Bitwarden: Toller Passwort-Manager (Open Source)
von caschy | 97 Kommentare
Im Laufe der Jahre haben wir hier im Blog viele Passwort-Manager vorgestellt, besprochen und mit den Lesern diskutiert. Den besten gibt es natürlich nicht, wenn ich das so schreiben würde. Wie gut etwas ist, hängt auch immer von den eigenen Ansprüchen und Voraussetzungen ab. Fremde Server sind absolut keine Option? Verschlüsselte Passwort-Datenbanken bei Dropbox, Google Drive und Co sind ok? Möglichst bequem soll es sein? Die Apps sollen taugen? Es darf etwas kosten oder soll kostenlos sein? Viele Fragen, die jeder für sich selber beantworten muss.
Schauen wir uns mal kurz um – und meine Liste erhebt natürlich keinen Anspruch auf Vollständigkeit. LastPass ist eine Lösung, die man kostenlos oder kostengünstig nutzen kann. Sehr beliebt, wurde seinerzeit von Logmein übernommen. Es gibt Apps und Erweiterungen, Passwörter landen verschlüsselt in der Cloud von LastPass.
Dann gibt es 1Password. Mittlerweile auch von macOS und iOS aktiv, sprich Web, Windows und Android. War früher eine Lösung, die man einmal kaufte, Password-Tresore konnten unterschiedlich synchronisiert werden, beispielsweise via WiFi oder Anbietern wie Dropbox. Mittlerweile will man mehr in die Abo-Schiene, was zur Folge hat, dass die Passwort-Tresore in die 1Password-Cloud wandern. Zwar gibt es das alte Modell noch, aber viele Nutzer des kanadischen Unternehmens sind mittlerweile unsicher geworden, ob das Einmal-zahlen-Modell Bestand haben wird.
Auch erwähnenswert: Enpass, ebenfalls auf fast allen Plattformen daheim, Synchronisation via Dropbox, Google Drive und Co – und preislich ist es so, dass man pro Mobil-Plattform zahlt. Desktop-Nutzung ist kostenlos, bis zu 20 Objekte in einem Mobil-Vault auch, danach ist man für sehr faire 10 Euro dabei. Mitte des Jahres habe ich mir Enpass genauer angeschaut und war ganz angetan.
Dann gibt es natürlich noch die alte und bekannte Lösung KeePass nebst diverser Derivate, damit man die – via auch immer synchronisierten – Passwort-Datenbanken mobil oder auf dem Desktop nutzen kann. Wenn man sich einarbeitet, macht auch KeePass sicherlich Spaß, ist zudem natürlich kostenlos. KeePass ist für viele eine Konstante, doch persönlich finde ich, dass andere Lösungen mittlerweile vorbeigezogen sind, gerade in Sachen Plattformunabhängigkeit aus einer Hand und Funktionen. Dennoch eine erwähnenswerte Software.
Ebenfalls erwähnen darf man SafeInCloud. Zu finden auf den gängigen Plattformen, kann hier neben Dropbox, Google Drive und OneDrive auch WebDAV, also der eigene Server, genutzt werden. Ansonsten findet man hier im Blog relativ viel, wenn man nach Managern für Passwörter sucht, Dashlane, onSafe, Roboform, mSecure und Co findet man da noch.
Recht lange Einleitung, aber ich wollte halt kurz aufzeigen, dass es viele Lösungen für unterschiedliche Ansprüche gibt. Und nun kommt eine weitere hinzu, die ich mir in der letzten Zeit angeschaut habe.
Bitwarden.
Liest man sich die Projekt-Geschichte durch, dann möchte man sich schon wundern. Bitwarden versuchte die Finanzierung via Kickstarter und scheiterte. Das gesteckte Ziel wurde nicht erreicht. Bitwarden ist Open Source und erst einmal kostenlos. Es gibt mobile Apps, eine Web-Version und Erweiterungen für gängige Browser (Chrome, Firefox, Opera, Edge, Vivaldi, Brave & Tor Browser). Versionen für den Desktop sollen folgen.
Passwörter landen verschlüsselt in der Cloud, alternativ kann man via Docker einen eigenen Server unter Windows, Linux und macOS aufsetzen. Passwörter landen nicht unverschlüsselt in der Cloud, alles wird vorab auf eurem Gerät verschlüsselt. Das wirklich krasse ist, dass Bitwarden zwar Open Source ist, hinter der Lösung aber mit der 8bit Solutions LLC nur ein bisher aktiver Entwickler steht, nämlich Kyle Spearrin. Ich greife mal vorweg: Will man einen Grund gegen Bitwarden finden, dann ist es sicherlich dieser. Wenn Bitwarden größer wird, muss der Bursche aufrüsten, klar.
