión en varios dispositivos y navegadores
  • La protección de cuentas personales incluye alertas de filtraciones

Conjunto de funciones del administrador de contraseñas

  • Generación, almacenamiento y autocompletado

    • Protege contraseñas y passkeys fuertes y únicas para cada cuenta
    • Permite almacenarlas de forma segura y autocompletarlas al instante en dispositivos ilimitados
  • Administración centralizada

    • Administra en un solo lugar controles de acceso, políticas, propiedad centralizada de elementos e informes de seguridad
  • Integración de herramientas

    • Puede integrarse con proveedores de SSO, servicios de directorio, herramientas SIEM, agentes de IA y otras herramientas de las que depende el negocio
  • Importación

    • Permite mover contraseñas desde el navegador u otro administrador de contraseñas en pocos minutos
  • Uso compartido

    • Permite compartir con miembros del equipo mediante colecciones de la organización o enviar texto y archivos cifrados con Bitwarden Send
  • Self-hosting

    • Permite hospedar Bitwarden en instalaciones propias o en una nube privada para asegurar la soberanía de los datos
    • Más funciones: Bitwarden Features

Access Intelligence y defensa contra phishing

  • Access Intelligence es una función que identifica las aplicaciones de IA en uso dentro de una organización y reduce el riesgo de credenciales
  • Las contraseñas débiles o reutilizadas pueden convertirse en una vía para comprometer cuentas
  • Bitwarden ayuda a generar contraseñas fuertes y únicas para cada sitio web y aplicación
  • No autocompleta en sitios web maliciosos que imitan a otros, lo que ayuda a la defensa contra phishing

Planes de precios

  • Planes personales
    • Premium: USD $1.65 al mes, USD $19.80 al año
      • Incluye autenticador integrado, archivos adjuntos, acceso de emergencia e informes de seguridad, entre otros
      • Permite compartir elementos de la bóveda con otro usuario
    • Families: USD $3.99 al mes, hasta 6 personas, USD $47.88 al año
      • Incluye 6 cuentas premium, uso compartido ilimitado, colecciones ilimitadas y almacenamiento para organizaciones
    • La administración básica de contraseñas siempre es gratuita
  • Planes para empresas
    • Teams: USD $4 por usuario al mes, con facturación anual
      • Además de las funciones de Premium, ofrece uso compartido de credenciales, auditoría de actividad basada en registros de eventos, sincronización con directorios existentes y automatización del aprovisionamiento SCIM
    • Enterprise: USD $6 por usuario al mes, con facturación anual
      • Además de las funciones de Premium y Teams, ofrece control de acceso granular, integración Passwordless SSO, recuperación de cuenta, flexibilidad de self-hosting, mitigación de riesgos con Access Intelligence y un plan Families gratuito para todos los usuarios
    • Las organizaciones grandes pueden discutir un plan personalizado mediante consulta comercial
  • Los precios mostrados corresponden a suscripciones anuales en USD y no incluyen impuestos

1 comentarios

 
GN⁺ 2023-09-26
Opiniones de Hacker News
  • Quería que me gustara Bitwarden por ser open source, pero 1Password está muy por delante.
    Es irónico que 1Password 8 siga siendo mucho mejor, aun cuando se refactorizó en gran medida con una UI basada en Node que mucha gente odió.
    Intenté enseñarle Bitwarden a mi padre porque tenía traducción a su idioma nativo, pero en el uso real pequeños defectos se fueron acumulando hasta hacerlo casi inutilizable: fallas en el autocompletado, fallas al detectar el guardado de inicios de sesión, cierre de sesión de la cuenta, errores en la autenticación biométrica del navegador porque la app en segundo plano se cerraba, y una UI de administración pésima.
    El plan personal es barato, pero el plan familiar es caro, y aunque también se puede hacer self-hosting, tiene costo.
    Cuando la gente habla de self-hosting, normalmente se refiere a vaultwarden, reescrito en Rust; hasta donde sé, nunca fue auditado, así que no sé cómo confían en la posibilidad de vulnerabilidades remotas.
    Bitwarden también recibió inversión de VC, y entiendo que tenga que crecer, pero extraño los proyectos propiedad de negocios sostenibles sin presión por crecer. Lo mismo aplica para 1Password, pero me inquieta si una startup con inversión de VC seguirá siendo confiable dentro de un año.

