Bitwarden und KeepassXC: Wohin mit all den Passwörtern?
An Computern, Smartphones, Tablets, bei Onlinediensten und in Shops - überall wird nach unserem Passwort gefragt. Dabei soll es nicht nur eines sein, sondern jedes Mal ein anderes und möglichst kompliziert obendrein, so dass es von Mensch oder Maschine nicht erraten werden kann - so dass wir es uns nicht mehr merken können. Kurz: unschaffbar.
Solange sich passwortlose Dienste mit Fido2-Sticks noch nicht durchgesetzt haben, kommen wir aber auch nicht um die Passwörter herum. Die vorläufig beste Lösung sind Passwortmanager. Wir müssen uns nur noch wenige Passwörter für unsere Geräte und das Main-Passwort für unseren Passwortmanager merken. Golem.de hat sich mit Bitwarden und KeepassXC zwei Passwortmanager angesehen, die konzeptionell sehr unterschiedlich sind, aber auch eine Gemeinsamkeit haben: Sie sind beide Open Source. Mit ihnen ergänzen wir unseren Passwortmanager-Test von 2017 . Bitwarden überzeugt vor allem beim Komfort, KeepassXC in Sachen Datenschutz, Sicherheit und Flexibilität.
Der zentrale Unterschied zwischen Bitwarden und KeepassXC ist der Passwortspeicher: Während Bitwarden die Passwörter in der Cloud speichert und über verschiedene Geräte mit Apps und Desktop-Programmen synchronisiert, setzt KeepassXC auf einen Passwortcontainer, der als Datei auf einem lokalen Datenträger gespeichert wird. Beide Ansätze haben ihren Charme, wir haben uns analog zum Test 2017 angeschaut, ob sie unsere Anforderungen an die Nutzung im Arbeitsalltag, Zwei-Faktor-Authentifizierung und das einfache Erstellen von Passwörtern erfüllen.
KeepassXC: Alles fest verschlüsselt im Passwortcontainer
Die namentliche Ähnlichkeit zu dem bereits 2017 getesteten Keepass kommt nicht von ungefähr: Am Anfang gab es Keepass(öffnet im neuen Fenster) , das auf Microsofts .Net-Plattform setzt. Dieses wurde mit KeepassX auf Linux portiert, welches auf Qt setzt. In den vergangenen Jahren wurde KeepassX nicht mehr weiterentwickelt, was die Community letztlich dazu bewog, das Programm zu forken und unter dem Namen KeepassXC(öffnet im neuen Fenster) weiterzuentwickeln.
In vielen Linux Distributionen sind alle drei Passwortmanager enthalten, die untereinander zudem weitgehend kompatibel sind. Auch unter Windows oder MacOS können alle drei installiert werden - doch nur Keepass und KeepassXC werden aktiv weiterentwickelt.
Gut gesicherte Datenbank
KeepassXC setzt wie die Keepass-Familie noch ganz nach der alten Schule auf eine Passwort-Datenbank in Dateiform. Diese müssen wir nach dem Start der Software erst einmal anlegen und mit einem Passwort sichern. Die Datenbank wird mit dem Algorithmus AES256 verschlüsselt, unser Passwort zeitgemäß per Argon2 gesichert.
Auch ältere Datenbanken können mit KeepassXC weiterverwendet und über die Datenbank-Einstellungen auf die aktuellen Algorithmen gehoben werden. Dennoch steht und fällt die Sicherheit der Passwortdatenbank mit der Qualität des Hauptpasswortes. Dieses sollte entsprechend gut gewählt werden - dafür muss man sich die anderen Passwörter nicht mehr merken.
Ist die Datenbank erstellt, können wir unsere Passwörter importieren oder eintragen. Für eine bessere Übersicht können wir sie in Ordner verteilen und mit Icons versehen. Dabei müssen wir uns die Passwörter nicht mehr selbst ausdenken, sondern lassen sie mit einem Klick auf das Würfelicon direkt von KeepassXC generieren - die Länge und die verwendeten Zeichen können wir selbst bestimmen. Neben einem Passwort lässt sich auch eine Passphrase generieren, die zum Beispiel aus zwölf Wörtern besteht und als PIN für den Messenger Signal verwendet werden kann.
Das etwas altbackene Aussehen des Passwortmanagers wurde mit Version 2.6 deutlich aufpoliert. Es ist schon erstaunlich, was ein Icon-Set ausmachen kann. Wurde bei einem Eintrag eine URL hinterlegt, lässt sich mit einem Rechtsklick das passende Webseitenicon herunterladen. Doch Passwortmanager sind ja nicht gerade Lifestyle-Produkte, es kommt also mehr auf die Funktionen an.
