Skip to main content

Vaultwarden Security Tips

Let op: je bent zelf verantwoordelijk voor de veiligheid van je omgeving.
Wij staan in geen geval garant voor je omgeving. Doe zelf ook je eigen onderzoek!

Je wachtwoorden is zeer gevoelige informatie, je wilt dan graag dat deze veilig opgeslagen worden. Hieronder een aantal tips en of aandachtspunten om in je achterhoofd te houden.

Ongeacht hoe je de kluis benaderd en welke keuzes je maakt, het is altijd aan te raden een enorm sterk wachtwoord te gebruiken en 2FA in te stellen.

Toegang

Maak voor jezelf de afweging of toegang over het internet nodig is. Mogelijk wil je dat de kluis altijd synchroniseert. Of wil je graag overal de volledige functionaliteit gebruiken van de Bitwarden client apps?

Toegang zonder internet

Allereerst, is er toegang tot de kluis nodig over het publieke internet? Als dit niet nodig is, scheelt dit al veel risico's. Wanneer je geen verbinding hebt met de kluis kan je nog steeds je wachtwoorden inzien. Je kluis is altijd lokaal gecached op je apparaten, lezen kan altijd, wegschrijven kan dan echter niet. 

Toegang tot de kluis kan lokaal in je eigen netwerk geregeld worden, en eventueel via een VPN vanaf externe plekken.

Toegang over het internet

Wil je toch wel toegang over het internet om de kluis altijd te kunnen gebruiken? Dan kan je de volgende dingen overwegen om risico's te verkleinen:

  • Gebruik een Cloudflare tunnel, maak security regels aan zodat bijvoorbeeld alleen vanuit Nederland verbinding gemaakt kan worden. Je kan met deze regels toegang enorm verkleinen. De apps blijven zo ook werken binnen de client applicaties van Bitwarden;
  • Bij gebruik van Cloudflare, scherm het /admin stuk af achter een Cloudflare policy. Filter op IPv4-adres en of gebruik 2FA tokens om de admin interface te mogen benaderen;
  • Wanneer er geen Cloudflare tunnel gebruikt wordt kan je eventueel filteren in een firewall oplossing. Denk hierbij aan bijvoorbeeld een Unifi router/firewall en of OpenSense firewall. IPTables biedt hier mogelijk ook opties;
  • Blokkeer de optie voor nieuwe gebruikers om te registreren op jouw omgeving;
  • Stel fail2ban in. Bij teveel aanmeld pogingen wordt een locatie tijdelijk geblokkeerd.
Updates

Vergeet hiernaast niet tijdig updates te installeren. Van de applicatie, packages en het gehele systeem. Beveilig het onderliggende systeem ook goed. Beperk toegang tot de onderliggende data.

Back-ups

Ten slot, maak back-ups van je kluis. Encrypt deze back-up eventueel voor een extra laag aan veiligheid. Vaultwarden cached de data op de client, vergeet echter niet dat wanneer de server "kapot" gaat, je mogelijk niet bij de wachtwoorden kan komen die je nodig hebt om je server(s) en systemen te beheren om de kluis te repareren.

Back to top