Bitwarden - Vaultwarden - Anfängerfragen

[omavoss]

Hallo,
ich habe mir auf einen Raspi2 den Passwort-Manager installiert und einen Account eingerichtet, das hat bis hierher funktioniert.

Nun soll diese Software meine Login-Daten z.B. zu CB automatisch eintragen, das tut sie aber nicht, obwohl ich in meinem Bitwarden-Tresor die Zugangsdaten korrekt eingetragen habe. Wenn ich "Start" auswähle, wird zwar die Seite von CB aufgerufen, aber die Zugangsdaten sind trotzdem nicht eingetragen.

Ich mache also irgendetwas falsch und brauche bitte für den Anfang um ein paar Hinweise.

Viele Grüße und schonmal danke.

 

[madmax2010]

hast du die browser extension drin?

 

[Yuuri]

Geh in die Optionen, letzter Punkt:

Autofill kann aber gefährlich sein.

http://www.techadvisory.org/2019/01/the-dangers-of-autocomplete-passwords/

 

[burglar225]

Guter Hinweis @Yuuri Aber ich bin mir nicht sicher, ob das bei Bitwarden zutrifft. Soweit ich das beurteilen kann, liest Bitwarden die Domain aus und gleicht sie mit der hinterlegten ab. Passt->Form wird ausgefüllt, Passt nicht->Nichts passiert. Voraussetzung wäre also, dass man die Domain fakt. Das wiederum passt aber nicht mit dem Tracking, um das es in deinem Artikel geht, zusammen.
Sicherlich besteht ein gewisses Risiko, durch das URL-Matching von Bitwarden aber eher sehr gering in meinen Augen.

 

[Yuuri]

Soweit ich das beurteilen kann, liest Bitwarden die Domain aus und gleicht sie mit der hinterlegten ab.

Das ist irrelevant. Autofill funktioniert so, dass jedes Input-Element [name=username] oder [name=password] automatisch mit den Zugangsdaten befüllt wird. Das passiert also auch bei Elementen, die dir ggf. via Werbung untergeschoben werden. Die Felder musst du nicht mal sehen, die können auch auf type="hidden" stehen. Ausgefüllt werden sie trotzdem und schon hast du deine Zugangsdaten an nen Ad-Server geleakt.

Sieh dir mal die GMX-Startseite an. Machst du dort nen Autofill, wird jedes Feld mit input[name=username] und input[name=password] automatisch befüllt, egal ob das von GMX selbst kommt oder dir durch nen Ad-Server untergeschoben wird. Mal abgesehen davon, dass auf Login-Seiten aus Sicherheitsgründen sowieso keine Werbung angezeigt werden sollte (siehe z.B. hier auf CB).

https://www.tomsguide.com/news/dont-autofill-passwords

Hier gibts nen Link zu nem Test Exploit: https://websecurity.dev/password-managers/login/

Hier handelt der Seitenbetreiber aber mindestens fahrlässig wie gesagt und begünstigt solche Sachen überhaupt für verseuchte Ad-Server.

Kann dir also ein Ad-Server Input-Elemente auf der Seite unterschrieben, die dein Passwortmanager stumpf automatisch befüllt, hast du bereits verloren. Die Domain ist dann ja die selbe. Und dass Ad-Server Malware ausliefern ist nun nichts Neues im Staate Dänemark.

• https://www.forbes.com/sites/leemat...-to-spread-malware-that-mines-cryptocurrency/
• https://www.heise.de/security/meldung/Nuclear-Exploit-Kit-mit-Google-Ads-ausgeliefert-2596908.html
• https://www.heise.de/security/meldu...ware-Schleuder-missbraucht-Update-212111.html
• https://www.heise.de/newsticker/mel...-und-AOL-gemeinsam-gegen-Bad-Ads-1617784.html

Und und und... Mit nem eigens getriggertem Autofill hast du zumindest die Kontrolle wo es passiert.

 

[burglar225]

Alles klar, ich verstehe was du meinst. Mit Ad-Blocker kann dir das aber auch nicht passieren. Trotzdem werde ich Auto-Fill künftig deaktivieren sicherheitshalber. Dass das keine 100%-Garantie ist sollte klar sein.

 

[Yuuri]

Nochmal zwei Beispiele:

Schlecht - gmx.de

Direkt auf der Startseite wird mit jeglichem anderen, fremden Content, gepaart mit Werbung das Login-Formular präsentiert. Dein Passwortmanager speicher also Passwort + Username auf die Domain gmx.de. Surfst du nun also auf GMX - irgendwo - und sieht der Passwortmanager ein Formular mit Username und Passwort, werden die Zugangsdaten für deinen Account geleakt. Egal ob das von GMX selbst kommt oder von nem Ad-Server. Das bedingt natürlich auch eine entsprechend schlechte CSP.