KeepassXC mit zweitem Faktor sichern und in den Browser integrieren
KeepassXC unterstützt von Haus aus Zwei-Faktor-Authentifizierung per TOTP (Time based One Time Password) : Wurde ein Schlüssel beim Anbieter erstellt, kann dieser neben einer TOTP-App auch in KeepassXC hinterlegt werden. Aus dem Schlüssel und der aktuellen Uhrzeit generiert der Passwortmanager dann den sechsstelligen TOTP-Code, der beim Login als zweiter Faktor angegeben wird.
Aus Sicherheitsgründen ist es jedoch ratsam, den TOTP-Schlüssel und das Passwort nicht an demselben Ort beziehungsweise auf demselben Gerät zu speichern - darauf weist auch das Entwicklerteam von KeepassXC hin. Besser ist hierfür eine App auf dem Smartphone, KeepassXC auf einem anderen Gerät oder Sicherheitsschlüssel wie Nitrokey oder Yubikey.
Sinnvoller erscheint es uns, den Passwortcontainer selbst mit einem zweiten Faktor zu schützen. Zu diesem Zweck kann mit wenigen Klicks ein Yubikey oder ein Onlykey in KeepassXC hinterlegt werden, an den das eingegebene Passwort geschickt und verschlüsselt wird. Mit dem so generierten Passwort wird anschließend der Passwortcontainer geöffnet.
Um an die Passwörter zu kommen, braucht es dann die beiden Faktoren Wissen (das Passwort) und Besitzen (den Sicherheitsschlüssel). Das Entwicklerteam von KeepassXC weist jedoch darauf hin, dass es sich bei dem Setup streng genommen um keine echte 2FA handelt, da das mit dem Schlüssel generierte Passwort sich nicht jedes Mal ändert. Deutlich sicherer macht es das Setup trotzdem.
Im Test funktionierte dies stabil. Allerdings sollte bedacht werden, dass bei Verlust oder einem Defekt des Sicherheitsschlüssels nicht mehr auf die Daten zugegriffen werden kann. Daher sollte ein zweiter Sicherheitsschlüssel als Backup gekauft werden. Auch ist es ratsam, den Schlüssel, mit dem das Passwort verschlüsselt wird, zu sichern, denn dieser lässt sich nicht aus dem Sicherheitsschlüssel auslesen.
Browserintegration
Um die Passwörter direkt im Browser verwenden zu können, stellt das Entwicklerteam Browsererweiterungen für Firefox(öffnet im neuen Fenster) sowie Chrome/Chromium, Vivaldi und Brave(öffnet im neuen Fenster) zur Verfügung. Damit KeepassXC und die Erweiterung auch miteinander kommunizieren können, muss in den KeepassXC-Einstellungen die Browserintegration aktiviert werden. Anschließend erscheint auf jeder Webseite mit Login-Feld ein kleines KeepassXC-Logo, mit einem Klick darauf, können die Zugangsdaten angefordert werden.
Vor allem unter Ubuntu kann es Probleme geben, wenn KeepassXC im Snap-Paketformat installiert wurde. Die Probleme können mit Hilfe eines Skripts, das von Keepassxc.org heruntergeladen(öffnet im neuen Fenster) wird, weitgehend gelöst werden. Wurde der Browser als Snap installiert, funktioniert die Integration gar nicht. Alternativ lassen sich die Zugangsdaten per Autotype auch von KeepassXC direkt in das jeweilige Formular eintippen.
Fast alles geht, nichts muss
Für mobile Betriebssysteme gibt es KeepassXC zwar nicht, doch steht mit KeepassDX eine eigenständige Android-App zur Verfügung, mit der die Passwortcontainer verwendet werden können. Diese gibt es sowohl im Google Play Store(öffnet im neuen Fenster) als auch im freien App-Store F-Droid(öffnet im neuen Fenster) . Eine Browserintegration wie auf dem Desktop existiert unter Android zwar nicht, dafür kann der Autofill-Dienst aktiviert werden. Über diesen wird der Zugriff auf KeepassDX bei Login-Formularen in Apps und Webseiten angeboten. Die Funktion ist recht simpel, aber sehr komfortabel.
Allerdings funktioniert 2FA mit Yubikey oder Onlykey mit KeepassDX nicht. Die Android-App Keepass2Android(öffnet im neuen Fenster) soll auch dies unterstützen, es gibt sie jedoch nur im Play Store. Laut einem Check mit der Exodus-Datenbank enthalten beide Apps keine Tracker. Es gibt noch etliche weitere Keepass- und KeepassXC-kompatible Apps für Android. Das gilt auch für iOS, das KeepassXC-Entwicklerteam empfiehlt(öffnet im neuen Fenster) Strongbox(öffnet im neuen Fenster) .
