1Password mit Bitwarden-Import
von caschy | 77 Kommentare
Der Passwortmanager 1Password erhält ein Update mit einigen Verbesserungen. Eine zentrale Neuerung ist die Möglichkeit, bestehende Passwörter und Zugangsdaten aus Bitwarden zu importieren. Diese Funktion erleichtert den Wechsel zwischen den Plattformen.
Das Einrichtungssystem wurde ebenfalls überarbeitet. Die geführte Einrichtung erscheint nur noch bei Konten, die weniger als sechs Monate aktiv sind. Sie wird automatisch beendet, sobald alle Aufgaben erledigt sind. Dies macht die Software für neue Nutzer zugänglicher.
In der experimentellen Labs-Funktion wurde die Suchfunktion erweitert. Mit dem Befehl „=location“ können Nutzer Einträge finden, die Standortinformationen enthalten.
Das Update behebt mehrere technische Probleme: Gäste-Konten werden nicht mehr zur Einrichtung eines Recovery-Codes aufgefordert. Die Watchtower-Funktion, die vor kompromittierten Websites warnt, zeigt Links wieder korrekt an. Der „Passwort auf Website ändern“-Button führt nun zur richtigen URL.
Für iOS-Nutzer wurden spezifische Probleme behoben. Das 3D-Touch-Menü auf dem Homescreen funktioniert wieder einwandfrei. Die biometrische Entsperrung wurde verbessert. Sie ist nun auch bei aktivierter „App beim Beenden sperren“-Option für jeden Autofill-Vorgang mit Passkeys erforderlich.
Zwei weitere iOS-Korrekturen betreffen die Kamerafunktion und die Autofill-Funktion für Einmalpasswörter unter iOS 18. Die App stürzt nicht mehr ab, wenn auf die Kamera zugegriffen wird, und Einmalpasswörter lassen sich wieder problemlos automatisch einfügen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich bin eher der Meinung dass jede App eine Bitwarden-Export Funktion haben sollte 😉
Kann ich nur unterstreichen. Für mich reicht die kostenlose Version absolut aus.
Full Ack! Warum sollte man auch von Bitwarden zu 1Password wechseln wollen – was können die besser?
Alles
Geht es auch konkreter?
„Alles“ kann ich jedenfalls mit zwei Punkten widerlegen:
1. 1Passwort bietet nur ein Abomodel. Bitwarden kostet erst mal nicht, für die Funktionen reichen für die meisten.
2. Self-Hosting geht mit 1Password nach meiner Kenntnis nicht.
1.) Mit dem Abomodel finanziere ich die Serverinfrastruktur und die Weiterentwicklung der Software.
2.) Bei so essentiellen Dingen wie einem Passwordmanger will ich keinen Self-Hosted-Frickelkram, bei dem ich mich um Updates und Backups eines ganzen Hard- und Softwareparks kümmern muss.
3.) 1Password hat unter Windows und Android ein UI das funktioniert. Bei meiner BW-Testinstallation gibt es immer wieder Probleme mit der Erkennung von Webseiten
4.) In 1Password kann gibt es mehr als nur die lächerlichen 4 Kategorien für die Einträge
5.) Der SSH-Wächter funktioniert
6.) Die Nutzung von 2FA ist im Abopreis enthalten
7.) Watchtower
8.) Historie-Funktion für Passworte
9.) Ich kann mir die Einträge in der Reihenfolge anzeigen lassen in der ich sie erstellt oder bearbeitet habe
10.) Ich kann mir Kennworte „In großer Schrift anzeigen“ lassen. (Bin Ü55)
11.) Ich kann Einträge offline erstellen und bearbeiten
12.) Passworter teilen-Funktion
13.) zu Ende gedachte Funktion des digitalen Nachlasses. Ich frage mich immer bei den ganzen Techies, die inzw. Ehemänner u. Väter sind, ob sie glauben ewig zu leben u. was das für ihre Hinterbliebenen mal bedeuten wird, denn i. d. R. halten sie alles Diditale in der Familie zusammen.
Wie genau meinst Du das bei 1Password und zu Ende gedachte Funktion des digitalen Nachlasses?
Genau das ist ja das, was 1Password nicht geregelt hat und sich damit unendlich schwer tut wohl?!
Bei Apple, Google, Bitwarden usw. ist das sehr gut geregelt
Deinen Punkt 13 hätte ich BW zugeordnet wegen der Notfallkontakte. Die finde ich durchdachter als das Emergency Kit von 1pw. Bei BW ist die Lösung integriert und sicher und ich kann ein Veto einlegen. Bei 1pw muss ich mir dann auch noch was eigenes überlegen zur Lagerung des Kits. Nee danke.
MMn bist du da schon zuweit der Wirklichkeit entrückt. Wenn die Lagerung des Blatt Papiers für dich problematisch erscheint, dann mach dich mal mit dem Themen Testament, Betreuungsverfügung, Vorsorgevollmacht und Patientenverfügung vertraut. DAS ist es ja, was ich mit Techiebrille meine. In der realen Welt, erst Recht nach einem Schicksalsschlag, wird nach Papier in einem Notfallordner, in einem Safe, beim Notar oder Amtsgericht gesucht und nicht auf irgendwelchen digitalen Open Source-Frickellösungen. Es sei denn, du hast deinen Partner auf einem CC-Kongress kennengelernt.
Ja, okay. Kannste denken. Alle von dir genannten Dokumente sind vorhanden und werden regelmäßig reviewed und bei Bedarf beim Notar aktualisiert, was bisher 3x in 12 Jahren passiert ist. In diesem Konzept funktioniert BW besser. Meine Meinung. Es freut mich, dass du etwas gefunden hast, was für deine Bedürfnisse ausreichend ist.
1) Richtig, gleiches gilt aber auch für andere Projekte incl. Open Source!
2) Du wiederholst wie weiter unten einfach ein falsches Narrativ. Damit versuchst Du nur die Sache zu Deinen Gunsten besser dastehen zu lassen.
3) Der Fehler wird wohl bei Dir und Deiner Installation liegen, denn hier gibt es unter Windows, Linux und Android keine solchen Probleme. Ich denke, Du hast die falsche Match-Erkennung genutzt. Damit kann man die URL personalisieren, z.B. nur Unterverzeichnisse.
