Bitwarden: Toller Passwort-Manager (Open Source)
von caschy | 97 Kommentare
Im Laufe der Jahre haben wir hier im Blog viele Passwort-Manager vorgestellt, besprochen und mit den Lesern diskutiert. Den besten gibt es natürlich nicht, wenn ich das so schreiben würde. Wie gut etwas ist, hängt auch immer von den eigenen Ansprüchen und Voraussetzungen ab. Fremde Server sind absolut keine Option? Verschlüsselte Passwort-Datenbanken bei Dropbox, Google Drive und Co sind ok? Möglichst bequem soll es sein? Die Apps sollen taugen? Es darf etwas kosten oder soll kostenlos sein? Viele Fragen, die jeder für sich selber beantworten muss.
Schauen wir uns mal kurz um – und meine Liste erhebt natürlich keinen Anspruch auf Vollständigkeit. LastPass ist eine Lösung, die man kostenlos oder kostengünstig nutzen kann. Sehr beliebt, wurde seinerzeit von Logmein übernommen. Es gibt Apps und Erweiterungen, Passwörter landen verschlüsselt in der Cloud von LastPass.
Dann gibt es 1Password. Mittlerweile auch von macOS und iOS aktiv, sprich Web, Windows und Android. War früher eine Lösung, die man einmal kaufte, Password-Tresore konnten unterschiedlich synchronisiert werden, beispielsweise via WiFi oder Anbietern wie Dropbox. Mittlerweile will man mehr in die Abo-Schiene, was zur Folge hat, dass die Passwort-Tresore in die 1Password-Cloud wandern. Zwar gibt es das alte Modell noch, aber viele Nutzer des kanadischen Unternehmens sind mittlerweile unsicher geworden, ob das Einmal-zahlen-Modell Bestand haben wird.
Auch erwähnenswert: Enpass, ebenfalls auf fast allen Plattformen daheim, Synchronisation via Dropbox, Google Drive und Co – und preislich ist es so, dass man pro Mobil-Plattform zahlt. Desktop-Nutzung ist kostenlos, bis zu 20 Objekte in einem Mobil-Vault auch, danach ist man für sehr faire 10 Euro dabei. Mitte des Jahres habe ich mir Enpass genauer angeschaut und war ganz angetan.
Dann gibt es natürlich noch die alte und bekannte Lösung KeePass nebst diverser Derivate, damit man die – via auch immer synchronisierten – Passwort-Datenbanken mobil oder auf dem Desktop nutzen kann. Wenn man sich einarbeitet, macht auch KeePass sicherlich Spaß, ist zudem natürlich kostenlos. KeePass ist für viele eine Konstante, doch persönlich finde ich, dass andere Lösungen mittlerweile vorbeigezogen sind, gerade in Sachen Plattformunabhängigkeit aus einer Hand und Funktionen. Dennoch eine erwähnenswerte Software.
Ebenfalls erwähnen darf man SafeInCloud. Zu finden auf den gängigen Plattformen, kann hier neben Dropbox, Google Drive und OneDrive auch WebDAV, also der eigene Server, genutzt werden. Ansonsten findet man hier im Blog relativ viel, wenn man nach Managern für Passwörter sucht, Dashlane, onSafe, Roboform, mSecure und Co findet man da noch.
Recht lange Einleitung, aber ich wollte halt kurz aufzeigen, dass es viele Lösungen für unterschiedliche Ansprüche gibt. Und nun kommt eine weitere hinzu, die ich mir in der letzten Zeit angeschaut habe.
Bitwarden.
Liest man sich die Projekt-Geschichte durch, dann möchte man sich schon wundern. Bitwarden versuchte die Finanzierung via Kickstarter und scheiterte. Das gesteckte Ziel wurde nicht erreicht. Bitwarden ist Open Source und erst einmal kostenlos. Es gibt mobile Apps, eine Web-Version und Erweiterungen für gängige Browser (Chrome, Firefox, Opera, Edge, Vivaldi, Brave & Tor Browser). Versionen für den Desktop sollen folgen.
Passwörter landen verschlüsselt in der Cloud, alternativ kann man via Docker einen eigenen Server unter Windows, Linux und macOS aufsetzen. Passwörter landen nicht unverschlüsselt in der Cloud, alles wird vorab auf eurem Gerät verschlüsselt. Das wirklich krasse ist, dass Bitwarden zwar Open Source ist, hinter der Lösung aber mit der 8bit Solutions LLC nur ein bisher aktiver Entwickler steht, nämlich Kyle Spearrin. Ich greife mal vorweg: Will man einen Grund gegen Bitwarden finden, dann ist es sicherlich dieser. Wenn Bitwarden größer wird, muss der Bursche aufrüsten, klar.
