Bitwarden Unified soll das Selbsthosten vereinfachen
von caschy | 27 Kommentare
Bitwarden ist ein Passwort-Manager, der es Nutzern ermöglicht, ihre Passwörter sicher zu speichern und von überall aus darauf zuzugreifen. Mit Bitwarden können Nutzer ihre Passwörter für verschiedene Konten und Dienste organisieren und verwalten, indem sie ein einziges Master-Passwort verwenden. Bitwarden ist verfügbar als Browser-Erweiterung, mobile App und Desktop-Anwendung und bietet auch Unterstützung für den gemeinsamen Zugriff auf Passwörter innerhalb von Teams.
Den Passwort-Manager begleiten wir hier seit einigen Jahren. Ein starkes Stück Software ohne großartige Einschränkungen in der kostenlosen Variante, mit Mehrwerten für einen kleinen Jahres-Obolus und auch selbst auf eigenem Server installierbar. Einer der Mehrwerte der Premium-Variante (schlappe 10 Dollar im Jahr) ist die Möglichkeit, die integrierte Option zu nutzen, Einmalpasswörter (TOTP) zu nutzen.
Zum Thema „Bitwarden auf dem eigenen Server“ gibt es nun Neuigkeiten. Grundsätzlich ist Bitwarden also auf eurem NAS installierbar, aber das ist mit der Original-Software schon sehr Gefrickel, da man viele Dinge beachten muss (11 (!) Docker-Container, das wurde, Open Source macht es möglich, mit dem selbst installierbaren Vaultwarden stark vereinfacht. Hierbei handelt es sich um einen Bitwarden-kompatiblen Server, geschrieben in Rust. Aber auch die Entwickler von Bitwarden wollen es Anwendern einfacher machen, das Ganze nennt sich Bitwarden Unified – als Beta.
Für diejenigen, die über die Ressourcen für die Installation, den Betrieb und die Wartung von Hardware verfügen, bietet Bitwarden eine neue, flexible Bereitstellungsoption für selbst gehostete Umgebungen an. Das Bitwarden Unified Self-Hosted Deployment ergänzt die bestehende Standard-Deployment-Option als eine leichtgewichtige Option für diejenigen, die ihre Passwort-Management-Lösung in ihrem eigenen privaten Netzwerk oder ihrer eigenen Infrastruktur einsetzen und verwalten möchten.
|
|
Standard deployment |
Unified deployment |
|---|---|---|
|
Database supported |
Microsoft SQL Server |
Multiple database providers including Microsoft SQL Server, MySQL, and PostgreSQL |
|
CPU architecture |
x64 |
x64, ARMv7, ARM64 |
|
Deployment solutions supported |
Docker DigitalOcean |
Docker Note: more deployment solutions will be available in the future |
|
Docker architecture |
11 containers via Docker Compose |
1 container |
Die Unified Deployment Option bietet eine vereinfachte Docker-Bereitstellung, bei der alle Dienste in einem einzigen Docker-Container ausgeführt werden. Ebenso Datenbankflexibilität und -portabilität, sodass Benutzer leichter verschiedene Arten von Datenbanklösungen nutzen können, um ihren Bitwarden-Server zu hosten – einschließlich Microsoft SQL Server, MySQL und PostgreSQL. Vielleicht schauen die Vaultwarden-Nutzer bei Interesse mal hin.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich bin da nach wie vor geteilter Meinung…. Ich finde OpenSource sollte dann auch frei sein…. Schön dass ich in den Quellcode schauen kann aber selbst wenn ich das „selbst“ aufsetz muss ich da Geld für bezahlen? Wenns wirklich frei wäre käme das ja ohne diese „Pay Binary Blobs“ aus… Ich selbst nutze KeePassXC funzt auch gut UI ist die Hölle (da sieht Bitwaren wieder toll aus!) ach mann können die nicht mal mergen…
Nein Open source sollte Geld kosten. Damit die Weiterentwicklung sichergestellt ist. Beispiele wie heartblead zeigen sehr schön was sonst passiert
Ich Spende lieber alle drei Monate eine große Summe…. Gimp, Librewolf, Libreoffice und KDE bekommen alle drei Monate je einen zweistelligen Betrag… So sichere ich das Fortbestehen verhindere aber ein Abo Wahnsinn .
Du sicherst deren Fortbestehen? nein, sicher nicht. Du trägst einen Teil dazu bei, so wie du es kannst. Ich finde es cool, dass du das machst. Frag doch mal die Entwickler, wie viele Nutzer wirklich Geld springen lassen. Es sind viel zu wenige. Leute wie du und ich sind die Ausnahme.