GMX CSP Check: https://cspscanner.com/?q=https://www.gmx.de

Fazit: miserabel

An wen du potentiell bei GMX leakst:

Beachte die Scrollleiste!

Mal aufgeschlüsselt (Achtung satte 182 Hosts sind involviert, nur auf der Startseite):

Spoiler

• gmx.net
• dl.gmx.net
• i0.gmx.net
• epimetheus.navigator.gmx.net
• plus.gmx.net
• wa.gmx.net
• www.gmx.net
• ymprove.gmx.net
• 1299523030.rsc.cdn77.org
• 2mdn.net
• s0.2mdn.net
• 360yield.com
• ice.360yield.com
• 3lift.com
• tlx.3lift.com
• ad4m.at
• as.ad4m.at
• assets.ad4m.at
• adform.net
• adx.adform.net
• s1.adform.net
• track.adform.net
• adition.com
• ad11.adfarm1.adition.com
• ad11p.adfarm1.adition.com
• ad13.adfarm1.adition.com
• ad2.adfarm1.adition.com
• ad3.adfarm1.adition.com
• dsp.adfarm1.adition.com
• imagesrv.adition.com
• adnxs.com
• cdn.adnxs.com
• fra1-ib.adnxs.com
• ib.adnxs.com
• secure.adnxs.com
• adsafeprotected.com
• dt.adsafeprotected.com
• pixel.adsafeprotected.com
• static.adsafeprotected.com
• adspirit.info
• wlt-twiago.adspirit.info
• akadns.net
• track-eu.adformnet.akadns.net
• a-emea.rfihub.com.akadns.net
• frcp-hlb.dvgtm.akadns.net
• tagged-by.rubiconproject.net.akadns.net
• akamaiedge.net
• e15144.d.akamaiedge.net
• e10883.g.akamaiedge.net
• e3120.g.akamaiedge.net
• e5416.g.akamaiedge.net
• e8037.i.akamaiedge.net
• alb-aws-fr-bswx-1-445786803.eu-central-1.elb.amazonaws.com
• amazon-adsystem.com
• c.amazon-adsystem.com
• appnexus.map.fastly.net
• prod.appnexus.map.fastly.net
• bidswitch.net
• x.bidswitch.net
• blau.de
• partner.blau.de
• portal.blau.de
• casalemedia.com
• htlb.casalemedia.com
• criteo.com
• bidder.criteo.com
• ag.gbc.criteo.com
• gem.gbc.criteo.com
• gum.criteo.com
• mug.criteo.com
• criteo.net
• static.criteo.net
• d1ykf07e75w7ss.cloudfront.net
• d3bkyy6rh45q8q.cloudfront.net
• d3sv.net
• s.d3sv.net
• dnacdn.net
• doubleclick.net
• ad.doubleclick.net
• googleads4.g.doubleclick.net
• securepubads.g.doubleclick.net
• doubleverify.com
• tps20231.doubleverify.com
• dt-external-217593033.us-east-1.elb.amazonaws.com
• firewall-external-2134955858.eu-west-1.elb.amazonaws.com
• g-ha-1und1.de
• poma-ingress-bs-bap.g-ha-1und1.de
• g-ha-gmx.net
• plus.g-ha-gmx.net
• ymprove.g-ha-gmx.net
• gmx.at
• dl.gmx.at
• gmx.ch
• dl.gmx.ch
• google.com
• s0-2mdn-net.l.google.com
• googlesyndication.com
• ade.googlesyndication.com
• pagead2.googlesyndication.com
• tpc.googlesyndication.com
• googletagservices.com
• www.googletagservices.com
• gstatic.com
• csi.gstatic.com
• ha-cdn.de
• ap-info.ha-cdn.de
• einwilligungsspeicher.ha-cdn.de
• t-uimserv-net.ha-cdn.de
• uim-tifbs.ha-cdn.de
• ioam.de
• de.ioam.de
• lead-alliance.net
• c1.lead-alliance.net
• www.lead-alliance.net
• media01.eu
• pb.media01.eu
• medialead.de
• pv.medialead.de
• netid.de
• ap-info.netid.de
• einwilligungsspeicher.netid.de
• nonstoppartner.net
• blau.nonstoppartner.net
• o2.nonstoppartner.net
• o2online.de
• partner.o2online.de
• portal.o2online.de
• openx.net
• united-internet-d.openx.net
• otto.de
• orbidder.otto.de
• outbrain.com
• odb.outbrain.com
• widget-pixels.outbrain.com
• widgets.outbrain.com
• outbrain.map.fastly.net
• outbrain.org
• chidc2.outbrain.org
• outbrainimg.com
• log.outbrainimg.com
• tcheck.outbrainimg.com
• zem.outbrainimg.com
• pbstck.com
• boot.pbstck.com
• cdn.pbstck.com
• intake.pbstck.com
• plista.com
• farm.plista.com
• pubmatic.com
• hbopenbid.pubmatic.com
• rfihub.com
• p.rfihub.com
• rubiconproject.com
• fastlane.rubiconproject.com
• smartadserver.com
• prg.smartadserver.com
• stackpathcdn.com
• r2e4z2j5.stackpathcdn.com
• stati-stati-5vqsw3ctlefo-93594259.eu-west-1.elb.amazonaws.com
• telefonica-partner.de
• www.telefonica-partner.de
• tifbs.net
• uim.tifbs.net
• twiago.com
• a.twiago.com
• cdn.twiago.com
• ui-portal.de
• caproxy-hp.ui-portal.de
• img.ui-portal.de
• js.ui-portal.de
• nct.ui-portal.de
• uicdn.com
• s.uicdn.com
• uimserv.net
• adimg.uimserv.net
• t.uimserv.net
• uidbox.uimserv.net
• uir.uimserv.net
• userreport.com
• visitanalytics.userreport.com
• yieldlab.net
• ad.yieldlab.net

