Bitwarden: Toller Passwort-Manager (Open Source)

Im Laufe der Jahre haben wir hier im Blog viele Passwort-Manager vorgestellt, besprochen und mit den Lesern diskutiert. Den besten gibt es natürlich nicht, wenn ich das so schreiben würde. Wie gut etwas ist, hängt auch immer von den eigenen Ansprüchen und Voraussetzungen ab. Fremde Server sind absolut keine Option? Verschlüsselte Passwort-Datenbanken bei Dropbox, Google Drive und Co sind ok? Möglichst bequem soll es sein? Die Apps sollen taugen? Es darf etwas kosten oder soll kostenlos sein? Viele Fragen, die jeder für sich selber beantworten muss.

Schauen wir uns mal kurz um – und meine Liste erhebt natürlich keinen Anspruch auf Vollständigkeit. LastPass ist eine Lösung, die man kostenlos oder kostengünstig nutzen kann. Sehr beliebt, wurde seinerzeit von Logmein übernommen. Es gibt Apps und Erweiterungen, Passwörter landen verschlüsselt in der Cloud von LastPass.

Dann gibt es 1Password. Mittlerweile auch von macOS und iOS aktiv, sprich Web, Windows und Android. War früher eine Lösung, die man einmal kaufte, Password-Tresore konnten unterschiedlich synchronisiert werden, beispielsweise via WiFi oder Anbietern wie Dropbox. Mittlerweile will man mehr in die Abo-Schiene, was zur Folge hat, dass die Passwort-Tresore in die 1Password-Cloud wandern. Zwar gibt es das alte Modell noch, aber viele Nutzer des kanadischen Unternehmens sind mittlerweile unsicher geworden, ob das Einmal-zahlen-Modell Bestand haben wird.

Auch erwähnenswert: Enpass, ebenfalls auf fast allen Plattformen daheim, Synchronisation via Dropbox, Google Drive und Co – und preislich ist es so, dass man pro Mobil-Plattform zahlt. Desktop-Nutzung ist kostenlos, bis zu 20 Objekte in einem Mobil-Vault auch, danach ist man für sehr faire 10 Euro dabei. Mitte des Jahres habe ich mir Enpass genauer angeschaut und war ganz angetan.

Dann gibt es natürlich noch die alte und bekannte Lösung KeePass nebst diverser Derivate, damit man die – via auch immer synchronisierten – Passwort-Datenbanken mobil oder auf dem Desktop nutzen kann. Wenn man sich einarbeitet, macht auch KeePass sicherlich Spaß, ist zudem natürlich kostenlos. KeePass ist für viele eine Konstante, doch persönlich finde ich, dass andere Lösungen mittlerweile vorbeigezogen sind, gerade in Sachen Plattformunabhängigkeit aus einer Hand und Funktionen. Dennoch eine erwähnenswerte Software.

Ebenfalls erwähnen darf man SafeInCloud. Zu finden auf den gängigen Plattformen, kann hier neben Dropbox, Google Drive und OneDrive auch WebDAV, also der eigene Server, genutzt werden. Ansonsten findet man hier im Blog relativ viel, wenn man nach Managern für Passwörter sucht, Dashlane, onSafe, Roboform, mSecure und Co findet man da noch.

Recht lange Einleitung, aber ich wollte halt kurz aufzeigen, dass es viele Lösungen für unterschiedliche Ansprüche gibt. Und nun kommt eine weitere hinzu, die ich mir in der letzten Zeit angeschaut habe.

Bitwarden.

Liest man sich die Projekt-Geschichte durch, dann möchte man sich schon wundern. Bitwarden versuchte die Finanzierung via Kickstarter und scheiterte. Das gesteckte Ziel wurde nicht erreicht. Bitwarden ist Open Source und erst einmal kostenlos. Es gibt mobile Apps, eine Web-Version und Erweiterungen für gängige Browser (Chrome, Firefox, Opera, Edge, Vivaldi, Brave & Tor Browser). Versionen für den Desktop sollen folgen.

Passwörter landen verschlüsselt in der Cloud, alternativ kann man via Docker einen eigenen Server unter Windows, Linux und macOS aufsetzen. Passwörter landen nicht unverschlüsselt in der Cloud, alles wird vorab auf eurem Gerät verschlüsselt. Das wirklich krasse ist, dass Bitwarden zwar Open Source ist, hinter der Lösung aber mit der 8bit Solutions LLC nur ein bisher aktiver Entwickler steht, nämlich Kyle Spearrin. Ich greife mal vorweg: Will man einen Grund gegen Bitwarden finden, dann ist es sicherlich dieser. Wenn Bitwarden größer wird, muss der Bursche aufrüsten, klar.

Bitwarden bietet für Privatnutzer alles wichtige kostenlos an. Team-Accounts lassen sich fair bezahlen, Lösungen für Familien kosten 1 Dollar für 5 Teilnehmer im Monat. Wer die fairen Preise zahlt, der bekommt auch etwas dafür, beispielsweise Cloud-Speicher. In diesem kann man Anhänge speichern. Wer diese nicht braucht, der muss nichts zahlen.

 

Als ich Bitwarden das erste Mal richtig unter die Lupe nahm, war ich schon überrascht, was da gestemmt wurde. Die Apps sind deutsch lokalisiert, die Erweiterung auch, lediglich die Webseite ist derzeit nur in englischer Sprache nutzbar, was aber hoffentlich kein Beinbruch darstellt. Es ist weniger kompliziert als andere Lösungen, des Weiteren kann man eigentlich auch alles über die Browser-Erweiterung machen, denn diese spricht Deutsch.

Nutzer können in Bitwarden Gruppen anlegen, Ordner quasi. Das macht das Ganze natürlich übersichtlich. Wie man Logins erstellt, erspare ich uns mal hier, das sollten die Leser hier wohl wissen. Wer umzieht – sei es raus oder rein in Bitwarden – der hat mehrere Importmöglichkeiten, das hat in meinem Test aus 1Password ganz gut geklappt.

Nutzer können unterschiedliche Typen anlegen in Bitwarden, Logins, Karten, Identitäten und sichere Notizen sind da möglich. Passwörter können natürlich auch generiert werden. Ist man auf einer Webseite mit Login, so visualisiert dies Bitwarden über die Erweiterung, hier kann man sich direkt einloggen, alternativ Nutzername nebst Passwort kopieren. Auch das Speichern eingegebener Daten funktioniert ebenso rasch über die Erweiterung.

 

Der Passwort-Speicher online lässt sich per Zwei-Faktor-Authentifizierung sichern, sodass man nach Eingabe von Nutzername und Passwort noch einen Code braucht, der vom Google Authenticator oder Apps wie Authy generiert wird.

Vielleicht ganz interessiert, falls ihr im Haushalt nur zu zweit seid und beide Bitwarden nutzt: Kostenlos lässt sich eine Organisation anlegen und in dieser kann man Passwörter mit Personen teilen. Habt ihr also einen ebay- oder Amazon-Account, so kann man das da alles hinterlegen. Bedeutet auch, dass sich Änderungen bei beiden Nutzern auswirken, ebenfalls praktisch.

