Bitwarden: Toller Passwort-Manager (Open Source)
von caschy | 97 Kommentare
Im Laufe der Jahre haben wir hier im Blog viele Passwort-Manager vorgestellt, besprochen und mit den Lesern diskutiert. Den besten gibt es natürlich nicht, wenn ich das so schreiben würde. Wie gut etwas ist, hängt auch immer von den eigenen Ansprüchen und Voraussetzungen ab. Fremde Server sind absolut keine Option? Verschlüsselte Passwort-Datenbanken bei Dropbox, Google Drive und Co sind ok? Möglichst bequem soll es sein? Die Apps sollen taugen? Es darf etwas kosten oder soll kostenlos sein? Viele Fragen, die jeder für sich selber beantworten muss.
Schauen wir uns mal kurz um – und meine Liste erhebt natürlich keinen Anspruch auf Vollständigkeit. LastPass ist eine Lösung, die man kostenlos oder kostengünstig nutzen kann. Sehr beliebt, wurde seinerzeit von Logmein übernommen. Es gibt Apps und Erweiterungen, Passwörter landen verschlüsselt in der Cloud von LastPass.
Dann gibt es 1Password. Mittlerweile auch von macOS und iOS aktiv, sprich Web, Windows und Android. War früher eine Lösung, die man einmal kaufte, Password-Tresore konnten unterschiedlich synchronisiert werden, beispielsweise via WiFi oder Anbietern wie Dropbox. Mittlerweile will man mehr in die Abo-Schiene, was zur Folge hat, dass die Passwort-Tresore in die 1Password-Cloud wandern. Zwar gibt es das alte Modell noch, aber viele Nutzer des kanadischen Unternehmens sind mittlerweile unsicher geworden, ob das Einmal-zahlen-Modell Bestand haben wird.
Auch erwähnenswert: Enpass, ebenfalls auf fast allen Plattformen daheim, Synchronisation via Dropbox, Google Drive und Co – und preislich ist es so, dass man pro Mobil-Plattform zahlt. Desktop-Nutzung ist kostenlos, bis zu 20 Objekte in einem Mobil-Vault auch, danach ist man für sehr faire 10 Euro dabei. Mitte des Jahres habe ich mir Enpass genauer angeschaut und war ganz angetan.
Dann gibt es natürlich noch die alte und bekannte Lösung KeePass nebst diverser Derivate, damit man die – via auch immer synchronisierten – Passwort-Datenbanken mobil oder auf dem Desktop nutzen kann. Wenn man sich einarbeitet, macht auch KeePass sicherlich Spaß, ist zudem natürlich kostenlos. KeePass ist für viele eine Konstante, doch persönlich finde ich, dass andere Lösungen mittlerweile vorbeigezogen sind, gerade in Sachen Plattformunabhängigkeit aus einer Hand und Funktionen. Dennoch eine erwähnenswerte Software.
Ebenfalls erwähnen darf man SafeInCloud. Zu finden auf den gängigen Plattformen, kann hier neben Dropbox, Google Drive und OneDrive auch WebDAV, also der eigene Server, genutzt werden. Ansonsten findet man hier im Blog relativ viel, wenn man nach Managern für Passwörter sucht, Dashlane, onSafe, Roboform, mSecure und Co findet man da noch.
Recht lange Einleitung, aber ich wollte halt kurz aufzeigen, dass es viele Lösungen für unterschiedliche Ansprüche gibt. Und nun kommt eine weitere hinzu, die ich mir in der letzten Zeit angeschaut habe.
Bitwarden.
Liest man sich die Projekt-Geschichte durch, dann möchte man sich schon wundern. Bitwarden versuchte die Finanzierung via Kickstarter und scheiterte. Das gesteckte Ziel wurde nicht erreicht. Bitwarden ist Open Source und erst einmal kostenlos. Es gibt mobile Apps, eine Web-Version und Erweiterungen für gängige Browser (Chrome, Firefox, Opera, Edge, Vivaldi, Brave & Tor Browser). Versionen für den Desktop sollen folgen.
Passwörter landen verschlüsselt in der Cloud, alternativ kann man via Docker einen eigenen Server unter Windows, Linux und macOS aufsetzen. Passwörter landen nicht unverschlüsselt in der Cloud, alles wird vorab auf eurem Gerät verschlüsselt. Das wirklich krasse ist, dass Bitwarden zwar Open Source ist, hinter der Lösung aber mit der 8bit Solutions LLC nur ein bisher aktiver Entwickler steht, nämlich Kyle Spearrin. Ich greife mal vorweg: Will man einen Grund gegen Bitwarden finden, dann ist es sicherlich dieser. Wenn Bitwarden größer wird, muss der Bursche aufrüsten, klar.
