News Passwortmanager-App: Mozilla stellt Firefox Lockwise für Android und iOS ein

[x.treme]

Selfhosted Bitwarden ftw, kann einem niemand nehmen

Sagt das dem Einbrecher, der mit deinem NAS wegrennt ^^

Ich hatte eine Zeit lang Bitwarden selber gehosted.
Aber zugreifen sollte man darüber nur im lokalen Netzwerk via VPN (alles andere ist fahrlässig).
Und Backup-Strategie ist herausfordernd, du willst deine Passwörter nicht nur an einem physischen Standort gesichert haben.

Selten würde ich ein Selbsthosting von Bitwarden empfehlen. Die meisten gehen damit ein viel höheres Risiko ein, als wenn die verschlüsselte Passwortdatei in einer von einem dedizierten Sicherheitsteam 24/7 gewarteten Cloud liegt

 

[Naru]

KeePass und sonst nix

Google, easy synchronization on Windows and Android platforms and web portals. ^^

 

[Malaclypse17]

Selten würde ich ein Selbsthosting von Bitwarden empfehlen. Die meisten gehen damit ein viel höheres Risiko ein, als wenn die verschlüsselte Passwortdatei in einer von einem dedizierten Sicherheitsteam 24/7 gewarteten Cloud liegt

Sehe ich nicht so, ich nutze Vaultwarden als Opensource Alternative, auch "offen" erreichbar unter einer Subdomain. Was daran jetzt fahrlässig sein soll, müsstest du mir genauer erklären, Loginversuche überwacht bei mir zusätzlich fail2ban.
Laufen tut das ganze auf einem VPS über Docker, Backup der Daten geht täglich nach Hause auf eine lokale HDD und in die Cloud.
Mit starkem Passwort und obligatorischem 2FA gibt es da absolut kein durchkommen, selbst wenn Daten kompromittiert wären.

 

[x.treme]

@Malaclypse17 Vaultwarden ist ja noch nichtmal das offiziele Docker-Container-Release sondern der inoffizielle Rust-Nachbau - d.h. nochmal langsamer was Fixes anbelangt und weniger Konsequent in der Isolierung der Einzeldienste der Installation.

Problem sind Zero-Day-Angriffe und nicht sofortige Updates deines VPS-OS/Docker/Container oder z.B. unbemerkte Fehlkonfigurationen der Firewall oder deines VPS.
Klar ist sowas mit Docker-Compose in 30 Minuten aufgesetzt. Und ja, man kann argumentieren, dass man von Hackern erstmal nicht sofort gefunden wird bzw. nicht im Fokus ist. Trotzdem sind es deine sensibelsten Daten (Passwörter) in einer öffentlichen selbst-gehosteten Umgebung, die nicht mit der notwendigen Professionalität für einen produktiven Einsatz gewartet werden kann.

 

[Madman1209]

Hi

@Malaclypse17

für einen Laien nicht umsetzbar. Daher eine Nischen-Alternative. Aber nichts für die breite Masse. Abgesehen von allen Nachteilen, die ein self-hosting so mit sich bringt.

VG,
Mad

 

[jemandanders]

Was soll Mozilla denn machen wenn die Extensions eine tolle Funktionalität haben welche aber eben nicht mehr zum neuen schlanken und sichereren Code passen?

Naja.
Zumindest der Entwickler von TabMixPlus hat Mozilla ja quasi auf Knien angefleht in den APIs mal Fehler zu fixen und für seinen Bedarf etwas zu ergänzen.
Nix.
Die wissen scheinbar garnicht was gefragt ist? Ich allein kenne ziemlich viele Leute, welche FF den Rücken gekehrt bzw. die Nutzung auf irgendwelche Ausnahmen beschränkt haben, weil TMP nicht mehr ging / geht.
Mich inkl.
Ich bin jetzt eigentlich bei Vivaldi. FF nutze ich aber noch öfter auf dem Laptop, da der weniger verbraucht und allgemein etwas flüssiger läuft.

 

[mdPlusPlus]

Sollen lieber mal die "Tab-Freezes" auf Android fixen. So kann ich den Browser doch keinem DAU empfehlen, man.

 

[flaphoschi]

Wäre ja auch verrückt, wenn Mozilla mal einen Dienst entwickelt, den sie konsequent weiter unterstützen. Dann wären die Entwicklungsresourcen ja mal sinnvoll investiert.
Aber was weiß ich schon, wir haben ja jetzt Farb-Themes die sich perfekt auf die aktuelle "Mood" des Nutzers einstellen lassem. Damit ist ja alles gut =)

Die Themes. Ein nutzloses und das am wenigsten wichtige Feature. Ich will das niemand madig machen, aber für ein hübsches Theme ist das Toolkit zuständig.