Sobald bei einem Open Source Projekt Infrastrukturkosten wie Server etc ins Spiel kommen, muss laufend Geld fließen. Außerdem braucht eine kontinuierliche Weiterentwicklung auch Geld. Große Projekte können nicht mehr nur mit Freiwilligen arbeiten, die müssen auch Leute anstellen. Niemand kann auf Dauer neben dem Broterwerb die entsprechende Zeit ohne Entlohnung zur Verfügung stellen. Alle die schon ehrenamtlich gearbeitet haben, kennen das.
Für mich sind Abo-Kosten daher durchaus OK. Wenn du das nicht magst, bleibt dir nur die Option der aktiven Mitarbeit in jeweiligen Projekt.
Ich will hier keinen Glaubenskrieg vom Zaun brechen, aber erklär mal bitte wieso das KeepassXC-UI im Gegensatz zu Bitwaren „die Hölle“ ist? Die sehen fast gleich aus…
Ich benutze übrigens beide 🙂
Mhhh unter KDE Plasma sieht KeepassXC super aus unter Windows auch…. Aber es ist überladen und für Daus wenig intuitiv…. Meine Familie tut sich schwer damit und mags
Überladen? Beide Passwortmanager haben oben eine Menüleiste, links eine Ordnerstruktur und rechts dann Details zu den Passwörtern. Ok, bei KeepassXC kann man noch eine Symbolleiste einblenden, das ist aber auch schon der einzige wirkliche Unterschied. Ich verstehe nicht wieso eines der Interfaces „überladen“ sein soll, das andere nicht. Die sind zu 99% gleich.
Also a) kostet auch die Entwicklung von Open Source Software Zeit und damit Geld, weshalb ich überhaupt kein Problem damit habe, wenn Open Source Software Geld kostet (siehe Threema) und b) kommt sogar mein 82-jähriger Vater mit KeePassXC zurecht und hat sich noch nie über die UI beschwert.
Also ich muss nichts fürs Self-Hosting von Bitwarden zahlen, keine Ahnung, woher du die Info hast…?
Hatte mir das neue Bitwarden unified self-hosted deployment vor einigen Tagen auf mein Syno NAS installiert, und mit Vaultwarden verglichen, welches ich schon lange auf dem gleichen NAS nutze. Grundsätzlich funktioniert es prima und die Installation war wirklich sehr einfach im Vergleich zu früher. Leider wird jedoch weiterhin eine Bitwarden Premium oder Familien Lizenz benötigt wenn man Dinge wie TOTP, Organisationen und Notfallkontakte nutzen möchte, Von daher bleibt für mich weiterhin Vaultwarden die Nr. 1, da ich hier diese Funktionen kostenlos dazubekomme.
Ich nutze ebenfalls Vaultwarden und bezahle sowohl Geld mittels LiberaPay an die Entwickler von Vaultwarden, als auch an Bitwarden in Form einer Premium Version. Himmel, das ist im Fall von Bitwarden Premium weniger als ein Dollar im Monat!
Diese Geiz ist geil Mentalität von vielen Menschen kotzt mich einfach nur an.
Vaultwarden funktioniert perfekt. Warum sollte man das tun? Nebenbei ist die Opensource-Variante auch sicherer.
Bitwarden selbst ist sonst auch open source. Das wegen ist doch soetwas wie vaultwarden überhaupt möglich.
Zweifelhafte Hypothese, Vaultwarden wäre sicherer.
OpenSource sind beide. Vaultwarden ist halt das Hobby-Projekt, welches Selfhosting erleichtert und durch Reverse-Engineering die Features kostenfrei ermöglicht, nutzt aber weiterhin die Bitwarden-Clients (Android, Chrome, etc)
Darin liegt auch ein Risiko, wenn die Original-Clients nach nem Update mal nicht kompatibel mit Vaultwarden sein sollten.
Daneben traue ich dem Original deutlich mehr bzgl. Sicherheitsupdates und Wartung, das Vaultwarden-Projekt ist zu klein von der Manpower, um das im selben Maße zu stemmen, und wird hier somit meistens nur Reaktiv auf Patches reagieren können, welche beim Original durchgeführt werden.
Davon abgesehen: Ohne Bitwarden gäbe es kein Valtwaurden, ich unterstützte gerne mit dem symbolischen Euro das Projekt und den Mut den Quellcode (und die Möglichkeit des Selfhostings) offenzulegen. Das habe ich sogar gemacht, als ich aufgrund der auf Synology einfachereren Installation Vaultwarden genutzt hatte.
