Bitwarden: Kostenloser Open-Source-Passwortmanager
(bitwarden.com)- Bitwarden ist eine Plattform für Credential Security, die Passwörter, Passkeys und Secrets von Privatpersonen und Unternehmen mit Open-Source-Ende-zu-Ende-Verschlüsselung schützt
- Die Produktsuite bietet Passworterstellung, Speicherung und Autofill, zentrale Business-Tresore, Admin-Tools, Synchronisierung mit unbegrenzt vielen Geräten, Teilen und Self-Hosting
- Der Schutzbereich geht über menschliche Konten hinaus und erstreckt sich auch auf AI Agents und Maschinen; für den Agent-Zugriff gilt Just-in-time-Zugriff mit Verschlüsselung, der jedes Mal eine menschliche Freigabe erfordert
- Bitwarden nennt mehr als 80.000 Organisationen und Millionen Privatnutzer, über 100.000 Community-Mitglieder, Audits durch Dritte und Zero-Knowledge-Verschlüsselung als Vertrauensgrundlage
- Neben dem kostenlosen Basiskonto gibt es die Tarife Premium für 1,65 $/Monat, Families für 3,99 $/Monat, Teams für 4 $ pro Nutzer/Monat und Enterprise für 6 $ pro Nutzer/Monat; die angezeigten Preise gelten in USD bei jährlicher Abrechnung zuzüglich Steuern
Passwörter, Passkeys und Secrets an einem Ort schützen
- Bitwarden ist eine Plattform zum Schutz von Passwörtern, Passkeys und Secrets, auf die Menschen, AI Agents und Maschinen angewiesen sind
- Die Grundpfeiler des Produkts sind Open Source, Ende-zu-Ende-Verschlüsselung und eine skalierbare Architektur
- Nutzer können starke Passwörter erstellen, speichern und automatisch in mehrere Konten einfüllen lassen
- In Business-Umgebungen werden Credentials über einen zentralen Tresor und Admin-Tools organisiert und verwaltet
- Open-Source-Transparenz, Audits durch Dritte und Community-Reviews stützen das Sicherheitsvertrauen
Zugriffsansatz für Menschen, AI Agents und Maschinen
- Funktionen für Menschen geben Mitarbeitenden nur die jeweils benötigten Credentials und unterstützen Passworterstellung, Speicherung und Autofill
- Zugehöriges Produkt: Password Manager
- AI Agents erhalten bei Bedarf Ende-zu-Ende-verschlüsselten Zugriff, wobei jedes Mal eine menschliche Freigabe erforderlich ist
- Zugehöriger Eintrag: Agent Access SDK
- Funktionen für Maschinen begrenzen den Zugriffsumfang auf Developer Secrets wie API-Keys, Datenbankpasswörter und Access Tokens
- Zugehöriges Produkt: Secrets Manager
Vertrauensgrundlage und Nutzungsumfang
- Bitwarden gibt an, von mehr als 80.000 Organisationen und Millionen Privatpersonen zum Schutz von Credentials genutzt zu werden
- Sicherheits- und Vertrauenselemente sind unter anderem:
- Erfüllt oder übertrifft internationale Compliance-Standards
- Durch Zero-Knowledge-Verschlüsselung können nur die Nutzer selbst auf ihre Informationen zugreifen
- Über 100.000 Community-Mitglieder auf GitHub, im Bitwarden-Forum und auf Reddit
- Bitwarden gibt an, im Bereich Enterprise User Satisfaction des G2 Enterprise Grid Report elf Quartale in Folge Platz 1 belegt zu haben
- Zugehöriger Link: G2 Enterprise Grid Report
Wichtige Funktionen für Unternehmen und Privatpersonen
- Unternehmen können SSO, SCIM und Self-Hosting als Bereitstellungsoptionen nutzen
- IT-Teams überprüfen die Nutzung von Credentials über Event-Logs und Zugriffskontrollen
- Es werden Funktionen bereitgestellt, die Credential-Risiken über alle Mitarbeitenden und Geräte hinweg reduzieren
- Privatnutzer müssen sich weniger Passwörter merken und können Autofill für Logins über mehrere Geräte und Browser hinweg verwenden