    • Cuando 1Password anunció que se pasaría a una app Electron horrible, evalué los principales gestores de contraseñas e incluso productos menos conocidos como Strongbox, pero aun con la degradación de UX de 1Password 8, seguía siendo incomparablemente superior.
      Aguanté con la V7 hasta hace unas semanas, cuando por circunstancias tuve que actualizar, así que volví a revisar alternativas, incluido Bitwarden; no me pareció que la UX hubiera mejorado y, más importante, rechazó por completo la importación por una nota segura grande.
      No fue que omitiera solo esa nota: no importó nada, no había opción para saltarla, tuve que hacer mucho trabajo manual y, al final, ni siquiera cumplía con mi necesidad de guardar esa nota en la bóveda.
    • Lo uso como usuario de pago porque creo que el precio de 1 euro al mes es justo lo adecuado para un gestor de contraseñas, pero es cierto que tiene defectos.
      LastPass, que usaba antes, detectaba mucho mejor los campos de formularios, y creo que la UI que construyeron sobre pop-ups temporales fue una mala decisión que, incluso después de años, nunca cambiaron correctamente a un enfoque de nueva pestaña. Debieron hacerlo como LastPass, uBlock Origin o TreeStyleTabs.
    • Me da curiosidad saber cuándo lo probaste por última vez. Hubo un cambio de UI reciente y quedó mejor que antes.
      Las cuentas personales y familiares son más baratas que en 1Password, y como cliente de pago de Bitwarden desde hace mucho tiempo nunca tuve esos problemas.
      Como referencia, 1Password recibió casi 1,000 millones de dólares en inversión de VC, así que la presión por crecer debe ser enorme.
    • Decir “Bitwarden también recibió inversión de VC; está bien” no está nada bien.
      La inversión de VC significa que en algún momento van a intentar recuperar el dinero, y un servicio de gestión de contraseñas es demasiado importante como para ponerlo bajo esa presión.
      Viendo el precedente de muchos otros servicios financiados por VC que se arruinaron gravemente, me parece totalmente posible que algún día tomen tus contraseñas como rehén si no pagas, o hagan algo igual de drástico.
    • El hosting en un centro de datos es caro, pero hostear en casa no lo es. Si de todos modos ya pagas Internet, puedes aprovecharlo.
      Mi servidor doméstico cuesta unos 3 euros al mes en electricidad y corre varios servicios además de Vaultwarden, como Home Assistant, Nextcloud, Jellyfin e Immich.
      Con Docker y Compose el mantenimiento también es sencillo; lo corro en una red privada y restrinjo el acceso externo con VPN cuando hace falta.
      Si hosteas un solo servicio sale caro, pero si corres varios servicios juntos resulta mucho más barato.
  • También existe vaultwarden, una implementación open source en Rust del servidor: https://github.com/dani-garcia/vaultwarden

    • El servidor oficial de Bitwarden también es software libre y open source basado en AGPL: https://github.com/bitwarden/server
    • Lo único que le falta a Vaultwarden es SSO/OAuth. Hay un PR relacionado abierto desde hace años, pero ya perdí la esperanza de que lo fusionen.
    • Uso Vaultwarden para contraseñas de equipo y Password Store para uso personal.
      No tuve problemas salvo que, al moverlo a otro servidor, al principio no detectó la base de datos desde el volumen de Docker restaurado; eso probablemente fue un problema de Docker o algo que hice mal, con probabilidades similares.
    • Uso vaultwarden para uso personal y es excelente.
  • Me sorprende que haya tantas reacciones negativas. En mi cabeza, Bitwarden seguía siendo un producto querido en HN.
    Pago el premium de 10 dólares al año y lo uso; en realidad no sé bien qué funciones aprovecho, pero me gusta el producto en sí.
    Eso sí, no he investigado mucho los productos competidores, así que me da curiosidad si otros gestores tienen alguna gran ventaja.

