Den populära lösenordshanteraren Bitwarden utvecklas och tillhandahålls av ett företag med säte i Santa Barbara, Kalifornien. De har sedan start driftat tjänsten på servrar i USA. Den amerikanska driften har inte varit något problem för oss EU-medborgare eftersom lösenordsvalven synkroniseras totalsträckskrypterade. Det innebär att även om amerikanska underrättelsemyndigheter skulle begära ut data så har Bitwarden ingen känslig data att lämna ut.
Trots detta valde Bitwarden i somras att börja erbjuda europeiska servrar som ett alternativ till de amerikanska. Dessa nya europeiska servrar är helt separerade från de befintliga amerikanska servrarna. Det innebär att en Bitwarden-användares lösenordsvalv ligger på antingen de europeiska servrarna eller på de amerikanska servrarna (inte på båda).
Fel lösenord är i själva verket fel region
Alla användare som skaffade Bitwarden-konton fram till i somras har sina lösenordsvalv på de amerikanska servrarna. Detta har orsakat viss förvirring för europeiska användare som vill logga in. Bara under den senaste veckan har två Bli säker-bloggläsare hört av sig för att de trott att de glömt sina huvudlösenord. I själva verket försökte de att logga in på fel servrar (i fel region).
Situationen förvärras av att Bitwardens gränssnitt är otydligt. När en användare vill logga in från en ny webbläsare får användaren välja en av tre regioner: USA, EU eller lokal installation. Europeiska användare som inte känner till den ovannämnda bakgrunden kan av förståeliga skäl tro att de ska välja EU som region. I själva verket ska de välja USA eftersom det var där de skapade sina lösenordsvalv.
Om användarna som har skapat sina lösenordsvalv på amerikanska servrar försöker logga in på europeiska servrar får de ett föga hjälpsamt felmeddelande. Bitwarden säger att ett fel har uppstått och att användarnamnet eller lösenordet är fel. Bitwarden har valt detta otydliga felmeddelande av säkerhets- och integritetsskäl. Det gör samtidigt att användarna inte uppmärksammas på att de försöker logga in på fel ställe eller att det ens finns ställen som inte är de rätta.
Lösningen på problemet är de byter region till USA. Då kan de logga in precis som vanligt.
Inget skäl för byte av region
En naturlig följdfråga är ifall befintliga användare bör flytta sina lösenordsvalv till de europeiska servrarna. Personligen ser jag inga skäl till det. Funktionaliteten är exakt desamma.
Ifall en organisation oroar sig för att lagra metadata i USA kan de ändå inte använda de europeiska servrarna eftersom de driftas av ett amerikanskt bolag. Sådana organisationer måste sätta upp egna Bitwarden-servrar. Mer information om hur organisationer kan migrera data från USA till EU eller egna servrar finns på Bitwardens webbplats.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.