Kleine Anmerkung: Vaultwarden basiert nicht auf Reverse-Engineering. Die Schnittstelle ist anhand der Spezifikation implementiert, die ja offen ist.
Was die Unterstützung für Bitwarden angeht, gebe ich dir aber recht. Ich habe ein Bitwarden-Abo, nutze es aber nicht. Mir ist Vaultwarden lieber.
Stimmt, da habe ich den falschen Begriff gewählt. Die API wurde in Rust halt für kleine Instanzen ressourcenschonender nachgebaut entsprechend des quelloffenen Originals. 🙂
Nutze selbst seit Jahren Vaultwarden aber ob es am Ende dann sicherer ist mag ich zu bezweifeln. Sicherheitslücken werden nicht mit Absicht eingebaut.
Bitwarden hat immerhin unabhängige Audits vom Code, wo Leute aktiv nach Sicherheitslücken suchen – zusätzlich zum OpenSource Aspekt wie bei Vaultwarden.
„Nebenbei ist die Opensource-Variante auch sicherer.“
Das ist – mit Verlaub – Blödsinn.
>Standard Deployment: 11 containers
Für etwas, das nicht mehr als ein einzelnes git repo sein müsste… unglaublich.
(passwordstore.org)
Das ist halt so als würdest du MS Paint mit Adobe Photoshop vergleichen. Bitwarden kann viel mehr wie man unschwer an der Namen der Docker-Container sehen kann. Aber wenn du das nicht benötigst, ist es natürlich auch legitim schmalspuriger zu fahren. Oder sowas Vaultwarden zu verwenden. Die Bitwarden-Architektur kommt halt aus dem SaaS-Bereich. Beides hat seine Berechtigung.
Das ist so pauschal natürlich Blödsinn. Abgesehen davon, dass Bitwarden wesentlich mehr kank, fällt ein git repo auch nicht vom Himmel. Da braucht’s ja auch ne Datenbank, Authentifizierung, vlt noch ein Proxy und ein Webfrontend und schon hast du auch 4 Container.
Für kleine Installationen ist da ist Vaultwarden mit 1 oder 2 Containern wesentlich angenehmer, für große Installationen sehe ich mit mehreren Containern eigentlich kein Problem.
>Da braucht’s ja auch ne Datenbank, Authentifizierung, vlt noch ein Proxy und ein Webfrontend und schon hast du auch 4 Container.
>Datenbank
Bitte? Was hat eine Datenbank mit einem Git-Repository zu tun??
>Authentifizierung
Richtig, ssh, die hast du aber sowieso schon auf deinem Server.
>Proxy
Wat? Warum?
>Webfrontend
Wer ein „Webfrontend“ für seinen Passwortmanager will, hat keinen Passwortmanager verdient.
11 container=11 Abhängigkeiten von Sicherheitslücken. Das jann nicht gut gehen.
PS. ist Deine aktuelle Werbecookieabfrage ernst? welchen Werbeanbieter nutzt Du NICHT?
Für noobs finde ich aber das Routing auf die NAS noch zu kompliziert. Sowas wie Quickconnect für Bitwarden wäre mega. Dann könnte ich endlich weg von 1Password. Einen smoothen (mobilen) Sync brauche ich unbedingt und mir ist das mit falschen Port Einstellungen echt noch zu heiss…
Dann nimm einfach Reverse-Proxy, dann braucht man kein Routing
Bitwarden ist leider immer noch kein äquivalenter Ersatz für KeePassXC: Kein offline sync, kein Auto-Type, kein ssh-agent. Das sind alles sehr hoch gevotete Feature requests, die seit mehreren Jahren nicht oder nur ohne Datum auf der Roadmap landen.
Den einzigen Vorteil, den ich momentan bei der offiziellen Selfhosting Variante sehe, ist die Push Funktion zwischen Mobil und Desktop/Browser Client. Da müsste Vaultvarden ansonsten eigene Apps veröffentlichen, damit das funktioniert.
Ansonsten sehe ich erstmal keinen Grund zu wechseln. Selbst für die Unified Variante scheint mal wohl im Gegensatz zu Vaultwarden noch einen extra Datenbank Container zu benötigen. Allerdings ist der Reverse Proxy bei Vaultwarden nicht mit integriert. Könnte mir vorstellen, dass die Variante mit mehreren Containern für Enterprise Kunden eventuell besser zu warten ist.
Ich wünsche mir für Bitwarden mal ein ordentliches Session Management. Ist seit langem als Feature Request eingereicht aber bisher keine Anzeichen einer geplanten Umsetzung.