    • A mí también me sorprendió mucho.
      Hay muchos comentarios del tipo “está muchísimo más adelantado”, pero no queda claro qué significa eso en concreto.
      En mis trabajos recientes usaban LastPass y 1Password, y para uso personal uso Bitwarden; para mí Bitwarden es mucho mejor.
      El plugin del navegador detecta de forma más confiable el ingreso y cambio de contraseñas, y propone guardarlas o actualizarlas; la versión de iOS también se integra con más fluidez con el autocompletado de contraseñas de otras apps nativas.
      Puede que quede atrás en funciones para compartir en equipo, pero para uso personal eso no importa.
      Parece haber una indignación muy al estilo HN por el hecho de que la mayor parte de Bitwarden sea open source, pero no el 100% debido a algunos componentes propietarios; me cuesta entender esa actitud de que el software debería caer del cielo como maná y no poder sostener un negocio.
      También me parece raro que a VS Code, que funciona de la misma manera, no se le guarde ese resentimiento, y quizá la cosa mejore si Bitwarden crea una UI con modo oscuro más convincente.
    • En el mundo del software hay un fenómeno extraño en el que a una solución open source se le exige un estándar más alto que a otro software del mismo rubro.
      Yo también uso Bitwarden Premium y me gusta. Mi organización usa otro gestor de contraseñas de nivel empresarial, y es mucho más complejo y su interfaz también es lenta.
      Tengo el principio de que, si puedo obtener el 80% de la misma funcionalidad como open source, lo usaré aunque no sea “el mejor”.
    • Sinceramente, se siente como un intento organizado de desprestigiar a un competidor.
      Hasta ahora, en HN solo veía publicaciones elogiando a Bitwarden, y usándolo directamente casi no he sufrido los problemas de los que se quejan aquí.
      Mi única queja es que el inicio de sesión biométrico de la app de escritorio es algo tosco, pero no es un problema decisivo.
    • Llevo un tiempo usando Bitwarden y para mí funciona perfectamente bien. Hace lo que necesito sin quejas particulares.
  • Como referencia, Bitwarden recibió el año pasado 100 millones de dólares de inversión de VC.
    Es muy probable que algún día llegue la presión para monetizar de forma agresiva.
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • Las principales alternativas son LastPass y 1Password; LastPass se está derrumbando por fallas de seguridad, y 1Password recibió alrededor de 1.000 millones de dólares en inversión de VC: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      En algún momento simplemente hay que aceptarlo y vivir con eso. El producto que usas puede cambiar en el futuro, y tal vez más adelante tengas que migrar a otro.
      La alternativa es llevar algo como KeePass en una unidad USB y renunciar a la sincronización en la nube y a la integración de autocompletado en navegadores y apps nativas, pero la verdad es que esas funciones son justamente el núcleo de estos productos.
      Sin eso, se podría decir que una nota en papel guardada en el cajón del escritorio es mejor.
    • Mi regla de vida es alejarme rápido de un producto cuando entra un VC o un inversionista de private equity.
    • ¿Por qué demonios un servicio de gestión de contraseñas necesitaría tanto dinero?
      Peor aún, ¿qué estará planeando hacer para convencer a los VC de que podrán recuperar más que esa suma?
    • Como alguien que prefiere muchísimo los negocios bootstrap, levantar una inversión de este tamaño me parece una locura.
      Si ya tienes un producto tan popular y en crecimiento, de verdad me da curiosidad por qué aceptarías tanto dinero.
    • Gracias por la información. Es una cantidad bastante grande para un servicio barato del que se puede migrar tan fácilmente.
      Me preocupa un poco.
  • Bitwarden es bueno. Lo uso en todas partes y gestiona bien las contraseñas.
    Para mí la función clave es que las funciones de organización son fáciles de usar, porque puedo compartir contraseñas fácilmente con mi esposa.
    Con cuentas financieras o relacionadas con los hijos muchas veces hay que compartirlas, así que ambos necesitamos las contraseñas, y Bitwarden hace que eso sea muy simple.