Sowohl am Desktop als auch mobil machte Bitwarden in meiner Phase des Ausprobierens eine hervorragende Figur. Eine so gute, sodass ich die Lösung sogar weniger versierten Nutzern ans Herz legen würde. Es gibt einen leicht verständlichen – wenn auch englischsprachigen Hilfebereich – und wenn man eh gerne testet oder auf der Suche ist: Schaut euch das Projekt gerne an. Gibt nicht viel, was mir so auf Anhieb gefällt, Bitwarden ist seit langer Zeit mal wieder eine dieser Perlen, die mir vor die Flinte kam.

Und falls ihr Bitwarden mal testet: Nehmt euch doch vielleicht die Zeit und löscht alte Accounts, die ihr eh nicht mehr nutzt. Das befreit auch.

> Bitwarden-Homepage

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

97 Kommentare

  1. Danke für den Tip! OTP ist also erstmal nicht mit an Bord?

    • Moin Klaus. Also. OTP kannste deinen Account bei Bitwarden natürlich schützen. Sonst hätte ich das nicht erwähnt. Du kannst in der kostenlosen Variante aber keinen anderen OTP für Accounts nutzen. Aber hey – Family Account für n Dollar…

  2. Wie immer gut geschrieben, Caschy! Ich würde mal behaupten, dass ich mich ebenfalls mit PW-Manager sehr genau auseinander gesetzt habe – aufgrund der Empfehlungen hier bin ich nach Jahren Lastpass und Keepass schließlich bei Enpass gelandet.

    Bitwaren habe ich jetzt über die Festtage mal ausprobiert. Sieht wirklich TOP aus – läuft sogar auf meinem Chromebook (genau wie Lastpass) zu 100% und ohne Umwege. Dazu Open Source, klasse!

    Nur: wie will der Entwickler auf Dauer davon leben? Die kostenpflichtigen Zusatzfunktionen werden die allerwenigsten benötigen…das dürfte bei dem ein oder anderen ein durchaus mulmiges Gefühl in der Magengegend verursachen. Klar, das trifft wohl auf viele Produkte zu, nur z. B. bei Enpass wissen die Entwickler ja gar nicht, wo die Datenbank liegt. Das hier ist (ebenfalls wie bei Lastpass) ganz anders.

    Bin auf weitere Meinungen gespannt!

  3. Falls du noch etwas Zeit und Lust hast, ich nutze seit einiger Zeit Mobil und Unterwegs „master password“ – ich finde das prinzip dahinter cool ohne sync trotzdem die gleichen Passwörter auf allen geräten zu haben. 🙂

  4. Sehe es wie Matze. Bin die Tage, aus dem von Caschy oben genannten Grund von 1Password zu Enpass gewechselt. Mag einfach ein richtiges Desktopprogramm zur Verwaltung. Dies kann Bitwarden, zumindest momentan, nicht bieten. Bei Enpass habe ich noch nicht wirklich viel über die Frima welche dahintersteckt erfahren können. Vielleicht hat hier noch jemand ein paar Infos ob dies auch alles passt.

    @ Caschy
    welchen Passwortmanager benutzt du nun eigentlich final/dauerhaft? 1Password?

  5. Nutze seit Jahre Roboform. Fand ich immer sehr gut. Die scheinen jetzt von dem Einmal-bezahlen Modell wegzukommen. Was haltet ihr von Roboform? Wird seltsamerweise hier nie mehr genannt. – Danke für Eure Meinung dazu.

  6. Ich bin auch vor kurzem bei Bitwarden gelandet. Früher war ich begeisterter 1Password User. Als da die Windows-Version so Stiefmütterchlich behandelt wurde, hab ich eine alternative gesucht. Nach langer Suche war dann Engpass gefunden. Und vor kurzem dann auf Bitwarden gestoßen … und war sofort davon angetan. Super Projekt was hier auf die Beine gestellt wurde. Alles wird lokale ver- und entschlüsselt, und Autofill auf Android funktioniert auch super. Mal schauen wie es sich demnächst so weiter entwickelt, dann würde ich sogar den Family Account nehmen.

  7. Roboform ist nach wie vor einer der besten. Gibt keine Probleme damit.

  8. @Spaiky: Meine Karriere war bisher: KeePass, LastPass, 1Password. Also für ganz lange. Enpass hatte ich im Rahmen meines Tests auch mal länger im Einsatz, fand da 1Password smoother. Ich hab jetzt erst einmal 1Password exportiert und probiere Bitwarden weiter aus. Was man als Blogger eben so macht 🙂

  9. bei Enpass finde ich es schade, dass es eigentlich kein „auto-fill“ ist. Man muss dennoch manuell klicken um das Passwort in einen Browser zu bekommen.
    Daher bin ich noch bei Keepass geblieben: zwar nicht hübsch, aber erfüllt alle von mir erforderlichen Funktionen.
    Bitwarden sehe ich mir interessehalber dennoch mal an.

  10. Ich nutze schon seit anbeginn der Zeit Keepass. Weiß gar nicht wieso man da umsteigen sollte.

  11. @Chris – ist natürlich Geschmackssache. Was mich an Keepass stört, ist die extrem rustikale Optik des Windowsclients (sieht aus wie zu Win3.11-Zeiten) und (bedingt durch die fehlende zentrale Erstellung) die komplett unterschiedlichen GUIs der unterschiedlichen anderen Clients. Dazu viele fehlende Funktionalitäten, die sogar Bitwaren als Neueinsteiger schon bietet.

  12. Sehe ich wie @chris, KeePass ist top, Auf dem Smartphone eben Keepass2Android. Kann Fotos von Ausweisen, Kreditkarten etc. anhängen. Syncronisieren mach ich selbst. Änderungen nur auf dem PC und dann schiebe ich die .kdbx einfach auf das Smarphone.

  13. Das war ja mal ein super Tipp! Nutze aktuell LastPass (zahlend), werde aber jetzt mal Bitwarden im Echtbetrieb testen. Export und Import von Lastpass zu Bitwarden war schon mal kein Problem – jetzt bleiben die LastPass-Erweiterungen erstmal deaktiviert.

  14. General Failure says:

    @Matze „rustikale Optik“ ist gut 😉 Dagegen hat bei mir KeeWeb geholfen, hier: https://keeweb.info

    KeeWeb ist eine moderne Web App, ist open source und verwendet KeePass v2 Datenbanken. Die Web app kann man online starten oder selbst hosten bzw per docker betreiben. Dazu gibt es installierbare standalones für alle Betriebssysteme.
    Da es eine direkte Anbindung an Google Drive, Dropbox, OneDrive und WebDAV gibt, kommt man so gut wie überall an seine Datenbank, egal ob cloud oder selbst gehostet.
    KeePass Plugins gehen nicht und Autofill funktioniert nicht so gut, für mich kein Manko. Das mach ich doch lieber selbst.

  15. Hab schon eine Weile Bitwarden in Nutzung Plattform übergreifend, bin auch zahlender (10€ im Jahr). Bin absolut begeistert und überzeugt von Bitwarden.

  16. Die Frage, wie der Macher genug Geld bekommt, damit Bitwarden überleben kann ist berechtigt.
    Ich bin (nach dehr vielen Jahren mit LastPass) begeisterter Bitwarden Nutzer und zahle die 10 EUR im Jahr. Ich hoffe das klappt auf Dauer.

