1 Punkte von GN⁺ 2023-09-26 | 1 Kommentare | Auf WhatsApp teilen
  • Bitwarden ist eine Plattform für Credential Security, die Passwörter, Passkeys und Secrets von Privatpersonen und Unternehmen mit Open-Source-Ende-zu-Ende-Verschlüsselung schützt
  • Die Produktsuite bietet Passworterstellung, Speicherung und Autofill, zentrale Business-Tresore, Admin-Tools, Synchronisierung mit unbegrenzt vielen Geräten, Teilen und Self-Hosting
  • Der Schutzbereich geht über menschliche Konten hinaus und erstreckt sich auch auf AI Agents und Maschinen; für den Agent-Zugriff gilt Just-in-time-Zugriff mit Verschlüsselung, der jedes Mal eine menschliche Freigabe erfordert
  • Bitwarden nennt mehr als 80.000 Organisationen und Millionen Privatnutzer, über 100.000 Community-Mitglieder, Audits durch Dritte und Zero-Knowledge-Verschlüsselung als Vertrauensgrundlage
  • Neben dem kostenlosen Basiskonto gibt es die Tarife Premium für 1,65 $/Monat, Families für 3,99 $/Monat, Teams für 4 $ pro Nutzer/Monat und Enterprise für 6 $ pro Nutzer/Monat; die angezeigten Preise gelten in USD bei jährlicher Abrechnung zuzüglich Steuern

Passwörter, Passkeys und Secrets an einem Ort schützen

  • Bitwarden ist eine Plattform zum Schutz von Passwörtern, Passkeys und Secrets, auf die Menschen, AI Agents und Maschinen angewiesen sind
  • Die Grundpfeiler des Produkts sind Open Source, Ende-zu-Ende-Verschlüsselung und eine skalierbare Architektur
  • Nutzer können starke Passwörter erstellen, speichern und automatisch in mehrere Konten einfüllen lassen
  • In Business-Umgebungen werden Credentials über einen zentralen Tresor und Admin-Tools organisiert und verwaltet
  • Open-Source-Transparenz, Audits durch Dritte und Community-Reviews stützen das Sicherheitsvertrauen

Zugriffsansatz für Menschen, AI Agents und Maschinen

  • Funktionen für Menschen geben Mitarbeitenden nur die jeweils benötigten Credentials und unterstützen Passworterstellung, Speicherung und Autofill
  • AI Agents erhalten bei Bedarf Ende-zu-Ende-verschlüsselten Zugriff, wobei jedes Mal eine menschliche Freigabe erforderlich ist
  • Funktionen für Maschinen begrenzen den Zugriffsumfang auf Developer Secrets wie API-Keys, Datenbankpasswörter und Access Tokens

Vertrauensgrundlage und Nutzungsumfang

  • Bitwarden gibt an, von mehr als 80.000 Organisationen und Millionen Privatpersonen zum Schutz von Credentials genutzt zu werden
  • Sicherheits- und Vertrauenselemente sind unter anderem:
    • Erfüllt oder übertrifft internationale Compliance-Standards
    • Durch Zero-Knowledge-Verschlüsselung können nur die Nutzer selbst auf ihre Informationen zugreifen
    • Über 100.000 Community-Mitglieder auf GitHub, im Bitwarden-Forum und auf Reddit
  • Bitwarden gibt an, im Bereich Enterprise User Satisfaction des G2 Enterprise Grid Report elf Quartale in Folge Platz 1 belegt zu haben

Wichtige Funktionen für Unternehmen und Privatpersonen

  • Unternehmen können SSO, SCIM und Self-Hosting als Bereitstellungsoptionen nutzen
  • IT-Teams überprüfen die Nutzung von Credentials über Event-Logs und Zugriffskontrollen
  • Es werden Funktionen bereitgestellt, die Credential-Risiken über alle Mitarbeitenden und Geräte hinweg reduzieren
  • Privatnutzer müssen sich weniger Passwörter merken und können Autofill für Logins über mehrere Geräte und Browser hinweg verwenden
  • Der Schutz persönlicher Konten umfasst Benachrichtigungen bei Datenlecks