Bitwarden bietet für Privatnutzer alles wichtige kostenlos an. Team-Accounts lassen sich fair bezahlen, Lösungen für Familien kosten 1 Dollar für 5 Teilnehmer im Monat. Wer die fairen Preise zahlt, der bekommt auch etwas dafür, beispielsweise Cloud-Speicher. In diesem kann man Anhänge speichern. Wer diese nicht braucht, der muss nichts zahlen.
Als ich Bitwarden das erste Mal richtig unter die Lupe nahm, war ich schon überrascht, was da gestemmt wurde. Die Apps sind deutsch lokalisiert, die Erweiterung auch, lediglich die Webseite ist derzeit nur in englischer Sprache nutzbar, was aber hoffentlich kein Beinbruch darstellt. Es ist weniger kompliziert als andere Lösungen, des Weiteren kann man eigentlich auch alles über die Browser-Erweiterung machen, denn diese spricht Deutsch.
Nutzer können in Bitwarden Gruppen anlegen, Ordner quasi. Das macht das Ganze natürlich übersichtlich. Wie man Logins erstellt, erspare ich uns mal hier, das sollten die Leser hier wohl wissen. Wer umzieht – sei es raus oder rein in Bitwarden – der hat mehrere Importmöglichkeiten, das hat in meinem Test aus 1Password ganz gut geklappt.
Nutzer können unterschiedliche Typen anlegen in Bitwarden, Logins, Karten, Identitäten und sichere Notizen sind da möglich. Passwörter können natürlich auch generiert werden. Ist man auf einer Webseite mit Login, so visualisiert dies Bitwarden über die Erweiterung, hier kann man sich direkt einloggen, alternativ Nutzername nebst Passwort kopieren. Auch das Speichern eingegebener Daten funktioniert ebenso rasch über die Erweiterung.
Der Passwort-Speicher online lässt sich per Zwei-Faktor-Authentifizierung sichern, sodass man nach Eingabe von Nutzername und Passwort noch einen Code braucht, der vom Google Authenticator oder Apps wie Authy generiert wird.
Vielleicht ganz interessiert, falls ihr im Haushalt nur zu zweit seid und beide Bitwarden nutzt: Kostenlos lässt sich eine Organisation anlegen und in dieser kann man Passwörter mit Personen teilen. Habt ihr also einen ebay- oder Amazon-Account, so kann man das da alles hinterlegen. Bedeutet auch, dass sich Änderungen bei beiden Nutzern auswirken, ebenfalls praktisch.
Sowohl am Desktop als auch mobil machte Bitwarden in meiner Phase des Ausprobierens eine hervorragende Figur. Eine so gute, sodass ich die Lösung sogar weniger versierten Nutzern ans Herz legen würde. Es gibt einen leicht verständlichen – wenn auch englischsprachigen Hilfebereich – und wenn man eh gerne testet oder auf der Suche ist: Schaut euch das Projekt gerne an. Gibt nicht viel, was mir so auf Anhieb gefällt, Bitwarden ist seit langer Zeit mal wieder eine dieser Perlen, die mir vor die Flinte kam.
Und falls ihr Bitwarden mal testet: Nehmt euch doch vielleicht die Zeit und löscht alte Accounts, die ihr eh nicht mehr nutzt. Das befreit auch.
Wird geladen ...
Entweder bin ich einfach zu doof, oder hier nutzt keiner die selbe Kombi wie ich.
Bisher hat mein Problem noch niemand anderes aufgegriffen.
Nutze MacOS und Safari. Und da funktioniert zum einen der Export aus LastPass nicht. Zum andern gibt es keine Erweiterung für Safari.
Somit ist Bitwarden absolut unbrauchbar für mich. Schade, hätte dem ganzen gerne eine Chance gegeben.
Dritter Nachteil:
Wenn du in der iOS App Übersicht die Bitwarden App killst (Aus dem TaskManager schmeißt), vorher aber Bitwarden offen hattest und mittels touch ID entsperrt hast, dann bleibt die Entsperrung bestehen!
Alle anderen Apps die ich getestet habe (Safeincloud, lastpass, enpass) fragen nach dem App KILL IMMER nach dem fingerabdruck nach.
Das ist ein absolutes No Go.
Denke ich werde ein Refund beantragen
Problem Nummer 3 kannst du doch in den Optionen unter Sperroptionen mit der Auswahl „sofort“ erreichen oder?
Finde eher schade, dass teilweise trotz genauer URL angezeigt wird, es wäre kein passendes Passwort gespeichert.