Syncing unterstützt KeepassXC mangels Onlinedienst von Haus aus nicht, allerdings lässt sich die Datenbank-Datei einfach mit Hilfe von Dropbox, Nextcloud oder anderen Cloudspeichern synchronisieren. Wer die Passwortcontainer lieber nicht über das Internet schickt, kann sie auch per Kabel übertragen oder mobil eine andere Datenbank verwenden als auf dem Desktop. Ohnehin sind die Verwendungsmöglichkeiten von KeepassXC sehr vielfältig, was uns sehr gut gefällt. Selbst auf der Kommandozeile kann das Programm verwendet werden.
Doch die vielen Möglichkeiten haben auch einen Nachteil: Die Einrichtung ist etwas komplizierter als bei anderen Passwortmanagern. Dafür kann er an die eigenen Bedürfnisse angepasst werden und dürfte ein höheres Sicherheitsniveau bieten. Einen externen Sicherheitsaudit gab es bei KeepassXC jedoch bisher nicht. Bitwarden fährt derweil ein ganz anderes Konzept.
Bitwarden: Alles online oder was?
Im Unterschied zu KeepassXC, der die Passwörter in einer lokalen Datenbank speichert, ist Bitwarden ein Cloud-Passwortmanager, vergleichbar mit Lastpass, Dashlane oder 1Password. Im Unterschied zu diesen ist die Software jedoch Open Source und kann auch selbst auf einem eigenen Server betrieben werden. Auf Bitwarden.com können sich Nutzer jedoch auch direkt ein Konto anlegen.
Ansonsten geht die Anmeldung sehr leicht von der Hand: E-Mail-Adresse, Name und Passwort - mehr müssen wir nicht angeben. Die Weboberfläche des Dienstes wirkt insgesamt aufgeräumt und selbsterklärend. Die generierten Passwörter erscheinen uns je nach Anwendung mit 14 Stellen und ohne Sonderzeichen jedoch etwas kurz. Die Anforderungen an Länge und verwendete Zeichen lassen sich nur global unter dem Reiter Tools einstellen. Individuelle Einstellungen pro generiertem Passwort wie bei KeepassXC lassen sich nur in der Desktop-App sowie in der mobilen App erstellen.
Die Entschlüsselung findet im Browser oder in der jeweiligen App statt, auf dem Server werden die Daten AES256 verschlüsselt gespeichert(öffnet im neuen Fenster) und mit unserem Main-Passwort geschützt. Dieses wird mittels PBKDF2 gehasht (100.000 Runden). Das bessere Passworthashverfahren Argon2 steht seit 2017/2018 auf der Bitwarden-Wunschliste(öffnet im neuen Fenster) , wurde bis dato aber noch nicht umgesetzt.
Tracking im Passwortmanager?
In der Vergangenheit hat Bitwarden etliche Skripte von Dritten in seiner Weboberfläche eingebunden, darunter von Google gehostete Bibliotheken und Schriften, das Tracking- und Analysewerkzeug Google Analytics sowie den CDN des Bootstrap-Frameworks. Dies wurde heftig kritisiert(öffnet im neuen Fenster) , da diese Dritten potenziell auf die Passwörter der Nutzer zugreifen können, abgesehen von dem ohnehin fragwürdigen Tracking durch Google Analytics. Mittlerweile wurden die Skripte entfernt.
Weiterhin eingebunden werden jedoch Skripte von Zahlungsdienstleistern wie Stripe. Diese werden inzwischen immerhin auf Veränderungen geprüft(öffnet im neuen Fenster) . Auch die Android-App aus dem Play Store(öffnet im neuen Fenster) enthält laut Exodus(öffnet im neuen Fenster) mit Google Firebase Analytics und einem Crash Reporter von Microsoft zwei Trackingdienste. Zudem wird auf den Push-Dienst Firebase Messaging von Google gesetzt. All diese Dinge würden wir eigentlich nicht in Open-Source-Apps erwarten - wir sind enttäuscht. Bei Dashlane und Lastpass sieht es übrigens noch schlimmer aus, einzig 1Password verzichtet(öffnet im neuen Fenster) laut Exodus auf Trackingbibliotheken, das sollte eigentlich auch der Standard sein.
Etwas besser soll es bei der F-Droid-Version von Bitwarden aussehen(öffnet im neuen Fenster) , welche allerdings nicht standardmäßig in F-Droid zu finden ist. Hier muss zuerst das Repository von Bitwarden(öffnet im neuen Fenster) zu F-Droid hinzugefügt werden. Anschließend kann der Passwortmanager installiert werden. Bei diesem funktioniert allerdings nur das manuelle Syncing, da Googles Firebase Messaging entfernt wurde. Eine iOS-Version von Bitwarden(öffnet im neuen Fenster) steht ebenfalls zur Verfügung.