    • Yo también lo usaba así, hasta que mi esposa y yo nos dimos cuenta de que podíamos usar simplemente una sola cuenta de Bitwarden.
    • Yo también uso la función para compartir, es decir, la función de organización, pero no sé si es que me falta entender algo: después de compartir, parece que no se puede ver ni copiar la contraseña.
      Pasa lo mismo con los elementos que compartí yo mismo. Está bien cuando se puede usar el autocompletado, pero no siempre funciona ni siempre es posible.
  • El título induce a error. Esto no es completamente “gratis y open source”
    El servidor de Bitwarden tiene una estructura de doble licencia
    Algunas partes son open source bajo AGPL, y algunas funciones tienen una licencia de Bitwarden de código disponible
    Además, incluso para hacer self-hosting del core open source se requiere registro; dicen que es para ofrecer servicios complementarios como actualizaciones de seguridad, servidor de relay de push y verificación de licencias
    No está en la documentación, pero viendo que piden no compartir la clave de licencia entre instalaciones, también parece que podría haber mejoras de telemetría
    Entiendo que necesiten una licencia de código disponible, pero si el resultado no es gratis como una cerveza ni libre como la libertad de expresión, no sé por qué licencian una parte como open source
    Me da genuina curiosidad qué ventaja obtienen las empresas al vender como open source productos que casi no lo son
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • Dice: “Integración de Commercial.Core y SSO: parte del código de módulos nuevos, diseñado y desarrollado para grandes organizaciones y entornos empresariales, se distribuye bajo Bitwarden License, una licencia de código disponible”
      El resto de Bitwarden es software gratis y libre, tanto en costo como en libertad. No sé por qué pensarías otra cosa
      Vaultwarden existe y es compatible con los clientes de Bitwarden
    • No sé por qué todos asumen que, si algo es open source, necesariamente debe ser gratuito y tener una licencia permisiva que permita cualquier cosa
      Mirando el sitio por encima, parecía más una apertura orientada a la transparencia que al espíritu del software libre y open source
    • Probablemente a no mucha gente le importe en la práctica, pero por el texto del FAQ de licencias parece posible hospedar el servidor como solo FOSS
      api incluye Commercial Core bajo Bitwarden License, pero dice que se puede desactivar pasando el argumento /p:DefineConstants="OSS" a dotnet al compilar el módulo
    • Como tú mismo dijiste, es marketing
  • Me sorprende que todavía no haya aparecido Padloc
    Tiene cifrado de extremo a extremo, es open source, fácil de self-hostear y tiene buena UI y UX
    Hice que toda mi familia lo usara y, después de más de un año usándolo, terminé contribuyendo activamente
    También tiene una app de escritorio basada en Tauri
    Declaración de intereses: tengo permisos para contribuir, pero no recibo ingresos por ventas ni nada parecido
    https://padloc.app

    • En Google Play, con Android 13 en un Pixel 7, dice “esta app fue creada para una versión antigua de Android y no está disponible para tu dispositivo”, y no se puede instalar
      Si además miras la calificación, no inspira confianza
    • Es la primera vez que lo veo, y el branding y el diseño gritan “proyecto estudiantil, mantente lejos”
      No es para nada la impresión que quisiera recibir de un gestor de contraseñas. Para contexto, soy diseñador de UI/UX
    • Me pregunto si tiene sincronización por Wi-Fi
      Parece que todos los grandes proveedores quieren eliminar esa función, cuando lo único que quiero de un gestor de contraseñas es no guardar todas mis contraseñas en la nube
  • Bitwarden no es perfecto, pero llamar “fácil” a pass es gracioso
    Sobre todo si tienes que compartir contraseñas con familiares mucho menos técnicos, y la UI testaruda de 1Password muchas veces estorba
    Creo que Bitwarden logra un buen equilibrio entre seguridad, precio y diseño
    Eso sí, comparto las preocupaciones sobre el financiamiento y los cambios en la dirección