Bin auch gerade am testen diverser Lösungen, da ich bei Lastpass eben nicht den Speicherort selber festlegen kann. Irgendwie gibt es die perfekte Lösung nicht zu einem guten Preis. Enpass ist gut mit kleineren Schwächen, Safeincloud wäre ideal, es fehlt aber an der Safari Erweiterung für iOS.
Lessons Learned:
Never change a running system:
http://www.enpass.io ist und bleibt die Beste Software
@Tim:
Ja aber ich will ja manchmal dass die Instanz offen bleibt, wenn ich zb. zwischen Apps hin und her switche. Aber wenn ich MANUELL die APP Kille, dann sollte auch die Sperre anspringen. Das ist einfach Logik und machen alle Passwort manager, egal was man bei denen in den Settings einträgt.
Aber das die Instanzen nicht automatisch untereinander syncen ist der absolute Abschuss.
Ist das nur bei mir so? Ich muss immer per „Abgleich“ den Sync anstoßen…. Das das Caschy nicht aufgefallen ist..
@tundrablasen
Mit der Synchronisation habe ich bis jetzt noch keine Probleme gehabt. Hab auch schon Passwörter in der Browser Extension geändert, und hatte es sofort auf dem Smartphone.
In den Einstellungen kannst du das Sperrverhalten der App einstellen. Ich musste noch unter iOS immer nach einem App-wechsel entsperren. Jetzt hab ich aber ein Pixel 2 XL und kann das geniale Autofill von Android nutzen.
@tundrablasen
Wenn das mit dem killen der App immer so ist, solltest du es dem Entwickler melden. Das lässt sich dann mit einem Update beheben.
Interessant, ich bleibe aber lieber bei KeePass mit der „alten“ Optik. Die funktioniert und warum immer umgewöhnen. Wenn man sich bei allen Sachen immer wieder umgewöhnen muß, verliert man Zeit, meine Meinung.
Dazu KeePass auf die Synolofgy, per VPN synchen und schon ist man auch mobil aktuell 🙂
Habe eine Refund bei Kyle beantragt. Er hat sich direkt bereit erklärt mir die $10 zu erstatten. Schneller und guter Support!
Also mein Kurzausflug von 2-3 Std ist: Es ist gut, aber hat noch ein paar Sicherheitslücken und technische Probleme (Sync ging bei mir nicht so schnell wie bei bei enpass)
Was mir noch aufgefallen ist, SafeinCloud oder Enpass so usability features bieten wie PIN Codes in deren Desktop Programmen, wenn die Instanz offen ist. Bei Bitwarden muss ich mich entscheiden: IMMER Masterpasswort eingeben oder es Sperrangelweit offen lassen für x Minuten/Stunden je nach Settings.
@tundrablasen
Ich zitiere mal: „Wenn du in der iOS App Übersicht die Bitwarden App killst (Aus dem TaskManager schmeißt), vorher aber Bitwarden offen hattest und mittels touch ID entsperrt hast, dann bleibt die Entsperrung bestehen!“
Kann ich nicht nachvollziehen, habe ich schon mehrere Male getestet.
„Es ist gut, aber hat noch ein paar Sicherheitslücken“ Welche konkret?
@caschy: Bei Sperroption != sofort, kann ich das Verhalten bestätigen (Iphone 6s IOS 11.2.1)
Hab jetzt den Umzug auf MacOS über Chrome hinbekommen. Macht wirklich nen guten ersten Eindruck!
Mal schauen wie es weiter geht.
@caschy:
jop hab es bei mir mit dem iPad / iPhone mehrmals probiert (auch app deinstalliert). Wenn einmal die App mit Touch ID entsperrt ist, ich dann die APP Komplett kille und neu öffne, Fragt er mich nicht noch einmal nach dem Touch ID, sondern ich bin direkt im Tresor. (wenn ich vorher eingestellt hatte, dass er die Tresor erst nach 1 minute verschließen soll.
weitere Sicherheitslücken:
Das Passwörter nicht aus der Zwischenablage nach x Sekunden/Minuten gelöscht werden. Vllt gibt es diese Funktion nur ich habe Sie nicht gefunden? Bei mir bleiben Passwörter dauerhaft in der Zwischenablage. Wie ist es bei dir?
Ich hätte vllt besser Sicherheitsfeatures schreiben sollen und nicht Lücken. Aber das ist für mich schon essentiell.
Welchen PW Manager benutzt du den nun dauerhaft als deine Daily Software
Ergänzung zu Thorsten der wohl das gleiche Verhalten hat:
wenn ich in den Einstellungen: Sperroption sofort mache, fragt er auch IMMER nach Touch ID.