  17. Ich nutze KeePass schon seit anbeginn der version 1.x
    Ja, sieht teils sehr antiquiert aus, aber es macht exakt das, was es soll:
    Passwörter erzeugen und Logindaten verwalten!

    Auf Smartphone und Laptop synchronisiere ich die Datenbank, die in einer eigenen Cloud liegt. Alle paar Wochen wird das Masterpasswort gewechselt und der Schlüssel erneuert, das reicht.

    Onlinelösungen oder Autofill kommen mir hier nicht ins Haus, das ist mir zu unsicher.

    Bezahlung? Nun, die Keepassentwickler erhalten regelmäßig Spenden und machen dafür einen Super Job..

  18. Ich bleibe bei Keepass. Da weiss ich wo meine Daten liegen. Bei mir zu Hause auf der Synology mit lokalen Zugriff. Wenn ich von aussen rauf will baue ich eine VPN auf. Da kann mir einer viel erzählen mit Ver und Endschlùsselung am Client. Die Daten liegen auf irgendein Cloudserver und wer weiss ob irgendjemand nicht doch an die Daten kommt. Das mulmiges Gefühl bleibt wenn das ganze Leben irgendwo liegt.

  19. @Matze gegen die unterschiedliche Optik auf verschiedenen Plattformen (ausgenommen mobil) kann man sich ja mittlerweile mit keepassxc behelfen.

    Ich nutze selbst schon ewig KeePass. Die Optik ist mir bei so einem Programm nicht wichtig. Ich muss aber dazu sagen, dass ich kaum was anderes als KeePass probiert habe, weil ich aktuell nichts vermisse. Sync löse ich per syncthing. Aber gerade diesen Punkt finde ich bei Bitwarden interessant. Ein Docker container, um sich die Sachen selbst zu hosten ist clever und nicht schwer einzurichten.

    OT: Die einzige andere Software, die ich mir neben KeePass mal angesehen habe, war „Master password“ die auch @Paul genannt hat. Ich fand den Ansatz „Passwörter ohne Synchronisierung“ super spannend, nur leider für mich überhaupt nicht praktikabel. Der Autor der Software beschreibt sogar selbst einige Schwachpunkte. Es ist hier nicht möglich eigene Passwörter festzulegen (der Autor sagt „doch, das geht, aber dann wird das Passwort gespeichert“ – ergo ich muss es wieder syncen und hab nix gewonnen) was bei Banken schon zu Problemen führt. Außerdem hat mich an der Idee gestört, dass es quasi unmöglich ist mehrere Felder zu haben – damit entstehen Situationen wie „wie war noch mal mein Benutzername auf der Seite auf der ich mich nicht so oft einlogge???“

  20. Das Bitwarden Webinterface ist schlecht zu bedienen. Auch die Apps orientieren sich nicht an das Material Design sondern sind für Android und iOS diesselben und fühlen sich wie Webapps an.

  21. Keepass, was sonst? Oder besser gesagt KeepassXC auf allen Desktop Systemen. Ist mir erstmal scheißegal wie das aussieht. Es startet minimiert und läuft im Hintergrund bzw. wird mit globalen Hotkey angesprochen.
    Die synchronisation erfolgt per syncthing, alles bleibt bei mir.

  22. Guter Artikel jedoch schade dass in den Vergleichen niemals einen Hinweis auf keeweb.info gibt. Meiner Meinung nach eine sehr gute Alternative die mit kdbx umgehen kann Desktop Apps anbietet und dir mobil die mobile Apps. Autofill sind auch kein Problem und kompatibel mit Erweiterungen wie keepasshttp ist es auch.

  23. Deliberation says:

    Ein schöner und informativer Artikel zu einem interessanten Programm. Viele Dank dafür!

    Ich habe ebenfalls die meisten Passwortverwaltungsprogramme getestet und muss sagen, dass ein Vergleich oftmals schwer zu ziehen ist. So fielen mir persönlich erst Schwächen bei Bitwarden auf, als ich mit mobilen Geräten, vor allem meinem iPad gearbeitet habe. Das Ausfüllen von Benutzername und Passwort funktionierte da in einigen Fällen nicht zuverlässig. Eine Funktion, die bei dem von mir noch immer präferierten Lastpass einfach perfekt gelöst ist.

    Auch wenn das für mich persönlich der Dealbreaker ist, so vermisste ich auch bei Bitwarden die Funktionen zum Management der Passwörter wie Auto-Change, Evaluation der Sicherheit, Empfehlungen zur Verbesserung der selben usw.

    Und, wie weiter oben bereits erwähnt wurde, macht mich das Geschäftsmodell nervös. Nach meinen Informationen kümmert sich nur ein einziger Entwickler um Bitwarden. Und obwohl dieser in meinen Augen eine fantastische Leistung vollbracht hat, steht das gesamte Projekt damit auf ziemlich wackeligen Füßen.

  24. @Ernst: Schon seit vielen Jahren zufriedener Roboform Kunde. Habe noch keinen Grund gefunden zu wechseln. OTP innerhalb der Software hat mich jetzt mal zu Dashlane schielen lassen, aber bin Roboform treu geblieben, das fluppt einfach.

  25. Wäre nicht schlecht, wenn ihr einen Vergleich mit allen Vor- und Nachteilen aufstellen würdet.

    Ich habe irgendwie nicht verstanden, welche Funktionen dem Keepass fehlen.

  26. @Dingens
    Dito, funktioniert seit gefühlt Jahrzehnten problemlos.
    Aber schon komisch, das das HIER nie eine Erwähnung findet?

  27. Deliberation says:

    @Whocares: Funktionen fehlen nur, wenn man sie persönlich benötigt und das Programm sie nicht anbietet. Mir persönlich sagt bei Keepass nicht zu:

    – Keepass ist keine reine Online-Lösung mit Sync zwischen Geräten und Installationen. Ich brauche die Mobilität aber, sonst nutzte ich einen Passwortmanager nicht konsistent.
    – Dementsprechend fehlen vernünftige Lösungen für mobile Geräte. Mir erscheint alles wie eine Frickellösung, die man sich selber zusammenbauen muss. Von Ergonomie der Programme oder durchgängigem Bedienkonzept kann man hier kaum reden. Keepass selbst unterstützt Ports auch nicht.
    – Keepass merkt nicht, wenn ich neue Kombinationen aus Benutzername und Passwort eingebe oder vorhandene ändere. Das muss ich meines Wissens immer direkt in Keepass machen.
    – Es bietet weder Security-Alerts noch -Audits an. Das finde ich recht hilfreich, um die Verbesserung meiner Passwortsicherheit möglichst effizient anzugehen. Vor allem, wenn ich einen alten Bestand aktualisieren möchte.
    – Die Oberfläche ist grauenvoll. Das mag ein subjektives und kein sonderlich wichtiges Argument zu sein. Aber wenn ein Programm gefällig aussieht und gut aufgebaut ist, nutzt man es lieber. Und das ist doch der Kern des Ganzen.
    – Das Datenbankkonzept ist beschränkt (hinsichtlich Verwendung von shared Masterpasswörtern oder der Entschlüsselung der gesamten Datenbank, obwohl nur ein Passwort benötigt wird.)

