Passwort Manager für Windows und Android

[Yuuri]

Er teilt sich das mit meinem Vater, Schwester und seiner Freundin. Werde mich jetzt aber mal mit bitwarden beschäftigen, da wohl genau das eintreten wird wovor du gewarnt hast.

Vorteil bei Bitwarden ist, dass mit bitwarden_rs eine Alternative Implementierung in Rust vorhanden ist, welche auch alle Premium-Features implementiert. Insofern man selbst hosten kann (und will), wäre das evtl. eine Alternative. Beim Teilen von Zugängen, könnte man diese also in eine Organisation schieben und dann jedem User Zugriff darauf geben. Organisationen selbst gibts bei bitwarden.com nämlich erst ab 3 $ pro Monat (Family oder Business).

 

[Autokiller677]

Wobei man beachten muss, dass das halt wirklich eine komplett getrennte Implementierung ist und der Audit und alles, was es für Bitwarden gibt, für bitwarden_rs nicht gelten.

Das einzige, was gleich ist, ist die API, so dass die offiziellen Apps auch mit diesem Server funktionieren.

Ich halte bisher Abstand davon, da ich mich vor allem Frage, was da das Geschäftsmodell sein soll. Oder implementiert da jemand einfach aus Langeweile einen kompletten Cloud-Passwort Manager & macht fortwährende Wartung, Sicherheitsfixes & co?

 

[Yuuri]

Ich halte bisher Abstand davon, da ich mich vor allem Frage, was da das Geschäftsmodell sein soll.

Welches Geschäftsmodell? Es ist ne einfache, alternative, leichtgewichtige Implementierung in Rust von jemand Privatem. Wenn man Bitwarden selbst hosten will, muss man sich nämlich gleich mehrere Container ans Bein binden und auch nen riesigen SQL Server. Die Referenzimplementierung ist nämlich für Skalierung über viele User gebaut, was niemand Privates brauch. Requirements sind u.a. 4 GB RAM, 25 GB Storage und performancetechnisch soll es auch "nicht rennen". Auf nem Pi könnte man sowas nicht mehr "einfach so" hosten, wenn es überhaupt Images für ARM gibt. _rs läuft mit ner SQLite DB und Speicherfehler sollten dank Rust nicht existieren. Auf meinem Server brauch es grad ~ 120 MB.

{
  "container": "0fbfeca32763",
  "memory": {
    "raw": "115.4MiB / 62.7GiB",
    "percent": "0.18%"
  },
  "cpu": "0.00%"
}

Oder implementiert da jemand einfach aus Langeweile einen kompletten Cloud-Passwort Manager & macht fortwährende Wartung, Sicherheitsfixes & co?

Wieso nicht? Bspw. RSS Reader gibts wie Sand am Meer, ohne dass jemand Kapital draus schlagen will, weil man es privat macht. Sicherheitsfixes vom offiziellen Bitwarden sind irrelevant, da es eine eigenständige Implementierung ist. Höchstens wenn die API Sachen erlaubt, die nicht gedacht sind, betrifft es auch _rs, was allerdings kaum zutrifft, außer man hat beim Designprozess bereits geschlampt. Natürlich kann auch _rs irgendwo was übersehen, aber das betrifft dann nur _rs und nicht Bitwarden von offiziell.

Die Wartung ist auch "kein Problem", das Projekt hat immerhin aktuell "schon" 5k Stars und 340 Forks und an der Code Frequency erkennt man auch, dass es konstant seit zwei Jahren immer recht aktiv ist. Und falls _rs mal nicht mehr weiterentwickelt werden sollte, kannst du deinen Tresor einfach exportieren und auch gern beim offiziellen Entwickler wieder importieren, auch für jede evtl. Organisation separat. Oder du gehst zu einer bis dahin evtl. alternativ existierenden Implementierung.

Bei Bitwarden war man nämlich so gnädig alles unter OSS zu stellen, d.h. API und Implementierung und nur das Hosting wird einem dort ggf. gegen einen "Obulus" abgenommen.

 

[Autokiller677]

Welches Geschäftsmodell?

Das, mit dem die Wochen und Monate an Entwicklungszeit finanziert werden. Inkl. dauerhaftem dranbleiben beim Bugfixing, vielleicht mal einem beauftragen Pen-Testing usw.

Es ist ne einfache, alternative, leichtgewichtige Implementierung in Rust von jemand Privatem. Wenn man Bitwarden selbst hosten will, muss man sich nämlich gleich mehrere Container ans Bein binden und auch nen riesigen SQL Server. Die Referenzimplementierung ist nämlich für Skalierung über viele User gebaut, was niemand Privates brauch. Requirements sind u.a. 4 GB RAM, 25 GB Storage und performancetechnisch soll es auch "nicht rennen".

So schlimm ist das lange nicht.