Bitwarden bietet für Privatnutzer alles wichtige kostenlos an. Team-Accounts lassen sich fair bezahlen, Lösungen für Familien kosten 1 Dollar für 5 Teilnehmer im Monat. Wer die fairen Preise zahlt, der bekommt auch etwas dafür, beispielsweise Cloud-Speicher. In diesem kann man Anhänge speichern. Wer diese nicht braucht, der muss nichts zahlen.
Als ich Bitwarden das erste Mal richtig unter die Lupe nahm, war ich schon überrascht, was da gestemmt wurde. Die Apps sind deutsch lokalisiert, die Erweiterung auch, lediglich die Webseite ist derzeit nur in englischer Sprache nutzbar, was aber hoffentlich kein Beinbruch darstellt. Es ist weniger kompliziert als andere Lösungen, des Weiteren kann man eigentlich auch alles über die Browser-Erweiterung machen, denn diese spricht Deutsch.
Nutzer können in Bitwarden Gruppen anlegen, Ordner quasi. Das macht das Ganze natürlich übersichtlich. Wie man Logins erstellt, erspare ich uns mal hier, das sollten die Leser hier wohl wissen. Wer umzieht – sei es raus oder rein in Bitwarden – der hat mehrere Importmöglichkeiten, das hat in meinem Test aus 1Password ganz gut geklappt.
Nutzer können unterschiedliche Typen anlegen in Bitwarden, Logins, Karten, Identitäten und sichere Notizen sind da möglich. Passwörter können natürlich auch generiert werden. Ist man auf einer Webseite mit Login, so visualisiert dies Bitwarden über die Erweiterung, hier kann man sich direkt einloggen, alternativ Nutzername nebst Passwort kopieren. Auch das Speichern eingegebener Daten funktioniert ebenso rasch über die Erweiterung.
Der Passwort-Speicher online lässt sich per Zwei-Faktor-Authentifizierung sichern, sodass man nach Eingabe von Nutzername und Passwort noch einen Code braucht, der vom Google Authenticator oder Apps wie Authy generiert wird.
Vielleicht ganz interessiert, falls ihr im Haushalt nur zu zweit seid und beide Bitwarden nutzt: Kostenlos lässt sich eine Organisation anlegen und in dieser kann man Passwörter mit Personen teilen. Habt ihr also einen ebay- oder Amazon-Account, so kann man das da alles hinterlegen. Bedeutet auch, dass sich Änderungen bei beiden Nutzern auswirken, ebenfalls praktisch.
Sowohl am Desktop als auch mobil machte Bitwarden in meiner Phase des Ausprobierens eine hervorragende Figur. Eine so gute, sodass ich die Lösung sogar weniger versierten Nutzern ans Herz legen würde. Es gibt einen leicht verständlichen – wenn auch englischsprachigen Hilfebereich – und wenn man eh gerne testet oder auf der Suche ist: Schaut euch das Projekt gerne an. Gibt nicht viel, was mir so auf Anhieb gefällt, Bitwarden ist seit langer Zeit mal wieder eine dieser Perlen, die mir vor die Flinte kam.
Und falls ihr Bitwarden mal testet: Nehmt euch doch vielleicht die Zeit und löscht alte Accounts, die ihr eh nicht mehr nutzt. Das befreit auch.
Wird geladen ...
Warum wir eigentlich nie erwähnt, dass z.b. Chrome von Haus aus bereits Passwörter etc. speichern kann? Ist das, gerade für Technik-Laien, nicht eine einfache Alternative?
@Jens – klares NEIN. Viel unsicherer geht’s eigentlich nicht mehr. Na doch, unverschlüsselt die Passwörter in die Cloud stellen vielleicht…vergiss es ganz schnell wieder.
Übrigens hoffe ich, dass die Interessierten, die Fehler finden oder Verbesserungsvorschläge haben, diese melden beim Entwickler. Glaube kaum, dass der hier mitliest 🙂
@TVB: kannst Du bitte sachlich argumentieren und auf so blöde Sprüche wie „Halbwissen“ und Co verzichten? Ich bin mir sicher, dass Du auch ohne diese schlechte Rhetorik zurecht kommst.
Soweit ich das Thema damals mitbekommen habe, kann nicht nur eine falsche Updateseite, sondern falsche Updates angezeigt und zum Download angeboten werden. Deshalb wurde in dem von Dir erwähnten Update auch die digitale Signatur der Downloaddatei eingeführt. Das ist jedoch keine wirkliche Lösung des Problems, weil die Prüfung noch immer durch den User erfolgen muss. Und selbst wenn der User die Signatur überprüft, so weist heise auch hier auf das Problem hin. Der Entwickler macht keine Angaben zu den korrekten Zertifikaten.
