Bitwarden erhöht die Sicherheit beim Login: Das sind die Details
von caschy | 17 Kommentare
Der Passwort-Manager Bitwarden führt ab Februar 2025 eine zusätzliche Sicherheitsmaßnahme für Benutzer ein, die bisher keine Zwei-Faktor-Authentifizierung nutzen. Die neue Funktion betrifft das Anmelden von unbekannten Geräten und soll die Sicherheit der gespeicherten Passwörter erhöhen.
Die Neuerung sieht vor, dass Nutzer beim Login von einem nicht registrierten Gerät einen Verifizierungscode per E-Mail erhalten. Dieser Code muss dann eingegeben werden, um Zugriff auf den Passwort-Tresor zu bekommen. Die Maßnahme richtet sich gezielt an Benutzer, die bisher auf die wichtige Zwei-Faktor-Authentifizierung verzichten.
Der Hintergrund dieser Entscheidung liegt laut der Entwickler in der steigenden Bedrohung durch Cyber-Angriffe. Passwort-Manager sind für Hacker interessante Ziele, da hier sensible Zugangsdaten zentral gespeichert werden. Auch wenn ein sicheres Master-Passwort die erste Verteidigungslinie darstellt, bietet die zusätzliche E-Mail-Verifizierung nun eine weitere Schutzebene gegen Phishing und Credential-Stuffing-Attacken.
Der neue Prozess läuft folgendermaßen ab: Nach der Eingabe von E-Mail-Adresse und Master-Passwort prüft der Bitwarden-Server, ob das verwendete Gerät bekannt ist. Bei unbekannten Geräten und fehlender Zwei-Faktor-Authentifizierung wird automatisch ein Code an die hinterlegte E-Mail-Adresse gesendet. Erst nach korrekter Eingabe dieses Codes gewährt das System Zugang zum Passwort-Tresor.
Für Nutzer ergibt sich daraus eine wichtige Konsequenz: Der Zugriff auf das E-Mail-Konto muss auch ohne Bitwarden möglich sein. Wer die Zugangsdaten zu seinem E-Mail-Account ausschließlich in Bitwarden speichert, riskiert eine Aussperrung. Bitwarden empfiehlt daher, entweder den E-Mail-Zugang anderweitig zu sichern oder – noch besser – die Zwei-Faktor-Authentifizierung zu aktivieren, wodurch die E-Mail-Verifizierung entfällt. Eine FAQ zum Thema gibt es hier.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Einen Passwortmanager mit möglicherweise hunderten Passwörtern nutzen und den dann ohne 2FA nutzen. Genau mein Humor.
Ja, weil ich sonst überall eine 2. App bräuchte nur damit ich in meinen Account rein komme. So weiß ich das selbst wenn mir unterwegs alle Geräte abhanden kommen ich trotzdem mit jedem x beliebigen „fremden“ Gerät an meine Passwörter komme (außer meinem Masterpasswort kenn ich keinerlei Login Daten). Könnte man natürlich mit einem 2. Bitwarden Account lösen in dem nur nur der 2FA für den Hauptaccount hinterlegt ist. Oder mit irgendwas anderem das nicht App Only ist (an dem hats nämlich bisher gescheitert das die brauchbaren Sachen App only sind)
Dafür gibts einmal 2fa Codes auch bei Bitwarden.
Weiß ich, aber mit denen mach ich was? Die lass ich mir aufs Bein tätowieren damit ichs auch unterwegs nicht verlieren kann/dabei habe?
Sofern man den Enterprise Plan nutzt und seinen IDP föderiert hat, ist das Bitwarden MFA sogar explizit nicht empfohlen, da es Probleme machen kann. Hier muss dann MFA durch den IDP erfolgen.
Auch sollte man den Schlüssel des OTP von Bitwarden nicht in ausschließlich in Bitwarden selbst speichern für den Fall, dass man auf keines der registrierten zugreifen kann. Hierfür habe ich extra eine separate OTP-App laufen, die ausschließlich für Bitwarden läuft.
Ich würde mir bei Bitwarden eine zusätzliche Passdatei wünschen. Also das man nicht nur ein Passwort braucht, sondern auch noch eine lokale Datei und nur die Kombination würde dann Zugriff gestatten. Sicherlich, Perfekt wäre es nicht, aber es würde noch mal mehr Sicherheit bringen.
