Passwortmanager: Bitwarden?

[bandchef]

100 Euro für ein Softwareleben ist doch völlig ok?

Ja, naja. Ich hatte noch Glück und habe vor 5-6 Jahren eine Voll-Lizenz, für ich glaube, unter 10€ bekommen.
Aber ja. 100€ ist prinzipiell nicht viel Geld für "lebenslang". Es ist halt nur die Frage wie lang Lebenslang dann wirklich ist.

Aber zurück zu Bitwarden.

Ich schlage Bitwarden dann meinen Eltern vor. Wo wird da der Tresor gespeichert? In einer Cloud bei denen oder kann ich auch ein Google Drive angeben?

Und: Kann Bitwarden auch auf ein Verzeichnis auf meinem lokalen NAS abspeichern? Wie sieht es im "Free- Abo" da mit Werbung aus? Und auch hier: Wie lange bleibt free, denn free?

 

[Salamimander]

Letzteres kann dir niemand sagen.. :/

 

[sandreas]

Und: Kann Bitwarden auch auf ein Verzeichnis auf meinem lokalen NAS abspeichern? Wie sieht es im "Free- Abo" da mit Werbung aus? Und auch hier: Wie lange bleibt free, denn free?

Bitwarden kannste auch selbst hosten, nennt sich Vaultwarden. Also wenn du irgendwann mal dahin kommst, das Bitwarden dich nervt, gehste eben den Schritt.

Ich persönlich nutze aber auch KeePass XC.

 

[panik]

Ich benutze Keepass ohne XC auf meinem PC, dort kannst du ein PlugIn installieren um den Tresor aus einer Cloud zu synchronisieren zb. Dropbox. Auf meinem Smartphone benutze ich dann Keepass2Android. Die Schlüsseldatei darf aber auf keinen Fall in Cloud liegen, die muss lokal da liegen wo du den Tresor entsperren willst.

Einfach, kostenlos und der Tresor ist von mehreren Stellen erreichbar.

 

[knoxxi]

Ich benutze bisher 1Password, für rund 40€/Jahr, und bin bisher mit der super Integration in iPadOS, Linux und Android sehr zufrieden.

 

[h00bi]

Ich schlage Bitwarden dann meinen Eltern vor. Wo wird da der Tresor gespeichert? In einer Cloud bei denen oder kann ich auch ein Google Drive angeben?

in der Bitwarden Cloud.

Und: Kann Bitwarden auch auf ein Verzeichnis auf meinem lokalen NAS abspeichern?

Wenn dein NAS Docker kann, dann kannst du Bitwarden als Vaultwarden selbst hosten. Du brauchst aber auch noch einen reverse proxy dazu und dieser muss aus natürlich dem Internet erreichbar sein.

Wie sieht es im "Free- Abo" da mit Werbung aus? Und auch hier: Wie lange bleibt free, denn free?

Werbung gibs nicht.
Der Free Account ist der Lockvogel. Der wird immer free bleiben. Die Frage wäre eher in welchem Umfang.
Aber selbst wenn das mal gestrichen werden sollte, der personal premium kostet nur 10 Dollar im Jahr.
Der Free Account hat aber z.B. bereits die Option Einträge mit einem weiteren User zu teilen. Das nutzen meine Eltern zum Beispiel sehr intensiv, weil die für booking.com usw. immer einen Account zusammen nutzen.
Alternativ kannst du dir im Fall der Fälle auch den kompletten entschüsselten Passwort Tresor downloaden und damit zu irgendeinem anderen Dienst umziehen oder eben selbst hosten.


Und die wichtigste Regel: Nutze für den Passwortmanager als Masterpasswort ein ordentliches langes Passwort.
An Mobilgeräten wirst du sowieso fast immer im Biometrie entsperren. Die Länge des Passworts ist also im Alltag ziemlich egal.
Sollte jemand bei Bitwarden die Cloud hacken und deinen verschlüsselten Passwort Tresor stehlen, könnte man das Passwort bruteforcen. Bei einem gescheiten Masterpasswort ist das aber vollkommen ausichtslos.

Kannst du hier testen:
https://bitwarden.com/de-DE/password-strength/

 

[h00bi]

Mal eine Frage zur passkey Speicherung in bitwarden.
Also nicht passkey Login in bitwarden, sondern das Speichern eines Passkeys von Amazon/ PayPal und co. in bitwarden.

Der passkey ist ja gerätespezifisch, sonst wäre er ja nichts anderes als ein laaaaanges Passwort.
Von einem anderen Gerät kann ich den nicht nutzen.
Ich müsste also pro Gerät 1 Passkey zu jedem Dienst haben.
In bitwarden kann ich jedoch pro Dienst/Website nur 1 passkey speichern über alle Geräte hinweg.

Entweder ich verstehe das nicht/falsch oder die Funktion ist unausgereift.

Geht ein alter Passkey auf einem resetteten bzw. neu installieren System? Falls nein, brauche ich doch eigentlich gar kein Backup meiner passkeys.

Warum sollte ich einen passkey in bitwarden speichern? Nur als Zugriffsschutz?