4) Was Du mit Kategorien genau meinst, kann ich nicht sagen. Mir reichen die Identitäten, Kreditkarten und Passwörter aus. Wenn man sein Passwortmanager aber zweckentfremdet nutzt und dann Optionen vermisst, ist das nicht das Problem des Passwortmanagers.
5) Wer schon Problem mit der Einrichtung und Einstellungen in der App hat, sollte nicht unbedingt mit SSH arbeiten. Da ist ein Supergerau vorprogrammiert, wenn man nicht weiß, was man macht oder nur mit Halbwissen bei der Sache ist.
6) Ist bei Vaultwarden (in meinen Augen das bessere Bitwarden) inklusive.
7) Was Du mit Watchtower genau meinst, kann ich Dir nicht sagen, weil ich darunter einen Container/Anwendung verstehe, der andere Container updatet. Das funktioniert bei Bitwarden als auch bei Vaultwarden ohne Probleme.
8) Wozu braucht man eine History? Wenn ein Passwort ersetzt wurde, ist es doch uninteressant. Was interessiert mich das Passwort von letzter Woche? Je weniger angezeigt wird, desto besser, um übersichtlich zu bleiben.
9) Die Reihenfolge ist auch uninteressant, weil man einfach die Suche nutzen kann. Wer sich an die Reihenfolge klammert, hat auch die Macke, alles zu kategorisieren, Unterordner und Unterunterordner zu ordnen. Das stammt noch auch aus einer vergangenen Zeit und ist nicht mehr der typische Workflow. 2-5 Buchstaben reichen, um den richtigen Eintrag anzeigen zu lassen. Das ist auch nur notwendig, wenn man die Webseite aktuell nicht aufgerufen hat und sie somit nicht vorselektiert wird.
10) Es hindert Dich keiner Großbuchstaben zu nutzen, warum geht das nicht? Welche Schriftweise Du verwendest, ist Dir überlassen. Es ist eher Bequemlichkeit, Du willst bestimmt eine Option, dass Du eingeben kannst, was Du willst und es dann in Großbuchstaben angezeigt wird? Richtig wäre gleich die Einträge richtig anzulegen, je nach Wunsch.
11) Einträge und Speichern sind nur mit direktem Abgleich zum Server aktuell möglich. Was hindert einen ein Issue aufzumachen, wenn es eine so sehr stört? Letztendlich kommen bei mir nur sehr wenige Einträge im Jahr dazu, wenn man erst einmal seinen Stamm hat. Diese Einträge sind auch offline nutzbar. Da ich eh immer via VPN oder WLAN verbunden bin, interessiert mich dieses Thema nicht. Ich habe es mir abgewöhnt, für andere die Arbeit abzunehmen und Problem oder Lösungsvorschläge zu melden oder einzureichen. Viele wollen nichts machen, aber klagen am lautesten!
12) Passwörter teilen kann man natürlich in einer Organisation und notfalls auch über Send.
13) Man kann in Bitwarden eine Notfalladresse hinterlassen. Diese kann dazu dienen, a) das Passwort zurückzusetzen oder b) den Account komplett zu übernehmen. Letztendlich hat meine bessere Hälfte eh die Zugangsdaten, was also kein Problem darstellt, sollte mir etwas passieren. Ich denke, dass diese Option ausreichen. Selbst bei den Gamestores können meine Kids diese weiterverwenden, wer soll das physische überprüfen? Es kann ja nicht mehr verlangt werden als bei der Einrichtung angegeben. Eine Legitimierung bei Einrichtung erfolgte ja auch nicht. Alle Daten sind ja bekannt.
>> Du wiederholst wie weiter unten einfach ein falsches Narrativ.
Nein. Für Normalanwender ist Vaultwarden und alles was für den Betrieb notwendig ist Frickellei
>> Ich denke, Du hast die falsche Match-Erkennung genutzt. Damit kann man die URL personalisieren, z.B. nur Unterverzeichnisse.
So eine Fummelei ist bei 1Password nicht nötig. Da funktioniert es einfach
>> Was Du mit Kategorien genau meinst, kann ich nicht sagen. Mir reichen die Identitäten, Kreditkarten und Passwörter aus.
Also weißt Du doch was ich damit meine. 1Password hat noch weiter Kategorien, wie z. B. E-Mail Zugänge, Bankkonten, Softwarelizenzen, Dokumente, SSH-Keys, Krypto-Wallets usw.
>> Wenn man sein Passwortmanager aber zweckentfremdet nutzt und dann Optionen vermisst, ist das nicht das Problem des Passwortmanagers.
Wieder so ein arrogantes Geschwafel. Nur weil Du es anderes nutzt, ist noch lange nicht „zweckentfremdet“.
>> Wer schon Problem mit der Einrichtung und Einstellungen in der App hat, sollte nicht unbedingt mit SSH arbeiten.
Boah, wie kann man so peinlich sein.
>> Ist bei Vaultwarden (in meinen Augen das bessere Bitwarden) inklusive.
In Deinen Augen. 🙂 🙂 🙂 Gut, dass die nicht weiter relevant ist. BTW: Vaultwarden ist das Projekt eines Hobbyprogrammieres. Hoffentlich bist Du in der Lage den Rust-Code nach jedem Update auf Hintertüren zu checken.
>> Was Du mit Watchtower genau meinst, kann ich Dir nicht sagen, weil ich darunter einen Container/Anwendung verstehe, der andere Container updatet.
Ich wusste doch, dass Du keine Ahnung hast. Watchtower ist eine Funktion in 1Password die meine dort gespeicherten Kennworte u. a. bei haveibeenpwned.com auf Leaks checkt.
>>Wer sich an die Reihenfolge klammert, hat auch die Macke, alles zu kategorisieren, Unterordner und Unterunterordner zu ordnen. Das stammt noch auch aus einer vergangenen Zeit und ist nicht mehr der typische Workflow.
Du hast die Arroganz mit Löffeln gefressen, oder? Wie kommst Du dazu Deinen Workflow als „typisch“ hinzustellen?
>> Einträge und Speichern sind nur mit direktem Abgleich zum Server aktuell möglich. Was hindert einen ein Issue aufzumachen, wenn es eine so sehr stört?