Was die Leute nicht sagen, nicht benennen und auch nicht hinterfragen. Leistung und natives Toolkit, sind die gefragten Features. Und da ist Google beim Speicherverbrauch angreifbar. Zumal der frühe Vorteil von nativen UIs (Gtk3, Win32, Quartz) von Google aufgegeben wurden. Die massive Optimierung auf JavaScript hat die CPU nicht entlastet, sondern zu noch mehr aufgeblähten JavaScript animiert. Ich würde erstmal die nativen Toolkits verwenden, mit WebExtensions geht das sogar und Epiphany für die gerade ein. Einfacher wer ein rigoroses Vorgehen gegen JavaScript - wenn jede alte PHP-Website schneller lädt und keine CPU-Last erzeugt ist das ein Hinweis. JavaScript sollte eine Permission erfordern, wie Webcam-Zugriff. WebWorker nochmal zusätzlich eine Permission.

Das soll und muss man nicht wie mit "wir machen JavaScript unbequem" bewerben, sondern wie Steve Jobs den Feldzug gegen Flash. Grund ist Ressourcenschonung, Geschwindigkeit, Sicherheit und längere Akkulaufzeit. Und bei längerer Akkulaufzeit hatte Jobs gewonnen.

PS: Ich nutze selbst JavaScript, aber 2 MB JavaScript von externen Quellen und unnötige Hintergrundaktivität (animierte Grafik...) sind missbräuchlich.

 

[person unknown]

Android und iOS ...heißt das, dass die Nutzung auf dem Windows Browser davon (vorerst) unberührt bleibt, wenn ichs nicht ganz faslch verstanden hab. 🤔

 

[Der-Orden-Xar]

@PCSpezialist
Für Desktop-Rechner gab es Lockwise eh nie.

Was sowohl auf Windows, Linux, Android und den Applegeräten geht, ist das in Firefox integrierte Lockwise.

 

[ShiftyBro]

Hmm, ich nutze auch tatsächlich nur den FF Passwortmanager und synchronisiere zwischen all meinen Geräten (2x PC, 1x Laptop, 1x Smartphone), aber ein wenig stört mich, dass man überall ein neues Masterpasswort einrichten muss, wenn man will, dass die Daten lokal verschlüsselt werden (bin mir nichtmal sicher, ob sie das dann auch wirklich werden lol). Ich würde mir irgendwie wünschen, dass man ein Masterpasswort festlegt, mit dem die Daten dann auch verschlüsselt sind, während sie synchronisiert werden.

Gruß

 

[nixalsverdruss]

Und woher wissen wir, daß der integrierte Passwortmanager Dienst nicht auch irgendwann eingestellt wird ?

Das ist die Krux mit all diesen nützlichen freien Diensten, Jederzeit kann es vorbei sein.

 

[Schokolade]

Selten würde ich ein Selbsthosting von Bitwarden empfehlen. Die meisten gehen damit ein viel höheres Risiko ein, als wenn die verschlüsselte Passwortdatei in einer von einem dedizierten Sicherheitsteam 24/7 gewarteten Cloud liegt

Ich als Laie: Die Datenbank in der die Passwörter gespeichert werden ist doch sowieso via meines Masterpassworts/keys verschlüsselt. Somit wäre doch selbst ein Diebstahl eben jener egal, oder übersehe ich da etwas?

PS.: Ich benutze selbst BitWarden, da es wirklich einfach und Nutzerfreundlich ist und anders als diverse Konkurrenzprodukte OpenSource.

 

[x.treme]

@Schokolade: Stimmt, ein Angriffer kann nicht sofort deine Daten abgreifen. Er muss zuerst das Frontend oder Backend kompromittieren, und warten, bis du das nächste Mal dich einloggst.

 

[ssh]

Also ich nutze den Passwortmanager, der in den Firefox-Account integriert ist. Einige werden sicher die Hände über dem Kopf zusammenschlagen. Viele andere Lösungen waren mir zu umständlich. Zuvor habe ich die Zugänge in ein Büchle geschrieben, das in einem kleinen Tresor lag. Allerdings wurde mir nach Jahren zu nervig, ellenlange Passwörter aus dem Buch für jede Seite abzutippen. Überlege nach den Kommentaren hier allerdings, auf Bitwarden oder auf KeyPassDX umzusteigen.

15 zufällige Zeichen sind ausreichend sicher für die meisten Anwendungsfälle und die Erfahrung zeigt, dass im Browser hinterlegte Passwörter relativ sicher sind und z.B. Keylogger so nichts abgreifen können. Gibt da einen Fall wo einem das Notebook geklaut wurde auf dem er selbst einen Keylogger remote aktivieren konnte. Der Dieb hat das Notebook genutzt aber seine Logins im Browser hinterlegt. Das ging über Monate, der Eigentümer hat einiges über den Dieb herausfinden können, aber keine Passwörter, an die ist er nicht gekommen.