Funktionspaket des Passwortmanagers

  • Erstellen, Speichern und Autofill

    • Schützt starke und eindeutige Passwörter sowie Passkeys für jedes Konto
    • Lässt sich auf unbegrenzt vielen Geräten sicher speichern und sofort automatisch ausfüllen
  • Zentrale Verwaltung

    • Zugriffskontrollen, Richtlinien, zentralisierte Eigentümerschaft von Einträgen und Sicherheitsberichte werden an einem Ort verwaltet
  • Tool-Integration

    • Integration mit SSO-Anbietern, Verzeichnisdiensten, SIEM-Tools, AI Agents und den Tools, auf die das Business angewiesen ist
  • Import

    • Passwörter können in wenigen Minuten aus Browsern oder anderen Passwortmanagern übertragen werden
  • Teilen

    • Teilen mit Teammitgliedern über Organisations-Collections oder Versand verschlüsselter Texte und Dateien mit Bitwarden Send
  • Self-Hosting

    • Bitwarden kann on-premises oder in einer Private Cloud gehostet werden, um Datensouveränität zu sichern
    • Weitere Funktionen: Bitwarden Features

Access Intelligence und Phishing-Schutz

  • Access Intelligence ist eine Funktion, die in der Organisation verwendete AI-Anwendungen identifiziert und Credential-Risiken reduziert
  • Schwache oder wiederverwendete Passwörter können ein Weg zur Kontoübernahme sein
  • Bitwarden unterstützt dabei, für jede Website und App starke, eindeutige Passwörter zu erstellen
  • Auf bösartigen ähnlich aussehenden Websites wird nicht automatisch ausgefüllt, was beim Phishing-Schutz hilft

Tarife

  • Tarife für Privatpersonen
    • Premium: 1,65 $/Monat, 19,80 $ jährlich abgerechnet
      • Bietet integrierten Authenticator, Dateianhänge, Notfallzugriff, Sicherheitsberichte und mehr
      • Tresoreinträge können mit einer weiteren Person geteilt werden
    • Families: 3,99 $/Monat, bis zu 6 Personen, 47,88 $ jährlich abgerechnet
      • Bietet 6 Premium-Konten, unbegrenztes Teilen, unbegrenzte Collections und Organisationsspeicher
    • Die grundlegende Passwortverwaltung ist dauerhaft kostenlos verfügbar
  • Business-Tarife
    • Teams: 4 $ pro Nutzer/Monat, jährliche Abrechnung
      • Bietet zusätzlich zu den Premium-Funktionen Credential-Sharing, Aktivitätsaudits auf Basis von Event-Logs, Synchronisierung mit bestehenden Verzeichnissen und Automatisierung der SCIM-Provisionierung
    • Enterprise: 6 $ pro Nutzer/Monat, jährliche Abrechnung
      • Bietet zusätzlich zu den Premium- und Teams-Funktionen granulare Zugriffskontrollen, Passwordless-SSO-Integration, Kontowiederherstellung, Flexibilität beim Self-Hosting, Risikominderung durch Access Intelligence und einen kostenlosen Families-Plan für alle Nutzer
    • Große Organisationen können über ein Vertriebsgespräch individuelle Pläne besprechen
  • Die angezeigten Preise sind jährliche Abonnements in USD und enthalten keine Steuern

1 Kommentare

 
GN⁺ 2023-09-26
Meinungen auf Hacker News
  • Ich wollte Bitwarden mögen, weil es Open Source ist, aber 1Password ist deutlich weiter
    Ironischerweise ist 1Password 8 immer noch viel besser, obwohl es mit einer Node-basierten UI, die viele Leute nicht mochten, umfassend refaktoriert wurde
    Ich habe versucht, meinem Vater Bitwarden beizubringen, weil es eine Übersetzung in seine Muttersprache gibt, aber in der Praxis summierten sich kleine Mängel wie fehlschlagende Autovervollständigung, nicht erkannte Speicherung von Logins, ausgeloggte Konten, fehlschlagende biometrische Browser-Authentifizierung wegen beendeter Hintergrund-App und eine schlechte Verwaltungs-UI, sodass es nahezu unbenutzbar war
    Der Einzeltarif ist günstig, aber der Familientarif ist teuer, und Self-Hosting ist zwar möglich, kostet aber auch etwas
    Wenn Leute von Self-Hosting sprechen, meinen sie meist das in Rust neu geschriebene vaultwarden, das meines Wissens nie auditiert wurde; ich weiß daher nicht, wie man möglichen Remote-Schwachstellen vertrauen soll
    Auch Bitwarden hat VC-Finanzierung erhalten, und ich verstehe, dass es wachsen muss, aber ich vermisse ein Projekt, das einem nachhaltigen Unternehmen ohne Wachstumsdruck gehört. Bei 1Password ist es genauso, aber bei einem VC-finanzierten Startup bin ich unsicher, ob es auch in einem Jahr noch vertrauenswürdig ist