Guter Schnitt, nicht wahr?

Durch ein manuelles Autofill hast du zumindest die Kontrolle, dass nur auf der Startseite (mit dem richtigen Login-Formular) die Daten ausgefüllt werden. Surfst du quer durch GMX und hast 10 verseuchte Ad-Server abbekommen und dein Passwortmanager hat schön alle Formulare ausgefüllt, hast du deinen Account zehnmal geleakt. Mit nem manuellen Fill ist dies maximal einmal passiert - direkt auf der Startseite beim richtigen Login. Multiplizier diesen Faktor bitte mit der Anzahl der Hosts oben.



Gut - Computerbase

Willst du dich einloggen, wirst du auf /forum/login umgeleitet, auf welcher sich keine Werbung oder anderweitige Drittanbieter-Scripte befinden. Username und Passwort werden also auf computerbase.de/forum/login abgelegt. Surfst du nun auf Computerbase und begegnest entsprechenden Ad-Servern, ist das dem Passwortmanager egal, denn die Credentials liegen auf computerbase.de/forum/login. Ergo wird dort nichts automatisch ausgefüllt, außer du bist auf der eigens existierenden Login-Seite, wo sich auch keine Ads befinden.

CSP Check: https://cspscanner.com/?q=https://www.computerbase.de

Fazit: nicht viel besser, aber da die Loginseite ausgelagert ist und dort keine Drittanbieter-Scripte ausgeführt werden, ist das sicher. Unterschieben kann man dir das mit automatischem Autofill natürlich trotzdem.

An wen du bei CB leaken würdest:

kurz: niemandem

Die Default Match Detection von Bitwarden ist auch etwas kontrovers. Standardmäßig steht diese auf Base domain, d.h. selbst wenn du computerbase.de/forum/login hinterlegt haben solltest, füllt er trotzdem wild auf computerbase.de alles aus. Selbst subdomain.computerbase.de würde automatisch ausgefüllt werden.

Ein Minimum an Sicherheit stellt erst Starts with dar, damit die Login Daten auch dort bleiben, wo sie abgespeichert wurden und nicht quer übers Forum verteilt werden könnten.

Mit Ad-Blocker kann dir das aber auch nicht passieren.

Mit kann das auch passieren, schließlich hinken AdBlocker auch nur hinterher und können erst filtern, wenn das Kind bereits in den Brunnen gefallen ist. Außerdem wird ja nicht alles und jeder geblockt.

Was mit Firefox' Tracking Protection und uBlock bei mir durchkommt:

Tracking Protection + uBlock + PiHole:

Ein manueller Autofill ist ja aber auch nicht schwer. Entweder du triggerst es schnell übers Kontextmenü oder du nutzt den Keyboard Shortcut Strg + Shift + L fürs Einsetzen des letzten Autofills. Den Shortcut kann man aber auch in jedem Browser manuell ändern, dass man keine Verrenkungen veranstalten muss.

