Bitwarden: Toller Passwort-Manager (Open Source)
von caschy | 97 Kommentare
Im Laufe der Jahre haben wir hier im Blog viele Passwort-Manager vorgestellt, besprochen und mit den Lesern diskutiert. Den besten gibt es natürlich nicht, wenn ich das so schreiben würde. Wie gut etwas ist, hängt auch immer von den eigenen Ansprüchen und Voraussetzungen ab. Fremde Server sind absolut keine Option? Verschlüsselte Passwort-Datenbanken bei Dropbox, Google Drive und Co sind ok? Möglichst bequem soll es sein? Die Apps sollen taugen? Es darf etwas kosten oder soll kostenlos sein? Viele Fragen, die jeder für sich selber beantworten muss.
Schauen wir uns mal kurz um – und meine Liste erhebt natürlich keinen Anspruch auf Vollständigkeit. LastPass ist eine Lösung, die man kostenlos oder kostengünstig nutzen kann. Sehr beliebt, wurde seinerzeit von Logmein übernommen. Es gibt Apps und Erweiterungen, Passwörter landen verschlüsselt in der Cloud von LastPass.
Dann gibt es 1Password. Mittlerweile auch von macOS und iOS aktiv, sprich Web, Windows und Android. War früher eine Lösung, die man einmal kaufte, Password-Tresore konnten unterschiedlich synchronisiert werden, beispielsweise via WiFi oder Anbietern wie Dropbox. Mittlerweile will man mehr in die Abo-Schiene, was zur Folge hat, dass die Passwort-Tresore in die 1Password-Cloud wandern. Zwar gibt es das alte Modell noch, aber viele Nutzer des kanadischen Unternehmens sind mittlerweile unsicher geworden, ob das Einmal-zahlen-Modell Bestand haben wird.
Auch erwähnenswert: Enpass, ebenfalls auf fast allen Plattformen daheim, Synchronisation via Dropbox, Google Drive und Co – und preislich ist es so, dass man pro Mobil-Plattform zahlt. Desktop-Nutzung ist kostenlos, bis zu 20 Objekte in einem Mobil-Vault auch, danach ist man für sehr faire 10 Euro dabei. Mitte des Jahres habe ich mir Enpass genauer angeschaut und war ganz angetan.
Dann gibt es natürlich noch die alte und bekannte Lösung KeePass nebst diverser Derivate, damit man die – via auch immer synchronisierten – Passwort-Datenbanken mobil oder auf dem Desktop nutzen kann. Wenn man sich einarbeitet, macht auch KeePass sicherlich Spaß, ist zudem natürlich kostenlos. KeePass ist für viele eine Konstante, doch persönlich finde ich, dass andere Lösungen mittlerweile vorbeigezogen sind, gerade in Sachen Plattformunabhängigkeit aus einer Hand und Funktionen. Dennoch eine erwähnenswerte Software.
Ebenfalls erwähnen darf man SafeInCloud. Zu finden auf den gängigen Plattformen, kann hier neben Dropbox, Google Drive und OneDrive auch WebDAV, also der eigene Server, genutzt werden. Ansonsten findet man hier im Blog relativ viel, wenn man nach Managern für Passwörter sucht, Dashlane, onSafe, Roboform, mSecure und Co findet man da noch.
Recht lange Einleitung, aber ich wollte halt kurz aufzeigen, dass es viele Lösungen für unterschiedliche Ansprüche gibt. Und nun kommt eine weitere hinzu, die ich mir in der letzten Zeit angeschaut habe.
Bitwarden.
Liest man sich die Projekt-Geschichte durch, dann möchte man sich schon wundern. Bitwarden versuchte die Finanzierung via Kickstarter und scheiterte. Das gesteckte Ziel wurde nicht erreicht. Bitwarden ist Open Source und erst einmal kostenlos. Es gibt mobile Apps, eine Web-Version und Erweiterungen für gängige Browser (Chrome, Firefox, Opera, Edge, Vivaldi, Brave & Tor Browser). Versionen für den Desktop sollen folgen.