    • Als 1Password ankündigte, zu einer miesen Electron-App zu wechseln, habe ich die wichtigsten Passwortmanager und auch weniger bekannte Produkte wie Strongbox bewertet, aber selbst mit der verschlechterten UX von 1Password 8 war es weiterhin unvergleichlich überlegen
      Bis vor ein paar Wochen habe ich an V7 festgehalten, musste dann aber aus bestimmten Gründen upgraden und habe mir unter anderem Bitwarden erneut angesehen; die UX schien nicht besser geworden zu sein, und wichtiger noch: Wegen einer einzigen großen sicheren Notiz verweigerte es den gesamten Import
      Es übersprang nicht nur diese eine Notiz, sondern importierte gar nichts, und es gab keine Option zum Überspringen, sodass viel Handarbeit nötig gewesen wäre; am Ende erfüllte es nicht einmal die Anforderung, die benötigte Notiz im Tresor ablegen zu können
    • Ich nutze es als zahlender Nutzer, weil ich 1 Euro pro Monat für einen Passwortmanager genau richtig finde, aber es stimmt, dass es Mängel hat
      LastPass, das ich früher genutzt habe, erkannte Formularfelder deutlich besser, und die UI auf Basis eines temporären Pop-ups war meiner Meinung nach eine schlechte Entscheidung, die man auch nach Jahren nicht sauber auf ein Neues-Tab-Modell umgestellt hat. Sie hätten es wie LastPass, uBlock Origin oder TreeStyleTabs machen sollen
    • Mich würde interessieren, wann du es zuletzt ausprobiert hast. Es gab vor Kurzem eine UI-Änderung, und es ist besser als früher
      Einzel- und Familienkonten sind günstiger als bei 1Password, und als langjähriger zahlender Bitwarden-Kunde hatte ich solche Probleme nie
      Zur Einordnung: 1Password hat fast 1 Milliarde Dollar an VC-Finanzierung erhalten, der Wachstumsdruck dürfte enorm sein
    • „Bitwarden hat auch VC-Finanzierung bekommen. Das ist in Ordnung“ ist überhaupt nicht in Ordnung
      VC-Finanzierung bedeutet, dass irgendwann versucht wird, das Geld wieder hereinzuholen, und ein Passwortverwaltungsdienst ist zu wichtig, um ihn diesem Druck auszusetzen
      Wenn man sieht, wie viele andere VC-finanzierte Dienste massiv schlechter geworden sind, halte ich es durchaus für möglich, dass sie irgendwann Passwörter als Geiseln nehmen oder ähnlich drastisch handeln, wenn man nicht zahlt
    • Hosting im Rechenzentrum ist teuer, aber Hosting zu Hause ist nicht teuer. Wenn man ohnehin für Internet bezahlt, kann man es auch nutzen
      Mein Heimserver kostet etwa 3 Euro Strom im Monat und betreibt neben Vaultwarden auch mehrere Dienste wie Home Assistant, Nextcloud, Jellyfin und Immich
      Mit Docker und Compose ist die Wartung einfach, ich betreibe ihn im privaten Netzwerk und beschränke externen Zugriff bei Bedarf auf VPN
      Wenn man nur einen einzelnen Dienst hostet, ist es teuer, aber wenn man mehrere Dienste gemeinsam betreibt, ist es deutlich günstiger
  • Es gibt auch vaultwarden, eine Open-Source-Rust-Implementierung des Servers: https://github.com/dani-garcia/vaultwarden