    Ich weiß nicht, ob das alles noch gilt. Denn seit Jahren nutze ich nun Lastpass, das alles das und noch mehr mitbringt, ohne dass man etwas selber zusammenstricken muss.

  28. Perfekt, sowas hab ich gesucht! Mit den Alternativen bin ich nie ganz grün geworden.

  29. @Deliberation – stimmt, funktional ist und bleibe Lastpass das Mass der Dinge. Warum die das Premiummodell quasi unnötig gemacht haben, bleibt allerdings deren Geheimnis…

  30. Ich bleibe bei KeePass. Passwörter haben in einer „Cloud“ IMO nichts verloren und Docker läuft nun mal nicht überall.

  31. KeePass wegen Open Source.
    Closed Source geht bei einem Passwortmanager gar nicht. Ich vertraue doch nicht meine Passwörter irgendeiner Firma an, die sich im Gegenzug nicht in die Karten schauen läßt, sondern verheimlicht, was sie mit meinen Passwörtern wirklich macht.

  32. Habe bitwarden angetestet. Bitwarden bietet die Möglichkeit das PW zu kopieren. Mit Ditto Clipboard Viewer habe ich dann festgestellt, das das kopierte PW in der Zwischenablage klar lesbar ist. Es verschwindet auch nicht nach wenigen Sekunden, sondern verbleibt dauerhaft in der Zwischenablage – bis sie geleert wird oder der PC heruntergefahren wird.

    Aus meiner Sicht ist das ein NoGo. Was meint Ihr?

  33. schon ein nettes Völkchen Freaks hier unterwegs, meine Güte

  34. Deliberation says:

    Dafür ist Keepass ja da. Es ist nur ziemlich egoistisch, andere Varianten pauschal mies zu machen, indem man das heilige Keepass in JEDER einzigen Meldung zum Besten gibt.

    Zudem taugt für mich das ewige Argument „ich weiß bei open source genau, was das Programm macht“ nichts. Erstens bezweifle ich, dass jeder auch nur weiß, in welcher Programmiersprache Keepass geschrieben ist (ohne Nachgucken…). Und zweitens bezweifle ich, dass von denen, die das wissen auch nur ein Bruchteil den Code versteht. Und drittens bezweifle ich, dass von diesem Bruchteil wiederum auch nur ein einziger User das notwendige Betriebssystem in Open Source vorliegen hat und auch hier die Punkte 1 und 2 erfüllt sind.

    Ergo benötigt man immer Vertrauen. Im Fall von Lastpass und Co in einen Anbieter, dessen Geschäftsmodell es ist, etwas sicheres anzubieten. Und im Fall von Keepass in eine Programmierergemeinde mit mit unbekannten Personen und wahrscheinlich in den meisten Fällen auch noch in Microsoft, dass diese nicht bereits auf Kernel-Ebene eine Backdoor eingebaut haben.

    Insofern: seht eure Entscheidung als das was sie ist, EURE Entscheidung. Und lasst anderen die ihre.

  35. @Deliberation Kann deine Gedanken nachvollziehen und irgendwie ist da auch was dran.

    Aber: Auch wenn nur die wenigsten den Quellcode lesen können (und es auch machen) gibt Open Source doch Sicherheit. Es wird immer, gerade in diesem Bereich Sicherheitsforscher oder Programmierer geben, die den Code nutzen oder untersuchen wollen. Und das Keepass immer erwähnt wird liegt eher daran das es bereits lange am Markt ist und damit einen hohen Bekanntheits/Vertrauenswert bei vielen Nutzern hat.

    Mein Passwortmanager ist Sicherheitstechnisch das mit Abstand brisanteste was ich auf den Rechner habe. Ich würde allein deshalb nie auf eine neue Software setzten die nicht zumindest eine Weile Ihre Zuverlässigkeit unter Beweis gestellt hat. Bitwarden macht aber einen guten Eindruck, mal sehen wie es sich entwickelt…

  36. Ich bin Free-Lastpasser und das schon lange. Was mit bei Biotwarden fehlt ist das Eingabeknöpchen neben dem Eingabefeld.
    Ich hab z.B. auf einer Seite samt Subdomains 5 Zugänge – das ist nur oben über den Browser schlecht zu machen weil ich nicht weiß was dahinter steckt. Import hat funktioniert, läuft auch.

  37. Deliberation says:

    @Max Power: Deine Meinung und Entscheidung ist absolut in Ordnung. Ich wollte nur darauf hinweisen, dass Open Source ebenso Vertrauen erfordert, wie Closed Source. Denn wissen tun es nur die wenigsten User.

    @JD: das müsste mit Bitwarden eigentlich funktionieren. Ich bin mir nicht mehr sicher, wie ich es aktiviert hatte. Schau mal in den Optionen nach etwas im Sinne von „Autofill“, hinter dem vielleicht auch „experimental“ oder so ähnlich steht und aktiviere es.

  38. > dass Open Source ebenso Vertrauen erfordert, wie Closed Source

    Und genau das ist falsch.

    ClosedSource kontrolliert niemand.

    OpenSource kontrollieren viele, und das genügt. Es ist nicht nötig, das /jeder/ da reingucken kann. Allein schon, dass jemand reingucken /kann/, zwingt den Entwickler, irgendwelche Sperenzchen zu unterlassen.

  39. So jetzt muss ich mich auch mal melden. Bitwarden ist genau das, was ich immer gesucht hatte. Den Komfort von LastPass, kombiniert mit der Flexibilität von von Enpass (Custom Fields etc). Danke Caschy für den Tipp!

    Habe mir auch direkt den Premium Account geholt habe nur jetzt ein Problem: TOTP Codes werden NUR in der Web Vault angezeigt, NICHT in der Chrome/Firefox Erweiterung im Eintrag. Das macht die ganze Usability Kaputt.

    Was mache ich falsch oder geht TOTP nur im Web Vault auf der Website und nicht in der Erweiterung?

  40. Zweiter Nachteil den ich gerade entdeckt habe: Die Synchronisation zwischen den Geräten (iPhone, Web Vault und Browser Erweiterung) funktioniert nicht automatisch. Du musst manuell den Abgleich in der Instanz anfordern,. wenn du woanders eine Änderung vorgenommen hast. Enpass/Lastpass machen das instant und automatisch sobald eine Änderung identifiziert wird.

    Das ist eigtl schon ein No-Go, wenn das Problem so besteht und ich nicht das Problem bin… Hoffe ich habe gerade nicht $10 aus dem Fenster geworfen

  41. Entweder bin ich einfach zu doof, oder hier nutzt keiner die selbe Kombi wie ich.
    Bisher hat mein Problem noch niemand anderes aufgegriffen.
    Nutze MacOS und Safari. Und da funktioniert zum einen der Export aus LastPass nicht. Zum andern gibt es keine Erweiterung für Safari.
    Somit ist Bitwarden absolut unbrauchbar für mich. Schade, hätte dem ganzen gerne eine Chance gegeben.

  42. Dritter Nachteil:
    Wenn du in der iOS App Übersicht die Bitwarden App killst (Aus dem TaskManager schmeißt), vorher aber Bitwarden offen hattest und mittels touch ID entsperrt hast, dann bleibt die Entsperrung bestehen!