 

[Sterntaste]

Hmm, stört mich jetzt nicht wirklich.
Auf iOS läuft Lockwise extrem unzulässig. Siehe auch Bewertungen im App Tore. Auf Android fing es vor ein paar Wochen an. Gleiches Spiel wie bei meinen Ipads.
Auf iOS kann man ja bereits Chrome als Passwortmanagern benutzen. Da bin ich zunächst drauf umgestiegen. Parallel nutze ich die Gelegenheit, mal wieder Klarschiff zu machen im Passwortpool.

Aktuell bin ich dabei, für jeden nichtprivaten Kontakt ein eigenes Weiterleitungspostfach anzulegen. Habe mir mit Zendas Passwortgenerator Listen erstellt. So habe ich kryptische Mailadresse. Und die Passwörter dazu habe ich mir auch erstellen lassen mit allem, was man nehmen kann. Ist zwar eine Schweinearbeit, aber keine doppelte Postfachverwendung und auch keine doppelten Passwörter, die ohnehin das größte Problem sind bei den meisten Usern.
Weiterleitungspostfach deswegen, weil ich natürlich keine riesige Anzahl an Mailaccounts einzeln oder per Client abfragen will. Das wäre unpraktisch. Alles wird weitergeleitet in ein Sammelpostfach und mit dem Client wird das wieder separiert. Einfach ne Regel angelegt, die die Empfängeradresse auswertet und gleich in den passenden Ordner verschiebt. Und sollte mal Spam auftauchen, weiß ich sofort, wo es herkommt und kann gezielt nen Riegel davorschieben.
Und für die privaten Kontakte muss ich noch schauen. Da könnte man das auch machen, aber da ist mit Weitergaben auf der anderen Seite geradezu zu rechnen.

 

[Madman1209]

Hi,

Aktuell bin ich dabei, für jeden nichtprivaten Kontakt ein eigenes Weiterleitungspostfach anzulegen.

OT-Tipp: hier würde ich einfach eine Google Mailadresse mit Alias verwenden und das entsprechende Suffix anhängen. Das sollte nach wie vor funktionieren. Gleiche Funktionalität, aber bei weitem nicht so aufwändig.

VG,
Mad

 

[Pleasedontkill]

Meine Vermutung ist, dass die Passwortverwaltung ja sowieso schon im Browser ist und deshalb keine extra App benötigt. Die ganzen Passwörter stammen ja sowieso aus dem Speicher vom Firefox Browser.
Der soll ja dann auch die Rolle des Managers unter Android übernehmen. Und die meisten Nutzer werden sowieso keinen zusätzlichen Manager abseits des Browsers verwenden.

An sich finde ich es auch schade, kann aber damit leben.

Edit: @n8mahr Die Funktion verschwindet nicht, die bleibt im Browser. Und dann kann der unter Android als Manager wie derzeit Lockwise verwendet werden.

Ich liebe FireFox seit den ersten Tagen.
Und natürlich will ich nichts extra installieren für PW Verwaltung was hier zurzeit grossartig funktioniert.

KeePass benutzen wir im Geschäft und ist absolut nicht Erste Wahl.
Opera ist schnell und reich an Features nur traue ich denen nicht. Kryptowallet, Opera? Fuck no!

Ergänzung (23. November 2021)

Ps : Habe keine Ahnung von was Ihr da redet.

Hi
OT-Tipp: hier würde ich einfach eine Google Mailadresse mit Alias verwenden und das entsprechende Suffix anhängen. Das sollte nach wie vor funktionieren. Gleiche Funktionalität, aber bei weitem nicht so aufwändig.

 

[homer0815]

Selfhosted Bitwarden sehe ich halt als "mit Kanonen auf Spatzen schießen".
Warum die Ressourcen verbrauchen, wenn es auch eine 100kb große Datei tut?
Sync läuft auch bei Keepass-Derivaten über Drive/Webdav/younameit.
Bei der Sicherheit hätte ich bei beiden Tools keine großen Bedenken, da die DBs an sich verschlüsselt sind.

Ich benutze Firefox seit dem ersten Phoenix release mit einer kleinen Pause zu Opera 5 Zeiten und will einfach die Chrome-Monokultur nicht unterstützen.

 

[chartmix]

"Tab-Freezes" auf Android

Wie äußert sich das bei dir?
Mir ist bisher nichts aufgefallen. Das heißt aber nix.
Gibt es dazu schon einen Bug report?

Ergänzung (23. November 2021)

Auf iOS kann man ja bereits Chrome als Passwortmanagern benutzen.

Im Dezember soll die Funktion auch beim Firefox für iOS kommen.