- Der Schutz persönlicher Konten umfasst Benachrichtigungen bei Datenlecks
Funktionspaket des Passwortmanagers
-
Erstellen, Speichern und Autofill
- Schützt starke und eindeutige Passwörter sowie Passkeys für jedes Konto
- Lässt sich auf unbegrenzt vielen Geräten sicher speichern und sofort automatisch ausfüllen
-
Zentrale Verwaltung
- Zugriffskontrollen, Richtlinien, zentralisierte Eigentümerschaft von Einträgen und Sicherheitsberichte werden an einem Ort verwaltet
-
Tool-Integration
- Integration mit SSO-Anbietern, Verzeichnisdiensten, SIEM-Tools, AI Agents und den Tools, auf die das Business angewiesen ist
-
Import
- Passwörter können in wenigen Minuten aus Browsern oder anderen Passwortmanagern übertragen werden
-
Teilen
- Teilen mit Teammitgliedern über Organisations-Collections oder Versand verschlüsselter Texte und Dateien mit Bitwarden Send
-
Self-Hosting
- Bitwarden kann on-premises oder in einer Private Cloud gehostet werden, um Datensouveränität zu sichern
- Weitere Funktionen: Bitwarden Features
Access Intelligence und Phishing-Schutz
- Access Intelligence ist eine Funktion, die in der Organisation verwendete AI-Anwendungen identifiziert und Credential-Risiken reduziert
- Zugehöriges Produkt: Access Intelligence
- Schwache oder wiederverwendete Passwörter können ein Weg zur Kontoübernahme sein
- Bitwarden unterstützt dabei, für jede Website und App starke, eindeutige Passwörter zu erstellen
- Auf bösartigen ähnlich aussehenden Websites wird nicht automatisch ausgefüllt, was beim Phishing-Schutz hilft
Tarife
- Tarife für Privatpersonen
- Premium: 1,65 $/Monat, 19,80 $ jährlich abgerechnet
- Bietet integrierten Authenticator, Dateianhänge, Notfallzugriff, Sicherheitsberichte und mehr
- Tresoreinträge können mit einer weiteren Person geteilt werden
- Families: 3,99 $/Monat, bis zu 6 Personen, 47,88 $ jährlich abgerechnet
- Bietet 6 Premium-Konten, unbegrenztes Teilen, unbegrenzte Collections und Organisationsspeicher
- Die grundlegende Passwortverwaltung ist dauerhaft kostenlos verfügbar
- Premium: 1,65 $/Monat, 19,80 $ jährlich abgerechnet
- Business-Tarife
- Teams: 4 $ pro Nutzer/Monat, jährliche Abrechnung
- Bietet zusätzlich zu den Premium-Funktionen Credential-Sharing, Aktivitätsaudits auf Basis von Event-Logs, Synchronisierung mit bestehenden Verzeichnissen und Automatisierung der SCIM-Provisionierung
- Enterprise: 6 $ pro Nutzer/Monat, jährliche Abrechnung
- Bietet zusätzlich zu den Premium- und Teams-Funktionen granulare Zugriffskontrollen, Passwordless-SSO-Integration, Kontowiederherstellung, Flexibilität beim Self-Hosting, Risikominderung durch Access Intelligence und einen kostenlosen Families-Plan für alle Nutzer
- Große Organisationen können über ein Vertriebsgespräch individuelle Pläne besprechen
- Teams: 4 $ pro Nutzer/Monat, jährliche Abrechnung
- Die angezeigten Preise sind jährliche Abonnements in USD und enthalten keine Steuern
1 Kommentare
Meinungen auf Hacker News
Ich wollte Bitwarden mögen, weil es Open Source ist, aber 1Password ist deutlich weiter
Ironischerweise ist 1Password 8 immer noch viel besser, obwohl es mit einer Node-basierten UI, die viele Leute nicht mochten, umfassend refaktoriert wurde