 

[omavoss]

Ich habe nun den Thread gelesen (hatte ein paar Tage Urlaub) und komme letztendlich zu der Erkenntnis, das ein Passwortmanager einfach "Sche***e" ist.

Ich dachte in meiner Unbedarftheit, dass ich sämtliche Passwörter hinter einem Master-PW verbergen könnte, den Manager könnte man dafür verwenden, wirklich sichere Passwörter zu generieren, und wenn man seine Webseiten aufsucht, macht der Manager per Auto-Fill den Rest. Es scheint aber überhaupt nicht so zu sein, man reißt mehr Sicherheitslöcher auf, als die Benutzung von Bitwarden sinnvoll ist.

Ich verstehe es nicht und werde wohl weiterhin meine ständig umzuschreibende und zu ändernde Excel-Passwort-Liste verwenden müssen; alles andere ist zur Passwortverwaltung zu kompliziert und deshalb ungeeignet; das trifft auch auf KeePassXC zu.

Wenn es Hinweise gibt, wie man besser mit der Thematik zurechtkommt, dann bitte ich darum.

Viele Grüße.

 

[Yuuri]

Wenn es Hinweise gibt, wie man besser mit der Thematik zurechtkommt, dann bitte ich darum.

Dann stell deine Fragen.

Wo das Autofill zu finden ist, hab ich dir gezeigt. Aber sei dir halt der evtl. Gefahren bewusst, mehr will ich nicht sagen. Du füllst ja schließlich auch nicht jeden Zettel mit deinen Kontodaten aus, den dir irgend ein nigerianischer Prinz vor die Nase hält, "weil er dir Geld überweisen will".

Übers Kontextmenü ist es auch nicht schwer.

Es scheint aber überhaupt nicht so zu sein, man reißt mehr Sicherheitslöcher auf, als die Benutzung von Bitwarden sinnvoll ist.

Komfort vs. Sicherheit. Beides geht nie Hand in Hand.

Ich verstehe es nicht und werde wohl weiterhin meine ständig umzuschreibende und zu ändernde Excel-Passwort-Liste verwenden müssen

Ohne Passwortschutz oder mit altem Format ist da nichts sicher. Auch hast du da den zusätzlichen Angriffsvektor der Zwischenablage. Weiterhin die Abhängigkeit zu Excel.

 

[omavoss]

@Yuuri:
Vielen Dank für Deine Ermutigung, zum Thema Fragen zu stellen.

Ich würde gern Bitwarden verwenden, auch wenn das zu Ungunsten der Sicherheit gehen würde. Nun gebe ich z.B. für CB die Credentials in Bitwarden ein, sie werden aber stets durch die Credentials für CB, die im Windows abgespeichert sind, überschrieben. Das Gleiche trifft auch auf andere Web-Sites zu, für die ein Login erwartet wird. Ich habe im Windows verschiedene dort gespeicherte Passwörter komplett gelöscht, trotzdem werden diese Paswörter immer wieder angezogen und nicht durch die im Bitwarden gespeicherten Passwörter "ersetzt". Ich schaffe es nicht, dass die im Bitwarden gespeicherten Passwörter wirklich auch angezogen werden.

Irgendwie habe ich die Funktionsweise des Passwortmanagers noch nicht richtig verstanden und könnte noch ein paar Hinweise dafür gebrauchen; vielen Dank.

 

[Yuuri]

Nun gebe ich z.B. für CB die Credentials in Bitwarden ein, sie werden aber stets durch die Credentials für CB, die im Windows abgespeichert sind, überschrieben. Das Gleiche trifft auch auf andere Web-Sites zu, für die ein Login erwartet wird. Ich habe im Windows verschiedene dort gespeicherte Passwörter komplett gelöscht, trotzdem werden diese Paswörter immer wieder angezogen und nicht durch die im Bitwarden gespeicherten Passwörter "ersetzt". Ich schaffe es nicht, dass die im Bitwarden gespeicherten Passwörter wirklich auch angezogen werden.

Was sind denn die Credentials in Windows? Meinst du Edge? Oder im Windows die Anmeldeinformationen in der Systemsteuerung? Bist du mit nem MS Account eingeloggt und synchronisierst das?

Ab davon: Wenn du eh nen eigenen Passwortmanager verwendest, übertrag die Passwörter darin und lösch sie vom Rest des Systems. Du brauchst ja nicht mehrere. Dann kann ein ggf. aktiviertes Autofill auch nichts ausfüllen.