Ich hoste die normale Instanz selbst, und für ein paar User braucht das Ding aktuell laufend ca. 0,5GB RAM und braucht 250MB auf der Platte. Performance ist einwandfrei - und das auf einem 10 Jahre alten PC mit HDDs.

Die Empfehlungen sind halt auch für eine Instanz mit mehr Traffic & Usern entworfen. Solange man das für sich + Familie laufen hat, ist das overkill.

Ja, die Rust Version ist sicher etwas schlanker, aber solange man einen neueren PI hat und nicht irgend was uraltes, ist auch die neue Version eher kein Problem.

Wieso nicht? Bspw. RSS Reader gibts wie Sand am Meer, ohne dass jemand Kapital draus schlagen will, weil man es privat macht.

Ein RSS Reader und eine Cloud-PW Manger Plattform sind von der Komplexität her dann doch ein größerer Unterschied. Genauso wie vom Sicherheitsanspruch.

Sicherheitsfixes vom offiziellen Bitwarden sind irrelevant, da es eine eigenständige Implementierung ist. Höchstens wenn die API Sachen erlaubt, die nicht gedacht sind, betrifft es auch _rs, was allerdings kaum zutrifft, außer man hat beim Designprozess bereits geschlampt. Natürlich kann auch _rs irgendwo was übersehen, aber das betrifft dann nur _rs und nicht Bitwarden von offiziell.

Klar sind die Fixes vom offiziellen BW nicht relevant, aber dafür hat man halt eigene Sicherheitsprobleme drin - so wie jedes Programm. Und die muss man auch finden & beheben.

Die Wartung ist auch "kein Problem", das Projekt hat immerhin aktuell "schon" 5k Stars und 340 Forks und an der Code Frequency erkennt man auch, dass es konstant seit zwei Jahren immer recht aktiv ist. Und falls _rs mal nicht mehr weiterentwickelt werden sollte, kannst du deinen Tresor einfach exportieren und auch gern beim offiziellen Entwickler wieder importieren, auch für jede evtl. Organisation separat. Oder du gehst zu einer bis dahin evtl. alternativ existierenden Implementierung.

Bei Bitwarden war man nämlich so gnädig alles unter OSS zu stellen, d.h. API und Implementierung und nur das Hosting wird einem dort ggf. gegen einen "Obulus" abgenommen.

Ja, irgendwer wartet da aktuell was dran rum, ist ja schön. Aber bei einem PW Manager hat man halt schon eher hohe Ansprüche ans Sicherheitsniveu, und hier ist nicht sichergestellt, dass z.B. schnell reagiert werden kann, am Ende ist der Maintainer einfach mal ein paar Wochen im Urlaub wenn ein kritischer Patch eingepflegt werden müsste. Zudem gibt es keinen Audit.

Ich will die Implementierung gar nicht schlecht machen - nur eben darauf hinweisen, dass man gerade bei sicherheitskritischer Software genau überlegen sollte, ob man irgendwas nimmt, was ein paar Hobbyisten nach Feierabend programmieren, oder vielleicht doch ein paar € dafür zahlen kann & es dann Leute gibt, die Vollzeit daran arbeiten.

Das muss dann halt jeder Benutzer für sich entscheiden. Ich hab auf meinem Server genug Hardware-Spielraum, um den offiziellen Container laufen zu lassen und bin daher einfach da geblieben.

 

[Kausu]

Puh okay da muss ich mich mal einlesen, wie aufwändig das wirklich ist (zumindest könnt ihr zwei sehr lange Texte drüber schreiben^^). Hinkriegen würde ich es garantiert aber nebenbei für meine Familie noch IT Support spielen habe ich keine Lust (darum ja damals auch das 1Password).

 

[Autokiller677]

Naja, selber hosten verlangt halt auch selber kümmern. Also regelmäßig Patchen, bei Fehlern danach schauen, Backup & Recovery usw.

Definitiv kein Fire&Forget - egal welche der beiden Lösungen man nimmt.

 

[Kausu]

Ja ist schon klar (hatte überlesen, dass die gehostete Variante genauso viel kostet wie halt 1Password). Glaube da habe ich echt kein Bock drauf - vielleicht für mich selber aber Familiensupport spiele ich nicht mehr. Ihr kennt meine Familie nicht -da bin ich jeden Tag mit irgendetwas beschäftigt
Hab halt den ganzen Tag mit sowas und mit solchen internen Konzernkunden zu tun - das muss ich nicht noch privat haben^^

 

[askling]

Und wie bekommst du die sinnvoll auf mehrere Geräte / aufs Smartphone?

Mal davon ab, dass die PW Manager auch nix anderes machen, als einen verschlüsselten Container zu erzeugen und - bei der Cloud-Version - diesen Container über die Cloud schieben. Klartext-Passwörter verlassen nie das Gerät.