Ich habe versucht, meinem Vater Bitwarden beizubringen, weil es eine Übersetzung in seine Muttersprache gibt, aber in der Praxis summierten sich kleine Mängel wie fehlschlagende Autovervollständigung, nicht erkannte Speicherung von Logins, ausgeloggte Konten, fehlschlagende biometrische Browser-Authentifizierung wegen beendeter Hintergrund-App und eine schlechte Verwaltungs-UI, sodass es nahezu unbenutzbar war
Der Einzeltarif ist günstig, aber der Familientarif ist teuer, und Self-Hosting ist zwar möglich, kostet aber auch etwas
Wenn Leute von Self-Hosting sprechen, meinen sie meist das in Rust neu geschriebene vaultwarden, das meines Wissens nie auditiert wurde; ich weiß daher nicht, wie man möglichen Remote-Schwachstellen vertrauen soll
Auch Bitwarden hat VC-Finanzierung erhalten, und ich verstehe, dass es wachsen muss, aber ich vermisse ein Projekt, das einem nachhaltigen Unternehmen ohne Wachstumsdruck gehört. Bei 1Password ist es genauso, aber bei einem VC-finanzierten Startup bin ich unsicher, ob es auch in einem Jahr noch vertrauenswürdig ist
Bis vor ein paar Wochen habe ich an V7 festgehalten, musste dann aber aus bestimmten Gründen upgraden und habe mir unter anderem Bitwarden erneut angesehen; die UX schien nicht besser geworden zu sein, und wichtiger noch: Wegen einer einzigen großen sicheren Notiz verweigerte es den gesamten Import
Es übersprang nicht nur diese eine Notiz, sondern importierte gar nichts, und es gab keine Option zum Überspringen, sodass viel Handarbeit nötig gewesen wäre; am Ende erfüllte es nicht einmal die Anforderung, die benötigte Notiz im Tresor ablegen zu können
LastPass, das ich früher genutzt habe, erkannte Formularfelder deutlich besser, und die UI auf Basis eines temporären Pop-ups war meiner Meinung nach eine schlechte Entscheidung, die man auch nach Jahren nicht sauber auf ein Neues-Tab-Modell umgestellt hat. Sie hätten es wie LastPass, uBlock Origin oder TreeStyleTabs machen sollen
Einzel- und Familienkonten sind günstiger als bei 1Password, und als langjähriger zahlender Bitwarden-Kunde hatte ich solche Probleme nie
Zur Einordnung: 1Password hat fast 1 Milliarde Dollar an VC-Finanzierung erhalten, der Wachstumsdruck dürfte enorm sein
VC-Finanzierung bedeutet, dass irgendwann versucht wird, das Geld wieder hereinzuholen, und ein Passwortverwaltungsdienst ist zu wichtig, um ihn diesem Druck auszusetzen
Wenn man sieht, wie viele andere VC-finanzierte Dienste massiv schlechter geworden sind, halte ich es durchaus für möglich, dass sie irgendwann Passwörter als Geiseln nehmen oder ähnlich drastisch handeln, wenn man nicht zahlt
Mein Heimserver kostet etwa 3 Euro Strom im Monat und betreibt neben Vaultwarden auch mehrere Dienste wie Home Assistant, Nextcloud, Jellyfin und Immich
Mit Docker und Compose ist die Wartung einfach, ich betreibe ihn im privaten Netzwerk und beschränke externen Zugriff bei Bedarf auf VPN
Wenn man nur einen einzelnen Dienst hostet, ist es teuer, aber wenn man mehrere Dienste gemeinsam betreibt, ist es deutlich günstiger
Es gibt auch vaultwarden, eine Open-Source-Rust-Implementierung des Servers: https://github.com/dani-garcia/vaultwarden
Abgesehen davon, dass die Datenbank beim Wiederherstellen eines Docker-Volumes beim Umzug auf einen anderen Server zunächst nicht erkannt wurde, gab es keine Probleme; das könnte genauso gut ein Docker-Problem gewesen sein oder daran gelegen haben, dass ich etwas falsch gemacht habe
Ich bin überrascht, dass es mehr negative Reaktionen gibt, als ich erwartet hätte. In meinem Kopf war Bitwarden immer noch ein auf HN beliebtes Produkt.