Mir ging es aber lediglich um Deinen letzten Absatz. Hier hast Du Dich dafür entschieden, der einen Seite mehr als der anderen zu vertrauen. Das ist Deine Entscheidung, die auch nur für Dich gilt. Andere können anders entscheiden. Und dass man dies ebenfalls tolerieren sollte, nur darum ging es mir.
@Jens: die Passwörter, die im Browser gespeichert werden, können mit einfachen Mitteln ausgelesen werden. Schau Dir z.B. mal das Programm WebBrowserPassView an. Das ist ein Grund, warum Password Manager wichtig sind. Nutzt man einen solchen, stellt man idealerweise auch die Funktion des Browsers zum Sichern der Passwörter ab und löscht alle bereits gespeicherten Passwörter.
@caschy:
Feedback ist bereits an den Entwickler raus (meine Punkte oben), als ich den Refund beantragt habe. Aktuell ist die Software für mich noch nicht 100% geeignet, aber ich werde sie auf jedenfall im Auge behalten! Danke für den Tipp, den dies ist eigtl genau das was ich immer gesucht hatte,seidem ich von Lastpass weg bin und hin zu Enpass
@Deliberation und schon wieder falsch.Du stellst zum wiederholten mal negative Behauptungen über diese Software auf, die nicht den Tatsachen entsprechen. Die digitale Signatur war immer vorhanden und da nur manuelle Updates vorgesehen sind, ist es die Aufgabe des Anwenders, zu überprüfen, ob er die richtige Version runterlädt. Keepass kann man auf diversen Seiten runterladen, unabhängig von integrierten Updateempfehlungen. Daher sollte man auch überprüfen, was man da runtergeladen hat.
Entgegen deiner Behauptung wurde beim Update nicht eine digitale Signatur der Software selber eingeführt, sondern die Updateempfehlung mit HTTPS gesichert und die Datei mit den Updateinformationen digital signiert.
Und nein, wenn fehlinformierte Zeitgenossen oder bezahlte Schreiberlinge Unsinn als Tatsachen verkaufen, dann muss man das keinesfalls tolerieren.
@caschy: Natürlich. ich unterstütze gerne „kleine“ Entwickler mit meinem Feedback. Ist ja quasi ne Win/Win Situation 🙂
Zum Thema Bitwarden: Chrome und Android funktionieren bei mir gut, sogar das Firefoxaddon unter Android läuft. Import war bis auf kleinere Macken mit zu vielen Zeichen im Kommentarfeld auch problemlos. Allgemein ein wenig komfortabler als KeePass bzw. einfachere Einrichtung mit weniger Einzelkomponenten.
Ich habe jetzt mal die 10$ gespendet und behalte es im Auge 🙂
@Matze ist es wirklich unsicher die Daten verschlüsselt auf Googles Server abzulegen? Würde dazu gerne mehr erfahren.
„Und nein, wenn fehlinformierte Zeitgenossen oder bezahlte Schreiberlinge Unsinn als Tatsachen verkaufen, dann muss man das keinesfalls tolerieren.“
Au weia, zu solch miesem Stil braucht man nicht viel zu sagen, Du bist ein wirklich schlechter Mensch, wenn Du die Entscheidung Deiner Mitmenschen partout nicht tolerieren willst und diese durch Axiome zu deklassieren suchst.
Zum Thema: es steht doch in Deinem eigenen Link:
„Ferner soll ab Version 2.34 die Datei mit den Versions-Informationen digital signiert sein, um Manipulationen zu verhindern.“
und Du schreibst, ich habe Unrecht, mit der Begründung:
„Die digitale Signatur war immer vorhanden“
Wenn das kein Widerspruch ist, dann weiß ich auch nicht mehr weiter.
Prinzipiell haben wir hier über zwei Dinge mehr oder weniger sachlich diskutiert:
1. Die Wirksamkeit von öffentlichen Prüfungen von Softwarecode und
2. Die daraus folgende, subjektive Entscheidung für oder gegen Open Source.
Zu 1. sind nun denke ich alle Informationen ausgetauscht. Zu 2. ist nur festzustellen, dass Du die Meinung Deiner Mitmenschen nicht tolerierst. Auch das ist wiederum eine subjektive Entscheidung Deinerseits, die wiederum ich toleriere. Nun mach damit, was immer Du möchtest.