    • Auch der offizielle Bitwarden-Server ist freie Open-Source-Software auf Basis der AGPL: https://github.com/bitwarden/server
    • Das Einzige, was Vaultwarden fehlt, ist SSO/OAuth. Der entsprechende PR ist seit Jahren offen, und inzwischen habe ich die Hoffnung verloren, dass er noch gemergt wird
    • Für Team-Passwörter nutze ich Vaultwarden, privat Password Store
      Abgesehen davon, dass die Datenbank beim Wiederherstellen eines Docker-Volumes beim Umzug auf einen anderen Server zunächst nicht erkannt wurde, gab es keine Probleme; das könnte genauso gut ein Docker-Problem gewesen sein oder daran gelegen haben, dass ich etwas falsch gemacht habe
    • Ich nutze vaultwarden privat, und es ist hervorragend
  • Ich bin überrascht, dass es mehr negative Reaktionen gibt, als ich erwartet hätte. In meinem Kopf war Bitwarden immer noch ein auf HN beliebtes Produkt.
    Ich zahle die 10 Dollar Premium pro Jahr und nutze es, auch wenn ich nicht genau weiß, welche Funktionen ich tatsächlich ausschöpfe; das Produkt selbst gefällt mir.
    Allerdings habe ich mich nicht besonders intensiv nach Konkurrenzprodukten umgesehen, daher frage ich mich, ob andere Manager große Vorteile haben.

    • Ich war auch wirklich überrascht.
      Es gibt viele Aussagen im Stil von „viel weiter voraus“, aber man sieht kaum, was damit konkret gemeint ist.
      Meine letzten Arbeitgeber nutzten LastPass und 1Password, privat nutze ich Bitwarden, und ich finde Bitwarden deutlich besser.
      Das Browser-Plugin erkennt das Eingeben und Ändern von Passwörtern zuverlässiger, schlägt Speichern und Aktualisieren vor, und die iOS-Version integriert sich reibungsloser in die Passwort-Autofill-Funktion anderer nativer Apps.
      Bei Team-Sharing-Funktionen mag es zurückliegen, aber für die private Nutzung ist das irrelevant.
      Der größte Teil von Bitwarden ist Open Source, aber wegen einiger proprietärer Komponenten ist es nicht zu 100 % Open Source; offenbar gibt es da HN-typische Empörung. Die Haltung, Software müsse wie Manna vom Himmel fallen und dürfe kein Geschäft tragen, finde ich schwer nachvollziehbar.
      Seltsam ist auch, dass VS Code, das nach demselben Muster funktioniert, kaum solche Vorwürfe abbekommt; vielleicht würde es helfen, wenn Bitwarden ein plausibleres Dark-Mode-UI baut.
    • In der Softwarewelt gibt es das merkwürdige Phänomen, dass Open-Source-Lösungen an höheren Maßstäben gemessen werden als andere Software im selben Bereich.
      Ich nutze ebenfalls Bitwarden Premium und mag es. Unsere Organisation nutzt einen anderen Enterprise-Passwortmanager, der deutlich komplexer ist und dessen Oberfläche langsamer ist.
      Wenn ich 80 % derselben Funktionen als Open Source bekommen kann, habe ich den Grundsatz, das zu nutzen, auch wenn es nicht das „Beste“ ist.
    • Ehrlich gesagt fühlt es sich wie ein organisierter Versuch an, einen Wettbewerber schlechtzumachen.
      Bislang gab es auf HN fast nur Lob für Bitwarden, und bei meiner eigenen Nutzung bin ich den hier beklagten Problemen kaum begegnet.
      Meine einzige Beschwerde ist, dass der Login per Biometrie in der Desktop-App etwas hakelig ist, aber das ist kein entscheidendes Problem.
    • Ich nutze Bitwarden seit einer Weile, und für mich funktioniert es einwandfrei. Es erledigt ohne besondere Beschwerden das, was es soll.
  • Zur Einordnung: Bitwarden hat letztes Jahr 100 Millionen Dollar VC-Finanzierung erhalten.
    Es ist gut möglich, dass irgendwann der Druck kommt, aggressiv zu monetarisieren.
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • Die wichtigsten Alternativen sind LastPass und 1Password; LastPass bricht wegen Sicherheitsmängeln ein, und 1Password hat rund 1 Milliarde Dollar an VC-Finanzierung erhalten: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      An irgendeinem Punkt muss man das einfach akzeptieren und damit leben. Das Produkt, das man nutzt, kann sich in Zukunft ändern, und vielleicht muss man später zu etwas anderem wechseln.
      Die Alternative wäre, etwas wie KeePass auf einen USB-Stick zu packen und auf Cloud-Synchronisierung sowie Autofill-Integration in Browser und native Apps zu verzichten; tatsächlich sind genau diese Funktionen der Kern solcher Produkte.
      Ohne sie könnte man sagen, dass ein Zettel in der Schreibtischschublade besser ist.
    • Wenn VC- oder Private-Equity-Investoren einsteigen, ist es ein Grundsatz in meinem Leben, dieses Produkt möglichst schnell zu verlassen.
    • Warum braucht ein Passwortverwaltungsdienst überhaupt so viel Geld?
      Noch schlimmer: Was haben sie künftig vor, um VCs eine Rendite zu versprechen, die noch größer ist als diese Summe?
    • Als jemand, der Bootstrapping-Geschäfte deutlich bevorzugt, wirkt eine Finanzierungsrunde dieser Größenordnung völlig verrückt.
      Wenn man ein so stark wachsendes und beliebtes Produkt hat, frage ich mich ernsthaft, warum man überhaupt so viel Geld annimmt.
    • Danke für die Info. Dass in einen günstigen Dienst, aus dem man so leicht migrieren kann, eine so große Summe geflossen ist, ist schon eine Menge Geld.
      Das macht mir ein wenig Sorgen.
  • Bitwarden ist gut. Ich nutze es überall, und es verwaltet Passwörter ordentlich.
    Für mich ist die Kernfunktion, dass die Organisationsfunktion einfach zu nutzen ist; ich kann Passwörter problemlos mit meiner Frau teilen.
    Bei Finanz- oder Kinder-bezogenen Konten muss man oft gemeinsam Zugriff haben, sodass beide das Passwort brauchen, und Bitwarden macht das sehr einfach.

