Passwörter unkompliziert verwalten mit Bitwarden (alle Plattformen)

Pocket
Schutz für den Alltag

Viele Gründe sprechen für die Verwendung eines guten Passwort-Managers: Manchmal ist es einfach das Gedächtnis, das uns nach drei Wochen Karibik-Urlaub im Stich lässt. Oder wir erliegen der Gefahr, aus Bequemlichkeit das gleiche Passwort bei mehreren Diensten einzusetzen. Oder wir denken, jenes Kennwort „ToteHosenRulez“, das wir uns damals mit 16 ausgedacht hatten, sei unmöglich zu knacken. Oder … Ich denke, wir verstehen uns …

In DC empfehle ich ja als Passwort-Tresor „Keepass„, ein „alter Hase“ auf diesem Gebiet: Open-Source, kostenlos und kommt ohne Cloud oder das Anlegen eines Accounts aus. Wer möchte, kann dennoch einen Dienst wie Dropbox, OwnCloud usw. für einen Sync mit dem Smartphone einrichten. Aber viele Anwender wünschen sich ein moderneres Aussehen und möchten möglichst wenig mit der Installation zu tun haben. Daher gibt es schon länger die bekannten Manager wie z. B. LastPass, 1Password, Enpass usw. Ein Newcomer in diesem Sektor gewinnt seit einiger Zeit ebenfalls viele Freunde – und auch mir gefällt er ausgesprochen gut: Bitwarden. Seit einiger Zeit nutze ich das Programm selbst und habe es mir daher gründlicher angeschaut.

Übersichtliche und klare Struktur

auf Wunsch mit Ordnern

Bitwarden wirkt durch die vertraute Ordner-Struktur sofort aufgeräumt. Ich bin eher jemand, der bei solch einfachen Anwendungen wenig Pflegeaufwand betreiben möchte: Alle Passwörter wandern in 3, 4 große Bereiche – der Rest wird durch die flotte Suchfunktion erledigt. Andere bevorzugen ein System aus Ordnern und Unterordnern – für beide Nutzergruppen ist gesorgt.

auch das Farb-Design kann geändert werden

Die Icons einer Webseite werden automatisch integriert, Farben lassen sich anpassen, die Inhalte von Notizfeldern werden nicht abgeschnitten, Passwörter aus anderen Managern können problemlos importiert werden usw. Zu oft wird man das Hauptprogramm ohnehin nicht aufrufen müssen – Ein- und Ausgabe geschieht in den meisten Fällen via Browser-Plugin oder den automatischen „Ausfüllfunktionen“ unter Android bzw. iOS.

Intelligente Browser-Erweiterungen

Die Desktop-Anwendungen haben unter Windows, Mac und Linux ein einheitliches Aussehen. Das gilt auch für die Browser-Erweiterungen: Firefox, Chrome, Vivaldi usw. – man muss sich nicht umgewöhnen, selbst wenn man oft die Arbeitsumgebung wechselt.

mehrere Zugänge – kein Problem

Die Erweiterung erkennt, wenn unter dem gleichen Ausgangslink mehrere Accounts angelegt wurden und zeigt dies durch eine entsprechende Ziffer an. Das lässt sich sogar recht fein justieren, aber für den Alltag genügt die kurze Liste. Man kann sogar seinen gesamten Tresor nur über die Erweiterung managen und Änderungen oder Ergänzungen vornehmen, ohne die Hauptanwendung aufrufen zu müssen. Wie üblich werden Passworteingaben auf einer Webseite erkannt – Bitwarden fragt dann kurz, ob die Eingaben in einen Tresor übernommen werden sollen.

Natürlich ist auch der obligatorische Passwort-Generator dabei, der nach verschiedenen Kriterien ein sicheres Passwort erzeugt. Die farbliche Unterscheidung von Buchstaben, Ziffern und Sonderzeichen ist eine zusätzliche Hilfe:

Passwort-Generator mit vielen Optionen

Ich selbst bin kein Freund von derartigen Passwörtern und bevorzuge ein „Stamm-Muster“ mit zusätzlichen Ergänzungen, die sich nach bestimmten Regeln von Dienst zu Dienst unterscheiden. Aber wenn jemand die komplexe Variante bevorzugt – bitte, alles ist dafür vorhanden.

