Ich empfehle Bitwarden nicht

 (マリウス.com)
1 Punkte von GN⁺ 2 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Nach jahrelanger Nutzung im Self-Hosting ist Bitwarden aufgrund der Schwerfälligkeit des offiziellen Servers, der zunehmend intransparenten Open-Source-Ausrichtung, der geringen Client-Qualität und wiederholter Sicherheitsprobleme keine Empfehlung mehr
  • Während der offizielle Bitwarden-Server eine schwergewichtige Architektur rund um ein C#-Backend und MSSQL Express ist, wird der inoffizielle kompatible Server Vaultwarden auf Rust-Basis wegen seiner einfacheren und schlankeren Struktur bei kleinen bis mittleren Deployments bevorzugt
  • Die restriktive Lizenz von @bitwarden/sdk-internal, das 2024 in den Client aufgenommen wurde, wurde nach Gegenreaktionen zwar unter GPLv3 neu lizenziert, verstärkte aber die Sorge, dass sich das Projekt stärker an SaaS-Abonnements als an freien und Open-Source-Bestandteilen orientiert
  • Im Bitwarden-Client haben sich Probleme angesammelt: fehlgeschlagene Vault-Importe, keine Möglichkeit, Einträge zwischen Organization-Vault und individuellem Vault zu verschieben, Workarounds über Klartext-JSON-Exporte, durch Auto-Updates verursachte Unzugänglichkeit des Vaults sowie eine langsame UI und ein unbequemer Autofill-UX
  • Statt alle Zugangsdaten einem einzigen Vault anzuvertrauen, ist es sinnvoller, berufliche bzw. Kundenprojekte, PII-Konten, Nicht-PII-Konten, Infrastruktur und einmalige Secrets aufzuteilen und mit Werkzeugen wie SaaS-Passwortmanagern, KeePass-Derivaten, HashiCorp Vault oder pass zu segmentieren

Warum ich Bitwarden nicht mehr empfehle

  • Vor fast vier Jahren wurde mit How to self-host like LastPass on hardened OpenBSD gezeigt, wie man Vaultwarden auf einer OpenBSD-Instanz oder als Bare Metal auf einem Raspberry Pi betreibt und als Backend für die Client-App von Bitwarden verwendet
  • Nach mehreren Jahren eigener Nutzung eines ähnlichen Ansatzes lautet das Fazit nun, dass die Nutzung von Bitwarden nicht mehr empfohlen wird
  • Die Kernprobleme lassen sich zusammenfassen als Schwerfälligkeit des offiziellen Servers, mangelnde Transparenz bei der Open-Source-Ausrichtung, Qualitäts- und UX-Probleme der Client-App, wiederkehrende Sicherheitsprobleme und das Risiko einer Struktur, bei der alle Zugangsdaten einem einzigen Passwortmanager anvertraut werden

Premium-Passwortmanager mit Doppellizenz

  • Wikipedia beschreibt Bitwarden als Premium-Open-Source-Passwortverwaltungsdienst zum Speichern sensibler Informationen und nennt Bitwarden, Inc. als Eigentümer und Entwickler
  • Bitwarden entwickelt den offiziellen Server und Client-Apps für die meisten Plattformen und bietet außerdem ein SaaS-Produkt für Nutzer an, die nicht selbst hosten möchten
  • Die Preise des Hosting-Produkts ähneln denen der Konkurrenz, es gibt aber Funktionsunterschiede; die Client-App ist jedoch identisch, egal ob man das Hosting-Produkt oder Self-Hosting nutzt
  • Bitwarden erhielt 2022 eine PSG growth equity-Investition von 100 Millionen US-Dollar, an der sich auch Battery Ventures beteiligte
  • Ein Passwortmanager, der Open Source erhalten will, ist etwas anderes als ein Passwortmanager, dessen Vorstand Investoren enthält, die eine Rendite auf 100 Millionen US-Dollar erwarten; ab diesem Punkt bewegt sich das Produkt leichter in Richtung Investoreninteressen statt Nutzerinteressen

Gegenüberstellung von offiziellem Server und Vaultwarden

  • Wer Bitwarden selbst hostet, landet nach dieser Einschätzung relativ schnell in der Enterprise-Software-Hölle
  • Die Standardbereitstellung des Bitwarden-Servers besteht aus einem schweren C#-Backend und bringt MSSQL Express mit; mit Linux-freundlichen Datenbanken wie PostgreSQL oder MariaDB arbeitet sie nicht
  • Je nach Deployment-Größe und Anforderungen an Hochverfügbarkeit kann der Einsatz von Kubernetes nötig werden, was zusätzlichen Overhead und Komplexität erzeugt
  • Bei kleinen bis mittleren Deployments wird häufig Vaultwarden bevorzugt
    • Vaultwarden ist ein in Rust geschriebener inoffizieller, mit Bitwarden kompatibler Server
    • Er ist einfacher und leichter als der offizielle Bitwarden-Server, was für Administratoren einen großen Unterschied macht
    • Dass das Projekt auf GitHub etwa dreimal so viele Stars wie die offizielle Implementierung zu haben scheint, wirft Fragen dazu auf, wie technisch versierte Bitwarden-Nutzer die aktuelle Richtung des offiziellen Stacks wahrnehmen
  • Von einem Unternehmen mit einer Series-B-Investition von 100 Millionen US-Dollar hätte man erwarten können, dass es erwägt, die Personen hinter der deutlich erfolgreicheren Backend-Implementierung zur Optimierung und Beschleunigung des offiziellen Stacks einzubinden