    • Ich habe es auch so genutzt, bis meine Frau und ich gemerkt haben, dass uns eigentlich einfach ein einziges Bitwarden-Konto reicht.
    • Ich nutze ebenfalls die Sharing-Funktion, also die Organisationsfunktion, aber vielleicht übersehe ich etwas: Nach dem Teilen kann man die Passwörter offenbar nicht mehr ansehen oder kopieren.
      Das gilt auch für Einträge, die ich selbst geteilt habe. Wenn Autofill funktioniert, ist es okay, aber es funktioniert oder ist nicht immer verfügbar.
  • Der Titel ist irreführend. Das ist nicht vollständig „kostenlos und Open Source“
    Der Bitwarden-Server hat eine Dual-Licensing-Struktur
    Ein Teil ist AGPL-Open-Source, einige Funktionen stehen unter der source-available Bitwarden-Lizenz
    Außerdem ist selbst für das Open-Source-Core beim Self-Hosting eine Registrierung erforderlich; angeblich, um ergänzende Dienste wie Sicherheitsupdates, Push-Relay-Server und Lizenzprüfungen bereitzustellen
    In der Dokumentation steht es nicht, aber wenn man darum bittet, Lizenzschlüssel nicht zwischen Installationen zu teilen, dürfte es wohl auch um bessere Telemetrie gehen
    Ich verstehe, warum eine source-available Lizenz nötig sein kann, aber wenn das Ergebnis weder frei wie Freibier noch frei wie Redefreiheit ist, verstehe ich nicht, warum man Teile davon als Open Source lizenziert
    Ich frage mich ernsthaft, welchen Vorteil Unternehmen daraus ziehen, Produkte, die kaum Open Source sind, als Open Source zu vermarkten
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • Es geht um die Aussage: „Commercial.Core und SSO-Integration: Bestimmter neuer Modulcode, der für große Organisationen und Enterprise-Umgebungen konzipiert und entwickelt wurde, wird unter der source-available Bitwarden License veröffentlicht“
      Der Rest von Bitwarden ist freie Software, sowohl im Sinne von kostenlos als auch im Sinne von Freiheit. Ich weiß nicht, warum man das anders sehen sollte
      Vaultwarden existiert und ist mit den Bitwarden-Clients kompatibel
    • Ich verstehe nicht, warum alle annehmen, dass etwas, das Open Source ist, zwingend kostenlos sein und unter einer freizügigen Lizenz stehen muss, die alles erlaubt
      Beim groben Blick auf die Website wirkte die Veröffentlichung eher wie Transparenz als wie der Geist freier Open-Source-Software
    • In der Praxis dürfte es nicht viele interessieren, aber nach dem Wortlaut der Lizenz-FAQ scheint man den Server als reines FOSS hosten zu können
      api enthält den unter der Bitwarden License stehenden Commercial Core, aber dort heißt es, dass man ihn deaktivieren kann, indem man beim Build des Moduls dotnet das Argument /p:DefineConstants="OSS" übergibt
    • Wie du selbst gesagt hast: Es ist Marketing
  • Ich bin überrascht, dass Padloc noch nicht erwähnt wurde
    Es bietet Ende-zu-Ende-Verschlüsselung, ist Open Source, lässt sich leicht selbst hosten und hat eine gute UI und UX
    Ich habe meine ganze Familie dazu gebracht, es zu nutzen, und nachdem ich es über ein Jahr verwendet hatte, wurde ich schließlich aktiver Contributor
    Es gibt auch eine Tauri-basierte Desktop-App
    Offenlegung von Interessenkonflikten: Ich habe Contributor-Rechte, erhalte aber keine Verkäufe oder ähnliche Einnahmen
    https://padloc.app