Passwörter landen verschlüsselt in der Cloud, alternativ kann man via Docker einen eigenen Server unter Windows, Linux und macOS aufsetzen. Passwörter landen nicht unverschlüsselt in der Cloud, alles wird vorab auf eurem Gerät verschlüsselt. Das wirklich krasse ist, dass Bitwarden zwar Open Source ist, hinter der Lösung aber mit der 8bit Solutions LLC nur ein bisher aktiver Entwickler steht, nämlich Kyle Spearrin. Ich greife mal vorweg: Will man einen Grund gegen Bitwarden finden, dann ist es sicherlich dieser. Wenn Bitwarden größer wird, muss der Bursche aufrüsten, klar.
Bitwarden bietet für Privatnutzer alles wichtige kostenlos an. Team-Accounts lassen sich fair bezahlen, Lösungen für Familien kosten 1 Dollar für 5 Teilnehmer im Monat. Wer die fairen Preise zahlt, der bekommt auch etwas dafür, beispielsweise Cloud-Speicher. In diesem kann man Anhänge speichern. Wer diese nicht braucht, der muss nichts zahlen.
Als ich Bitwarden das erste Mal richtig unter die Lupe nahm, war ich schon überrascht, was da gestemmt wurde. Die Apps sind deutsch lokalisiert, die Erweiterung auch, lediglich die Webseite ist derzeit nur in englischer Sprache nutzbar, was aber hoffentlich kein Beinbruch darstellt. Es ist weniger kompliziert als andere Lösungen, des Weiteren kann man eigentlich auch alles über die Browser-Erweiterung machen, denn diese spricht Deutsch.
Nutzer können in Bitwarden Gruppen anlegen, Ordner quasi. Das macht das Ganze natürlich übersichtlich. Wie man Logins erstellt, erspare ich uns mal hier, das sollten die Leser hier wohl wissen. Wer umzieht – sei es raus oder rein in Bitwarden – der hat mehrere Importmöglichkeiten, das hat in meinem Test aus 1Password ganz gut geklappt.
Nutzer können unterschiedliche Typen anlegen in Bitwarden, Logins, Karten, Identitäten und sichere Notizen sind da möglich. Passwörter können natürlich auch generiert werden. Ist man auf einer Webseite mit Login, so visualisiert dies Bitwarden über die Erweiterung, hier kann man sich direkt einloggen, alternativ Nutzername nebst Passwort kopieren. Auch das Speichern eingegebener Daten funktioniert ebenso rasch über die Erweiterung.
Der Passwort-Speicher online lässt sich per Zwei-Faktor-Authentifizierung sichern, sodass man nach Eingabe von Nutzername und Passwort noch einen Code braucht, der vom Google Authenticator oder Apps wie Authy generiert wird.
Vielleicht ganz interessiert, falls ihr im Haushalt nur zu zweit seid und beide Bitwarden nutzt: Kostenlos lässt sich eine Organisation anlegen und in dieser kann man Passwörter mit Personen teilen. Habt ihr also einen ebay- oder Amazon-Account, so kann man das da alles hinterlegen. Bedeutet auch, dass sich Änderungen bei beiden Nutzern auswirken, ebenfalls praktisch.
Sowohl am Desktop als auch mobil machte Bitwarden in meiner Phase des Ausprobierens eine hervorragende Figur. Eine so gute, sodass ich die Lösung sogar weniger versierten Nutzern ans Herz legen würde. Es gibt einen leicht verständlichen – wenn auch englischsprachigen Hilfebereich – und wenn man eh gerne testet oder auf der Suche ist: Schaut euch das Projekt gerne an. Gibt nicht viel, was mir so auf Anhieb gefällt, Bitwarden ist seit langer Zeit mal wieder eine dieser Perlen, die mir vor die Flinte kam.