Nennt sich yubikey
Nein, das ist mir zu viel des Guten und nicht praktikabel. Mir reicht eine simple Datei, kein extra Gerät, zumal man eine Datei auch sicher per USB aufs Smartphone übertragen kann.
Bzgl. Bitwarden… Da würde ich erstmal nicht die Browser-PlugIns nutzen.
Kann man wohl „relativ“ einfach umgehen…
https://www.youtube.com/watch?v=DqYyw2WjQPc
Generell jetzt eher nicht so die Empfehlung für Bitwarden bzw. auch andere Password-Manager.
Aus dem Grund sind auch die direkt im Browser integrierten Password-Manager die sicherste Lösung, auch wenn das immer alle bestreiten.
Einer der wenigen der es genauso sieht wie Du ist kein Unbekannter:
https://lock.cmpxchg8b.com/passmgrs.html
Auch ein Zitat aus dem Beitrag:
> These claims are all nonsense. An attacker (or malicious insider) in control of the vendor’s network can change the code that is served to your browser, and that code can obviously access your passwords.
DAS kommentiere ich auch sehr oft unter solche Beiträge. Viele User denken „Ja. Bitwarden (oder beliebiger anderer online Passwort-Manager) ist mega sicher. Die nutzen ja AES256 und Argon2 und können selbst meine Passwörter nicht lesen!“. Das ist genau wie dort geschrieben Schwachsinn. Ein Angreifer muss es „nur“ schaffen die Bitwarden Website zu infiltrieren und schon hat er Zugriff auf alle Passwörter von jedem der sich ab dem Zeitpunkt der Infiltration einloggt. So ein Angriff ist auf offline Passwort Manager wie KeePass(XC) gar nicht möglich. Da muss der Angreifer schon jeden Privatcomputer einzeln infiltrieren.
Sehr guter Beitrag und erschreckend, was und wie einfach vieles geht. Das mit keepassxc fand ich ganz besonders erhellend, vielen Dank.
Zur Info: die Bitwarden Desktop App ist jetzt hardened (flags=0x10000(runtime)) – Update kam vor drie Tagen. Das sind tatsächlich so Dinge, die dem normalen Endanwender total entgehen und die auch in der Diskussion um Sicherheiten von Lösungen komplett außen vor sind.
Da würde ich mir nocmal eine detaillierte und eingehende Prüfung von Apples Keychain wünschen, bin aber bei meiner Suche noch nicht so recht fündig geworden.
Wer also Zugriff auf das Gerät hat, bspw. PC in der Wohnung, hat weiterhin Zugriff auf alles. Glücklicherweise gibt es ja kaum Einbrüche und grade Geheimdienste und andere Ermittler halten sich gern zurück. Oder eigentlich gar nicht.
Hauptzutritt wird allerdings über Smartphones erlangt, welche selbst bei einer Leiche des Besitzers leicht entsperrt werden können. Fingerabdücke oder Gesichtsscanner sind ja so sicher! Allgemein reicht Gewaltandrohung.
Was muss ich immer lachen wie bereitwillig von Sicherheit nachgeredet wird. Als ob man tatsächlich die Realität völlig ausblendet.
Bin zahlender Nutzer, habe mich bereits beschwert. Ich verlange Passwort-only. Mir ist es wichtig, mich jederzeit überall einloggen zu können, wenn ich z.B. im Urlaub mein Handy verliere.
Wenn die irgendwelche Faktoren, Kennungen, Einmalcodes erzwingen, dann kündige ich und verwende wieder eine Textdatei. Ende. Ich hasse sowas.
Auch zahlender Kunde. Leider scheint es, als wäre eines der Server Updates nicht ganz fehlerfrei durchgelaufen. Das Masterpasswort hat nach dem Update nicht mehr funktioniert. Der Bitwarden Support weiss von nichts. Glücklicherweise hatte ich noch ein verschlüsseltes Backup. War aber einen Tag lang ziemlich aufgeschmissen. Die Lösungen sind halt einfach weder einfach, noch 100% sicher.
Denke immer noch, dass eine schlüsselbasierte Lösung ideal wäre.