Lokal oder zentral?

Nun kommen wir etwas in den Bereich der „Glaubenskriege“. Manche Anwender schwören auf eine lokale Datenbank, die höchstens noch über eine „eigene“ Cloud synchronisiert wird. Manager wie Keepass und Enpass funktionieren auf diese Weise. LastPass und 1Password sind hingegen Vertreter einer zentralen Verwaltung via Account auf einem externen Server. Bitwarden muss man eigentlich zur zweiten Gruppe rechnen. Zwar kann man Bitwarden prinzipiell auch auf einem eigenen Server betreiben, aber dazu muss man doch über gute technische Kenntnisse verfügen. Trotz der zentralen Verwaltung dürfte Bitwarden aus einer Reihe von Gründen nicht „unsicherer“ sein, als dies bei einem rein lokal geführten Tresor der Fall wäre:

  • Bitwarden ist Open-Source. Damit kann prinzipiell jeder den Code einsehen und auf Schwachstellen überprüfen, der über die notwendigen Kenntnisse verfügt.
  • Open-Source für sich genommen ist allerdings noch kein ausreichender Sicherheitsfaktor – denn es muss jemand da sein, der eine systematische Überprüfung vornimmt. Ein solches Audit durch eine externe Sicherheitsfirma hat Bitwarden vornehmen lassen [1].
  • Die Art der Verschlüsselung – AES 256, für den Masterkey PBKDF2 – gilt unter Experten als ausgesprochen sicher (wenn man ein gutes und langes Passwort nutzt). [2]
  • Der Prozess der Ver- und Entschlüsselung geschieht lokal – auf den Servern befindet sich immer nur die verschlüsselte Datei.
  • Wem das noch nicht genügt, der kann zusätzlich eine Zwei-Wege-Authentifizierung nutzen.
  • Inzwischen nutzen die meisten Unternehmen für die professionelle Datenvorhaltung Server, die z. B. von Amazon, Google oder Microsoft zur Verfügung gestellt werden. Bitwarden nutzt Microsoft-Azure-Server.

Der zentrale Account hat noch eine Reihe weiterer Vorteile: Bei jeder Anmeldung finden eine Reihe von Sicherheits- und Plausibilitätsprüfungen statt – ich habe immer innerhalb von Sekunden entsprechende Nachrichten an mein Mail-Konto erhalten.

Da man keine zusätzliche Cloud verwenden muss, gibt es praktisch keine Verzögerungen beim Sync: Auf dem Smartphone ein neues Passwort erstellt – eine Sekunde später über das Chrome-Plugin auf dem Desktop abrufbar (ohne die Desktop-Anwendung [3] starten zu müssen).

Und man kann eine Reihe interessanter Reports auf Wunsch erstellen lassen – z. B. ob ein Account von einem Datenleak betroffen war/ist:

interessante Berichte

Weitere Pluspunkte

Unter Android und iPhone klappen alle üblichen Operationen, die diese Systeme für eine erleichterte Passwort-Eingabe vorgesehen haben: AutoFill bzw. QuickFill, Fingerabdruck-/Gesichtserkennung usw. Unter Windows kann man „Hello“ einsetzen. [4] Außerdem kann man mit einem Kurz-Pin arbeiten und verschiedene Einstellungen für Sperrzeiten vornehmen.

Eine Passwort-Historie ist auch abrufbar (was waren frühere Passwörter, die man für einen bestimmten Dienst benutzt hat). Kann im Einzelfall recht nützlich sein.

Die Funktion für zeitabhängige Wegwerf-Codes ist ebenfalls vorhanden (Desktop, Browser-Erweiterung und mobile Anwendungen) – künftig kann man sich also eine gesonderte App sparen.

TOTP-Codes können abgerufen werden

Gibt es auch Nachteile?