    Alle anderen Apps die ich getestet habe (Safeincloud, lastpass, enpass) fragen nach dem App KILL IMMER nach dem fingerabdruck nach.

    Das ist ein absolutes No Go.
    Denke ich werde ein Refund beantragen

  43. Problem Nummer 3 kannst du doch in den Optionen unter Sperroptionen mit der Auswahl „sofort“ erreichen oder?

    Finde eher schade, dass teilweise trotz genauer URL angezeigt wird, es wäre kein passendes Passwort gespeichert.

    Bin auch gerade am testen diverser Lösungen, da ich bei Lastpass eben nicht den Speicherort selber festlegen kann. Irgendwie gibt es die perfekte Lösung nicht zu einem guten Preis. Enpass ist gut mit kleineren Schwächen, Safeincloud wäre ideal, es fehlt aber an der Safari Erweiterung für iOS.

  44. Lessons Learned:

    Never change a running system:
    http://www.enpass.io ist und bleibt die Beste Software

  45. @Tim:

    Ja aber ich will ja manchmal dass die Instanz offen bleibt, wenn ich zb. zwischen Apps hin und her switche. Aber wenn ich MANUELL die APP Kille, dann sollte auch die Sperre anspringen. Das ist einfach Logik und machen alle Passwort manager, egal was man bei denen in den Settings einträgt.

    Aber das die Instanzen nicht automatisch untereinander syncen ist der absolute Abschuss.
    Ist das nur bei mir so? Ich muss immer per „Abgleich“ den Sync anstoßen…. Das das Caschy nicht aufgefallen ist..

  46. @tundrablasen
    Mit der Synchronisation habe ich bis jetzt noch keine Probleme gehabt. Hab auch schon Passwörter in der Browser Extension geändert, und hatte es sofort auf dem Smartphone.
    In den Einstellungen kannst du das Sperrverhalten der App einstellen. Ich musste noch unter iOS immer nach einem App-wechsel entsperren. Jetzt hab ich aber ein Pixel 2 XL und kann das geniale Autofill von Android nutzen.

  47. @tundrablasen
    Wenn das mit dem killen der App immer so ist, solltest du es dem Entwickler melden. Das lässt sich dann mit einem Update beheben.

  48. @Deliberation Hier werden einige nicht müde, den Unsinn zu verbreiten, OpenSource wäre wie jede andere Software eine Frage des Vertrauens. Klar und deutlich dazu: NEIN
    Wie z.B. hier am Beispiel KeePass oder Apache nachzulesen:

    https://www.ghacks.net/2016/11/22/keepass-audit-no-critical-security-vulnerabilities-found/
    https://www.heise.de/security/meldung/Code-Review-EU-Projekt-FOSSA-begutachtet-Apache-und-KeePass-3289313.html

    Das lässt dich sonst weder Apple noch MS oder irgendein anderer Anbieter von geschlossenener Software machen.

  49. Interessant, ich bleibe aber lieber bei KeePass mit der „alten“ Optik. Die funktioniert und warum immer umgewöhnen. Wenn man sich bei allen Sachen immer wieder umgewöhnen muß, verliert man Zeit, meine Meinung.
    Dazu KeePass auf die Synolofgy, per VPN synchen und schon ist man auch mobil aktuell 🙂

  50. Habe eine Refund bei Kyle beantragt. Er hat sich direkt bereit erklärt mir die $10 zu erstatten. Schneller und guter Support!

    Also mein Kurzausflug von 2-3 Std ist: Es ist gut, aber hat noch ein paar Sicherheitslücken und technische Probleme (Sync ging bei mir nicht so schnell wie bei bei enpass)

    Was mir noch aufgefallen ist, SafeinCloud oder Enpass so usability features bieten wie PIN Codes in deren Desktop Programmen, wenn die Instanz offen ist. Bei Bitwarden muss ich mich entscheiden: IMMER Masterpasswort eingeben oder es Sperrangelweit offen lassen für x Minuten/Stunden je nach Settings.

  51. @tundrablasen
    Ich zitiere mal: „Wenn du in der iOS App Übersicht die Bitwarden App killst (Aus dem TaskManager schmeißt), vorher aber Bitwarden offen hattest und mittels touch ID entsperrt hast, dann bleibt die Entsperrung bestehen!“

    Kann ich nicht nachvollziehen, habe ich schon mehrere Male getestet.

    „Es ist gut, aber hat noch ein paar Sicherheitslücken“ Welche konkret?

  52. @caschy: Bei Sperroption != sofort, kann ich das Verhalten bestätigen (Iphone 6s IOS 11.2.1)

    Hab jetzt den Umzug auf MacOS über Chrome hinbekommen. Macht wirklich nen guten ersten Eindruck!
    Mal schauen wie es weiter geht.

  53. @caschy:

    jop hab es bei mir mit dem iPad / iPhone mehrmals probiert (auch app deinstalliert). Wenn einmal die App mit Touch ID entsperrt ist, ich dann die APP Komplett kille und neu öffne, Fragt er mich nicht noch einmal nach dem Touch ID, sondern ich bin direkt im Tresor. (wenn ich vorher eingestellt hatte, dass er die Tresor erst nach 1 minute verschließen soll.

    weitere Sicherheitslücken:
    Das Passwörter nicht aus der Zwischenablage nach x Sekunden/Minuten gelöscht werden. Vllt gibt es diese Funktion nur ich habe Sie nicht gefunden? Bei mir bleiben Passwörter dauerhaft in der Zwischenablage. Wie ist es bei dir?

    Ich hätte vllt besser Sicherheitsfeatures schreiben sollen und nicht Lücken. Aber das ist für mich schon essentiell.

    Welchen PW Manager benutzt du den nun dauerhaft als deine Daily Software

  54. Ergänzung zu Thorsten der wohl das gleiche Verhalten hat:

    wenn ich in den Einstellungen: Sperroption sofort mache, fragt er auch IMMER nach Touch ID.

    Wenn ich aber >1 Min auswähle in den Options, bringt App Killen nach 10 Sekunden nichts. Bitwarden bleibt bei Neustart offen

    (iPhone 8, 11.2.1)

  55. Es gibt die Möglichkeit, die Software auch selber zu hosten, d.h. die Passwörter bleiben auf dem eigenen Server. Coole Sache, dachte ich… Man braucht „nur“ 2 GB RAM. Die Software ist mit .NET geschrieben, man braucht auch eine Microsoft SQLServer-Datenbank. Deshalb bieten die auch Docker-Lösung an. Es werden 5 Container gestartet, nur um Passwörter zu speichern. Verstehe nicht, warum man sowas macht… Hatte eine leise Hoffnung, dass ich mir die Lösung (Backend) auf meinem Server oder sogar Raspberry PI installieren kann. Aber sorry, 2 GB Ram, nur um Passwörter zu speichern ist ein bisschen übertrieben 🙂

  56. @Torsten: Teste mal: 1 Minute, abschießen, ne Minute warten. Sollte dann geschlossen sein. Mal davon ab, dass Apps so schließen unter iOS eher kontraproduktiv ist, was Systemsache ist 🙂

    @tundrablasen: Versuch mal, deine Ausführungen immer in einem Kommentar zusammenzufassen, danke. Macht es leichter, zu verfolgen. Zu deiner Frage: Ich habe selber derzeit seit einigen Tagen Bitwarden im Haupt-Einsatz, ganz einfach, weil ich das Projekt und die Entwicklung beobachten will. Habe aber auch noch 1Password installiert, derzeit aber nicht aktiv. Besitze auch noch Enpass auf allen Plattformen.