Bitwarden lite und die Open-Source-Ausrichtung

  • Bitwarden scheint Vaultwarden nicht als offizielles Projekt übernommen zu haben, sondern stattdessen den Hauptentwickler von Vaultwarden eingestellt und anschließend Bitwarden lite als leichtere Version des bestehenden Backends veröffentlicht zu haben
  • Bitwarden lite basiert weiterhin auf .NET-Diensten von Microsoft und soll nach dieser Einschätzung mehr als dreimal so viel RAM benötigen wie eine typische Vaultwarden-Instanz
  • Der Open-Source-Charakter von Bitwarden ist im vergangenen Jahr noch unschärfer geworden
    • Ende 2024 entdeckten Nutzer, dass im Client eine neue Abhängigkeit @bitwarden/sdk-internal hinzugekommen war, wie hier dokumentiert
    • In der Lizenz stand, dass dieses SDK nicht für andere Software als Bitwarden, für nicht mit Bitwarden kompatible Implementierungen oder für die Entwicklung anderer SDKs verwendet werden dürfe
  • Bei einem Produkt, das mit Open Source wirbt, wurde ein solcher Lizenztext als erheblicher Wendepunkt wahrgenommen
  • Nach erheblichem Widerstand aus der Community bezeichnete Bitwarden dies als „Packaging-Bug“ und lizenzierte das SDK schließlich unter GPLv3 neu
  • Technisch war das Problem damit gelöst, philosophisch wirkt es jedoch so, als seien die freien und Open-Source-Bestandteile nur Köder, während das eigentliche Produkt ein SaaS-Abonnement ist und die Community auf die Rolle von Issue-Meldungen und Übersetzungen reduziert wird
  • Verwandte Kritik findet sich auch in The freeware parts are bait

Die Client-App ist das Kernproblem

  • Auch abseits des Backends wird die Client-Anwendung als größtes Problem von Bitwarden genannt
  • Beworbene Funktionen arbeiten nicht wie erwartet, selbst nach zehn Jahren fehlen Grundfunktionen, und im Vergleich zu ähnlich teuren Alternativen wird die Benutzeroberfläche als schwach bewertet
  • Wäre Bitwarden ein reines FOSS-Community-Projekt, ließen sich solche Mängel vielleicht eher verzeihen; bei einem risikokapitalfinanzierten Unternehmen ist das schwerer
  • Dass die Community an bürokratische Prozesse gebunden wird, zeigt ebenfalls, dass Bitwarden eher ein Unternehmensprodukt als ein Community-Projekt ist

Probleme bei der Vault-Migration

  • Vor etwa einem Jahr wurde ein Nutzer unterstützt, der von einem Konkurrenzprodukt zu Bitwarden wechseln wollte, um Open-Source-Software lieber über ein Jahresabonnement als über eine proprietäre Plattform zu unterstützen
  • Beim Import eines Vaults aus dem bisherigen Passwortmanager in das neue Bitwarden-Konto traten Probleme auf; laut GitHub-Bugreport war für mindestens einen Vault ein erheblicher technischer Workaround nötig, um den Import erfolgreich abzuschließen
  • Migrations- und Importfunktionen wurden an mehreren Stellen in Bitwardens Marketingmaterial und Dokumentation beworben, und mehrere Nutzer hatten das gleiche Problem bereits erlebt
  • Trotzdem entstand der Eindruck, dass Bitwarden die Angelegenheit nicht bearbeitete, sondern stattdessen darum bat, im Community-Forum eine weitere Diskussion zu eröffnen
  • Eine solche unternehmensartige Bürokratie passt nicht zum Bild von Open-Source-Software und ist kaum zu rechtfertigen, wenn in Open-Source-Software wie auch in einem Bezahlprodukt beworbene Funktionen in der Praxis nicht funktionieren
  • Als derselbe Import mit proprietären Alternativen zu Bitwarden getestet wurde, funktionierte er problemlos

Fehlende Möglichkeit, Einträge zwischen Tresoren zu verschieben

  • Das Migrationsproblem beschränkt sich nicht nur auf den ersten Import
  • Selbst wenn man innerhalb von Bitwarden Einträge zwischen einem organization-Tresor und einem individual-Tresor verschieben will, gibt es bis heute keine brauchbare Funktion, ausgewählte Einträge an einen anderen Ort zu verschieben
  • Bei ein paar Login-Einträgen kann man sie duplizieren und anpassen, aber wenn Hunderte von Einträgen bereinigt werden müssen, man eine Organisation verlässt oder mehrere Organisationen zusammengeführt werden, wird die Wiederholungsarbeit übermäßig groß
  • Der von Bitwarden Support und dem Community-Thread empfohlene offizielle Workaround besteht darin, den ursprünglichen Tresor als unverschlüsseltes JSON zu exportieren, die Datei zu bearbeiten und sie anschließend wieder in den Ziel-Tresor zu importieren
  • Dieser Prozess schafft ein Sicherheitsrisiko, bei dem mehr als 500 Zugangsdaten im Klartext in ~/Downloads oder in Cloud-Sync-Verzeichnissen wie Dropbox, OneDrive oder iCloud liegen können
  • Beim Export fehlen Dateianhänge, Papierkorb-Einträge, Passwortverlauf und Zeitstempel
  • Für Organisationen, die auf Anhänge wie SSH-Schlüsseldateien, Lizenzschlüssel oder Wiederherstellungscodes als Bilder sowie auf Passwortverläufe für Compliance und Audits angewiesen sind, ist das schwer akzeptabel
  • Dass ein Produkt, das die einzige verlässliche Quelle für Zugangsdaten sein sollte, auch im zehnten Jahr keinen Button bietet, um 500 Einträge vollständig in einen anderen Tresor zu verschieben, zeigt etwas über die Engineering-Prioritäten