    • Auf Google Play mit Android 13 auf einem Pixel 7 steht: „Diese App wurde für eine ältere Android-Version entwickelt und ist auf deinem Gerät nicht verfügbar“, und sie lässt sich nicht installieren
      Zusammen mit den Bewertungen schafft das kein Vertrauen
    • Ich sehe es zum ersten Mal, und Branding und Design schreien für mich: „Studentenprojekt, lieber Abstand halten“
      Das ist überhaupt nicht der Eindruck, den ich von einem Passwortmanager haben möchte. Zur Einordnung: Ich bin UI/UX-Designer
    • Ich frage mich, ob WLAN-Synchronisierung möglich ist
      Die großen Anbieter scheinen diese Funktion alle abschaffen zu wollen, dabei ist das Einzige, was ich von einem Passwortmanager will, dass nicht alle meine Passwörter in der Cloud gespeichert werden
  • Bitwarden ist nicht perfekt, aber pass als „einfach“ zu bezeichnen, ist lächerlich
    Besonders, wenn man Passwörter mit Familienmitgliedern teilen muss, die deutlich weniger technikaffin sind; und bei 1Password ist die eigensinnige UI oft eher hinderlich
    Ich finde, Bitwarden trifft eine gute Balance zwischen Sicherheit, Preis und Design
    Die Sorgen über Finanzierung und Veränderungen im Management kann ich allerdings nachvollziehen

  • Ich nutze es zufrieden und finde es bequem, frage mich aber, wie sicher es wirklich ist, alles Wichtige inklusive 2FA an einem Ort in der Cloud zu bündeln
    Das wirkt wie ein extrem wertvolles Ziel
    Andererseits ist es mühsam, alles manuell zu synchronisieren, und letztlich verschlüssele ich es auf meinem Computer und synchronisiere dann über die Cloud – da frage ich mich auch, worin der Unterschied liegt