Ich zahle die 10 Dollar Premium pro Jahr und nutze es, auch wenn ich nicht genau weiß, welche Funktionen ich tatsächlich ausschöpfe; das Produkt selbst gefällt mir.
Allerdings habe ich mich nicht besonders intensiv nach Konkurrenzprodukten umgesehen, daher frage ich mich, ob andere Manager große Vorteile haben.
Es gibt viele Aussagen im Stil von „viel weiter voraus“, aber man sieht kaum, was damit konkret gemeint ist.
Meine letzten Arbeitgeber nutzten LastPass und 1Password, privat nutze ich Bitwarden, und ich finde Bitwarden deutlich besser.
Das Browser-Plugin erkennt das Eingeben und Ändern von Passwörtern zuverlässiger, schlägt Speichern und Aktualisieren vor, und die iOS-Version integriert sich reibungsloser in die Passwort-Autofill-Funktion anderer nativer Apps.
Bei Team-Sharing-Funktionen mag es zurückliegen, aber für die private Nutzung ist das irrelevant.
Der größte Teil von Bitwarden ist Open Source, aber wegen einiger proprietärer Komponenten ist es nicht zu 100 % Open Source; offenbar gibt es da HN-typische Empörung. Die Haltung, Software müsse wie Manna vom Himmel fallen und dürfe kein Geschäft tragen, finde ich schwer nachvollziehbar.
Seltsam ist auch, dass VS Code, das nach demselben Muster funktioniert, kaum solche Vorwürfe abbekommt; vielleicht würde es helfen, wenn Bitwarden ein plausibleres Dark-Mode-UI baut.
Ich nutze ebenfalls Bitwarden Premium und mag es. Unsere Organisation nutzt einen anderen Enterprise-Passwortmanager, der deutlich komplexer ist und dessen Oberfläche langsamer ist.
Wenn ich 80 % derselben Funktionen als Open Source bekommen kann, habe ich den Grundsatz, das zu nutzen, auch wenn es nicht das „Beste“ ist.
Bislang gab es auf HN fast nur Lob für Bitwarden, und bei meiner eigenen Nutzung bin ich den hier beklagten Problemen kaum begegnet.
Meine einzige Beschwerde ist, dass der Login per Biometrie in der Desktop-App etwas hakelig ist, aber das ist kein entscheidendes Problem.
Zur Einordnung: Bitwarden hat letztes Jahr 100 Millionen Dollar VC-Finanzierung erhalten.
Es ist gut möglich, dass irgendwann der Druck kommt, aggressiv zu monetarisieren.
https://techcrunch.com/2022/09/06/open-source-password-manag...
An irgendeinem Punkt muss man das einfach akzeptieren und damit leben. Das Produkt, das man nutzt, kann sich in Zukunft ändern, und vielleicht muss man später zu etwas anderem wechseln.
Die Alternative wäre, etwas wie KeePass auf einen USB-Stick zu packen und auf Cloud-Synchronisierung sowie Autofill-Integration in Browser und native Apps zu verzichten; tatsächlich sind genau diese Funktionen der Kern solcher Produkte.
Ohne sie könnte man sagen, dass ein Zettel in der Schreibtischschublade besser ist.
Noch schlimmer: Was haben sie künftig vor, um VCs eine Rendite zu versprechen, die noch größer ist als diese Summe?