Stimmt nicht. Ich habe das hier schon öfter gelesen, was ich problematisch finde.

Passwort Manager löschen auch die Zwischenablage und Spuren im Memory die beim Einsetzen von Daten zurückbleiben können.

 

[Autokiller677]

Stimmt nicht. Ich habe das hier schon öfter gelesen, was ich problematisch finde.

Solange du nicht sagen kannst, was an meiner Aussage nicht stimmt, bleibt es auch dabei.

Passwort Manager löschen auch die Zwischenablage und Spuren im Memory die beim Einsetzen von Daten zurückbleiben können.

Bei einem ordentlichen PW-Manager gibt es ein gut funktionierendes Browser-Plugin mit Semi-Auto-Fill (also ausfüllen über Shortcut), so dass da schonmal nix die Zwischenablage erreicht. Ja, ok, Keepass hat das bis heute nicht ordentlich und alle Plugins die ich dazu bisher probiert habe (benutze Keepass auf der Arbeit) funktionieren eher so halbgar.

Aber letztlich sind das dann eh Überlegungen, bei denen man auch ganz andere Sicherheitsmaßnahmen ergreifen muss. Wenn ich realistische Angst habe, dass etwas aus der Zwischenablage gefischt wird oder sogar irgendwo Speicherreste rausgefummelt werden, ist mein Gerät / der Zugriff darauf eh schon kompromitiert. Dann sollte ich meinen Passwort-Safe auf dem Gerät gar nicht erst öffnen.

 

[askling]

Autokiller677

Die Antwort hast du doch eigentlich schon selbst gegeben? Oder verstehen wir uns einfach falsch? Der Unterschied:

Ein verschlüsselter Container beinhaltet erstmal nur einen Schutz gegen Entschlüsselung.

Ein Passwortmanager bietet Schutz gegen Entschlüsselung und zusätzlich (möglichst) sicheres Umgehen beim Einfügen (ob Autotype, Clipboard, Schnittstelle) von Passwörtern.

Aus eine VeraCrypt mit einer Text-Datei per Copy & Paste zu arbeiten ist nicht das gleiche wie Keypass zu benutzen.

 

[ambiguityfix]

Ich bin seit einiger Zeit mit enpass unterwegs.
Vorher mit KeePass.
Prinzipiell bin ich ganz zufrieden. Macht was es soll. Finde es aber auch ein bisschen überladen...
Teste jetzt parallel noch Bitwarden.
Mal schauen, wo ich dann bleibe.

 

[cantknoweveryth]

@waxjee : In den Tests (u. a. Fraunhofer-Institut) hat unter Windows Acebit Passwortdepot am besten abgeschnitten. So verbarg es u. a. auch die Passwörter durch Verschlüsselung im Arbeitsspeicher, was bei anderen Wettbewerbern nicht immer Standard war. Heute wird ja PC-Software kaum noch ausführlich getestet, weshalb ich nicht weiß, inwieweit diese Erkenntnisse noch auf heutige Versionen übertragbar sind bzw. ob Wettbewerber aufgeholt oder überholt haben. Ob es beidseitig kompatibel zu Windows und Android ist, kann ich nicht beurteilen! Man kann es bei Computerbild kostenlos laden: https://www.computerbild.de/download/Password-Depot-14-Kostenlose-Vollversion-430837.html .

 

[Yuuri]

In den Tests (u. a. Fraunhofer-Institut) hat unter Windows Acebit Passwortdepot am besten abgeschnitten.

Und die gibts wo? Ne Aussage ohne Quellen über was treffen kann jeder... ComputerBild zu verlinken, statt bspw. der Herstellerseite, zeugt auch nicht von Sicherheitsbewusststein.

 

[cantknoweveryth]

@ Yuuri:
S'il vous plait:
https://www.acebit.de/ (Seitenmitte)
https://www.password-depot.de/ (unten)
https://www.password-depot.de/auszeichnungen.htm (ausführlich mit Zitaten) !

Computerbild wurde verlinkt, da es scheinbar nur dort die Versionen 12 und 14 kostenlos zum Herunterladen gibt!
Das hat schon alles seinen Grund! Nicht immer das Reiskorn im Milchreis finden wollen!

Für Android muss wahrscheinlich die App separat gekauft werden! Mich würde aber wundern, wenn es da keine Synchronisationsmöglichkeit geben würde!

Avec plaisir!

cke

 

[Keniji]

Ich verwende auch Bitwarden freie Version. Funktioniert einwandfrei auf Win10 und Android Geräten. Bin sehr zufrieden damit v.a. mit der Autofill Funktion.
Im Browser Plugin habe ich nen Pin vergeben, wenn ich den Browser neustarte bzw PC reboote, sodass ich nicht immer das Masterpasswort eingeben muss .