Client-Updates, die Funktionen kaputt machen

  • Bitwarden verteilt Client-Updates an Nutzer ohne Vorankündigung, und diese Updates können mitunter auf Client-Seite dazu führen, dass auf den Tresor nicht mehr zugegriffen werden kann
  • Während einer Reise aktualisierte F-Droid Bitwarden über Nacht, als das Telefon angeschlossen war, und am nächsten Morgen war im Bitwarden-App kein Zugriff auf den Tresor möglich, der für den Bank-Login gebraucht wurde
  • Die Ursachenanalyse dauerte eine Weile, und über das bitwarden/android-Issue sowie die Vaultwarden-Diskussion ließ sich die Lage bestätigen
  • Weil ein UPDC vorhanden war, das das Bitwarden-Backend hostete, ließ sich eine noch schlimmere Situation vermeiden
  • Die Art, ein Update mit einer offenbar brechenden Protokolländerung zwischen Client und Backend durchzudrücken, wirkte verantwortungslos und führte zu dem Schluss, dass Bitwarden für Nutzer, die ihrem Passwortmanager auch im Offline-Modus vertrauen müssen, nicht vertrauenswürdig ist
  • Danach wurden automatische Updates der Bitwarden-Clients deaktiviert und ein aktueller Snapshot aller Passwörter als lokale Backups auf Basis von KeePassChi, KeePassXC und KeePassDX exportiert
  • Anders als Bitwarden-Mitarbeiter behaupteten, wird dieses Problem nicht als reines Vaultwarden-Problem angesehen
    • Im Repository bitwarden/android gibt es mehrere ähnliche Meldungen
    • Die Regression im 2025.12.x-Release wurde Berichten zufolge nach dem Login dazu, dass das Master-Passwort zweimal abgefragt wurde und die App abstürzte
    • Das 2025.6.0-Release soll bei mehreren Nutzern direkt beim Start Abstürze verursacht haben
  • Die Android-App wurde 2024 vollständig von .NET MAUI auf natives Kotlin umgeschrieben, und seit der Veröffentlichung von v2024.10.1 heißt es, in jedem Quartalsrelease träten weiterhin Regressionen auf

Benutzererfahrung und Qualität der Desktop- und Mobil-Apps

  • Bitwarden wurde als subjektiv eine der schlechtesten Apps in Bezug auf die UI auf Smartphone und Desktop bewertet
  • Selbst nach jahrelanger Nutzung war die Hemmschwelle groß, die Erweiterung für ungoogled-chromium oder die Desktop- bzw. Mobil-App zu öffnen
  • Die auf Electron basierende Desktop-App aus dem Quellcode zu bauen ist sehr umständlich, und das vorgebaute Flatpak funktioniert unter Wayland nicht richtig
  • Die Clients und Erweiterungen unterstützen die Offline-Nutzung, wirken aber nicht so, als wären sie um Offline-Nutzung herum entworfen worden
    • Beim Öffnen der Mobil-App oder Browser-Erweiterung entsteht eine Verzögerung, als würde versucht, das Backend zu erreichen
    • In Konfigurationen, bei denen das Backend nicht im öffentlichen Internet steht, kann diese Verzögerung von einigen Sekunden bis zu mehreren Minuten reichen
    • Es scheint keine Möglichkeit zu geben, die Synchronisierung beim Entsperren des Tresors zu deaktivieren und unnötiges Warten zu vermeiden
  • Auch die Vault-Login-Liste der Browser-Erweiterung ist umständlich
    • Normalerweise füllen andere Passwortmanager das Login-Formular, wenn man auf einen Listeneintrag klickt
    • In Bitwarden öffnet ein Klick auf den gesamten Listeneintrag die Detailansicht, und für das automatische Ausfüllen muss rechts der kleine Button Fill gedrückt werden
    • Beim Mouseover wird der große Listeneintrag hervorgehoben, aber das eigentliche automatische Ausfüllen ist nur an den kleinen Button gebunden, was die Bedienung erschwert
    • Eine Einstellung, bei der ein Klick auf den Listeneintrag automatisch ausfüllt und der kleine Button die Details öffnet, scheint es ebenfalls nicht zu geben
  • Ähnliche Probleme tauchen auch auf Hacker News und in der Community immer wieder auf
  • Selbst Funktionswünsche wie ein einfacher Bearbeitungsverlauf pro Eintrag, die seit 2021 im Community-Forum stehen, wurden nicht umgesetzt, und auch MSP-Reseller kritisieren öffentlich eine „gletscherhaft langsame Feature-Entwicklung“