Wenn man ein so stark wachsendes und beliebtes Produkt hat, frage ich mich ernsthaft, warum man überhaupt so viel Geld annimmt.
Das macht mir ein wenig Sorgen.
Bitwarden ist gut. Ich nutze es überall, und es verwaltet Passwörter ordentlich.
Für mich ist die Kernfunktion, dass die Organisationsfunktion einfach zu nutzen ist; ich kann Passwörter problemlos mit meiner Frau teilen.
Bei Finanz- oder Kinder-bezogenen Konten muss man oft gemeinsam Zugriff haben, sodass beide das Passwort brauchen, und Bitwarden macht das sehr einfach.
Das gilt auch für Einträge, die ich selbst geteilt habe. Wenn Autofill funktioniert, ist es okay, aber es funktioniert oder ist nicht immer verfügbar.
Der Titel ist irreführend. Das ist nicht vollständig „kostenlos und Open Source“
Der Bitwarden-Server hat eine Dual-Licensing-Struktur
Ein Teil ist AGPL-Open-Source, einige Funktionen stehen unter der source-available Bitwarden-Lizenz
Außerdem ist selbst für das Open-Source-Core beim Self-Hosting eine Registrierung erforderlich; angeblich, um ergänzende Dienste wie Sicherheitsupdates, Push-Relay-Server und Lizenzprüfungen bereitzustellen
In der Dokumentation steht es nicht, aber wenn man darum bittet, Lizenzschlüssel nicht zwischen Installationen zu teilen, dürfte es wohl auch um bessere Telemetrie gehen
Ich verstehe, warum eine source-available Lizenz nötig sein kann, aber wenn das Ergebnis weder frei wie Freibier noch frei wie Redefreiheit ist, verstehe ich nicht, warum man Teile davon als Open Source lizenziert
Ich frage mich ernsthaft, welchen Vorteil Unternehmen daraus ziehen, Produkte, die kaum Open Source sind, als Open Source zu vermarkten
https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...
Der Rest von Bitwarden ist freie Software, sowohl im Sinne von kostenlos als auch im Sinne von Freiheit. Ich weiß nicht, warum man das anders sehen sollte
Vaultwarden existiert und ist mit den Bitwarden-Clients kompatibel
Beim groben Blick auf die Website wirkte die Veröffentlichung eher wie Transparenz als wie der Geist freier Open-Source-Software
apienthält den unter der Bitwarden License stehenden Commercial Core, aber dort heißt es, dass man ihn deaktivieren kann, indem man beim Build des Modulsdotnetdas Argument/p:DefineConstants="OSS"übergibtIch bin überrascht, dass Padloc noch nicht erwähnt wurde
Es bietet Ende-zu-Ende-Verschlüsselung, ist Open Source, lässt sich leicht selbst hosten und hat eine gute UI und UX
Ich habe meine ganze Familie dazu gebracht, es zu nutzen, und nachdem ich es über ein Jahr verwendet hatte, wurde ich schließlich aktiver Contributor
Es gibt auch eine Tauri-basierte Desktop-App
Offenlegung von Interessenkonflikten: Ich habe Contributor-Rechte, erhalte aber keine Verkäufe oder ähnliche Einnahmen
https://padloc.app
Zusammen mit den Bewertungen schafft das kein Vertrauen
Das ist überhaupt nicht der Eindruck, den ich von einem Passwortmanager haben möchte. Zur Einordnung: Ich bin UI/UX-Designer
Die großen Anbieter scheinen diese Funktion alle abschaffen zu wollen, dabei ist das Einzige, was ich von einem Passwortmanager will, dass nicht alle meine Passwörter in der Cloud gespeichert werden
Bitwarden ist nicht perfekt, aber
passals „einfach“ zu bezeichnen, ist lächerlichBesonders, wenn man Passwörter mit Familienmitgliedern teilen muss, die deutlich weniger technikaffin sind; und bei 1Password ist die eigensinnige UI oft eher hinderlich
