Bitwarden trekt MFA-beveiliging los uit de wachtwoordmanager en lanceert een authenticator-app. De app maakt unieke en tijdelijke inlogsleutel aan voor webdiensten die MFA ondersteunen.
MFA-functionaliteiten waren nu al beschikbaar voor betalende gebruikers van de wachtwoordmanager. Bitwarden vindt dat iedereen toegang moet krijgen tot MFA-beveiliging en dus stopt het die functionaliteiten nu in een afzonderlijke applicatie. Bitwarden Authenticator is sinds 1 mei beschikbaar voor Android en iOS.
Unieke en tijdelijke sleutels
De authenticator-app van Bitwarden werkt min of meer zoals de alternatieven van Google en Microsoft. Je voegt online accounts die je met MFA wil beveiligen handmatig toe in de applicatie of door een QR-code in de instellingen te scannen. Dit kan enkel voor websites die MFA ondersteunen, al doen tegenwoordig veel websites dat.
De volgende keer dat je je inlogt, kan je inlogsleutel aanmaken met de app. Die is uniek voor iedere inlogpoging en ook altijd maar tijdelijk geldig. De inlogsleutel blijft bewaard op je toestel en dient handmatig ingegeven te worden op de inlogpagina. Codes kunnen zo niet onderschept worden door man-in-the-middle-aanvallen. Volgens Bitwarden neemt deze werkwijze de belangrijkste limitaties van klassieke MFA-handhaving weg.
Bitwarden zal gaandeweg meer functionaliteiten toevoegen aan de authenticator-app. In de aankondigingsblog onthult het ook een roadmap voor de verdere uitbouw van de applicatie.
MFA dient ter aanvulling van een wachtwoord, maar op termijn wil Bitwarden wachtwoorden zelfs helemaal overbodig maken. Voor de eigen wachtwoordmanager biedt het al de mogelijkheid om in te loggen met een passkey in plaats van een wachtwoord.