@Deliberation zum xten mal: falsch. Es gibt einen Unterschied zwischen der schon immer vorhandenen digitalen Signatur einer Software und der mit 2.34 eingeführten digitalen Signatur einer „Datei mit Versions-Informationen“.
’schlechter Mensch‘ zu sein ist eine leere Worthülse. Ich freue mich lieber einfach darüber, dass ich lesen kann 🙂
Ich verwende keine leeren Worthülsen, schließlich habe ich meine Äußerung begründet. Du kannst persönliche Anfeindungen aber offensichtlich nicht lassen. Schade.
Wenn Du nur „Datei mit Versionsinformationen“ schreibst, aber das Wesentliche danach, nämlich „digital signiert“ weglässt, dann kommst Du natürlich zur falschen Schlussfolgerung. Genauer gesagt ist die „digitale Signatur“ der Update-Datei erst ab Version 2.34 vorhanden. Du hast aber argumentiert, diese (d.h. die „digitale Signatur“) war „schon immer vorhanden“. Das ist de facto falsch. Du hast ja selbst geschrieben, dass der Anwender selbst überprüfen müsse, ob er das richtige Update lade. Und ich bezweifle eben, dass dies ein praktikabler Schutz ist. Besser wäre wie gesagt ein Update über https mit in der Software integrierten Server-Hash-Prüfung, die eine man-in-the-middle Attacke beim Update per se ausschließt. Das aber verweigert der Autor mit Hinweis auf den Programmieraufwand. Insofern ist diese Sicherheitslücke noch immer vorhanden und das von Dir erwähnte Audit hat sie nicht einmal erwähnt, obwohl sie bekannt war. Nur, um mal wieder zum Thema zu kommen.
So. Mal sehen, ob Du weiterhin Dein Glück mit persönlichen Anfeindungen versuchst oder endlich auf die sachliche Ebene herab steigst. Mir wäre das ehrlich gesagt lieber.
@Deliberation ok, JETZT habe ich verstanden. Dachte schon, das kann doch nicht sein.. lach .. da.. < .. nix für ungut *g*
@Deliberation Fisch vergessen, hier lass dir schmecken. <
@Deliberation hier der Fisch noch.. Mahlzeit 🙂
@TVB: ich wollte eigentlich noch etwas in Richtung von Deliberations Argumentation sagen, aber du hast anscheinend keine Lust ernsthaft zu diskutieren, sonder wirst ständig persönlich. Traust du deinen eigenen Argumenten so wenig? Oder im Gegenteil: darf es außerhalb deiner Meinung noch eine andere geben?
Nur kurz: Open Source *KANN* geprüft werden, wird es aber oft nicht ausreichend. Sicherheitstests sind anspruchsvoll, dazu fehlt oftmals das Wissen. Die oft geäußerte Meinung „Open Source ist sicherer als Closed Source“ stimmt so einfach nicht.
Du hast allerdings recht, dass man Closed Source nur durch Fuzzing prüfen kann – wobei das heute ohnehin das Mittel der Wahl ist: schneller und einfacher als Code Audit.
Bitwarden verschlüselt bzw. hasht mit 5000 ireations, das ist viel zu wenig, Enpass nutzt 20000 und 1Password mit 100000. Leider ist das auch nicht anpassbar.
Gibt es Passwort Mananger die z. B. mit einem Klick neue Passwörter generieren und diese für alle Accounts austauschen ?
Die haben alle Browsererweiterungen also müsste sowas möglich sein.
Macht sich wirklich sehr gut. Bin jetzt von Keepass umgestiegen. Bei Neuanlage von neuen Logins in der Browserextension lässt sich jedoch nicht „hin- und herspringen“ für strg + c und strg + v für einzelne neue Felder, da die Browserextension das nicht mitmacht. Import der Daten aus Keepass als keepass 2 xml Datei war völlig problemlos. Auch die Mobile App fühlt sich gut und easy an. Mal gucken, wie die Reise weitergeht.
Danke für den Tipp Caschy
@FriedeFreudeEierkuchen: danke, genau so meinte ich das.
@Gast: ich weiß zumindest von Lastpass und Dashlane, dass diese eine automatische Aktualisierung des Passworts für mehrere Seiten unterstützen. Allerdings werden natürlich nicht alle Webseiten unterstützt, sondern nur die relativ bekannten und großen. Meines Wissens hat Dashlane hier die breiteste Unterstützung. Wie die momentan aussieht, bzw. welche Webseiten aktuell unterstützt werden, kannst Du hier sehen:
https://www.dashlane.com/de/password-changer-list