Bitwarden bietet für Privatnutzer alles wichtige kostenlos an. Team-Accounts lassen sich fair bezahlen, Lösungen für Familien kosten 1 Dollar für 5 Teilnehmer im Monat. Wer die fairen Preise zahlt, der bekommt auch etwas dafür, beispielsweise Cloud-Speicher. In diesem kann man Anhänge speichern. Wer diese nicht braucht, der muss nichts zahlen.
Als ich Bitwarden das erste Mal richtig unter die Lupe nahm, war ich schon überrascht, was da gestemmt wurde. Die Apps sind deutsch lokalisiert, die Erweiterung auch, lediglich die Webseite ist derzeit nur in englischer Sprache nutzbar, was aber hoffentlich kein Beinbruch darstellt. Es ist weniger kompliziert als andere Lösungen, des Weiteren kann man eigentlich auch alles über die Browser-Erweiterung machen, denn diese spricht Deutsch.
Nutzer können in Bitwarden Gruppen anlegen, Ordner quasi. Das macht das Ganze natürlich übersichtlich. Wie man Logins erstellt, erspare ich uns mal hier, das sollten die Leser hier wohl wissen. Wer umzieht – sei es raus oder rein in Bitwarden – der hat mehrere Importmöglichkeiten, das hat in meinem Test aus 1Password ganz gut geklappt.
Nutzer können unterschiedliche Typen anlegen in Bitwarden, Logins, Karten, Identitäten und sichere Notizen sind da möglich. Passwörter können natürlich auch generiert werden. Ist man auf einer Webseite mit Login, so visualisiert dies Bitwarden über die Erweiterung, hier kann man sich direkt einloggen, alternativ Nutzername nebst Passwort kopieren. Auch das Speichern eingegebener Daten funktioniert ebenso rasch über die Erweiterung.
Der Passwort-Speicher online lässt sich per Zwei-Faktor-Authentifizierung sichern, sodass man nach Eingabe von Nutzername und Passwort noch einen Code braucht, der vom Google Authenticator oder Apps wie Authy generiert wird.
Vielleicht ganz interessiert, falls ihr im Haushalt nur zu zweit seid und beide Bitwarden nutzt: Kostenlos lässt sich eine Organisation anlegen und in dieser kann man Passwörter mit Personen teilen. Habt ihr also einen ebay- oder Amazon-Account, so kann man das da alles hinterlegen. Bedeutet auch, dass sich Änderungen bei beiden Nutzern auswirken, ebenfalls praktisch.
Sowohl am Desktop als auch mobil machte Bitwarden in meiner Phase des Ausprobierens eine hervorragende Figur. Eine so gute, sodass ich die Lösung sogar weniger versierten Nutzern ans Herz legen würde. Es gibt einen leicht verständlichen – wenn auch englischsprachigen Hilfebereich – und wenn man eh gerne testet oder auf der Suche ist: Schaut euch das Projekt gerne an. Gibt nicht viel, was mir so auf Anhieb gefällt, Bitwarden ist seit langer Zeit mal wieder eine dieser Perlen, die mir vor die Flinte kam.
Und falls ihr Bitwarden mal testet: Nehmt euch doch vielleicht die Zeit und löscht alte Accounts, die ihr eh nicht mehr nutzt. Das befreit auch.
Wird geladen ...
Keepass, was sonst? Oder besser gesagt KeepassXC auf allen Desktop Systemen. Ist mir erstmal scheißegal wie das aussieht. Es startet minimiert und läuft im Hintergrund bzw. wird mit globalen Hotkey angesprochen.
Die synchronisation erfolgt per syncthing, alles bleibt bei mir.
Guter Artikel jedoch schade dass in den Vergleichen niemals einen Hinweis auf keeweb.info gibt. Meiner Meinung nach eine sehr gute Alternative die mit kdbx umgehen kann Desktop Apps anbietet und dir mobil die mobile Apps. Autofill sind auch kein Problem und kompatibel mit Erweiterungen wie keepasshttp ist es auch.
@Andrew: http://stadt-bremerhaven.de/?s=keeweb
Ein schöner und informativer Artikel zu einem interessanten Programm. Viele Dank dafür!
Ich habe ebenfalls die meisten Passwortverwaltungsprogramme getestet und muss sagen, dass ein Vergleich oftmals schwer zu ziehen ist. So fielen mir persönlich erst Schwächen bei Bitwarden auf, als ich mit mobilen Geräten, vor allem meinem iPad gearbeitet habe. Das Ausfüllen von Benutzername und Passwort funktionierte da in einigen Fällen nicht zuverlässig. Eine Funktion, die bei dem von mir noch immer präferierten Lastpass einfach perfekt gelöst ist.