Die riskante Oberfläche der Bitwarden-CLI

  • Auch die Bitwarden-CLI wird in Bezug auf ihre Benutzeroberfläche als schwach bewertet
  • Der list-Befehl des bw-Tools gibt auch ohne zusätzliche Flags wie --show-credentials die vollständigen Details aller Einträge aus, einschließlich Passwörtern und TOTP-Codes
  • Das wird als ein Design kritisiert, das nicht ausreichend berücksichtigt, dass bw list versehentlich an anderer Stelle hingepiped werden und dabei unbeabsichtigt alle Zugangsdaten offenlegen kann
  • Dass die Bitwarden-CLI ein in TypeScript gebautes Terminal-Tool ist, wird ebenfalls als Problem genannt
    • Viele Runtime-Komponenten und Abhängigkeiten
    • Der JavaScript-Stack gilt in CI-Umgebungen nicht mehr als eine unproblematische Wahl für etwas, das man unbedacht ausführt

Sicherheitshistorie

  • Die Kernaufgabe eines Passwort-Managers besteht darin, Nutzer zu schützen und Zugangsdaten sicher aufzubewahren.
  • Als Produkt, das seit 2016 existiert, wird Bitwarden so bewertet, dass es nicht wenige Sicherheitsprobleme gab, die tatsächlich in die Produktion gelangten.
  • Das bedeutet nicht, dass jeder einzelne Vorfall katastrophal war, aber als problematisch gelten eine vor allem reaktive Sicherheitskultur, Reaktionen im Stil von „beabsichtigtes Verhalten“ auf peinliche Funde, die Abhängigkeit des sicherheitskritischen CLI von einer Node.js-Toolchain sowie ein Muster, bei dem von externen Forschern früh gemeldete Probleme erst spät bearbeitet werden.

  • 2023: KDF

    • Im Januar 2023 veröffentlichte der Sicherheitsforscher Wladimir Palant direkt nach dem LastPass-Vorfall eine Analyse, wonach die von Bitwarden beworbenen 200.001 PBKDF2-Iterationen in der Praxis eher 100.000 entsprachen.
    • Der Grund war, dass die zusätzlichen serverseitigen Iterationen nur auf den Master-Passwort-Hash angewendet wurden, der für den Login genutzt wird, nicht aber auf den Verschlüsselungsschlüssel, der die Tresordaten schützt.
    • Ein Angreifer mit Zugriff auf einen geleakten Tresor kann den Server vollständig umgehen, und das effektive Sicherheitsniveau wurde daher als vergleichbar mit LastPass bewertet.
    • Auch die Standardzahl der clientseitigen Iterationen lag damals mit 100.000 unter der damaligen OWASP-Empfehlung, und diese Sorge wurde bereits seit 2020 geäußert.
    • Bitwarden erhöhte den Standardwert schließlich auf 600.000 und ergänzte Unterstützung für Argon2, doch die erste Änderung galt nur für neue Konten, sodass bestehende Nutzer die KDF-Einstellungen selbst anpassen mussten.

  • 2023: Umgehung von Windows Hello

    • 2023 veröffentlichte RedTeam Pentesting die Schwachstelle „Bitwarden Heist“ im Windows-Desktop-Client.
    • Diese Schwachstelle, CVE-2023-27706, ermöglichte es einem Angreifer mit Domänenadministratorrechten, den Entschlüsselungsschlüssel des Tresors aus dem lokalen DPAPI-Speicher zu extrahieren, ohne Windows Hello oder eine Master-Passwort-Abfrage.
    • Die Forscher beschrieben, dass jeder Prozess, der in einer Benutzer-Session mit niedrigen Rechten lief, bei DPAPI Zugangsdaten zum Entsperren des Tresors anfordern konnte.
    • Ein Fix wurde erst Monate nach der ersten Offenlegung in Version 2023.4.0 aufgenommen.

  • 2023: Auto-Fill über Origins hinweg

    • Im selben Jahr wurde CVE-2023-27974 veröffentlicht.
    • Die Bitwarden-Browser-Erweiterung bot auch in domainübergreifenden iframes, die in vertrauenswürdige Seiten eingebettet waren, die Eingabe von Zugangsdaten an, solange die Basisdomain übereinstimmte.
    • Wenn etwa trusted.com ein iframe von attacker.trusted.com einbindet und diese Subdomain von einem Dritten kontrolliert wird, konnten so Zugangsdaten gestohlen werden.
    • Bitwarden antwortete, dass iframes aus Kompatibilitätsgründen so behandelt werden müssten und „Auto-fill on page load“ standardmäßig nicht aktiviert sei.
    • Für Nutzer, die diese Option eingeschaltet hatten, war das nur ein schwacher Trost.

  • 2025: DOM-basiertes Clickjacking

    • Im August 2025 veröffentlichte der Sicherheitsforscher Marek Tóth eine DOM-basierte Clickjacking-Angriffsvariante, mit der sich die Bitwarden-Browser-Erweiterung auf einer bösartigen Seite mit einem einzigen Klick dazu bringen ließ, Kreditkartendaten und persönliche Informationen automatisch auszufüllen.
    • Die Schwachstelle wurde im April 2025 gemeldet, also vier Monate vor der Veröffentlichung, doch Bitwarden stufte sie als „moderate severity“ ein.
    • Der Patch wurde in Version 2025.8.2 ausgeliefert, genau an dem Tag, an dem das Embargo des Forschers endete.