Den gibt es schon lange, es passiert nur Nichts. Ebenso wie die Möglichkeit Anlagen komplett zu exportieren.
Sorry, aber du wirst langsam peinlich. Informiere dich erst einmal richtig. Dann findest du auch Watchtower, und was diese Anwendung genau macht. Sicherlich willst du dieses Projekt auch wieder durch Unwissenheit kleinreden. Man kann in Bitwarden/Vaultwarten sämtliche neue Felder und Ordner neu erstellen, wofür man diese Einträge nutzt, ist eigentlich egal. Natürlich kannst du dort auch andere Einträge nach deinem Gusto eintragen und anlegen, nur die Standardwerte sind z.B. Username, Passwort, URL sind vorkonfiguriert und werden entsprechend automatisch ausgefüllt. Das Gleiche gilt auch für die Kategorien . Nur, weil du kein Interesse hast, dich mit dem System bzw. Bitwarden auseinander zusetzen, aufgrund deiner voreingestellten Sichtweise macht das deine Aussagen nicht unbedingt besser! Zu einem zu bequem, zum anderen aber mit SSH umher spielen wollen. Das beißt sich irgendwie. Auch gibt es freie Alternativen (siehe unten), wenn du die Bitwarden-Anwendungen nicht magst, wo du dich gerne einbringen kannst. Vaultwarden stellt ja nur den Server. Auch deine Diskreditierung meiner Meinung zu Vaultwarden ist bedenklich, ersten respektierst du keine sachliche Diskussion und zweiten schau dir einfach einmal die Pulls zwischen Bitwarden und Vaultwarden an (sofern du diese findest). Ich denke, dass die Programmierer als auch das BSI besser Bescheid wissen als dein zusammen gereimtes Laienverständnis. Hauptsächlich ist doch deine Zweckentfremdung dein Problem, was du auch wegen des Exports der Dateien bemängelst. Bei mir liegen diese Dateien natürlich auf dem Server und ich brauche kein Backup. Wenn dein Anliegen nicht bearbeitet wurde, liegt es wohl eher daran, dass kein allgemeines Interesse daran besteht. Was mein Worklfow angeht, muss ich mich nicht verbiegen. Ich nutze die Anwendungen einfach so, wie sie sind. Das hat in der Familie, Bekanntenkreis und auch bei anderen Usern immer funktioniert und war einfach und verständlich. Letztendlich kann jedes kleine Kind damit umgehen. Wenn du also ein Problem hast, liegt es wohl an dir. Andere User haben hier ja auch keine Probleme.
Als eingefahrener Fanboy wie du es bist, ist aber keine objektive Diskussion möglich, ob über Bitwarden oder Open Source. Das Ganze ist unnötig und sinnfrei.
>> Sorry, aber du wirst langsam peinlich.
Der einzige der hier peinlich ist, bist Du mit Deiner vermeintlichen Allwissenheit und deinen haltlosen und beleidigen Unterstellungen.
>> Man kann in Bitwarden/Vaultwarten sämtliche neue Felder und Ordner neu erstellen
Man kann auch Schweinen der Radfahren beibringen, man muss es aber nicht.
>> Zu einem zu bequem, zum anderen aber mit SSH umher spielen wollen.
Ist SSH ein besondere Fetisch von Dir, oder warum reitest Du dort immer wieder drauf rum?
>> Hauptsächlich ist doch deine Zweckentfremdung dein Problem
Für 1Password-Benutzer ist es keine Zweckentfremdung, sondern ein Feature der Software. Nur weil Du den Sinn nicht verstehst, brauchst Du es nicht abzutun.
>> Dann findest du auch Watchtower, und was diese Anwendung genau macht.
Die Unwissenheit liegt wohl bei Dir. Ich meine das hier:
https://watchtower.1password.com/
Bei nächsten Mal also erst informieren und dann auf „Kommentar abschicken“ klicken.
Du lernst es einfach nicht.
Du wirfst Begriffe in den Raum, ohne sie zu erläutern. So sieht es auch bei Watchtower aus. Da du nur Watchtower angegeben hast, habe ich geschrieben, was ich darunter verstehe. Wenn du jetzt eine Suchmaschine deiner Wahl mit „Watchtower“ fütterst, bekommst du welche Seiten angezeigt? Genau: https://github.com/containrrr/watchtower oder https://containrrr.dev/watchtower/. Das kann ja jeder selbst einmal testen. Jetzt kommst du bestimmt wieder mit einer Verschwörungstheorie, dass Watchtower, welche es seit langer Zeit gibt, den Namen von 1Passwort geklaut hat oder Ähnliches. Nur weil du unwissend bist, sind das andere nicht unbedingt! Es kann ja jeder hier nachlesen, was du und ich unter Punkt 7 hier geschrieben hast. Scheinbar liegt es doch schon am gesetzten Alter.
UX. Die Bedienbarkeit von Bitwarden ist im Vergleich zu 1P schlichtweg katastrophal.
Diese Aussage ist genauso pauschal. Was genau denn bitte, ist in Bitwarden katastrophal im Vergleich zu 1Password? Preislich liegen die beiden um den Faktor 3 auseinander. Das ist für viele User ein K.-o.-Kriterium.
Zum Passwort kopieren Klick auf einen Button, der keine optische Reaktion zeigt, anstelle die gesamte Zeile des Feldes anklicken zu können.
Umbenennungen werden nicht in der Liste abgebildet. Die aktualisiert sich „irgendwann“ auf den neuen Namen.
Generierung von URL für einen Eintrag nur im Web-Interface möglich.
Eintrag zu Favoriten über eine Checkbox am Eintrag.
Eingeschränktes Drag and Drop.
Wenige Item-Typen
Keine Passwörter, die für die aktuelle App geöffnet werden (z.B. VM Ware Horizon)
Kein Duplizieren von Einträgen
Unterschiedliche UI zwischen Web Interface und App.
Soll ich weiter machen? Das Ding ein Desaster.
Worauf bezieht sich die Aufzählung? Vaultwarden oder Bitwarden. Letzteres kostenlos, Premium, selfhosted? Ich kann einige Sachen nicht bestätigen, unterschiedliche Manager sind nun einmal anders, was ok ist. Es kann ja nicht jeder Messenger eine 1:1 Kopie sein. Meinst du nicht, du vergleichst ein bisschen Äpfel mit Birnen?
Wie soll ein Webif denn aussehen wie die App, das ist doch technisch schon eine ganz andere Nummer. Bei Bitwarden kannst du beim einfachen Klick den Eintrag öffnen und über die Buttons die unterschiedlichen Einträge kopieren. Wenn das Passwort kopiert wird, erscheint auch eine Meldung (Popup) in der App. Auch das Umbenennen, Synchronisieren als auch Push zur Aktualisierung sind kein Problem.
Bitwarden ist sehr einfach und verständlich und kann selbst gehostet werden. Ich nutze seit Jahren den Bitwardennachbau „Vaultwarden“ in Rust. Das Webif nutze ich eigentlich nie und bin immer über die App oder Browsererweiterung mit dem Server verbunden. Selbst wenn dir die App von Bitwarden nicht gefällt, gibt es eine weitere Open-Souce-Lösung > keyguard-app; https://github.com/AChep/keyguard-app. Ich verstehe dein Problem nicht wirklich.
Vaultwarden ist doch der inoffizelle Bitwarden-Nachbau eines Hobbyprogrammieres. Wie oft gibt es da eigentlich Codereviews oder checkst Du den Code selbst nach jedem Update? Vermutlich verlässt Du Dich aber darauf, dass es „irgendjemand“ schon getan hat, wie bei fast allen OSS-Projekten.
Deine Unwissenheit ist schon interessant. Du versuchst hier krampfhaft das Haar in der Suppe zu finden, nur dass du dich mit deinen komischen und falschen Aussagen bestätigt fühlst. Selbst das BSI hat vor einiger Zeit den Code zusammen mit Keypass angeschaut. Ich kann mich nicht erinnern, dass 1Passwort vom BSI bereits durchleuchtet wurde und in der Suche finde ich dazu auch nichts. Im Gegensatz zum „originalen“ Bitwarden, welches durch ein 1-Mann-Projekt in .NET schlecht programmiert wurde, ist Vaultwarden in Rust eine schlanker und sichere Alternative. Nach der Neuausrichtung und finanziellen Spritze von Bitwarden habe ich eher gedacht, sie kaufen sich bei Andy Garcia ein.
Was an einem Open-Source-Projekt jetzt verwerflich sein soll, kannst du noch nicht einmal erklären! Die Community ist sehr groß und wächst ständig. Andere Entwickler wie z.B. BlackDex liefern fast tägliche Änderungen und regelmäßige Updates. An deiner Stelle würde ich mich erst einmal richtig informieren, bevor du wieder einmal falsche Behauptungen aufstellst.
Für einen, der Docker als Frickelsoftware und für Nerds hält und dieses selbst nicht zum Laufen bekommen hat (siehe unten) schwingst du aber große Worte über die Sicherheit, Eigenschaften und Errungenschaften vom OSS.
Auch in der OSS-Szene ist nicht alles Gold was glänzt. Bei der Analyse des Codes durch BSI und CAOS im Juni gab es ein paar Schwachstellen die als „Hoch“ eingestuft wurden:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/P486-Codeanalyse/Vaultwarden-Passwortmanager.pdf?__blob=publicationFile&v=5
Und wie oft wurde 1Passwort überprüft? Wie schnell wurden die Fixes erarbeitet und übernommen? Es ist ja nicht, dass es ein Geheimnis ist oder war: https://stadt-bremerhaven.de/bsi-findet-schwachstellen-in-vaultwarden/. Aktuelle Änderungen und Fixes kann man jederzeit hier einsehen: https://github.com/dani-garcia/vaultwarden/releases. Deine genannten Bugfixes wurden mit 1.32.0 gefixt. Dass KeePass auch davon betroffen war, weißt du wieder nicht oder unterschlägst das geschickt? Wie sieht es denn mit einem kompletten Changelog in 1Passwort aus? Also nicht nur die Neuerungen oder optische Änderungen!
Systeme werden erst dann sicher, wenn sie getestet und durchleuchtet werden. Dafür ist es aber auch notwendig den Code einzusehen. Es reicht ein Fehler im Unterbau. Davon ist nicht nur Open Source betroffen. Oder wie erklärst du dir Fehler in den unterschiedlichen Betriebssystemen? Die Betriebssysteme sind oft Closed Source z.B. Windows. Deiner Meinung nach dürfte ja nichts passieren. Gerade wenn der Code veröffentlicht wird, haben User die Möglichkeit, Fehler zu finden und zu fixen. Bei Closed Source kannst du dich nur darauf verlassen und hoffen, dass nichts passiert. Weiterhin besteht die Möglichkeit des unberechtigten Datenabflusses.
Deine Sichtweise ist sehr eingeschränkt oder ist das schon Altersstarrsinn (siehe Punkt 10 Aufzählung oben). Ich glaube nicht, dass du mit deinen Unterstellungen bei Technikinteressierten punkten wirst, indem du versuchst, ein ganzes System durch Halbwissen in Verruf zu bringen. Du solltest dann auch dein Android (siehe Punkt 3) nicht mehr nutzen, da die Sourcen von Google stammen und via AOSP (Android Open-Source-Projekt) an die anderen Hersteller (z.B. Samsung) verteilt wurden, die daraus ihren eigenen Android-Clone machen.
>> Und wie oft wurde 1Passwort überprüft?
Das kannst Du hier nachlesen https://support.1password.com/security-assessments/
>> Deine genannten Bugfixes wurden mit 1.32.0 gefixt.
Wie sieht es mit den Fehler aus, die seit dem eingepflegt wurden?
>> Gerade wenn der Code veröffentlicht wird, haben User die Möglichkeit, Fehler zu finden
Nicht nur die User, sondern auch diejenigen, die Böses im Schilde führen.
>> Deine Sichtweise ist sehr eingeschränkt oder ist das schon Altersstarrsinn
Du bist nicht nur unglaublich arrogant und unbegründet überheblich, sondern wirst jetzt auch noch beleidigend.
Du merkst es doch selbst nicht mehr, wie lächerlich du dich hier machst! Wo wurde denn 1Passwort vom BSI oder CCC durchleuchtet? Du vergleichst doch wieder Äpfel mit Birnen. Die in deinem Link aufgezeigten Tests möchte ich jetzt ungern mit den beiden genannten Institutionen vergleichen. Dazu muss man noch differenzieren, was der Audit überhaupt aussagt. Wie kann es sein, dass etliche Sicherheitsfehler in den Audits gefunden wurden (kurze Sichtung)? Ich denke, das ist nur bei Open Source der Fall und Closed Source ist deshalb sicherer, was du weiter unten schreibst.
Was die Bugfixes angeht, hast du ja noch nicht einmal einen Plan, wie ein Einchecken von Code oder Files funktioniert. Jeder Code wird auf seine Plausibilität und auf Sicherheit geprüft. Eventuell solltest du auch erst einmal etwas einbringen, damit du mitreden kannst. Soviel Stuss kann man ja wohl kaum noch durchgehen lassen. Dass du jetzt noch anderen unterstellst, einen Schadcode absichtlich incl. Reviewer untergejubelt zu haben, ist dann schon fast nicht mehr zu überbieten. Scheinbar hast du nicht viel Ahnung, wie Open Source funktioniert, und stammelst jetzt hier deine Halbweisheiten zusammen.
Als Ursache für deine Unwissenheit (was du mehrfach bewiesen hast) kommt ja nicht viel infrage. Entscheide selbst, was dir lieber ist. Andere User können deine Weisheiten ja in Ruhe nachlesen, recherchieren, einordnen und sich eine Meinung darüber bilden.
aaaah ja .. Bitwarden kann bis heute keine Passwörter offline speichern .. in geschirmten Umgebungen ein no go … und es ist fürchterbar „sicher“, so sicher, dass es gerne Anhänge unwiederbringlich zerstört .. wer’s braucht
Dann hostet man das doch eh selbst?
Wo ist da denn der Zusammenhang? Kein Netz -> kein Passwortspeichern möglich. Egal ob zuhause gehostet oder auf bitwarden.com/.eu
Nicht jeder ist dazu in der Lage oder will sich mit der dazugehörigen Wartung und Pflege belasten.
Und die neue Community ist online gegangen. Nur als Info, da wir hier ja bei Neuerungen sind. 😉
Was mich bei den ganzen Import/Export-Funktionen bei diversen PW-Manager gewaltig nervt: Dateianhänge in den Einträgen werden nicht mitgenommen.
Da hält mich davon am, meinen PW-Manager zu wechseln, weil ich keine Lust hab die hunderten PW-Einträge zu durchsuchen, wo überall noch Dateianhänge drin sind – das nutze ich nämlich sehr oft und gerne.
Was für Dateianhänge fügst du denn bei?
Würde mich so als Inspiration mal interessieren.
Ich hänge hier bspw. die Elster-Zertifikatsdatei an, die man für den Login benötigt. Sonst fällt mir dafür aber bisher kein Anwendungsfall ein.
Neben Zertifikaten fallen mir noch SSH- oder andere Schlüssel ein.
kaufbelege, z.b. fuer meine fahrraeder, versicherungsscheine, ggf dokument kopien fuer spzielle id sachen, schluesseldateien
Für Kaufbelege, Dokumente etc. wäre ein DMS wie z.B. Paperless-ngx die bessere Alternative. Man kann zwar alles in ein Passwort machen, aber dadurch wird es unübersichtlich. Weiterhin kann ich im DMS die Dateien durchsuchen, in einer Hierarchie speichern und vieles mehr.
https://stadt-bremerhaven.de/paperless-ngx-2-14-1-dokumentenmanagement-wird-sicherer-und-effizienter/
Noch ein System, das Geld kostet und gewartet werden muss.
Das ist natürlich ein Argument, aber dennoch ist ein Passwortmanager kein gutes Dokumentenmanagementsystem.
Kann man machen, dafür muss man sich wie von Tom beschrieben eben auch mit den Unzulänglichkeiten eines Passwortmanagers beim Verwalten von Dokumenten rumschlagen…
Ich nutze 1PW auch nicht als Dokumentenmanagementsystem, aber Fotos vom Ausweis, Führerschein, KK-Karte, Fahrkarte usw. lege ich dort schon ab. Hat mir sogar schon mal 60 € erspart, als ich feststellte, das ich meine Fahrkarte vergessen hatte und sich der Prüfer mit dem Foto in 1PW zufrieden war.
Was Geld kostet? Bei mir kostet weder der Passwortmanager (Vaultwarden) noch Paperless-ngx etwas, es sei denn, du spendest etwas für das Projekt.
Mit der Einrichtung ist eigentlich alles getan. Updates bekomme ich über Docker (Watchtower) automatisch. Eine direkte Wartung habe ich nicht und nutze die Projekte schon seit Jahren. Dabei bleiben alle Daten bei dir und sind nicht in irgendeiner Cloud und im anderen Land gespeichert. Auch braucht man keine Angst vor einer langfristigen Abo-Falle haben. Zugriff ist jederzeit über VPN oder Freigabe extern möglich. Als Server können Rapsi, TinyPC, NAS oder VPS genutzt werden. Die Anschaffungskosten als auch der Stromverbrauch halten sich in Grenzen. Auch ältere oder bereits vorhandene Geräte können dafür genutzt werden. Eventuell sollte man sich erst einmal informieren, bevor man falsche Aussagen trifft.
>> Was Geld kostet?
Geld kostet auf jeden Fall die zusätzliche Hardware, der Strom und die Arbeitszeit es aufzusetzen und zu warten.
>> Als Server können Rapsi, TinyPC, NAS oder VPS genutzt werden.
Aber auch die müssen gewartet, d. h. mit Updates versorgt, werden und brauchen regelmäßige Backups. Wie und wie oft sicherst Du die BW-Datenbank? Was passiert, wenn ein defektes Update irgendeines Pakets, das für Docker und/oder das hinter Docker liegende OS und/oder BW nötig ist, fehlschlägt. Bist Du in der Lage ein Rollback durchzuführen?