    • Man muss für jeden verwendeten Dienst ein einzigartiges und ausreichend starkes Passwort erstellen können. Das ist bei der Kontoverwaltung der mit Abstand wichtigste erste Schritt
      Im großen Maßstab gilt: Leute, die keinen Passwortmanager verwenden, verwenden Passwörter wieder. Punkt
      Der größte reale Hebel zur Verbesserung der Kontosicherheit der Allgemeinheit ist, Menschen zur Nutzung eines Passwortmanagers zu bringen – selbst unter Berücksichtigung des Risikos, dass der Tresor gestohlen und geknackt wird
      Für die meisten Menschen ist Cloud-Verwaltung von Passwörtern praktisch nicht verhandelbar. Es wird immer wieder passieren, dass „der Tresor auf dem Computer war, der heruntergefallen ist und dessen Festplatte kaputtging“, und alle dazu zu bringen, ordentliche Backups zu machen, ist im großen Maßstab nicht machbar
      Wenn man selbst für alle Konten einzigartige und ausreichend starke Passwörter erstellen kann, kann man durch den Verzicht auf einen Passwortmanager ein kleines Risiko vermeiden
    • Ich lege auch fast alle Passwörter in Bitwarden ab, aber um nicht alle Eier in einen Korb zu legen, speichere ich dort keine 2FA-Tokens
      Wenn man beide Geheimnisse zentralisiert, ist es im Grunde keine Zwei-Faktor-Authentifizierung mehr
      Auf dem Smartphone nutze ich Aegis, auf dem Computer pass mit OTP-Erweiterung, jeweils mit einem komplett anderen Passwort als bei Bitwarden
      Wenn dir der Bitwarden-Cloud-Tresor Sorgen macht, kannst du eine vaultwarden-Instanz aufsetzen, eine freie Open-Source-Serverimplementierung in Rust, und die Clients damit verbinden. Ich habe es selbst noch nicht ausprobiert, habe aber gehört, dass es gut funktioniert
    • Ich nutze KeePass, und die Synchronisierung ist nicht umständlich
      Die Datei liegt in Dropbox, und bevor ich die App auf einem anderen Gerät öffne, war sie immer synchronisiert
      Backups der Datenbank sind auch so einfach wie Datei kopieren und einfügen
    • Wenn die Daten wertvoll genug sind oder man selbst die Kompetenz hat, mit einer besseren Methode umzugehen, ist es vielleicht nicht die beste Lösung
      Für durchschnittliche Nutzer ist ein Passwortmanager aber um Größenordnungen besser, als für alle Konten hunter42 zu verwenden
    • Für diesen Zweck hoste ich zu Hause auf einem Raspberry Pi selbst vaultwarden, eine Bitwarden-Serverimplementierung: https://github.com/dani-garcia/vaultwarden
      Die Datenbank sichere ich ebenfalls häufig. Für mich funktioniert das gut genug, und ich muss meine Daten nicht in der Cloud eines Unternehmens speichern
  • Open Source und einfach zu benutzen: https://www.passwordstore.org/

    • Ich habe prs entwickelt, um viele der Unannehmlichkeiten zu beheben, die ich mit pass und anderen Clients hatte
      Es ist mit pass kompatibel und nutzt dasselbe Repository
      https://github.com/timvisee/prs
    • Das ist etwas anderes. Es ist weniger eine Passwortmanager-App, sondern eher ein Standard und eine Referenz-CLI-Implementierung, die mit GPG verschlüsselte Passwörter in ~/.password-store speichert
      Es gibt auch mehrere GUI-Clients für den Umgang mit Passwörtern sowie Tools zum Importieren aus anderen Managern
      Klingt nach einer guten Idee, aber ich mache mir Sorgen, dass Clients anfällig für Software-Supply-Chain-Angriffe sein könnten. Ich glaube nicht, dass ich die Expertise habe, jede neue Version jedes Mal zu prüfen
    • Für Computerfachleute kann es einfach zu benutzen sein
      Versuch mal, deiner Familie pass vorzustellen. Für normale Nutzer ist selbst 1Password nicht leicht einzurichten
      Bis alle einen Passwortmanager nutzen, ist es noch ein weiter Weg; die realistischere Alternative sind vermutlich Passkeys
    • Bei pass sind konstruktionsbedingt alle eingerichteten Websites und die Verlaufsmetadaten jedes Eintrags sichtbar
      Das kann je nach Threat Model passen oder auch nicht
    • Siehe https://github.com/passff/passff