  • 2026: Shai-Hulud

    • Wenige Tage vor dem Schreiben des Artikels wurde der offizielle Bitwarden-CLI-Client 2026.4.0 im Rahmen der laufenden Checkmarx-Supply-Chain-Attacke kompromittiert.
    • Die betroffene Paketversion scheint @bitwarden/cli2026.4.0 zu sein, und der Schadcode wurde in bw1.js innerhalb des Pakets veröffentlicht.
    • Der Angriff scheint eine kompromittierte GitHub Action in der Bitwarden-CI/CD-Pipeline ausgenutzt zu haben und entspricht dem Schadensmuster in anderen Repositories dieser Kampagne.
    • Organisationen, die das bösartige Bitwarden-npm-Paket installiert haben, sollten dies als Vorfall mit offengelegten Zugangsdaten und kompromittierter CI/CD behandeln.
    • Die Payload lädt die Bun-Runtime herunter, entschlüsselt dann den Stage-2-Wurm Shai-Hulud und sammelt GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien, Zugangsdaten für AWS, GCP und Azure, GitHub Actions-Secrets sowie sogar MCP-Konfigurationsdateien, die von AI-Tools verwendet werden.
    • Die gestohlenen Daten wurden exfiltriert, indem automatisch ein öffentliches Repository im eigenen GitHub-Konto des Opfers erstellt und dorthin hochgeladen wurde.
    • Bitwardens npm-Distributionspipeline war etwa 19 Stunden lang kompromittiert, und 334 Entwickler hatten in dieser Zeit Gelegenheit, das bösartige Paket herunterzuladen.
    • Die offizielle Stellungnahme von Bitwarden betonte, dass auf Tresordaten von Endnutzern nicht zugegriffen wurde, doch Nutzer, die bw in einer CI-Pipeline ausgeführt haben, lieferten damit andere auf dieser Maschine vorhandene Geheimnisse an die Angreifer aus.
    • Wäre bw ein einzelnes statisch gelinktes Binary gewesen, wie es in den Ökosystemen von Go oder Rust üblich ist, hätte es diesen Explosionsradius in npm-Form nicht gegeben, so die Bewertung.
    • Auch in den Ökosystemen von Go und Rust nehmen Supply-Chain-Angriffe zu, doch die Hürde für einen erfolgreichen Angriff wird dort weiterhin als höher eingeschätzt.

Künftiger Ansatz: aufteilen und isolieren

  • Ich bin zu dem Schluss gekommen, dass es keinen einzelnen Passwort-Manager gibt, der für alle Anwendungsfälle und Konfigurationen perfekt passt.
  • Im Privatleben muss man Tresore oder einzelne Passwörter nicht mit anderen teilen, bei der Arbeit ist das jedoch häufig der Fall.
  • Logins für Bankkonten oder Versicherungsportale müssen nicht in CLI-Tools verwendet werden, sollten aber auf mehreren Geräten zugänglich sein.
  • Geheimnisse für Cloud-Speicher oder private SSH-Schlüssel für Deployments müssen nicht mit dem Smartphone synchronisiert werden, sollten aber über ein programmatisch aufrufbares Kommandozeilen-Tool zugänglich sein.
  • Statt alles mit einer einzigen Software oder Plattform lösen zu wollen, ist es sinnvoller, Bündel von Zugangsdaten besser zu segmentieren.
  • Auch aus Sicherheitssicht reduziert es den Wirkungsbereich eines Datenlecks, wenn Passwortgruppen auf unterschiedliche Software und Dienste verteilt werden.

Einteilung von Zugangsdaten und Tool-Auswahl

  • Gruppe A: professionelle und Kundenprojekte

    • Gruppe A umfasst Zugangsdaten für professionelle und Kundenprojekte, etwa Plattform-Logins
    • Verwendet wird ein SaaS-Passwortmanager, der eine angemessene Vault-Freigabe, Integration mit den Tools bietet, die Kunden tatsächlich verwenden, SSO, Browser-Erweiterungen auf Unternehmensgeräten, Audit-Logs und keine eigene Hosting-Last mit sich bringt
    • Die Plattform ist proprietär und damit eigentlich nicht die bevorzugte Wahl, aber da der Umfang dieser Gruppe auf reine Kundenarbeit beschränkt ist, wird dieser Trade-off akzeptiert

  • Gruppe B: Konten mit PII

    • Gruppe B umfasst Zugangsdaten für Konten mit PII, etwa Bankkonten oder Online-Shops
    • Diese Konten enthalten ohnehin bereits personenbezogene Daten wie Name, Adresse, Geburtsdatum und Zahlungsinformationen, und die entsprechenden Dienste selbst werden regelmäßig kompromittiert, was sich auch bei Have I Been Pwned nachvollziehen lässt
    • Es wird davon ausgegangen, dass ein Einbruch in den Passwortmanager das Wissen eines Angreifers nicht in nennenswerter Weise erweitert
    • In einer Welt mit TOTP und Passkeys sind hier geräteübergreifende Verfügbarkeit, Zuverlässigkeit und Offline-Funktionalität entscheidend
    • Verwendet wird ein zweiter, separater cloudbasierter Passwortmanager eines anderen Anbieters, damit diese Gruppe nicht automatisch zusammen mit Gruppe A kompromittiert wird, mit einem anderen Master-Passwort und einem anderen Wiederherstellungsmechanismus
    • Da die mobile App auf mindestens einem GrapheneOS-Gerät laufen soll, wird eine Lösung bevorzugt, die nicht von Google Play Services abhängt und nach Möglichkeit Open Source ist oder Clients mit offenem Quellcode anbietet