  57. Deliberation says:

    @Jörg: Du hast meine Argumentation noch nicht ganz verstanden. Lass es mich so sagen: wen kennst Du, der Keepass und Windows als Wertschöpfungskette täglich kontrolliert? Ich wette: niemanden. Und selbst wenn wir Windows aus der Gleichung nehmen, wie viele kennst Du, die den Code von Keepass kontrollieren? Selbst wenn Du eine Person kennen würdest, müsstest Du zu dieser Vertrauen haben. Bei fremden Personen muss dieses Vertrauen noch großer sein. Und nun noch die abschließende Frage: wie unterscheidet sich dieses Vertrauen in völlig fremde Personen von Deinem nicht vorhandenen Vertrauen in die Entwickler einer Closed Source Lösung? In beiden Fällen basiert Deine Entscheidung auf Vertrauen, denn in keinem der beiden Fällen hast Du selbst die Kontrolle.

    @tundrablasen: danke, dass Du das Thema mit dem Sync noch erwähnt hast. Das war mir bei meinem Test auch schon aufgefallen. Ich war mir nur nicht sicher, ob das ein Bug oder „Feature“ sein soll. Caschy verwendet übrigens meines Wissens 1Password.

    @tim: das kam bei mir aber nur sehr selten vor und war teilweise nicht reproduzierbar. Ist es das bei Dir?

    @TVB: danke, Du hast mir das perfekte Beispiel für die problematische Betrachtung von Open Source geliefert! Du vertraust darauf, dass die Code Reviews von Dir unbekannten Teilnehmern eines externen Code Reviews besser ist, als das des Herstellers. Schnell noch ein Europalogo draufgeklatscht und fertig ist die 100%ige Sicherheit. Wie kommt es dann, dass die Auditoren manche Lücken übersehen haben, die nachweislich zur Zeit des Reviews in Keepass vorhanden waren? Zum Beispiel die sicher kritische Lücke des Abfischens aller Passwörter über einen HTTP-Request? Nein, ich bleibe dabei, denn ich sehe es jeden Tag. Wer sich den Code nicht selber ansieht und ihn versteht, muss bei Open Source wie bei Closed Source auf Andere vertrauen.

  58. @caschy: Nach einer Minute verlangt er TouchID 😉
    Ich schieße auch keine Apps ab. Habs halt nur getestet.

    Komisches verhalten eben. Habe die Passwörter aus LastPass per Export als CSV in BW importiert. Waren alle da und auch sofort auf IOS verfügbar. 5 Minuten später waren sie nur noch auf IOS verfügbar. Chrome Erweiterung war leer. Erst nach manuellem sync war alles da.

  59. Deliberation says:

    Hier übrigens noch zwei Passwortmanager, die für mich neu sind:

    https://www.remembear.com/
    https://www.cyclonis.com/

  60. Vielen Dank für den Tipp, Caschy! Da zahle ich gern 10 Dollar im Jahr, der Funktionsumfang ist super!

  61. Die Online-Passwortmanager Docsafe.Swisscom.com und SecureSafe wurden hier nicht genannt – kann jemand über seine Erfahrungen damit berichten oder etwas grundsätzliches dazu sagen?

  62. @Deliberation Beitrag glänzt wieder mit fundiertem Halbwissen. Keepass v2.32 konnte durch einen MitM dazu gebracht werden, eine falsche Updateseite anzuzeigen, das ist alles. „kritische Lücke des Abfischens aller Passwörter über einen HTTP-Request“ ist wohl absichtlich reißerisch und nicht der Wahrheit entsprechend formuliert.

    Automatische Updates finden nicht statt, näheres dazu unter: (inkl Update mit Stellungnahme des Entwicklers; „KeePass can be downloaded from many servers (SourceForge with its many mirror servers, FossHub, etc.). In order to make sure that the downloaded file is official, users should check whether the file is digitally signed“)
    https://www.heise.de/newsticker/meldung/Update-Funktion-von-KeePass-2-unsicher-3227180.html

    Die am 11.06.2016 veröffentlichte v2.34 behebt den Fehler. Da die Entscheidung für die Audits im Juli 2016 gefallen ist, wird die untersuchte Version kaum noch betroffen gewesen sein.

    Sicher muss auch ich bei OpenSource auf das Urteil anderer vertrauen. Ich vertraue jedoch lieber öffentlichen Institutionen, unabhängigen Gutachtern und einer engagierten Community, als börsennotierten Unternehmen und finanziell mies aufgestellten Mittelständlern, die ihre eigenen Großmutter verkaufen würden, wenn es ihnen 10$ mehr einbringt oder womöglich noch Entwicklungskosten spart.
    Wie solche Unternehmen mit Sicherheitslücken ihrer Software umgehen, sah man sehr schön am ständigen Bashing Richtung Google Project Zero. Da wurde klar, dass die beliebteste Methode der Bekämpfung von Sicherheitslücken verheimlichen und hinauszögern war.

  63. Warum wir eigentlich nie erwähnt, dass z.b. Chrome von Haus aus bereits Passwörter etc. speichern kann? Ist das, gerade für Technik-Laien, nicht eine einfache Alternative?

  64. @Jens – klares NEIN. Viel unsicherer geht’s eigentlich nicht mehr. Na doch, unverschlüsselt die Passwörter in die Cloud stellen vielleicht…vergiss es ganz schnell wieder.

  65. Übrigens hoffe ich, dass die Interessierten, die Fehler finden oder Verbesserungsvorschläge haben, diese melden beim Entwickler. Glaube kaum, dass der hier mitliest 🙂

  66. Deliberation says:

    @TVB: kannst Du bitte sachlich argumentieren und auf so blöde Sprüche wie „Halbwissen“ und Co verzichten? Ich bin mir sicher, dass Du auch ohne diese schlechte Rhetorik zurecht kommst.

    Soweit ich das Thema damals mitbekommen habe, kann nicht nur eine falsche Updateseite, sondern falsche Updates angezeigt und zum Download angeboten werden. Deshalb wurde in dem von Dir erwähnten Update auch die digitale Signatur der Downloaddatei eingeführt. Das ist jedoch keine wirkliche Lösung des Problems, weil die Prüfung noch immer durch den User erfolgen muss. Und selbst wenn der User die Signatur überprüft, so weist heise auch hier auf das Problem hin. Der Entwickler macht keine Angaben zu den korrekten Zertifikaten.

    Mir ging es aber lediglich um Deinen letzten Absatz. Hier hast Du Dich dafür entschieden, der einen Seite mehr als der anderen zu vertrauen. Das ist Deine Entscheidung, die auch nur für Dich gilt. Andere können anders entscheiden. Und dass man dies ebenfalls tolerieren sollte, nur darum ging es mir.