 

[Woking]

Bitwarden oder 1Password?
Was wäre hier eher die Empfehlung?

 

[knoxxi]

Hängt vom persönlichen Geschmack ab.
Ich finde die rund 35€ im Jahr bei 1Password gut angelegt und der Sync über alle Betriebssysteme funktioniert super.

Das selbe wird dir sicher auch jemand über Bitwarden erzählen @Woking 🙂

 

[KitKat::new()]

Bitwarden oder 1Password?
Was wäre hier eher die Empfehlung?

Bitwarden

Closed Source käme mir insbesondere bei sicherheitskritischer Software eher nicht in die Tüte

 

[Woking]

@KitKat::new() Open Source bei Bitwarden liest man oftmals als Vorteil da der Quellcode für jeden einsehbar ist. Nur haben es Hacker dann nicht auch einfacher wenn die wissen wie das Programm aufgebaut ist?
Oder habe ich einen Denkfehler?

 

[andy_0]

Nur haben es Hacker dann nicht auch einfacher wenn die wissen wie das Programm aufgebaut ist?

Das ist so korrekt.

Das Argument von Open Source ist ein anderes. Es geht primär um Vertrauen. Man kann die Versprechungen des Herstellers prüfen. Bei einer proprietären Software kann alles versprochen werden und dann dennoch keinerlei Security implementiert sein. Wie willst du eine Backdoor nachweisen?
Als nächstes kommt die Möglichkeit von vielen erfahrenen Köpfen zu profitieren. Zehn Leute erkennen ein Fehler potentiell besser als ein einzelner - der womöglich die Funktion implementiert hat und daher den für andere womöglich offensichtlichen Fehler übersieht.

Im Fachbereich Software Security ist man seit langem überein gekommen, dass Security By Obscurity nicht funktioniert. Das ist ein Grund, warum sämtliche modernen Kryptografiealgorithmen oder Hashalgorithmen zwangsweise öffentlich zugänglich sein müssen.

Würdest du sagen, dass der SHA2 Algorithmus oder die WLAN WPA3 Verschlüsselung unsicher sind, weil die Spezifikationen hierfür öffentlich einsehbar sind?

 

[Salamimander]

Ich bringe auch immer gerne Enpass ein. Einmalkauf gibt es weiterhin

 

[Woking]

Als nächstes kommt die Möglichkeit von vielen erfahrenen Köpfen zu profitieren. Zehn Leute erkennen ein Fehler potentiell besser als ein einzelner - der womöglich die Funktion implementiert hat und daher den für andere womöglich offensichtlichen Fehler übersieht.

Nur gilt das anders rum nicht auch? Mehr erfahrene Hacker können schneller Schwachstellen finden.
Überwiegen die Vorteile und wenn ja warum oder gleicht sich das am Ende aus?

 

[andy_0]

Mehr erfahrene Hacker können schneller Schwachstellen finden.

Das können sie. In der Realität ist die Anzahl der Angreifer begrenzt und unabhängig davon, ob die Software Open Source ist, oder nicht.

Die Wahrscheinlichkeit in einer riesigen Menge Quellcode einen für einen selber nutzbaren Fehler zu finden, ist schon gering. Dagegen steht das übliche testen auf bekannte Sicherheitsfehler, wofür man den Code nicht kennen muss.

Überwiegen die Vorteile und wenn ja warum oder gleicht sich das am Ende aus?

Pauschale antworten sind unmöglich. Ein Closed Source System kann sicher sein, ein Open Source System unsicher.

In der Risikoabwägung ist die Sicherheit vor z.B. Backdoors nur mit einem offenen System prüfbar und damit vertrauenswürdig.

 

[KitKat::new()]

Von einem anderen Gerät kann ich den nicht nutzen.
Ich müsste also pro Gerät 1 Passkey zu jedem Dienst haben.
In bitwarden kann ich jedoch pro Dienst/Website nur 1 passkey speichern über alle Geräte hinweg.

Entweder ich verstehe das nicht/falsch oder die Funktion ist unausgereift.

Ich glaube am besten stellst dir den Bitwardenclient einfach als ein weiteres Gerät vor, das unabhängig von den anderen Geräten ist und zum Login genutzt werden kann.

 

[knoxxi]

Ist bei 1Password genau so. Da ist der Passkey nicht an das Gerät gespeichert sondern in 1Password. So kann ein Passkey der mit dem iPhone erstellt wurde auch auf Linux oder wo auch immer verwendet werden.

 

[Woking]

@knoxxi Und bei Bitwarden funktioniert das auch?
Wobei es ja etwas den Sinn von Passkeys aushebelt?

 

[knoxxi]

aushebelt

Weshalb? Passkey ist eine Alternative Login Methode zu User+Passwort. Ob der Manager nun User+Passwort einträgt oder sich mit dem Passkey legitimiert, macht im Kern keinen großen unterschied.

Ergänzung (13. Februar 2025)

Und bei Bitwarden funktioniert das auch?

Dunno, vermute ich aber mal so wie ich @KitKat::new() verstehe.

 

[Salamimander]

Enpass ebenfalls. Besonders liebe ich die Nextcloud Sync Funktion !