  • Gruppe C: Konten ohne PII

    • Gruppe C umfasst Internetforen, Websites, datenschutzfreundliche Dienste und Konten, die keine PII enthalten
    • Für diese Gruppe wird kein Cloud-Dienst benötigt und auch nicht gewünscht
    • Verwendet werden KeePassChi, KeePassXC und KeePassDX; die Datenbankdatei liegt in einem Ordner, der mit Syncthing zwischen Geräten synchronisiert wird
    • Dieser Ansatz wurde auch in einem früheren Beitrag über den Aufbau eines dezentralen Dropbox mit Syncthing behandelt
    • Da die .kdbx-Datei selbst verschlüsselt ist, müsste ein Angreifer selbst dann, wenn Syncthing kompromittiert würde und er die Datei erhielte, immer noch die Verschlüsselung von KeePassChi/KeePassXC brechen, um an nützliche Informationen zu gelangen
    • Auf Mobilgeräten kann KeePassDX unter Android dieselbe Datei problemlos lesen

  • Gruppe D: Infrastruktur

    • Gruppe D umfasst Infrastruktur-Zugangsdaten wie Server-Logins und SSH-Schlüssel
    • Persönliche Zugangsdaten werden wie in Gruppe C gespeichert
    • Für Zugangsdaten, die tatsächlich von Skripten, CI-Jobs und Remote-Servern verwendet werden, kommt HashiCorp Vault zum Einsatz
    • HashiCorp Vault war im OpenBSD-Setup bereits als Tool für PKI im Einsatz
    • Für einen einzelnen Nutzer ist es etwas überdimensioniert, bietet aber Zugriffsrichtlinien, tokenbasierte Authentifizierung für Automatisierungs-Agenten, kurzlebige Zugangsdaten, wo unterstützt, und Audit-Logs
    • Infisical wird ebenfalls in Betracht gezogen

  • Gruppe E: Einmal-Zugangsdaten

    • Gruppe E umfasst API-Keys, Personal Access Tokens und beliebige Secrets, die nur auf der Kommandozeile verwendet werden
    • Verwendet wird das alte Utility pass
    • pass speichert jedes Secret als einzelne mit GPG verschlüsselte Datei in einem Git-Repository
    • Die Struktur ist einfach, leicht zu auditieren und passt gut zu Shell-Skripten und dotfiles
    • Das Git-Repository liegt auf eigener Infrastruktur statt bei GitHub und wird nur dann manuell synchronisiert, wenn von anderen Maschinen tatsächlich darauf zugegriffen werden muss

Fazit des Wechsels von einem einzelnen Vault zu mehreren Tools

  • Für Nutzer aus der Welt eines einzelnen Vaults mag das nach vielen beweglichen Teilen und nach einem übertriebenen Setup aussehen
  • Nach Jahren mit Bitwarden als Allzwecklösung lautet das Urteil, dass one size fits all in der Praxis eher one size fits poorly war
  • Die Aufteilung der Zugangsdaten auf mehrere Tools war deutlich weniger schmerzhaft als zunächst erwartet, weil jedes Tool für eine bestimmte Aufgabe besser geeignet war
  • Selbst wenn eines der Tools kompromittiert wird, bleibt der Blast Radius auf eine Kategorie von Secrets begrenzt statt auf alle Zugangsdaten

Endgültiges Urteil

  • Nach Jahren des Self-Hostings von Bitwarden wird das Produkt als etwas gesehen, das sich immer weiter von der Richtung entfernt hat, die ursprünglich erwartet wurde
  • Eine auf Enterprise ausgerichtete Architektur, die gerade so noch auf einen Raspberry Pi passt, ein halbherziger Versuch eines leichteren Backends, die Kontroverse um die SDK-Lizenz, die langsame Umsetzung von Funktionen, seit Jahren ungelöste UX-Probleme und Sicherheitsprobleme, die nie hätten ausgeliefert werden dürfen, ergeben zusammen ein Bild, das nicht zur Erzählung eines „Open-Source-Passwortmanagers für alle“ passt
  • Das bedeutet nicht, dass Alternativen allgemein besser wären oder keine Probleme hätten
  • Passwortmanager sind von Natur aus schwierig, und alle Akteure in diesem Bereich haben ihre eigenen Probleme
  • Man sollte streng prüfen, wie viel Vertrauen man all seinen Zugangsdaten in einer einzigen Software entgegenbringt und ob diese Wette noch die richtige ist; in diesem Fall lautet das Fazit, dass sie es nicht mehr war

Verwandte Diskussionen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2 시간 전
Lobste.rs-Meinungen