    @Jens: die Passwörter, die im Browser gespeichert werden, können mit einfachen Mitteln ausgelesen werden. Schau Dir z.B. mal das Programm WebBrowserPassView an. Das ist ein Grund, warum Password Manager wichtig sind. Nutzt man einen solchen, stellt man idealerweise auch die Funktion des Browsers zum Sichern der Passwörter ab und löscht alle bereits gespeicherten Passwörter.

  67. @caschy:

    Feedback ist bereits an den Entwickler raus (meine Punkte oben), als ich den Refund beantragt habe. Aktuell ist die Software für mich noch nicht 100% geeignet, aber ich werde sie auf jedenfall im Auge behalten! Danke für den Tipp, den dies ist eigtl genau das was ich immer gesucht hatte,seidem ich von Lastpass weg bin und hin zu Enpass

  68. @Deliberation und schon wieder falsch.Du stellst zum wiederholten mal negative Behauptungen über diese Software auf, die nicht den Tatsachen entsprechen. Die digitale Signatur war immer vorhanden und da nur manuelle Updates vorgesehen sind, ist es die Aufgabe des Anwenders, zu überprüfen, ob er die richtige Version runterlädt. Keepass kann man auf diversen Seiten runterladen, unabhängig von integrierten Updateempfehlungen. Daher sollte man auch überprüfen, was man da runtergeladen hat.
    Entgegen deiner Behauptung wurde beim Update nicht eine digitale Signatur der Software selber eingeführt, sondern die Updateempfehlung mit HTTPS gesichert und die Datei mit den Updateinformationen digital signiert.

    Und nein, wenn fehlinformierte Zeitgenossen oder bezahlte Schreiberlinge Unsinn als Tatsachen verkaufen, dann muss man das keinesfalls tolerieren.

  69. @caschy: Natürlich. ich unterstütze gerne „kleine“ Entwickler mit meinem Feedback. Ist ja quasi ne Win/Win Situation 🙂

  70. Zum Thema Bitwarden: Chrome und Android funktionieren bei mir gut, sogar das Firefoxaddon unter Android läuft. Import war bis auf kleinere Macken mit zu vielen Zeichen im Kommentarfeld auch problemlos. Allgemein ein wenig komfortabler als KeePass bzw. einfachere Einrichtung mit weniger Einzelkomponenten.
    Ich habe jetzt mal die 10$ gespendet und behalte es im Auge 🙂

  71. @Matze ist es wirklich unsicher die Daten verschlüsselt auf Googles Server abzulegen? Würde dazu gerne mehr erfahren.

  72. Deliberation says:

    „Und nein, wenn fehlinformierte Zeitgenossen oder bezahlte Schreiberlinge Unsinn als Tatsachen verkaufen, dann muss man das keinesfalls tolerieren.“

    Au weia, zu solch miesem Stil braucht man nicht viel zu sagen, Du bist ein wirklich schlechter Mensch, wenn Du die Entscheidung Deiner Mitmenschen partout nicht tolerieren willst und diese durch Axiome zu deklassieren suchst.

    Zum Thema: es steht doch in Deinem eigenen Link:

    „Ferner soll ab Version 2.34 die Datei mit den Versions-Informationen digital signiert sein, um Manipulationen zu verhindern.“

    und Du schreibst, ich habe Unrecht, mit der Begründung:

    „Die digitale Signatur war immer vorhanden“

    Wenn das kein Widerspruch ist, dann weiß ich auch nicht mehr weiter.

    Prinzipiell haben wir hier über zwei Dinge mehr oder weniger sachlich diskutiert:

    1. Die Wirksamkeit von öffentlichen Prüfungen von Softwarecode und
    2. Die daraus folgende, subjektive Entscheidung für oder gegen Open Source.

    Zu 1. sind nun denke ich alle Informationen ausgetauscht. Zu 2. ist nur festzustellen, dass Du die Meinung Deiner Mitmenschen nicht tolerierst. Auch das ist wiederum eine subjektive Entscheidung Deinerseits, die wiederum ich toleriere. Nun mach damit, was immer Du möchtest.

  73. @Deliberation zum xten mal: falsch. Es gibt einen Unterschied zwischen der schon immer vorhandenen digitalen Signatur einer Software und der mit 2.34 eingeführten digitalen Signatur einer „Datei mit Versions-Informationen“.
    ’schlechter Mensch‘ zu sein ist eine leere Worthülse. Ich freue mich lieber einfach darüber, dass ich lesen kann 🙂

  74. Deliberation says:

    Ich verwende keine leeren Worthülsen, schließlich habe ich meine Äußerung begründet. Du kannst persönliche Anfeindungen aber offensichtlich nicht lassen. Schade.

    Wenn Du nur „Datei mit Versionsinformationen“ schreibst, aber das Wesentliche danach, nämlich „digital signiert“ weglässt, dann kommst Du natürlich zur falschen Schlussfolgerung. Genauer gesagt ist die „digitale Signatur“ der Update-Datei erst ab Version 2.34 vorhanden. Du hast aber argumentiert, diese (d.h. die „digitale Signatur“) war „schon immer vorhanden“. Das ist de facto falsch. Du hast ja selbst geschrieben, dass der Anwender selbst überprüfen müsse, ob er das richtige Update lade. Und ich bezweifle eben, dass dies ein praktikabler Schutz ist. Besser wäre wie gesagt ein Update über https mit in der Software integrierten Server-Hash-Prüfung, die eine man-in-the-middle Attacke beim Update per se ausschließt. Das aber verweigert der Autor mit Hinweis auf den Programmieraufwand. Insofern ist diese Sicherheitslücke noch immer vorhanden und das von Dir erwähnte Audit hat sie nicht einmal erwähnt, obwohl sie bekannt war. Nur, um mal wieder zum Thema zu kommen.

    So. Mal sehen, ob Du weiterhin Dein Glück mit persönlichen Anfeindungen versuchst oder endlich auf die sachliche Ebene herab steigst. Mir wäre das ehrlich gesagt lieber.

  75. @Deliberation ok, JETZT habe ich verstanden. Dachte schon, das kann doch nicht sein.. lach .. da.. < .. nix für ungut *g*

  76. @Deliberation Fisch vergessen, hier lass dir schmecken. <

  77. @Deliberation hier der Fisch noch.. Mahlzeit 🙂

  78. FriedeFreudeEierkuchen says:

    @TVB: ich wollte eigentlich noch etwas in Richtung von Deliberations Argumentation sagen, aber du hast anscheinend keine Lust ernsthaft zu diskutieren, sonder wirst ständig persönlich. Traust du deinen eigenen Argumenten so wenig? Oder im Gegenteil: darf es außerhalb deiner Meinung noch eine andere geben?

    Nur kurz: Open Source *KANN* geprüft werden, wird es aber oft nicht ausreichend. Sicherheitstests sind anspruchsvoll, dazu fehlt oftmals das Wissen. Die oft geäußerte Meinung „Open Source ist sicherer als Closed Source“ stimmt so einfach nicht.
    Du hast allerdings recht, dass man Closed Source nur durch Fuzzing prüfen kann – wobei das heute ohnehin das Mittel der Wahl ist: schneller und einfacher als Code Audit.