Ich finde, Bitwarden trifft eine gute Balance zwischen Sicherheit, Preis und Design
Die Sorgen über Finanzierung und Veränderungen im Management kann ich allerdings nachvollziehen
Ich nutze es zufrieden und finde es bequem, frage mich aber, wie sicher es wirklich ist, alles Wichtige inklusive 2FA an einem Ort in der Cloud zu bündeln
Das wirkt wie ein extrem wertvolles Ziel
Andererseits ist es mühsam, alles manuell zu synchronisieren, und letztlich verschlüssele ich es auf meinem Computer und synchronisiere dann über die Cloud – da frage ich mich auch, worin der Unterschied liegt
Im großen Maßstab gilt: Leute, die keinen Passwortmanager verwenden, verwenden Passwörter wieder. Punkt
Der größte reale Hebel zur Verbesserung der Kontosicherheit der Allgemeinheit ist, Menschen zur Nutzung eines Passwortmanagers zu bringen – selbst unter Berücksichtigung des Risikos, dass der Tresor gestohlen und geknackt wird
Für die meisten Menschen ist Cloud-Verwaltung von Passwörtern praktisch nicht verhandelbar. Es wird immer wieder passieren, dass „der Tresor auf dem Computer war, der heruntergefallen ist und dessen Festplatte kaputtging“, und alle dazu zu bringen, ordentliche Backups zu machen, ist im großen Maßstab nicht machbar
Wenn man selbst für alle Konten einzigartige und ausreichend starke Passwörter erstellen kann, kann man durch den Verzicht auf einen Passwortmanager ein kleines Risiko vermeiden
Wenn man beide Geheimnisse zentralisiert, ist es im Grunde keine Zwei-Faktor-Authentifizierung mehr
Auf dem Smartphone nutze ich Aegis, auf dem Computer
passmit OTP-Erweiterung, jeweils mit einem komplett anderen Passwort als bei BitwardenWenn dir der Bitwarden-Cloud-Tresor Sorgen macht, kannst du eine vaultwarden-Instanz aufsetzen, eine freie Open-Source-Serverimplementierung in Rust, und die Clients damit verbinden. Ich habe es selbst noch nicht ausprobiert, habe aber gehört, dass es gut funktioniert
Die Datei liegt in Dropbox, und bevor ich die App auf einem anderen Gerät öffne, war sie immer synchronisiert
Backups der Datenbank sind auch so einfach wie Datei kopieren und einfügen
Für durchschnittliche Nutzer ist ein Passwortmanager aber um Größenordnungen besser, als für alle Konten
hunter42zu verwendenDie Datenbank sichere ich ebenfalls häufig. Für mich funktioniert das gut genug, und ich muss meine Daten nicht in der Cloud eines Unternehmens speichern
Open Source und einfach zu benutzen: https://www.passwordstore.org/
prsentwickelt, um viele der Unannehmlichkeiten zu beheben, die ich mitpassund anderen Clients hatteEs ist mit
passkompatibel und nutzt dasselbe Repositoryhttps://github.com/timvisee/prs
~/.password-storespeichertEs gibt auch mehrere GUI-Clients für den Umgang mit Passwörtern sowie Tools zum Importieren aus anderen Managern
Klingt nach einer guten Idee, aber ich mache mir Sorgen, dass Clients anfällig für Software-Supply-Chain-Angriffe sein könnten. Ich glaube nicht, dass ich die Expertise habe, jede neue Version jedes Mal zu prüfen
Versuch mal, deiner Familie
passvorzustellen. Für normale Nutzer ist selbst 1Password nicht leicht einzurichtenBis alle einen Passwortmanager nutzen, ist es noch ein weiter Weg; die realistischere Alternative sind vermutlich Passkeys
passsind konstruktionsbedingt alle eingerichteten Websites und die Verlaufsmetadaten jedes Eintrags sichtbarDas kann je nach Threat Model passen oder auch nicht