Bitwarden: Alles online oder was?

Im Unterschied zu KeepassXC, der die Passwörter in einer lokalen Datenbank speichert, ist Bitwarden ein Cloud-Passwortmanager, vergleichbar mit Lastpass, Dashlane oder 1Password. Im Unterschied zu diesen ist die Software jedoch Open Source und kann auch selbst auf einem eigenen Server betrieben werden. Auf Bitwarden.com können sich Nutzer jedoch auch direkt ein Konto anlegen.

Stellenmarkt
  1. Informatiker (w/m/d) für elektronische Formularverarbeitung
    Stadt Erlangen, Erlangen
  2. IT-Professional / Bioinformatiker (m/w/d)
    Bayerisches Landeskriminalamt, München
Detailsuche

Ansonsten geht die Anmeldung sehr leicht von der Hand: E-Mail-Adresse, Name und Passwort - mehr müssen wir nicht angeben. Die Weboberfläche des Dienstes wirkt insgesamt aufgeräumt und selbsterklärend. Die generierten Passwörter erscheinen uns je nach Anwendung mit 14 Stellen und ohne Sonderzeichen jedoch etwas kurz. Die Anforderungen an Länge und verwendete Zeichen lassen sich nur global unter dem Reiter Tools einstellen. Individuelle Einstellungen pro generiertem Passwort wie bei KeepassXC lassen sich nur in der Desktop-App sowie in der mobilen App erstellen.

Die Entschlüsselung findet im Browser oder in der jeweiligen App statt, auf dem Server werden die Daten AES256 verschlüsselt gespeichert und mit unserem Main-Passwort geschützt. Dieses wird mittels PBKDF2 gehasht (100.000 Runden). Das bessere Passworthashverfahren Argon2 steht seit 2017/2018 auf der Bitwarden-Wunschliste, wurde bis dato aber noch nicht umgesetzt.

Tracking im Passwortmanager?

In der Vergangenheit hat Bitwarden etliche Skripte von Dritten in seiner Weboberfläche eingebunden, darunter von Google gehostete Bibliotheken und Schriften, das Tracking- und Analysewerkzeug Google Analytics sowie den CDN des Bootstrap-Frameworks. Dies wurde heftig kritisiert, da diese Dritten potenziell auf die Passwörter der Nutzer zugreifen können, abgesehen von dem ohnehin fragwürdigen Tracking durch Google Analytics. Mittlerweile wurden die Skripte entfernt.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Weiterhin eingebunden werden jedoch Skripte von Zahlungsdienstleistern wie Stripe. Diese werden inzwischen immerhin auf Veränderungen geprüft. Auch die Android-App aus dem Play Store enthält laut Exodus mit Google Firebase Analytics und einem Crash Reporter von Microsoft zwei Trackingdienste. Zudem wird auf den Push-Dienst Firebase Messaging von Google gesetzt. All diese Dinge würden wir eigentlich nicht in Open-Source-Apps erwarten - wir sind enttäuscht. Bei Dashlane und Lastpass sieht es übrigens noch schlimmer aus, einzig 1Password verzichtet laut Exodus auf Trackingbibliotheken, das sollte eigentlich auch der Standard sein.

Etwas besser soll es bei der F-Droid-Version von Bitwarden aussehen, welche allerdings nicht standardmäßig in F-Droid zu finden ist. Hier muss zuerst das Repository von Bitwarden zu F-Droid hinzugefügt werden. Anschließend kann der Passwortmanager installiert werden. Bei diesem funktioniert allerdings nur das manuelle Syncing, da Googles Firebase Messaging entfernt wurde. Eine iOS-Version von Bitwarden steht ebenfalls zur Verfügung.

Bitwarden gibt's auch im Browser

Unter Android lässt sich Bitwarden wie KeepassDX über die systemeigene Autofill-Funktion integrieren. Das funktioniert ebenfalls problemlos. Insgesamt ist die Funktion der App dem Desktop-Client und der Weboberfläche nachempfunden - alle sind entsprechend ähnlich intuitiv.

Auf dem Desktop lässt sich Bitwarden in etliche Browser integrieren: Mit einer Erweiterung werden neben Firefox und Chrome/Chromium, Brave und Vivaldi auch Opera, Microsoft Edge und Apples Safari unterstützt. Diese stellen aber keine Integration des Desktop-Clients dar, sondern integrieren Bitwarden direkt in den jeweiligen Browser. Mit einem Klick auf das Bitwarden-Icon in der Leiste stehen alle Funktionen zur Verfügung - eine Desktop-App gibt es zwar, diese wird aber nicht benötigt. Das ist komfortabel - ob man jedoch den Vollzugriff auf alle Passwörter in einer Browser-Erweiterung haben möchte, muss man selbst wissen.

Zwei-Faktor-Authentifizierung und Passwörter ohne Cloud

Doch was passiert, wenn man ein Passwort benötigt und keine Internetverbindung hat? Solange Bitwarden nur gesperrt wurde, kann man weiterhin mit seinem Main-Passwort auf die Daten zugreifen, während nach einer Abmeldung der Zugriff nur mit einer Internetverbindung möglich ist.

Neben einem Main-Passwort kann Bitwarden auch mit einem zweiten Faktor gesichert werden. Hierfür werden unter anderem TOTP sowie Fido2-Sticks unterstützt, Letztere allerdings nur in der kostenpflichtigen Pro-Variante. Der zweite Faktor wird nur bei einer Anmeldung, nicht aber beim Entsperren verlangt. Ein Audit wurde 2018 von Cure53 und 2020 von Insight durchgeführt. 2018 wurde ein Remote-Code-Execution-Lücke entdeckt, ansonsten gab es keine schwerwiegenden Sicherheitslücken oder Designfehler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 KeepassXC mit zweitem Faktor sichern und in den Browser integrierenVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


My1 06. Okt 2020

und selbst wenn kann die firma es immer noch verlieren oder den user anderweitig aussperren.

torstenj 05. Okt 2020

bitwarden_rs ist nur eine inoffizielle Version und das hat wohl nie jemand auditiert. Das...

pantena 02. Okt 2020

FF sync ist doch viel zu kompliziert zu hosten und man braucht natürlich den Browser Auf...

sigii 30. Sep 2020

Muss ich in meiner Firma leider auch nutzen. Zwischen LastPass, was ich privat nutze und...

edison.cannon 29. Sep 2020

Mit den Ansprüchen von Bitwarden hatte ich bis vor kurzem noch einen Linux Desktop am...



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /