Bitwarden: Beta der Apple-Watch-App mit TOTP
von caschy | 16 Kommentare
Den Passwortmanager Bitwarden begleiten wir hier seit einigen Jahren. Ein starkes Stück Software ohne großartige Einschränkungen in der kostenlosen Variante, mit Mehrwerten für einen kleinen Jahres-Obolus und auch selbst auf eigenem Server installierbar. Einer der Mehrwerte der Premium-Variante (schlappe 10 Dollar im Jahr) ist die Möglichkeit, die integrierte Option zu nutzen, Einmalpasswörter (TOTP) zu nutzen.
TOTP steht für „Time-Based One-Time Password“. Es handelt sich um ein Verfahren zur Generierung von Einmalpasswörtern, die für den Zugang zu geschützten Systemen oder Diensten verwendet werden. TOTP-Passwörter sind an eine bestimmte Zeit gebunden und können nur innerhalb eines festgelegten Zeitfensters verwendet werden. Dieses Zeitfenster ist in der Regel sehr kurz, zum Beispiel 30 oder 60 Sekunden.
TOTP-Passwörter werden üblicherweise von einer App auf einem mobilen Gerät generiert, das dem Benutzer gehört. Um ein TOTP-Passwort zu generieren, muss der Benutzer die App öffnen und das Passwort abrufen. Das Passwort wird dann zusammen mit dem Benutzernamen und einem normalen Passwort verwendet, um sich in das geschützte System oder den geschützten Dienst einzuloggen.
TOTP-Passwörter bieten eine zusätzliche Sicherheitsstufe, da sie nur für eine begrenzte Zeit gültig sind und nicht von einer dritten Person wieder verwendet werden können, selbst wenn diese in den Besitz des Passworts gelangt. Sie werden häufig in Verbindung mit zweistufigen Authentifizierungsverfahren verwendet, um die Sicherheit zu erhöhen.
Es gibt Menschen, die halten dies getrennt, aber mittlerweile bieten fast alle Passwortmanager das Ganze auch unter ihrer Haube an. Bitwarden ist nun in die Beta für iOS gegangen und sorgt für eine Apple-Watch-App mit Unterstützung von TOTP für Premiumkunden. Die bekommen dann die Einmalpasswörter auf ihrer Apple Watch kredenzt. Die Zero-Knowledge-Verschlüsselung von Bitwarden arbeitet mit Apples WatchConnectivity und Secure Enclave zusammen, um Zero-Knowledge und eine sichere Kommunikation zwischen iPhone und Apple Watch zu gewährleisten. In den Einstellungen der Bitwarden-App könnt ihr eure Apple Watch verbinden, der Vorgang wird auf dieser Seite beschrieben.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich werde ja nicht müde, eine Lanze für SafeInCloud zu brechen. Einmalig bezahlen und permanente Weiterentwicklung. TOTP kann es auch und ebenfalls auf der Apple Watch. Bin voll zufrieden.
Danke für deinen Beitrag, bin immer offen für Neuerungen. Bitwarden hoste ich selber auf meiner Synology, SafeinCloud kann das scheinbar auch. Was sind denn weitere Unterschiede? Frage für einen Freund.
Bitwarden ist Open Source, SafeInCloud kommerziell. Hosten kann man die genutzte Datenbank u.a. auf jedem WebDAV fähigen Speicher. Ich nutze hierfür meinen Webhoster in Deutschland. Ginge aber auch auf meiner Synology. Einziger und für einige entscheidender Nachteil: Kein Open Source. Somit könnte der Anbieter Zugriff auf die Daten erhalten.
Vorteil ist, dass es kontinuierlich weiterentwickelt wird und für alle relevanten Browser und Betriebssysteme angeboten wird. Als Apple Nutzer kann ich unter macOS, iOS, iPadOS und watchOS alles sehr gut integriert nutzen.
Als ich das Tool für mich entdeckt hatte, gab es mit KeePass eine kostenfreie Open Source Lösung, die aber extrem unbequem zu bedienen war. Andere Anbieter nutzen nur ihre eigene Cloud und hatten Abolösungen, wie 1Password. Daher war SafeInCloud mit seinem einmaligen Bezahlmodell günstig.
Ich habe SafeInCloud bislang nicht getestet, macht aber einen sehr guten Eindruck!