Und falls ihr Bitwarden mal testet: Nehmt euch doch vielleicht die Zeit und löscht alte Accounts, die ihr eh nicht mehr nutzt. Das befreit auch.
Wird geladen ...
Hm… da hat es wohl meinen Kommentar verschluckt. Dann nochmal:
@FriedeFreudeEierkuchen: danke, genau so meinte ich das.
@Gast: zumindest Lastpass und Dashlane haben eine Funktion, mit der man Passwörter bestimmter Webseiten automatisch aktualisieren lassen kann. Das funktioniert aber nicht bei allen Webseiten. Dashlane ist hier meines Wissens am umfangreichsten aufgestellt. Hier kannst Du sehen, welche Seiten von Dashlane aktuell unterstützt werden:
https://www.dashlane.com/de/password-changer-list
Ich teste Bitwarden jetzt seit ca. 3 Monaten. Der Entwickler ist sehr aktiv, reagiert schnell auf Feedback und reicht sinnvolle Funktionen nach. Ich hoffe nur, dass er schnell über die nötigen Mittel verfügt, ein kleines Team aufzubauen. Eine One Man Software ist nie ideal.
Danke.
@masterpass
Das Problem ist ja auch, dass man das Passwort nicht ändern kann, was schon reichlich unsicher ist
@bitwarden
Klingt interessant, aber mir wird zu wenig auf Security Features eingegangen
@Enpass
Sieht super aus… und wäre theoretisch meine favorisierte Variante (habs auch meiner 70-jährigen Mutter installiert, die mit KeePAss aufgrund der Optik nicht klar kam), allerdings ja, die Inder drücken sich seit langer Zeit mit immer neuen Ausreden vor Audits, einmal sind es zu viel Plattformen, dann will man bis zum nächsten Release warten, dann verzögert sich das, weil man ja nicht wusste, dass Firefex die alten Plugins abschaltet… gibt immer noch keine neues Plugin… finde ich schon unprofessionell. Dazu kommen eine Menge fehlende Features, mehrere Datenbanken gehen nicht, Attachments auch nicht… K.O: Kriterium ist aber für mich die fehlende Unterstützung von Key-Files
@Keepass
Letztlich bleibe ich daher bei KeePass, ja es sieht wirklich beschissen aus… ABER: Ich kann mit lokalen Keyfiles, die Passwörter in die Dropbox schieben und habe so einen zusätzlichen Layer Schutz. Auch sonst scheint mir KeePass von der Security her, der Goldstandard zu sein, daher bleibe ich dabei… (auch wenn es noch keinen guten iOS Client gibt). Dazu kommen eine Menge Plugin (gelle Deliberation, und KeePass wurde halt schon auditiert, eben von solchen Leuten, die wissen wie es geschrieben wurde 😉 )
@Walt: Danke für den Test, damit werde ich mir Bitwarden nicht installieren 😉
Bleibe aktuell auch bei Keepass hängen weil:
@Engpass
Würde mir gefallen, aber Hasht noch mit 24000 Rounds mit SHA-1 und unterstützt aktuell kein Keyfile.
@Bitwarden
Zwischenablage nicht löschen nach x Minuten (Danke an den Hinweis @Walt) und nur 5000 Rounds Iterations wenn auch mit SHA 265, ist definitiv viel zu wenig. Und das bei Hosting in der MS Azure Cloud.
@Keepass
Ja die Oberfläche ist häßlich, aber mit ChaCha20 und Argon2 und Keyfile, sollte das bei richtiger Konfiguration, die sicherste Variante sein.
Und für iOS gibt es Kypass4, was wirklich nicht schlecht ist.
@DFFVB
Ja SHA1 ist geknackt, aber Enpass benutzt HMAC_SHA1 was wohl noch als sicher gilt.