>> Dabei bleiben alle Daten bei dir und sind nicht in irgendeiner Cloud
Ich bin froh, dass die Daten nicht bei mir liegen, sondern verschlüsselt auf den Servern 1Password Da brauche ich mich nicht mit der Wartung von Hard- und Software herumzuärgern.
>> Zugriff ist jederzeit über VPN oder Freigabe extern möglich.
Also noch mehr Software, die potentielle Sicherheitslücken hat und gewartet werden muss oder ein halt zusätzliches Loch in der Firewall. Muss man beides wollen.
>> Auch braucht man keine Angst vor einer langfristigen Abo-Falle haben.
Abo-Falle? Ich zahle rund 70 € im Jahr für 5 Personen. Wo ist das eine Falle? Das wird genau so auf der Webseite angezeigt.
>> Eventuell sollte man sich erst einmal informieren, bevor man falsche Aussagen trifft.
Ich bin im Gegensatz zu Dir bestens informiert und habe die ganze Frickelaktion bereits hinter mir.
So!
Wer in einem Technik-Blog mitdiskutieren will, sollte schon ein bisschen Wissen haben, worüber es geht. Es geht ja hier nicht um Kochrezepte. Wer kein Interesse hat, sich mit der Technik (Hard- & Software) auseinander zu setzen, muss auch nicht mitdiskutieren.
Je nach System hast du mehr oder weniger Arbeit. Letztendlich bekommt das jeder Anfänger mit wenigen Klicks auch über eine GUI hin, z.B. CasaOS, Synology, Qnap, Portainer etc. Gerade CasaOS liefert bereits vorkonfigurierte Software mit einer 1-Klick-Installation. In der Standardinstallation vom Passwortmanager (worum es ja im Beitrag geht) wird eine verschlüsselte Sqlite-Datenbank verwendet, welche „on the fly“ (automatisch) gesichert werden kann auf unterschiedlichen Zielen. Das Backup muss einfach nur zurückkopiert werden und gut ist es. Dabei muss der Container noch nicht einmal angehalten oder neu gestartet werden. Der Vorteil von Docker ist, dass du das System praktisch nicht schrotten kannst. Wenn ein Update fehlerhaft ist, änderst du einfach den Tag auf die alte Version und startest die Anwendung. Dann ist alles wieder wie vorher. Inkompatibilität gibt es so weit nicht. Das gilt natürlich auch für Datenbanken (MariaDB, MySQL, Postgres, MongoDB usw.), wenn man doch einen falschen Tag hat. Nach dem Ändern läuft alles wieder wie gewohnt.
Ob eine Cloud sicher ist, mag einmal dahin gestellt sein. Eher hat das immer mit Vertrauen zu tun. Es besteht immer die Möglichkeit, dass Admins Zugriff auf Daten haben oder dass Daten durch einen Hack abgegriffen werden. Dabei wird es für böse Buben interessant, je größer das Unternehmen oder wie beliebt die Anwendung ist. Es muss auch nicht unbedingt dein Tresor sein, sondern es reichen teilweise Metadaten aus, um fishing zu betreiben. Bequemlichkeit muss man sich leisten können und muss notfalls auch mit den Konsequenzen leben, wenn man alles anderen in der Hand gibt.
Das VPN, welche sogar Industriestandards haben, als unsicher gelten, ist mir neu. Mir ist keine große Sicherheitslücke(n) in den letzten Jahren bekannt, welche ausgenutzt wurden. Das ist einfach wieder eine sinnfreie Behauptung. Viele Router (Telekom, AVM, OpenVPN, Unify etc.) bieten direkt eine VPN-Verbindung mit unterschiedlichen Protokollen an. Eine Einrichtung ist besonders bei WireGuard sehr einfach, aber IPSec ist auch nicht wirklich ein Problem. Die meisten Angriffe finden übrigens aus dem Netzwerk mit einem kontaminierten Gerät statt, anstatt über einen freien Port in der Firewall. Ich würde mir eher Gedanken über Smarthome- und China-Geräte ohne Firmwareupdates machen. Wer diese Geräte dann noch mit Admin/Admin absichert und das noch im Internet freigibt, ist eh nicht mehr zu helfen. Normal ist das aber nicht!
Was die Abofalle angeht, haben viele Firmen gezeigt, wie es (nicht) geht. Der Preis steht nur für den jetzigen Stand. Erhöhungen oder ein anderes Bezahlmodell sind aber nicht ausgeschlossen, das wird nur die Zeit zeigen. Es zwingt dich keiner, auf deine Daten selbst zu achten. Eine Verdrehung der Fakten macht die Sache auch nicht besser. Ich halte deine Aussagen für falsch. Ich glaube nicht, dass du besser informiert bist. Mit „frickeln“ hat Docker (was du scheinbar noch nicht einmal kennst) erst recht nicht zu tun. Dieses kommt aus dem Businessbereich und hält immer mehr bei den Endusern Einzug. Ich habe seit Jahren positive Erfahrungen und bereits etliche User das beigebracht und supportet. Deine Aussagen lassen eher darauf schließen, dass du doch nicht so viel Ahnung hast, wie du hier vorgibst. Von mir aus kannst du doch alles in den USA synchronisieren und dafür bezahlen.
Alter Schwede, wenn das nicht das Plädoyer eines Techfreaks war, der glaubt, alle sind wie er…
>> Deine Aussagen lassen eher darauf schließen, dass du doch nicht so viel Ahnung hast,
Das gebe ich mal 1:1 zurück. Docker ist Frickelkram für Nerds. Ich hatte während der Lockdowns genug Zeit es auszuproieren. Für Normalanwender, die 1Password, bitwarden.com/.eu, Enpass usw. nutzen, ist es nicht brauchbar. Verdaddel Du weiter Deine Zeit mit dem Aufsetzen und Pflegen Deiner Serverfarm und der Angst vor den bösen Admins in den bösen USA, die meine Passworte mitlesen, ich verbringe sie lieber mit etwas sinnvollen.