Bitwarden gibt's auch im Browser
Unter Android lässt sich Bitwarden wie KeepassDX über die systemeigene Autofill-Funktion integrieren. Das funktioniert ebenfalls problemlos. Insgesamt ist die Funktion der App dem Desktop-Client und der Weboberfläche nachempfunden - alle sind entsprechend ähnlich intuitiv.
Auf dem Desktop lässt sich Bitwarden in etliche Browser integrieren: Mit einer Erweiterung werden neben Firefox(öffnet im neuen Fenster) und Chrome/Chromium, Brave und Vivaldi(öffnet im neuen Fenster) auch Opera(öffnet im neuen Fenster) , Microsoft Edge(öffnet im neuen Fenster) und Apples Safari unterstützt(öffnet im neuen Fenster) . Diese stellen aber keine Integration des Desktop-Clients dar, sondern integrieren Bitwarden direkt in den jeweiligen Browser. Mit einem Klick auf das Bitwarden-Icon in der Leiste stehen alle Funktionen zur Verfügung - eine Desktop-App gibt es zwar, diese wird aber nicht benötigt. Das ist komfortabel - ob man jedoch den Vollzugriff auf alle Passwörter in einer Browser-Erweiterung haben möchte, muss man selbst wissen.
Zwei-Faktor-Authentifizierung und Passwörter ohne Cloud
Doch was passiert, wenn man ein Passwort benötigt und keine Internetverbindung hat? Solange Bitwarden nur gesperrt wurde, kann man weiterhin mit seinem Main-Passwort auf die Daten zugreifen, während nach einer Abmeldung der Zugriff nur mit einer Internetverbindung möglich ist.
Neben einem Main-Passwort kann Bitwarden auch mit einem zweiten Faktor gesichert werden. Hierfür werden unter anderem TOTP sowie Fido2-Sticks unterstützt, Letztere allerdings nur in der kostenpflichtigen Pro-Variante. Der zweite Faktor wird nur bei einer Anmeldung, nicht aber beim Entsperren verlangt. Ein Audit wurde 2018 von Cure53 und 2020 von Insight durchgeführt(öffnet im neuen Fenster) . 2018 wurde ein Remote-Code-Execution-Lücke entdeckt, ansonsten gab es keine schwerwiegenden Sicherheitslücken oder Designfehler.
Verfügbarkeit und Fazit
Die beiden Passwortmanager können entweder über die Projekt- oder die Herstellerwebseite heruntergeladen werden. Die Apps und Programme finden sich zudem in den gängigen App Stores oder Paketquellen. KeepassXC und KeepassDX sind kostenlos, bitten aber um Spenden(öffnet im neuen Fenster) . KeepassDX gibt es auch in einer Pro-Version für 5,99 Euro(öffnet im neuen Fenster) , mit welcher die Entwicklung refinanziert werden soll.
Ein Konto auf Bitwarden.com ist in der Basisvariante kostenlos. Die Pro-Variante kostet 10 US-Dollar im Jahr. Damit lässt sich das Konto mit einem zweiten Faktor per Fido-Stick schützen, zudem wird TOTP über den Bitwarden Authenticator unterstützt. Letztere Funktion dürfte jedoch wenig sinnvoll sein, da ein zweiter Faktor an einem anderen Ort gespeichert werden sollte als der erste. Ein weiteres Pro-Feature ist ein 1 GByte großer, verschlüsselter Onlinespeicher. Daneben gibt es ein Family-Konto für 40 US-Dollar im Jahr, das die Pro-Features für bis zu sechs Familienmitglieder enthält.
Fazit
Es bleibt dabei: Vor allem ist wichtig, dass überhaupt ein Passwortmanager eingesetzt wird. Welcher das ist, hängt von den jeweiligen Bedürfnissen und Nutzungsweisen ab. Für Datenschutz- und Sicherheitsbewusste, die ihre Daten lieber keinem Clouddienst anvertrauen wollen, bietet sich KeepassXC an. Stehen jedoch Synchronisation und Komfort im Vordergrund, sollte auf Bitwarden zurückgegriffen werden.
Für Letzteren gibt es jedoch mit Dashlane, 1Password und Lastpass etliche Alternativen, die wir im Test von 2017 besprochen haben . Allerdings ist Bitwarden der einzige Cloud-Passwortmanager im Test, der auf Open Source setzt. Wer Datenschutz und Cloud verbinden möchte, kann Bitwarden selbst betreiben und auf eine strenge Content Security Policy (CSP) setzen, die keine externen Skripte erlaubt.
Allgemein macht in Sachen Datenschutz, Sicherheit und Flexibilität jedoch KeepassXC oder den anderen Mitgliedern der Keepass-Familie so schnell kein anderer Passwortmanager etwas vor.