Wenn ich aber >1 Min auswähle in den Options, bringt App Killen nach 10 Sekunden nichts. Bitwarden bleibt bei Neustart offen
(iPhone 8, 11.2.1)
Es gibt die Möglichkeit, die Software auch selber zu hosten, d.h. die Passwörter bleiben auf dem eigenen Server. Coole Sache, dachte ich… Man braucht „nur“ 2 GB RAM. Die Software ist mit .NET geschrieben, man braucht auch eine Microsoft SQLServer-Datenbank. Deshalb bieten die auch Docker-Lösung an. Es werden 5 Container gestartet, nur um Passwörter zu speichern. Verstehe nicht, warum man sowas macht… Hatte eine leise Hoffnung, dass ich mir die Lösung (Backend) auf meinem Server oder sogar Raspberry PI installieren kann. Aber sorry, 2 GB Ram, nur um Passwörter zu speichern ist ein bisschen übertrieben 🙂
@Torsten: Teste mal: 1 Minute, abschießen, ne Minute warten. Sollte dann geschlossen sein. Mal davon ab, dass Apps so schließen unter iOS eher kontraproduktiv ist, was Systemsache ist 🙂
@tundrablasen: Versuch mal, deine Ausführungen immer in einem Kommentar zusammenzufassen, danke. Macht es leichter, zu verfolgen. Zu deiner Frage: Ich habe selber derzeit seit einigen Tagen Bitwarden im Haupt-Einsatz, ganz einfach, weil ich das Projekt und die Entwicklung beobachten will. Habe aber auch noch 1Password installiert, derzeit aber nicht aktiv. Besitze auch noch Enpass auf allen Plattformen.
@Jörg: Du hast meine Argumentation noch nicht ganz verstanden. Lass es mich so sagen: wen kennst Du, der Keepass und Windows als Wertschöpfungskette täglich kontrolliert? Ich wette: niemanden. Und selbst wenn wir Windows aus der Gleichung nehmen, wie viele kennst Du, die den Code von Keepass kontrollieren? Selbst wenn Du eine Person kennen würdest, müsstest Du zu dieser Vertrauen haben. Bei fremden Personen muss dieses Vertrauen noch großer sein. Und nun noch die abschließende Frage: wie unterscheidet sich dieses Vertrauen in völlig fremde Personen von Deinem nicht vorhandenen Vertrauen in die Entwickler einer Closed Source Lösung? In beiden Fällen basiert Deine Entscheidung auf Vertrauen, denn in keinem der beiden Fällen hast Du selbst die Kontrolle.
@tundrablasen: danke, dass Du das Thema mit dem Sync noch erwähnt hast. Das war mir bei meinem Test auch schon aufgefallen. Ich war mir nur nicht sicher, ob das ein Bug oder „Feature“ sein soll. Caschy verwendet übrigens meines Wissens 1Password.
@tim: das kam bei mir aber nur sehr selten vor und war teilweise nicht reproduzierbar. Ist es das bei Dir?
@TVB: danke, Du hast mir das perfekte Beispiel für die problematische Betrachtung von Open Source geliefert! Du vertraust darauf, dass die Code Reviews von Dir unbekannten Teilnehmern eines externen Code Reviews besser ist, als das des Herstellers. Schnell noch ein Europalogo draufgeklatscht und fertig ist die 100%ige Sicherheit. Wie kommt es dann, dass die Auditoren manche Lücken übersehen haben, die nachweislich zur Zeit des Reviews in Keepass vorhanden waren? Zum Beispiel die sicher kritische Lücke des Abfischens aller Passwörter über einen HTTP-Request? Nein, ich bleibe dabei, denn ich sehe es jeden Tag. Wer sich den Code nicht selber ansieht und ihn versteht, muss bei Open Source wie bei Closed Source auf Andere vertrauen.
@caschy: Nach einer Minute verlangt er TouchID 😉
Ich schieße auch keine Apps ab. Habs halt nur getestet.
Komisches verhalten eben. Habe die Passwörter aus LastPass per Export als CSV in BW importiert. Waren alle da und auch sofort auf IOS verfügbar. 5 Minuten später waren sie nur noch auf IOS verfügbar. Chrome Erweiterung war leer. Erst nach manuellem sync war alles da.
Hier übrigens noch zwei Passwortmanager, die für mich neu sind:
https://www.remembear.com/
https://www.cyclonis.com/
Vielen Dank für den Tipp, Caschy! Da zahle ich gern 10 Dollar im Jahr, der Funktionsumfang ist super!
Die Online-Passwortmanager Docsafe.Swisscom.com und SecureSafe wurden hier nicht genannt – kann jemand über seine Erfahrungen damit berichten oder etwas grundsätzliches dazu sagen?