@Ike Broflovski
>> Wer in einem Technik-Blog mitdiskutieren will,
>> sollte schon ein bisschen Wissen haben,
Mehr Arroganz war gerade nicht verfügbar, oder? Du kannst Deine meterlangen Einlassungen auch ohne solche absolut unnötigen Inits machen … falls Du Dich verirrst hast: Das ist hier weder das Golem-, noch das Heise–Forum … es braucht dein womöglich dort trainiertes Verhalten hier nicht und auch keine anmaßenden Meinungsverbote – auch Du bist nicht mit dem goldenen Weißheitslöffel im Mund geboren worden.
@Pujo, dann sind doch nicht alle so schlau wie sie hier immer tun.
@Johann, deine Aussagen sind mehrfach falsch. Nur weil du es nicht hinbekommen hast, ist es nicht unbedingt „Frickelkram für Nerds“. Docker ist eigentlich sehr easy, scheinbar liegt das Problem aber vor dem PC, wie eigentlich immer. Ich brauche keine Zeit großartig zu investieren, das sind pro Jahr vielleicht 1-2 Stunden für die Updates und Wartung und einmal nach dem Rechten zu sehen. Die Container machen die Updates automatisch. Ansonsten hätte ich ja keine Zeit, anderen Usern zu helfen. Auch die letzte Aussage, dass es dir egal ist, wenn ein Admin in den USA deine „Passwörter, Ausweis, Führerschein, KK-Karte, Fahrkarte usw.“ sehen und lesen kann, mag ich nicht glauben. Eventuell wird sich das ja einmal rächen. Ich glaube kaum, dass diese Meinung hier geteilt wird. Oder wer will seine Daten und Tresore gerne auslesen lassen? Völlig sinnfrei, deine inhaltslosen Behauptungen. Trotzdem werde ich dich nicht zu deinem Glück zwingen. Bei einigen ist es eh sinnlos.
@Slow mo, du hast doch wie Johann genauso wenig verstanden, aber Hauptsache etwas zum Thema absondern. Du unterstellst anderen Meinungsverbote und räumst selbst anderen keine andere Meinung ein. Das Gleiche gilt auch für Johann, der einfach seine Meinung durchdrücken will und komische Behauptungen und Falschaussagen aufstellt. Die eigentliche Antwort war an @ab gerichtet.
Ich kann ja keine Falschaussagen hier einfach so stehen lassen. Nur, weil es andere nicht besser wissen und dann noch etwas Falsches behaupten. Man kann die Kommunikation oben einfach nachlesen. Ich habe es ordentlich erklärt und begründet. Interessant ist, dass ihr euch angegriffen fühlt. Das beweist mir eher, dass ich einen wunden Punkt getroffen habe.
SSH löse ich, indem ich den Text des keys kopiere.
Software-Licensen, wenn als PDF, Certificate, QR-Codes als Bilddatei, Recovery-Codes für Zugänge, wenn als PDF usw-
z.b. Scans als pdf von all meinen wichtigen Dokumenten als Backup. Reisepass, Führerschein, Zulassungen, Geburtsurkunde, Scheidungsurkunde 😉 ….
Ich hänge ganz oft Recovery Codes mit dran, wenn man die bei der Einrichtung des zweiten Faktors als PDF oder TXT bekommt. Oder Softwarekäufen hab ich oft die Bestellbestätigung samt Lizenzcode mit dran hängen
Wie soll das denn funktionieren? Die Anhänge sind ja nicht Einträge in der Datenbank im Gegensatz zu den anderen Werten. Oft unterscheiden sich noch die Speicherorte. Wie soll jetzt die Verknüpfung und Speicherort jetzt in der Datenbank umgewandelt werden?
Besser ist es, entsprechende Einträge zu generieren (sofern möglich), anstatt Anhänger zu nutzen. In Vaultwarden/Bitwarden gibt es diese Möglichkeit. Anhänge nutze ich weniger, z.B. QR-Code.
Du hast recht, das geht mir auch gegen den Strich.
Vor einigen Jahren hatte ich meine Dokumente aus 1Password mit deren CLI Tool „op“ exportiert. Das war zwar etwas fummelig, aber deren Support meinte damals, dass die das verbessern wollen. Vielleicht ist das mittlerweile einfacher, weiss ich nicht.
Trotzdem wäre ein Anhang/Dokumenten-Export per GUI natürlich viel besser.
überhaupt eine Möglichkeit, nen Export der Anhänge würde schon reichen, z.b. das die alle als Datei auf die Disk gelegt werden mit z.b. den Name des Secrets wie amazon_01.pdf/.jpg/.txt
Da sollte auch kein Problem sein, diese Dateien mit den Datenbankeinträgen zu verknüpfen, muss ja eh gemacht werden.
Ich kann mich erinnern, dass ich über „op“ die Metadaten jedes Dokuments ausgelesen hatte und dann über die Liste iteriert bin mit sowas wie „op get document $uuid > $filename“. Die hatten zwar keine Verknüpfung mehr zum Eintrag in 1Password, aber immerhin waren die Dateien dann Lokal auf der Platte.
Für mich fehlt noch immer das Killerargutment um von Enpass (Lifetime) auf Bitwarden/Vaultwarden Selfhosted zu wechseln…
Das absolute Killerargument, Enpass zu verlassen wäre, wenn Du damit nicht mehr zufrieden bist. 😉
Dann gibt es kein Argument für mich. Hatte eben mal Vaultwarden installiert und konfiguriert. Wenn man Enpass gewohnt ist, ist es unschlagbar 🙂
Gibt keins, wenn man ignorieren kann, dass Lifetime bei Enpass nicht immer Lifetime ist.
Was spricht dagegen oder bist Du der irrigen Meinung, dass OSS immer besser ist, weil es OSS ist?
Das ist aber keine Begründung für Dein Aua.
In einem OSS Umfeld ist es schwieriger, nicht unmöglich, bewusste Schwachstellen unterzubringen.
Wenn 1P den Algorithmus für die Verschlüsselung anpasst (weil sie es müssen) und damit deine lokale Verschlüsselung kompromittiert, schaust Du dumm aus der Wäsche.
>> In einem OSS Umfeld ist es schwieriger, nicht unmöglich, bewusste Schwachstellen unterzubringen.
Oder jahrelang (hoffentlich unendeckt) mitzuschleppen. Beispiele gab es in letzter Zeit ja genug
Du musst es ja wissen.
Dann zeige diese ganzen Beispiele der letzten Zeit einmal auf.
