Bitwarden lässt sich seine Sicherheit durch externe Analyse bestätigen

Bitwarden ist hier im Blog ein regelmäßiges Thema. Erst am Wochenende hatte Benny darüber berichtet, dass es ab sofort auch verschachtelte Ordner in eurem Vault gibt. Gerade bei einem Passwort-Manager wie Bitwarden ist Sicherheit natürlich das höchste Gut. Dabei setzt man auf eine quelloffene Codebasis und setzt Kopfgelder für gemeldete Bugs aus. Nun hat man sich die eigene Sicherheit durch ein Audit bei Cure53 bestätigen lassen.

Bitwarden hat den Sicherheitsbericht von Cure53 als PDF auch an dieser Stelle für alle hochgeladen. Cure53 gibt dabei an, dass man zwar einige kritische Sicherheitslücken gefunden habe, Bitwarden aber generell mit sehr positiven Resultaten aus dem Audit hervorgehe. Etwa könne die WebExtension von Bitwarden Manipulationen und Interaktionen von bösartigen Websites korrekt erkennen und ausbremsen.

Allerdings hat man ein relevantes Problem mit der Autofill-Funktion ausmachen können. Hier prüft die Bitwarden-Erweiterung nur die Top-Level-URL, was Tricksereien möglich macht. Außerdem empfiehlt Cure53 Bitwarden für Master-Passwörter rigidere Richtlinien anzuwenden. Man sollte Usern empfehlen statt Passwörtern ganze Sätze zur Sicherung zu verwenden oder nur Passwörter zuzulassen, die mindestens 12 Zeichen lang sind und auch nach der Stärke bewertet werden.

Des Weiteren ist auch ein kritischer Fehler vorhanden, der die Vaults für Organisationen betrifft. Hier könnten Man-in-the-Middle-Angriffe ansetzen, um Informationen abzufangen. Insgesamt hinterließ aber gerade der Bitwarden Vault sonst einen sehr guten Eindruck. Beispielsweise konnte man im Backend-Code keine ausnutzbaren Lücken aufstöbern. Optimierungen hält Cure53 aber zum Beispiel bei den kryptographischen Bibliotheken für notwendig. Dort gebe es unnötig verkomplizierte Strukturen, welche mittelfristig noch Probleme bereiten könnten.

Das Ergebnis für Bitwarden sei aber, dass es zwar gewisse Probleme und Sicherheitslücken gebe, jene aber in der Anzahl gering seien und zudem leicht behoben werden könnten. Deswegen glaubt man bei Cure53 auch, dass Bitwarden sich hier schnell in die richtige Richtung entwickeln könne.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Also quasi unbrauchbar bis es gefixt wurde.

  2. Was? Kein TÜV?
    😉

  3. Bekommt man das auch auf einem Pi zum laufen?

    • Mit bitwarden_rs und Docker sollte das kein Thema sein. Die Standardvariante ist aber zu ressourcenfressend. Die ist halt wirklich auf große Maschinen ausgelegt.

  4. Hmm immer weniger Gründe die dagegen sprechen…

  5. Das Beste an Bitwarden ist, dass man es kostenlos auf seiner eigenen Hardware betreiben kann und es für fast alle Geräte Clients gibt. So läuft es seit gut nem halben Jahr ohne Probleme auf meinem Synology NAS mittels Docker. Das lässt sich einfach installieren und ist deutlich komfortabler als Keepass.

  6. EnpassatediEnchilada says:

    Enpass…mehr brauch ich nicht. Die Vault is mein und ich kann die hinpacken wo ich will.
    Bin gespannt auf Version 6.

  7. Das Matching für Autofill kann man doch pro EIntrag festlegen, auch so, dass die URL genau überstimmen muss.

    • Aha! Wie geht das genau?
      Das man das Autofill pro Eintrag festlegen kann, kenne ich von 1Password, hab das aber in Bitwarden bisher nicht gefunden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.