Bitwarden: Passwort-Manager überprüft Passwörter via PwnedPasswords API
Die Macher des Passwort-Managers Bitwarden haben eine Neuerung an der Browser-Erweiterung und den Desktop-Versionen vorgenommen (letztere sind ja „nur“ Wrapper der Web-Version). Sie nutzt – wie mittlerweile einige Sicherheitslösungen – eine Liste namens „Have I Been Pwned“ von Troy Hunt, der bekanntlich im Netz aufgetauchte Kombinationen aus Mail-Adressen und Passwörtern sammelt. Auf seinen Seiten kann man auch überprüfen, ob die eigene Adresse in irgendeinem Datenleck (Adobe, Trillian, Yahoo, Dropbox und und und) auftauchte. Ist dies der Fall, sollte man sein Passwort bei den Diensten ändern und vielleicht sicherstellen, dass an die Kombination nirgendwo mehr nutzt. Bitwarden greift auf die PwnedPasswords API zu und zeigt an, wie oft ein gewähltes Passwort schon ein der Sammlung vorkam und schlägt dann vor, ein besseres zu wählen.
The latest version of the Bitwarden desktop and browser extension apps allows you to check if your passwords have been exposed in any known data breaches using the wonderful @haveibeenpwned PwnedPasswords API by @troyhunt . Check it out! pic.twitter.com/xUdmn1XpRt
— Bitwarden (@bitwarden_app) March 22, 2018
Ein Passwort-Manager schickt also freiwillig aktive Passwörter seiner Nutzer an irgendeine API?! Scheint eine effektive Lösung zu sein, um noch vollständigere Passwortlisten zu erstellen…
Es wird ein Passworthash an eine API geschickt. Das ist letztlich der wesentliche Unterschied. 😉
Gibt es dafür einen Beleg? Also das nur der Hash verschickt wird? Oder wer hat das kontrolliert?
Bitwarden ist Open Source. Also kannst du es auch selbst überprüfen.
Mal angenommen, man ist gepwnd. Was tut man da?^^
Passwörter habe ich gerade alle geändert – überlege gerade die Mail Adresse und den dazugehörigen Accounts zu löschen.
Man ändert einfach das Passwort. Mailadresse zu ändern ist Unsinn.
In zeiten in denen Webseiten immer öfter opfer von hacks werden stellt sich mir die Frage warum man seine Passwörter Online Speichert. Welchen Vorteil ist denn so gross das man den Sicherheitsaspekt ausser acht lässt?
Ist das einen generelle Frage? Denn Bitwarden speichert keine Passwörter online.
Es gibt also keine Web Version und die Passwörter werden nicht in der Cloud gepeichert?
Die Passwörter werden lokal verschlüsselt und dann nicht lesbar inklusive Hash-Wert online gespeichert. Und wenn man der Sache dennoch nicht traut, kann man selbst einen Bitwarden-Stack im eigenen Netzwerk aufbauen und überträgt dann gar nichts an andere Personen oder Firmen. Außer natürlich, man verwendet das jeweilige Passwort, dann muss es natürlich eingegeben werden. 😉
In zeiten in denen immer mehr Webseiten von Hacks betroffen sind stellt sich mir die Frage warum man seine Passwörter Online Speichert. Welchen Vorteil hat man dadruch das man alles Sicherheitsaspekte ausser acht lässt?
Bequemlichkeit – bei mehreren Rechnern und Handys wird alles anderes schnell umständlich. Immerhin bietet Bitwarden bereits ab 1$ im Monat die Möglichkeit die Sachen selbst zu hosten.
Ist das noch immer nur ein Entwickler?
Jepp.
Florida Limited Liability Company
8BIT SOLUTIONS LLC
SPEARRIN, KYLE F
3567 POND RIDGE CT W
JACKSONVILLE, FL 32223
Kann ich Passworte von mir
oder Teile davon
irgendwo checken lassen
ohne dazu verwendete Mail Adresse bzw Nutzernamen?
Ja.
https://haveibeenpwned.com/Passwords