Bitwarden lässt sich seine Sicherheit durch externe Analyse bestätigen
Bitwarden ist hier im Blog ein regelmäßiges Thema. Erst am Wochenende hatte Benny darüber berichtet, dass es ab sofort auch verschachtelte Ordner in eurem Vault gibt. Gerade bei einem Passwort-Manager wie Bitwarden ist Sicherheit natürlich das höchste Gut. Dabei setzt man auf eine quelloffene Codebasis und setzt Kopfgelder für gemeldete Bugs aus. Nun hat man sich die eigene Sicherheit durch ein Audit bei Cure53 bestätigen lassen.
Bitwarden hat den Sicherheitsbericht von Cure53 als PDF auch an dieser Stelle für alle hochgeladen. Cure53 gibt dabei an, dass man zwar einige kritische Sicherheitslücken gefunden habe, Bitwarden aber generell mit sehr positiven Resultaten aus dem Audit hervorgehe. Etwa könne die WebExtension von Bitwarden Manipulationen und Interaktionen von bösartigen Websites korrekt erkennen und ausbremsen.
Allerdings hat man ein relevantes Problem mit der Autofill-Funktion ausmachen können. Hier prüft die Bitwarden-Erweiterung nur die Top-Level-URL, was Tricksereien möglich macht. Außerdem empfiehlt Cure53 Bitwarden für Master-Passwörter rigidere Richtlinien anzuwenden. Man sollte Usern empfehlen statt Passwörtern ganze Sätze zur Sicherung zu verwenden oder nur Passwörter zuzulassen, die mindestens 12 Zeichen lang sind und auch nach der Stärke bewertet werden.
Des Weiteren ist auch ein kritischer Fehler vorhanden, der die Vaults für Organisationen betrifft. Hier könnten Man-in-the-Middle-Angriffe ansetzen, um Informationen abzufangen. Insgesamt hinterließ aber gerade der Bitwarden Vault sonst einen sehr guten Eindruck. Beispielsweise konnte man im Backend-Code keine ausnutzbaren Lücken aufstöbern. Optimierungen hält Cure53 aber zum Beispiel bei den kryptographischen Bibliotheken für notwendig. Dort gebe es unnötig verkomplizierte Strukturen, welche mittelfristig noch Probleme bereiten könnten.
Das Ergebnis für Bitwarden sei aber, dass es zwar gewisse Probleme und Sicherheitslücken gebe, jene aber in der Anzahl gering seien und zudem leicht behoben werden könnten. Deswegen glaubt man bei Cure53 auch, dass Bitwarden sich hier schnell in die richtige Richtung entwickeln könne.
Also quasi unbrauchbar bis es gefixt wurde.
Was? Kein TÜV?
😉
Bekommt man das auch auf einem Pi zum laufen?
Mit bitwarden_rs und Docker sollte das kein Thema sein. Die Standardvariante ist aber zu ressourcenfressend. Die ist halt wirklich auf große Maschinen ausgelegt.
Hmm immer weniger Gründe die dagegen sprechen…
Das Beste an Bitwarden ist, dass man es kostenlos auf seiner eigenen Hardware betreiben kann und es für fast alle Geräte Clients gibt. So läuft es seit gut nem halben Jahr ohne Probleme auf meinem Synology NAS mittels Docker. Das lässt sich einfach installieren und ist deutlich komfortabler als Keepass.
Aber das ganze läuft doch nicht komplett autark oder?
Enpass…mehr brauch ich nicht. Die Vault is mein und ich kann die hinpacken wo ich will.
Bin gespannt auf Version 6.
enpass muss entsperrt werden, da hätte ich keine lust drauf bei meinem privaten pc
Das Matching für Autofill kann man doch pro EIntrag festlegen, auch so, dass die URL genau überstimmen muss.
Aha! Wie geht das genau?
Das man das Autofill pro Eintrag festlegen kann, kenne ich von 1Password, hab das aber in Bitwarden bisher nicht gefunden.