Ich bin schon gespannt auf die Antwort.
Auch deine Unterstellung, dass eine Schwachstelle bewusst eingebaut wurde, ist auch einfach nur haltlos. Fehler passieren immer, aber nicht jeder hatte einen böswilligen Ursprung. Mir fällt in den letzten Jahre nur ein Beispiel dazu ein. Was in Closed Source passiert ist außerhalb der Prüfung und da gilt nur vertrauen und hoffen. Hat ja bei vielen Firmen in den letzten Jahren gut funktioniert oder wie erklärst du die den immer wiederkehrenden Datenabfluss aus unterschiedlichen Bereichen?
>> Mir fällt in den letzten Jahre nur ein Beispiel dazu ein.
zlib?
xz Tools?
>> Auch deine Unterstellung, dass eine Schwachstelle bewusst eingebaut wurde, ist auch einfach nur haltlos.
Es wäre ja nicht das erste Mal, dass ein Tool von einem Dritten aufgekauft und dann mit Hintertüren oder anderem Schadcode „aktualisiert“ wurde.
Schon mal etwas von Angriffen auf die Supply Chain gehört? Es muss ja nicht der Autor selbst sein, es reicht ja, wenn er ein böswilliges Tool nutzt.
>> Hat ja bei vielen Firmen in den letzten Jahren gut funktioniert oder wie erklärst du die den immer wiederkehrenden Datenabfluss aus unterschiedlichen Bereichen?
Wenn in OSS-Code Schwachstellen gefunden werden, werden sie nicht ausgenutzt?
Genau das ist auch das eine Beispiel, das ich oben bereits meinte. Du sprichst aber von „Beispiele gab es in letzter Zeit ja genug“. Auch das Beispiel von xz Toos hat fast das Unterbausystem infiltriert und keine Anwendung, somit wären viele Systeme davon betroffen gewesen, was aber verhindert wurde. Das ist passiert, weil die Firmen dieses seit Jahren genutzt, aber vernachlässigt und nicht gepflegt haben. Auch da hat ein Umdenken eingesetzt. Ohne Open Source wäre es bestimmt nicht rechtzeitig aufgefallen. Da wäre dein 1Passwort aber auch unter Umständen betroffen gewesen. Es ist aber ein Fall in den letzten Jahren, der etwas brenzliger gewesen ist. Die anderen Beispiele bist du immer noch schuldig. Immerhin gab es nach deiner Aussage ja genug Beispiele, somit dürfte es ja kein Problem sein, eine Handvoll aufzuzählen.
Was die Ausnutzung und Risiken von Sicherheitslücken angeht, habe ich schon geschrieben, was oft die Ursachen sind. Jetzt brauchst du nicht mit Supply Chain oder Ähnliches anzukommen. Was kommt als nächstes Darknet? Unten behauptest du, dass der Schutz durch Closed Source gesichert wird und dass man VPN nicht nutzen soll. Du versuchst verzweifelt, hier eine Korrelation herzustellen.
Dass es im OSS keine Schwachstellen gibt und diese auch nicht ausgenutzt werden können, habe ich nie geschrieben. Dass sich jeder den Code anzeigen lassen kann, ist ein klarer Vorteil und hilft unter Umständen, mögliche Fehler und Risiken früher zu entdecken und abzustellen. Mehr User/Entwickler sehen nun einmal mehr! Um mehr geht es dabei nicht. Bei Closed Source findet eine großflächige Kontrolle so weit nicht statt. Auch muss man immer unterscheiden, was im Audit genau getestet wird. Oft ist nicht das ganze System von dieser Prüfung betroffen. Deine Behauptung, dass Open Source eine Sicherheitslücke ist und Schadsoftware darüber verteilt wird, teile ich nicht. Interessant ist auch, dass der letzte Sicherheitsaudit von 1Passwort aus China kommt!
Kann man von 1Password zu Bitwarden exportieren?
Ich habe noch das alte 1Password als Einmalkauf.
Ja. Kann man, zumindest zu Vaultwarden.
Aber Passkeys, 2FA/TOPT und Anhänge sind futsch, da sie nicht exportiert werden. Der Import des verbliebenen Restes funktioniert.
Passkeys, 2FA/TOPT und Anhänge sind futsch
Mit einem Wort: unbrauchbar
Weil der Export von 1Passwort nicht funktioniert?
Bitwarden kann ja nur das importieren, was auch zum Importieren bereitgestellt wird.
Wobei ich den nicht Import OTP und Passkeys nicht unbedingt als Fehler ansehen würde, eher als Sicherheitsfeature. Schon einmal darüber nachgedacht, das es eventuell so gewollt ist? Es ist zwar ärgerlich, dient aber der Sicherheit. Grundsätzlich ist es eh nicht ratsam, die 2FA im gleichen Gerät oder Manager zu speichern. Das dient eher der Bequemlichkeit und senkt die Sicherheit.
Überhaupt einen Cloud Passwort-Manager zu benutzen. Aua.
Auch hier: warum?
Finde den Glaubenskrieg in den Kommentaren sehr erheiternd. Ich benutze BW, weil es ein kostenloses Modell gibt. Sehe doch nicht ein, für alles Mögliche ein Abo abzuschließen.
Ike Broflovski hat hier vieles positiv auf den Punkt gebracht, was das Selfhosting angeht. Muss ich nochmal alles wiederholen.
Wenn man sich ernsthaft mal damit auseinandersetzt, sind weder das Einrichten noch der Betrieb ein Problem. Und ein Backup? Ja, ein Backup sollte man haben. Mein System macht das täglich automatisiert (mit Anhängen) und wenn’s mal ganz wichtig ist, manuell per Befehl.
Und offline funktioniert mittlerweile auch bei Bitwarden/Vaultwarden. Dass kein Tresor/Passwort ausgewählt werden konnte, lag daran, dass die App zu lange nach dem Server/Vault gesucht hatte, bis es bereit war, auf die lokale Kopie zuzugreifen. Das wurde geändert.
Mein System ist nach außen geschlossen und für den Notfall gibt es WireGurard-Verbindungen und die gute alte Fritzbox.
Sorry, muss ich NICHT nochmal alles wiederholen. 😉