  • Lo uso con satisfacción y es cómodo, pero me pregunto qué tan seguro es realmente reunir todo lo importante, incluido el 2FA, en un solo lugar en la nube
    Parece un objetivo demasiado valioso
    Por otro lado, sincronizar todo manualmente es engorroso, y al final lo cifro en mi computadora y luego lo sincronizo pasando por la nube, así que también me pregunto cuál es la diferencia

    • Debes poder crear una contraseña única y suficientemente fuerte para cada servicio que usas. En la gestión de cuentas, este es absolutamente el primer paso más importante
      A gran escala, las personas que no usan un gestor de contraseñas reutilizan contraseñas. Punto
      La forma que más mejoraría en la práctica la seguridad de las cuentas del público general es lograr que usen gestores de contraseñas, incluso considerando el riesgo de que les roben la bóveda y la descifren
      Para la mayoría de la gente, la gestión de contraseñas en la nube prácticamente no es negociable. Seguirá pasando que “la bóveda estaba en la computadora, se me cayó y se dañó el disco”, y hacer que todos hagan backups correctamente no es viable a gran escala
      Si tú puedes crear contraseñas únicas y suficientemente fuertes para todas tus cuentas, puedes evitar un gestor de contraseñas y reducir un pequeño riesgo
    • Yo también pongo casi todas mis contraseñas en Bitwarden, pero no pongo los tokens de 2FA para no meter todos los huevos en una sola canasta
      Si centralizas ambos secretos, en la práctica deja de ser autenticación de dos factores
      En móvil uso Aegis, y en la computadora uso pass con una extensión OTP, con una contraseña completamente distinta a la de Bitwarden
      Si te preocupa la bóveda en la nube de Bitwarden, puedes levantar una instancia de vaultwarden, una implementación de servidor libre y open source basada en Rust, y conectar los clientes. Todavía no lo probé personalmente, pero he oído que funciona bien
    • Yo uso KeePass y la sincronización no es engorrosa
      El archivo está en Dropbox, y antes de abrir la app en otro dispositivo siempre ya estaba sincronizado
      Hacer backup de la base de datos también es tan fácil como copiar y pegar un archivo
    • Si los datos son lo bastante valiosos o si tienes la capacidad de manejar un método mejor, quizá no sea la mejor solución
      Para el usuario promedio, usar un gestor de contraseñas es abrumadoramente mejor que usar hunter42 en todas las cuentas
    • Para este propósito, hago self-hosting en el Raspberry Pi de mi casa de vaultwarden, una implementación del servidor de Bitwarden: https://github.com/dani-garcia/vaultwarden
      También hago backups frecuentes de la base de datos. Para mí funciona suficientemente bien, y no tengo que guardar mis datos en la nube de una empresa
  • Es open source y fácil de usar: https://www.passwordstore.org/

    • Creé prs para resolver muchas de las molestias que tenía con pass y otros clientes
      Es compatible con pass y usa el mismo repositorio
      https://github.com/timvisee/prs
    • Esto es un poco distinto. Más que una app de gestión de contraseñas, se parece más a un estándar y una implementación CLI de referencia para guardar contraseñas cifradas con GPG en ~/.password-store
      También hay varios clientes GUI para manejar contraseñas y herramientas para importar desde otros gestores
      Suena como una buena idea, pero me preocupa que los clientes puedan quedar expuestos a ataques a la cadena de suministro de software. No creo tener la experiencia para evaluar cada nueva versión
    • Para expertos en computación puede ser fácil de usar
      Prueba presentarles pass a tu familia. Para la gente común, incluso configurar 1Password no es sencillo
      Todavía falta mucho para que todos usen gestores de contraseñas, y una alternativa más realista probablemente sean las passkeys
    • Por diseño, pass expone todos los sitios web configurados y los metadatos del historial de cada registro
      Puede ajustarse o no a tu modelo de amenazas
    • Consulta https://github.com/passff/passff