Auch wenn das für mich persönlich der Dealbreaker ist, so vermisste ich auch bei Bitwarden die Funktionen zum Management der Passwörter wie Auto-Change, Evaluation der Sicherheit, Empfehlungen zur Verbesserung der selben usw.
Und, wie weiter oben bereits erwähnt wurde, macht mich das Geschäftsmodell nervös. Nach meinen Informationen kümmert sich nur ein einziger Entwickler um Bitwarden. Und obwohl dieser in meinen Augen eine fantastische Leistung vollbracht hat, steht das gesamte Projekt damit auf ziemlich wackeligen Füßen.
@Ernst: Schon seit vielen Jahren zufriedener Roboform Kunde. Habe noch keinen Grund gefunden zu wechseln. OTP innerhalb der Software hat mich jetzt mal zu Dashlane schielen lassen, aber bin Roboform treu geblieben, das fluppt einfach.
Wäre nicht schlecht, wenn ihr einen Vergleich mit allen Vor- und Nachteilen aufstellen würdet.
Ich habe irgendwie nicht verstanden, welche Funktionen dem Keepass fehlen.
@Dingens
Dito, funktioniert seit gefühlt Jahrzehnten problemlos.
Aber schon komisch, das das HIER nie eine Erwähnung findet?
@Whocares: Funktionen fehlen nur, wenn man sie persönlich benötigt und das Programm sie nicht anbietet. Mir persönlich sagt bei Keepass nicht zu:
– Keepass ist keine reine Online-Lösung mit Sync zwischen Geräten und Installationen. Ich brauche die Mobilität aber, sonst nutzte ich einen Passwortmanager nicht konsistent.
– Dementsprechend fehlen vernünftige Lösungen für mobile Geräte. Mir erscheint alles wie eine Frickellösung, die man sich selber zusammenbauen muss. Von Ergonomie der Programme oder durchgängigem Bedienkonzept kann man hier kaum reden. Keepass selbst unterstützt Ports auch nicht.
– Keepass merkt nicht, wenn ich neue Kombinationen aus Benutzername und Passwort eingebe oder vorhandene ändere. Das muss ich meines Wissens immer direkt in Keepass machen.
– Es bietet weder Security-Alerts noch -Audits an. Das finde ich recht hilfreich, um die Verbesserung meiner Passwortsicherheit möglichst effizient anzugehen. Vor allem, wenn ich einen alten Bestand aktualisieren möchte.
– Die Oberfläche ist grauenvoll. Das mag ein subjektives und kein sonderlich wichtiges Argument zu sein. Aber wenn ein Programm gefällig aussieht und gut aufgebaut ist, nutzt man es lieber. Und das ist doch der Kern des Ganzen.
– Das Datenbankkonzept ist beschränkt (hinsichtlich Verwendung von shared Masterpasswörtern oder der Entschlüsselung der gesamten Datenbank, obwohl nur ein Passwort benötigt wird.)
Ich weiß nicht, ob das alles noch gilt. Denn seit Jahren nutze ich nun Lastpass, das alles das und noch mehr mitbringt, ohne dass man etwas selber zusammenstricken muss.
Perfekt, sowas hab ich gesucht! Mit den Alternativen bin ich nie ganz grün geworden.
@Deliberation – stimmt, funktional ist und bleibe Lastpass das Mass der Dinge. Warum die das Premiummodell quasi unnötig gemacht haben, bleibt allerdings deren Geheimnis…
Ich bleibe bei KeePass. Passwörter haben in einer „Cloud“ IMO nichts verloren und Docker läuft nun mal nicht überall.
KeePass wegen Open Source.
Closed Source geht bei einem Passwortmanager gar nicht. Ich vertraue doch nicht meine Passwörter irgendeiner Firma an, die sich im Gegenzug nicht in die Karten schauen läßt, sondern verheimlicht, was sie mit meinen Passwörtern wirklich macht.
Habe bitwarden angetestet. Bitwarden bietet die Möglichkeit das PW zu kopieren. Mit Ditto Clipboard Viewer habe ich dann festgestellt, das das kopierte PW in der Zwischenablage klar lesbar ist. Es verschwindet auch nicht nach wenigen Sekunden, sondern verbleibt dauerhaft in der Zwischenablage – bis sie geleert wird oder der PC heruntergefahren wird.
Aus meiner Sicht ist das ein NoGo. Was meint Ihr?
schon ein nettes Völkchen Freaks hier unterwegs, meine Güte
Dafür ist Keepass ja da. Es ist nur ziemlich egoistisch, andere Varianten pauschal mies zu machen, indem man das heilige Keepass in JEDER einzigen Meldung zum Besten gibt.