Auch wenn ich keinen konkreten Anlass für Misstrauen habe, finde ich allerdings bei einem Passwort-Manager den Open Source-Ansatz von Bitwarden vertrauensbildender. Und ich habe auch nicht in Erfahrung bringen konnte, ob bei SafeInCloud wirklich nur ein Entwickler dahinter steht oder ein ganzes Team bzw. eine Firma. Wären Pflege und Weiterentwicklung gesichert, wenn er morgen vom Bus überfahren wird?
Vor allem ist es ein russischer Entwickler.
Ich hatte immer nur mit einem Entwickler zu tun. Könnte also in der Tat eine One-Man-Show sein.
Die Passwörter können aber alle exportiert werden. Zudem würde die Lösung auch weiterlaufen, wenn der Programmierer ausfällt, wenn man seine eigene Cloud nutzt, was mir wichtig war. Irgendwann wäre dann sicherlich Schluss, wenn das Tool durch ein OS-Update nicht mehr funktionieren würde.
Du kannst sie auch bei mir aufbewahren. Alles sicher! Und kostenlos!)
Interessant. Aber elementare FUnktionen fehlen mir hier. So gibt es zwar ein Family Lizenz, aber es können nicht bestimmte Passwörter gemeinsam geshart werden. Gibt eine Sharing-Option, wobei aber laut Knowledge Base das Passwort per Mail, Chat im Klartext übertragen wird und nur einmalig ist. Ich habe einige geteilte Passwörter und mir ist es nicht zu schade für Sicherheit auch jählich was zu bezahlen. 50 CHF für 6 Personen ist ja nichts.
Bitwarden hat auch Notfallzugriff, was SafeInCloud nicht hat. Ein weiteres elementares Feature.
Zudem kann ich es selber Hosten auf einem sicheren Server (Nur zu empfehlen wenn man Erfahrung damit hat, wie Ich als Informatiker).
Username, Passwörter und TOTP gehören nicht in eine App. Dann kann man sich gleich einen Zettel an den Monitor hängen, mit dem zweiten Faktor. Es gibt schon einen Grund, warum man es 2-Faktor Authentifizierung nennt.
Bitwarden ist schon klasse! Was mir fehlt ist eigentlich nur eine echte App für die Apple Watch (so wie bei Enpass oder 1Password).
Nach dem Motto „Don’t put all eggs in the basket!“ würde ich von einer Integration des 2. Faktors in den Passwortmanagers allerdings stark abraten, auch wenn es komfortabel ist. Bin da mit Authy aber sehr zufrieden, zumal das plattformübergreifend arbeitet…
Ich kann hier nur OPT Auth empfehlen. Es läuft auf IOS und auch der Apple Watch. Secrets können exportiert werden, falls notwendig. Die App hat ziemlich gute Bewertungen, und Roland antwortet auf Twitter sofort, falls Probleme auftauchen.
https://apps.apple.com/us/app/otp-auth/id659877384
OTP Auth wurde allerdings für iOS zuletzt vor 1 Jahr aktualisiert. Das ist sicherlich kein starkes Argument für die Nutzung der App.
Korrigiere: Vor 2 Jahren wurde sie das letzte Mal vom Entwickler aktualisiert.
Eine App, die tadellos funktioniert, muss doch nicht kontinuierlich aktualisiert werden, damit sie gut ist. Diese Logik erschließt sich mir nicht. Aber da hat wohl jeder seine eigenen Maßstäbe.
Naja in den letzten zwei Jahren wurden aber (generell, jetzt nicht nur auf Apps bzw. Mobile Betriebssysteme bezogen) etliche Sicherheitslücken in unterschiedlichen Formen bekannt und behoben. Es ist schon recht unwahrscheinlich, das ein Appentwickler keine fremden Bibliotheken verwendet hat und dabei auch noch Null Sicherheitslücken „eingearbeitet“ und etliche zukünftige Ereignisse (wie z.B. neue Betriebssystemversionen, die damals noch nicht bekannt waren) berücksichtigt hat. Und wenn doch Bibliotheken verwendet wurden, ist es ebenso unwahrscheinlich dass diese dann inerhalb von zwei Jahren kein (Sicherheits-) Update bekommen haben.
Fazit 1:
Windows XP, Vista und 7 funktionieren auch noch, würde ich aber nicht mehr empfehlen zu verwenden.
Fazit 2:
Eine Küchenuhr ohne Internet/Funk braucht wirklich keine Updates, aber alles was mit dem Internet verbunden ist sollte schon so aktuell wie möglich gehalten werden (oder vom Netz getrennt werden).
Schließe mich der Empfehlung an, nutze ich neben Bitwarden.