Bei KyPass kannst du Farben und Fonts anpassen, wenn du die experimental Settings aktivierst. Die Standard Einstellung finde ich auch nicht besonders.
Ich finde das Konzept von https://myki.co/ sehr interessant – Die Passwörter werden nicht in der Cloud sondern auf dem verschlüsselten Smartphone gespeichert. Über ein Browser Add-In wird das Passwort im Bedarfsfall vom Smartphone angefordert und für die Nutzung am PC freigegeben.
@Janaj
Hast du Myki selbst eingesetzt?
Was sagen ‚kritische Stimmen‘ zu Myki?
@bat
Ja habe es im Einsatz und es funktioniert im täglichen Gebrauch einwandfrei. Hatte zuvor im Internet recherchiert aber nichts negatives hierzu gefunden.
Ich nutze seit zig Jahren roboform. Alle anderen Tools hatten bisher sehr viel weniger Funktionalität. Und der Preis ist auch fair.
Moin zusammen,
seit vielen Jahren nutze ich iPin. Gibt es für alle Plattformen.
Vor allem gefällt mir die Möglichkeit, lokal im eigenen WLAN den jeweiligen Tresor vom Mac auf das iPhone, das Android auf den Win-Rechner übertragen zu können. Kein „Outer-Space“ ist involviert, wenn ich nicht will.
Synchronisiert natürlich auch über iCloud.
Also ich bin sehr zufrieden.
Solltet ihr euch mal anschauen, eure Meinung würde mich interessieren.
@caschy
gibt es mittlerweile für dich einen Gewinner bei den Passwordmanagern oder ein Fazit das du nun ziehen würdest?
Moin zusammen,
ich habe die Virensoftware Bitdefender Internet Security auf meinem Desktop. Im Programm ein Passwort Manager der mich begeistert. Nun läuft die Nutzungsdauer des Programms ab und ich werde mir kein neues Viren Programm mehr kaufen. Was heute in Windows 10 als Schutz integriert ist soll sogar laut BSI vollkommen ausreichen. Nun aber mal zu meiner Frage. Ein Kumpel von mir besorgt sich gerne mal Programme von ….. keine Ahnung, aber eher nicht legal. Also will er mir einen sonst teuren PW Manager besorgen. Das dies alles nicht erlaubt ist etc. liebe Freunde, das weiß ich auch und das soll auch nicht Inhalt dieser Diskussion werden und bitte, schlachtet es hier nicht aus. Kann also in einem solchen Programm evtl. versteckte Malware oder ähnliche Spionage Tools versteckt sein?
Natürlich. Gerade so hochsensible Software wie ein Passwortmanager sollte nicht aus zwielichtigen Quellen bezogen werden. Zumal man dann sicher auch keine Updatea bekommt. Bitwarden oder Lastpass lassen sich doch wunderbar kostenloa nutzen. Mit Keepass gibt es eine mächtige Opensource Lösung, die nicht auf eine zentrale Cloid setzt. Es gibt einfach keinen Grund hier Schwarzkopien einzusetzen. Die Entwickler wollen im Übrigen auch von irgendwas leben.
@schmaltief
ist schon eine Weile her, aber warum RK benutzen? Ich benutze schon seit langem TextmakerOffice auf meinem Linuxrechner. Nun Könnte ich zwar mittels Portsperrungen usw. die Abfrage umgehen. Aber wozu? Einmal die Free Version getestet und dann ein Upgrade gekauft. Alle zei Jahre oder so wieder 50 Euro ausgeben ist nicht so schwer.
Genauso verhält es sich bei Bitwarden. 10 Euro im Jahr sind 2 Schachteln Zigaretten. Also was soll’s?
Mittlerweile ist Bitwarden richtig gut. Aber trotzdem vertraue ich meine Passwörter immer noch lieber KeePassXC an und habe die auf einem lokalen Rechner. Meine Passwörter bleiben lokal, egal wie man es sieht.