Zudem taugt für mich das ewige Argument „ich weiß bei open source genau, was das Programm macht“ nichts. Erstens bezweifle ich, dass jeder auch nur weiß, in welcher Programmiersprache Keepass geschrieben ist (ohne Nachgucken…). Und zweitens bezweifle ich, dass von denen, die das wissen auch nur ein Bruchteil den Code versteht. Und drittens bezweifle ich, dass von diesem Bruchteil wiederum auch nur ein einziger User das notwendige Betriebssystem in Open Source vorliegen hat und auch hier die Punkte 1 und 2 erfüllt sind.
Ergo benötigt man immer Vertrauen. Im Fall von Lastpass und Co in einen Anbieter, dessen Geschäftsmodell es ist, etwas sicheres anzubieten. Und im Fall von Keepass in eine Programmierergemeinde mit mit unbekannten Personen und wahrscheinlich in den meisten Fällen auch noch in Microsoft, dass diese nicht bereits auf Kernel-Ebene eine Backdoor eingebaut haben.
Insofern: seht eure Entscheidung als das was sie ist, EURE Entscheidung. Und lasst anderen die ihre.
@Deliberation Kann deine Gedanken nachvollziehen und irgendwie ist da auch was dran.
Aber: Auch wenn nur die wenigsten den Quellcode lesen können (und es auch machen) gibt Open Source doch Sicherheit. Es wird immer, gerade in diesem Bereich Sicherheitsforscher oder Programmierer geben, die den Code nutzen oder untersuchen wollen. Und das Keepass immer erwähnt wird liegt eher daran das es bereits lange am Markt ist und damit einen hohen Bekanntheits/Vertrauenswert bei vielen Nutzern hat.
Mein Passwortmanager ist Sicherheitstechnisch das mit Abstand brisanteste was ich auf den Rechner habe. Ich würde allein deshalb nie auf eine neue Software setzten die nicht zumindest eine Weile Ihre Zuverlässigkeit unter Beweis gestellt hat. Bitwarden macht aber einen guten Eindruck, mal sehen wie es sich entwickelt…
Ich bin Free-Lastpasser und das schon lange. Was mit bei Biotwarden fehlt ist das Eingabeknöpchen neben dem Eingabefeld.
Ich hab z.B. auf einer Seite samt Subdomains 5 Zugänge – das ist nur oben über den Browser schlecht zu machen weil ich nicht weiß was dahinter steckt. Import hat funktioniert, läuft auch.
@Max Power: Deine Meinung und Entscheidung ist absolut in Ordnung. Ich wollte nur darauf hinweisen, dass Open Source ebenso Vertrauen erfordert, wie Closed Source. Denn wissen tun es nur die wenigsten User.
@JD: das müsste mit Bitwarden eigentlich funktionieren. Ich bin mir nicht mehr sicher, wie ich es aktiviert hatte. Schau mal in den Optionen nach etwas im Sinne von „Autofill“, hinter dem vielleicht auch „experimental“ oder so ähnlich steht und aktiviere es.
> dass Open Source ebenso Vertrauen erfordert, wie Closed Source
Und genau das ist falsch.
ClosedSource kontrolliert niemand.
OpenSource kontrollieren viele, und das genügt. Es ist nicht nötig, das /jeder/ da reingucken kann. Allein schon, dass jemand reingucken /kann/, zwingt den Entwickler, irgendwelche Sperenzchen zu unterlassen.
So jetzt muss ich mich auch mal melden. Bitwarden ist genau das, was ich immer gesucht hatte. Den Komfort von LastPass, kombiniert mit der Flexibilität von von Enpass (Custom Fields etc). Danke Caschy für den Tipp!
Habe mir auch direkt den Premium Account geholt habe nur jetzt ein Problem: TOTP Codes werden NUR in der Web Vault angezeigt, NICHT in der Chrome/Firefox Erweiterung im Eintrag. Das macht die ganze Usability Kaputt.
Was mache ich falsch oder geht TOTP nur im Web Vault auf der Website und nicht in der Erweiterung?
Zweiter Nachteil den ich gerade entdeckt habe: Die Synchronisation zwischen den Geräten (iPhone, Web Vault und Browser Erweiterung) funktioniert nicht automatisch. Du musst manuell den Abgleich in der Instanz anfordern,. wenn du woanders eine Änderung vorgenommen hast. Enpass/Lastpass machen das instant und automatisch sobald eine Änderung identifiziert wird.
Das ist eigtl schon ein No-Go, wenn das Problem so besteht und ich nicht das Problem bin… Hoffe ich habe gerade nicht $10 aus dem Fenster geworfen