  • Schon die JavaScript deaktivieren-Hinweisblende, die nach dem Wechseln von Tabs erscheint, nervt, und der sich ändernde Tab-Titel nervt auch
    JavaScript werde ich standardmäßig nicht deaktivieren. Dafür gehen zu viele Websites kaputt
    Für die meisten Websites, die ich regelmäßig besuche, reicht ein Werbeblocker aus, und NoScript nutze ich nur für ein paar besonders schlimme Websites; diese scheint wohl auf dieser Liste gelandet zu sein

    • Ich hasse es wirklich, dass beim Lesen von Texten im Internet die Ausführung beliebigen Codes als Standard vorausgesetzt wird
      Stimme ich zu, aber irgendwer muss etwas tun. Wie gesagt ist die Bequemlichkeit, JavaScript überall aktiviert zu lassen, größer als der Ärger über genau diese eine Website, aber irgendwann wird diese Bequemlichkeit den Kipppunkt überschreiten
    • Ich meide die Website absichtlich, seit sie im Büro mal „steve ballmer nude pics“ als „witzigen“ <title> angezeigt hat
    • Mir liegt einfach dieser Schreibstil nicht
    • Ich verstehe, was gemeint ist, und stimme auch zu, weil ich JavaScript tatsächlich standardmäßig aktiviert lasse
      Allerdings mache ich für miese Websites keine Ausnahmen, sondern lösche sie aus dem Verlauf und versuche, nicht wieder hinzugehen
      Gleichzeitig verstehe ich auch die Absicht auf Autorenseite. Es wirkt nicht wie pures Trolling, sondern eher wie: „Ja, das ist gemein. Aber ist es wirklich akzeptabel, dass im Web jede beliebige Website standardmäßig so etwas oder noch Schlimmeres tun kann?“
      JavaScript hat zwar den Großteil meiner beruflichen Laufbahn ermöglicht, aber dass eine Seite mit nur Text oder Bildern ohne jede Warnung oder jeden Hinweis beliebigen Code ausführen und CPU, Bandbreite und andere Ressourcen unbegrenzt verbrauchen kann, ist ziemlich verrückt

  • Auch bei KeePassXC habe ich ein mulmiges Gefühl
    Ich sorge mich, dass der Einsatz von AI-Tools das Hinzufügen von Funktionen beschleunigt, die ich in einem Passwortmanager weder will noch brauche. Im Moment werden sie offenbar vor allem für Bugfixes eingesetzt, aber wenn die meisten Bugs behoben sind, ist absehbar, was als Nächstes kommt. Die Versuchung ist zu groß
    Kürzlich wurden „mehr Dateiformate im Inline-Anhangsbetrachter unterstützt (Bilder, HTML, Markdown) sowie Bearbeitung von angehängten Textdateien“ hinzugefügt, und genau solchen Code möchte ich nicht in einem Passwortmanager haben. Es gibt Texteditoren und Apps zum Anzeigen von Dateien
    Sie konkurrieren hart mit 1Password, also sollten sie sich einfach auf die bestmögliche User Experience konzentrieren. Ich bin noch nicht bereit, den Entwicklern von KeePassX? KeePassChi? ChiPass? zu vertrauen

  • Fast überall bevorzuge ich freie Open-Source-Software, aber bei Passwortmanagern nutze ich seit einiger Zeit 1Password
    In diesem Bereich habe ich beschlossen, nicht zu sparen, und durch das Abo-Modell scheint das Geschäftsmodell des Unternehmens eher darin zu bestehen, ein tatsächlich funktionierendes Produkt zu verkaufen, statt aus einem kostenlosen Tier heraus Upgrades anzudrehen
    Es wäre schön, wenn es Open Source wäre, aber unabhängig davon funktioniert die Synchronisierung zwischen Geräten zuverlässig, und auch die Browser-Erweiterung erfüllt problemlos ihren Zweck

    • Früher war ich ein langjähriger großer Fan von 1Password und habe es über 10 Jahre genutzt
      Als sie es faktisch verhindert haben, eigene Synchronisationsmittel mitzubringen, statt meine Daten auf ihren Servern zu speichern, war für mich die Grenze erreicht
      Damals waren die Clients außerhalb von Apple auch nicht besonders gut, und dass ich zunehmend mehr Nicht-Apple-Plattformen genutzt habe, spielte ebenfalls eine Rolle. In den letzten Jahren scheint sich das verbessert zu haben, aber ich habe es nicht noch einmal ausprobiert
      Weggegangen bin ich nicht wegen des Geldes. Heute hoste ich die Datenspeicherung selbst mit VaultWarden und zahle trotzdem an Bitwarden
      Ich bevorzuge freie Open-Source-Software, aber bei solchen Tools ist das absolute Kriterium, kontrollieren zu können, wo die Daten gespeichert werden
    • In bestimmten Situationen schlägt die Synchronisierung immer noch fehl
      Wenn man Anmeldedaten irgendwo anders als auf einem Android-Gerät ändert, füllt 1Password bei der ersten Nutzung auf Android danach noch die alten Anmeldedaten ein, bevor der neue Wert synchronisiert wurde
      Der erste Login schlägt fehl, und wenn man den Grund erkennt und es ein zweites Mal versucht, klappt es, weil die Synchronisierung in der Zwischenzeit abgeschlossen ist. Das nervt jedes Mal