  79. Bitwarden verschlüselt bzw. hasht mit 5000 ireations, das ist viel zu wenig, Enpass nutzt 20000 und 1Password mit 100000. Leider ist das auch nicht anpassbar.

  80. Gibt es Passwort Mananger die z. B. mit einem Klick neue Passwörter generieren und diese für alle Accounts austauschen ?
    Die haben alle Browsererweiterungen also müsste sowas möglich sein.

  81. Macht sich wirklich sehr gut. Bin jetzt von Keepass umgestiegen. Bei Neuanlage von neuen Logins in der Browserextension lässt sich jedoch nicht „hin- und herspringen“ für strg + c und strg + v für einzelne neue Felder, da die Browserextension das nicht mitmacht. Import der Daten aus Keepass als keepass 2 xml Datei war völlig problemlos. Auch die Mobile App fühlt sich gut und easy an. Mal gucken, wie die Reise weitergeht.
    Danke für den Tipp Caschy

  82. Deliberation says:

    @FriedeFreudeEierkuchen: danke, genau so meinte ich das.

    @Gast: ich weiß zumindest von Lastpass und Dashlane, dass diese eine automatische Aktualisierung des Passworts für mehrere Seiten unterstützen. Allerdings werden natürlich nicht alle Webseiten unterstützt, sondern nur die relativ bekannten und großen. Meines Wissens hat Dashlane hier die breiteste Unterstützung. Wie die momentan aussieht, bzw. welche Webseiten aktuell unterstützt werden, kannst Du hier sehen:

    https://www.dashlane.com/de/password-changer-list

  83. Deliberation says:

    Hm… da hat es wohl meinen Kommentar verschluckt. Dann nochmal:

    @FriedeFreudeEierkuchen: danke, genau so meinte ich das.

    @Gast: zumindest Lastpass und Dashlane haben eine Funktion, mit der man Passwörter bestimmter Webseiten automatisch aktualisieren lassen kann. Das funktioniert aber nicht bei allen Webseiten. Dashlane ist hier meines Wissens am umfangreichsten aufgestellt. Hier kannst Du sehen, welche Seiten von Dashlane aktuell unterstützt werden:

    https://www.dashlane.com/de/password-changer-list

  84. Günxmürfel says:

    Ich teste Bitwarden jetzt seit ca. 3 Monaten. Der Entwickler ist sehr aktiv, reagiert schnell auf Feedback und reicht sinnvolle Funktionen nach. Ich hoffe nur, dass er schnell über die nötigen Mittel verfügt, ein kleines Team aufzubauen. Eine One Man Software ist nie ideal.

  85. @masterpass

    Das Problem ist ja auch, dass man das Passwort nicht ändern kann, was schon reichlich unsicher ist

    @bitwarden

    Klingt interessant, aber mir wird zu wenig auf Security Features eingegangen

    @Enpass

    Sieht super aus… und wäre theoretisch meine favorisierte Variante (habs auch meiner 70-jährigen Mutter installiert, die mit KeePAss aufgrund der Optik nicht klar kam), allerdings ja, die Inder drücken sich seit langer Zeit mit immer neuen Ausreden vor Audits, einmal sind es zu viel Plattformen, dann will man bis zum nächsten Release warten, dann verzögert sich das, weil man ja nicht wusste, dass Firefex die alten Plugins abschaltet… gibt immer noch keine neues Plugin… finde ich schon unprofessionell. Dazu kommen eine Menge fehlende Features, mehrere Datenbanken gehen nicht, Attachments auch nicht… K.O: Kriterium ist aber für mich die fehlende Unterstützung von Key-Files

    @Keepass

    Letztlich bleibe ich daher bei KeePass, ja es sieht wirklich beschissen aus… ABER: Ich kann mit lokalen Keyfiles, die Passwörter in die Dropbox schieben und habe so einen zusätzlichen Layer Schutz. Auch sonst scheint mir KeePass von der Security her, der Goldstandard zu sein, daher bleibe ich dabei… (auch wenn es noch keinen guten iOS Client gibt). Dazu kommen eine Menge Plugin (gelle Deliberation, und KeePass wurde halt schon auditiert, eben von solchen Leuten, die wissen wie es geschrieben wurde 😉 )

    @Walt: Danke für den Test, damit werde ich mir Bitwarden nicht installieren 😉

  86. Bleibe aktuell auch bei Keepass hängen weil:

    @Engpass

    Würde mir gefallen, aber Hasht noch mit 24000 Rounds mit SHA-1 und unterstützt aktuell kein Keyfile.

    @Bitwarden

    Zwischenablage nicht löschen nach x Minuten (Danke an den Hinweis @Walt) und nur 5000 Rounds Iterations wenn auch mit SHA 265, ist definitiv viel zu wenig. Und das bei Hosting in der MS Azure Cloud.

    @Keepass

    Ja die Oberfläche ist häßlich, aber mit ChaCha20 und Argon2 und Keyfile, sollte das bei richtiger Konfiguration, die sicherste Variante sein.
    Und für iOS gibt es Kypass4, was wirklich nicht schlecht ist.

  87. @MGL – Danke für den Hinweis auf ChaCha2 !

    Gilt SHA-1 nicht als geknackt? https://www.heise.de/security/meldung/Todesstoss-Forscher-zerschmettern-SHA-1-3633589.html

    KyPass sieht halt nicht so sexy aus, aber werde es ggf testen (müssen)

  88. @DFFVB

    Ja SHA1 ist geknackt, aber Enpass benutzt HMAC_SHA1 was wohl noch als sicher gilt.
    Bei KyPass kannst du Farben und Fonts anpassen, wenn du die experimental Settings aktivierst. Die Standard Einstellung finde ich auch nicht besonders.

  89. Ich finde das Konzept von https://myki.co/ sehr interessant – Die Passwörter werden nicht in der Cloud sondern auf dem verschlüsselten Smartphone gespeichert. Über ein Browser Add-In wird das Passwort im Bedarfsfall vom Smartphone angefordert und für die Nutzung am PC freigegeben.

  90. @Janaj

    Hast du Myki selbst eingesetzt?
    Was sagen ‚kritische Stimmen‘ zu Myki?

  91. @bat

    Ja habe es im Einsatz und es funktioniert im täglichen Gebrauch einwandfrei. Hatte zuvor im Internet recherchiert aber nichts negatives hierzu gefunden.

  92. Ich nutze seit zig Jahren roboform. Alle anderen Tools hatten bisher sehr viel weniger Funktionalität. Und der Preis ist auch fair.

  93. Hermann Faltihn says:

    Moin zusammen,
    seit vielen Jahren nutze ich iPin. Gibt es für alle Plattformen.
    Vor allem gefällt mir die Möglichkeit, lokal im eigenen WLAN den jeweiligen Tresor vom Mac auf das iPhone, das Android auf den Win-Rechner übertragen zu können. Kein „Outer-Space“ ist involviert, wenn ich nicht will.
    Synchronisiert natürlich auch über iCloud.

    Also ich bin sehr zufrieden.
    Solltet ihr euch mal anschauen, eure Meinung würde mich interessieren.

  94. @caschy
    gibt es mittlerweile für dich einen Gewinner bei den Passwordmanagern oder ein Fazit das du nun ziehen würdest?

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.