taeddyyy schrieb:
Es mag deutlich bessere/umfangreichere Lösungen geben, aber sowohl für den hier genannten Fall als auch unser Team hat sich KeePass als ideale Lösung herausgestellt. Warum einen größeren Funktionsumfang empfehlen, der nicht gebraucht wird, dadür aber potenziell unssicherer unterwegs sein:
https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/
Wie gesagt, solange Keepass reicht, ist es ja gut.
Was den Blogeintrag angeht: da würde ich nicht viel drauf geben.
Wurde auch auf Reddit länger diskutiert:
https://www.reddit.com/r/Bitwarden/comments/e8rilq/bitwarden_weaknesses_in_security_and_privacy/
Erstmal eine Korrektur zum Artikel: Google Analytics wird nicht (mehr?) benutzt - kann ja jeder selber nachprüfen:
https://vault.bitwarden.com/#/
Ansonsten ist meine Meinung zum Artikel, dass er zwar lustig Sachen aufzeigt, aber wenig begründet.
Er bemängelt, das JavaScript genutzt wird und begründet das mit einem halbgaren
JavaScript und Sicherheit sind zwei Größen, die sich gegenseitig eigentlich ausschließen.
- ohne Quellen oder technische Gründe. Die Entschlüsselung erfolgt lokal auf dem Gerät, man hat volle E2E.
Die CSP, die das Nachladen von JavaScript aus Dritt-Quellen erlaubt stimmt nicht für Self-hosted (gerade nochmal bei meiner eigenen Instanz geprüft), da wird nichts nachgeladen.
Dann beschwert er sich, dass sein Master-Passwort übertragen wird
Weiterhin war ich etwas verwundert, dass mein Master-Passwort offensichtlich über die Leitung geht – wenn auch in einem irgendwie gehashten Format [POST Request]:
, gibt aber paar Zeilen weiter zu, dass er es eigentlich gar nicht weiß und auch zu faul war, es rauszufinden:
Eventuell wird aber auch ein Master-Schlüssel oder ähnliches vom Master-Passwort abgeleitet. Dazu müsste man sich den Quelltext mal genauer anschauen.
Sicher sollte man nicht blauäugig sein, und eine Online-Anbindung ist natürlich immer eine mögliche Sicherheitslücke. Aber die Kritik aus dem Artikel ist nicht wirklich fundiert.
Wer eine bessere Analyse von Bitwarden sehen will, sollte sich den Audit / Pentest anschauen, den es gab (ist schließlich OpenSource):
https://cure53.de/pentest-report_bitwarden.pdf