  • Ich stimme den Gegenargumenten zu Bitwarden größtenteils zu, aber viele der angesprochenen Probleme sind nicht so gravierend, und einige scheinen aus individuellen Setups wie VaultWarden oder GrapheneOS zu stammen
    Ich nutze Bitwarden seit etwa 5–6 Jahren, und das einzige Problem, das ich erlebt habe, war, dass es nach der Überarbeitung der Browser-Erweiterungs-UI eine Zeit lang langsam war. Ich habe es gelöst, indem ich aus den GitHub-Releases auf eine ältere Version der Erweiterung zurückgegangen bin und die ein paar Monate genutzt habe
    Wenn man schon so einen langen Text schreibt, hätte ich mir gewünscht, dass wenigstens konkrete SaaS-Alternativen genannt werden. Vielleicht ist es am Ende sogar besser, wenn Leser selbst recherchieren und den für sie passenden SaaS-Passwortmanager finden, aber nervig ist es trotzdem
    Ich würde gern von anderen Passwortmanagern hören, die kostenloses Hosting, Offline-Unterstützung, automatische Cloud-Synchronisierung, eine Browser-Erweiterung mit Autofill-Hotkey und mobile Apps bieten, möglichst als Open-Source-Alternative
    Nach etwas Suche scheint Proton Pass für Leute auf Alternativsuche all diese Anforderungen zu erfüllen. Vielleicht probiere ich es irgendwann aus, aber im Moment passt Bitwarden für mich gut

    • Ich habe immer nur die offizielle Bitwarden-Konfiguration verwendet, und einer der Kritikpunkte scheint mir berechtigt zu sein
      Einträge innerhalb von Bitwarden zu organisieren, ist fast schon nicht mehr vernünftig
      Schon etwas wie das Ziehen einer Spalte, um Einträge zwischen Organisationen zu verschieben, wäre großartig, aber aktuell bleibt nur das eingeschränkte System übrig
      Es ist lächerlich, dass bei bezahlter Software die einzige echte Lösung darin besteht, eigene Verwaltungstools zu bauen
    • In Firefox ist es immer noch extrem langsam, deshalb habe ich die Erweiterung aufgegeben und nutze die Desktop-App
    • Alle Probleme rund um die Kommandozeile werden mit rbw gelöst
      Ich habe es erst vor relativ kurzer Zeit entdeckt und bin komplett darauf umgestiegen

  • pass, der „Standard-UNIX-Passwortmanager“, ist auch gut. Ich nutze ihn seit über 10 Jahren
    https://www.passwordstore.org/

  • Ich nutze Bitwarden, also hatte ich gehofft, dass mich dieser Text davon überzeugen würde, es nicht mehr zu verwenden, und einen besseren Ansatz vorschlagen würde
    Aber wenn jemand sich die Zeit nimmt, so einen langen Text zu schreiben, und außer sehr kleinen Beschwerden nichts wirklich Problematisches findet und auch keine deutlich bessere Alternative hat, dann fühle ich mich bei Bitwarden eher beruhigter

    • Fast schon enttäuschend
      Bitwarden unterstützt das Entsperren des Tresors mit Passkeys. Das war die letzte Art Geheimnis, die ich mir noch merken musste
      Eine Alternative müsste mindestens das auch können

  • Als Bitwarden-Nutzer empfehle ich es
    Es ist günstig, bietet alles, was ich brauche, und ist freie Open-Source-Software
    Ich habe keine Zeit, 5 Passwortmanagement-Lösungen, 4 Kommandozeilen-Tools und 3 Master-Passwörter zu verwenden. Bitwarden ist ziemlich großartig
    Von 1Password geht eine völlig üble Aura aus, mit der ich nichts zu tun haben will

    • Über Chrome, selbstgehostete KeePass-Synchronisierung und Firefox bin ich schließlich bei Bitwarden gelandet
      Für den Umstieg und das Teilen mit der Familie war es mit Abstand am einfachsten. Das Abo ist auch sehr günstig

  • Gibt es andere Open-Source-Lösungen, die wie Bitwarden das Teilen von Anmeldedaten unterstützen?
    Ich nutze seit über 15 Jahren KeePass/KeePassXC, aber wenn ich Bündel von Anmeldedaten mit Teammitgliedern ohne Entwicklerhintergrund oder mit der Familie teilen musste, habe ich nichts Besseres als Bitwarden gefunden
    Ich mochte Bitwarden nie besonders, aber was Speicherung, Teilen und Synchronisierung von Anmeldedaten angeht, war es immer die am wenigsten schlechte Option

    • Vor Kurzem habe ich Passbolt[0] entdeckt
      Es wirkt wie Bitwarden eher unternehmenslastig, sieht aber interessant aus. Ob es tatsächlich gut ist, weiß ich nicht, aber als Bitwarden-Alternative kommt es wohl infrage
      [0]: https://www.passbolt.com/
    • Man kann alle Passwörter in einen anderen Passwortmanager verschieben, den man lieber mag, und Bitwarden nur noch für gemeinsam genutzte Anmeldedaten weiterverwenden

  • Ich nutze seit einiger Zeit keepassXC und keepassDX. Die Namen sind wirklich dämlich
    Ich hoffe, dass ich irgendwann zu ChiPass wechseln kann

  • Wenn GPG, dann … wahrscheinlich so, dass man für sich selbst mit RSA verschlüsselt?
    age zu verwenden, ist besser