Ja, sicher – welches System ist schon perfekt? Aufgefallen sind mir:

  • Export: Zwar ist der Export der Datenbank problemlos als *json oder CSV möglich – aber die Anhänge werden nicht exportiert. Da ich nur bei wenigen Accounts Anhänge aufnehmen, genügt mir der Suchparameter „>attachments:*“ – damit werden die 5 – 6 betroffenen Accounts angezeigt und ich kann „händisch“ sichern. Kann für andere Anwender aber ein Minuspunkt sein.
  • Flugmodus: Die Datenbanken können auch offline abgerufen werden, aber leider nur „read only“ – man kann also keine Änderungen/Ergänzungen vornehmen, wenn man kein Netz hat. Auch hier gilt: Für mich kein Problem, für „Viel-Reisende“ aber vielleicht doch.
  • Templates: Bitwarden stellt momentan nur 4 Grund-Typen von Vorlagen zur Verfügung: Login, (Kredit-)Karte, Identität/Adressdaten und „Sichere Notiz“. Allerdings kann man zusätzlich eigene Felder definieren.
  • Die Desktop-Anwendung hat sich ab und zu – unter Windows – kurz „aufgehängt“. Kam aber zu keinen Datenverlusten, nach Neustart funktionierte alles. Aber es gibt regelmäßige Updates und bei der Browser-Erweiterung kann ich nichts feststellen.
  • Im Vergleich zu 1Password oder LastPass sicher ein kleineres Unternehmen, so dass man die Frage stellen kann, ob es sich am Markt langfristig behaupten wird (ich bin da ganz optimistisch). Aber selbst wenn nicht: Ein Wechsel zu einem anderen Tool sollte bei einer Tasse Kaffee zu erledigen sein.

Die Kosten

Oft stellen derartige Passwort-Manager nur „Häppchen“ kostenlos zur Verfügung. Die Anwendung ist dann auf die Verwaltung von 20 oder 50 Passwörter eingeschränkt. Solche Einschränkungen gibt es bei Bitwarden nicht: Beliebig viele Passwörter, Ordner, Notizen usw. können verwendet werden. Auch die mobilen Apps sind kostenlos. Für viele Nutzer dürfte das völlig ausreichen.

Für mich gab es eigentlich nur eine Funktion, die mich zur Pro-Variante greifen ließ: Anhänge einfügen zu können. Jeder Anhang kann bis zu 100 MB groß sein, insgesamt steht 1 GB Speicherplatz zur Verfügung. Das kann ich gar nicht ausnutzen – ab und zu mal ein kleiner Scan, ein QR-Code oder sonstige PDF, mehr fällt bei mir nicht an. 10 Euro im Jahr finde ich völlig akzeptabel – schließlich will ich die Entwicklung ohnehin unterstützen. Dazu kann ich einen weiteren Tresor anlegen und mit jemanden teilen.

Gruppen-Tresore mit Verwaltung – Familien, Teams, Organisationen – kosten dann zwar noch zusätzlich, aber auch da scheinen mir die Gebühren moderat zu sein.

Fazit

Sofern man mit einer nicht-lokalen Datenbank leben kann, ist Bitwarden auf jeden Fall eine Empfehlung. Auch, da der Entwickler offensichtlich sehr rasch auf Mails antwortet (ich hatte bei den 3, 4 Mails jeweils eine Antwortzeit von wenigen Stunden). Sicher, Passwort-Manager A hat jenen Vorteil, der Manager B eine weitere Funktion usw. Aber bei Bitwarden gefällt mir das „Gesamtpaket“ – alles sehr rund und flüssig, kein Schnick-Schnack, eine moderne Oberfläche mit guten mobilen Apps. Ein Tool, das man im Alltag gerne einsetzt.

PS: Schaut auch mal in unserem Forum vorbei. Dort berichten andere, warum sie welchen Manager einsetzen. Diskussionsbeiträge sind willkommen!

[1] PDF-Datei des Audit-Reports vom Nov. 2018 hier abrufbar.

[2] Im Prinzip kann man einen derart gesicherten Tresor offen in einem Blog in China, Russland oder Washington als Download anbieten, ohne dass er die nächsten Jahre/Jahrzehnte via Server-Farmen entschlüsselt werden kann (ja, gut, die Quantencomputer kommen, aber jetzt müssten wir uns im Detail über die Unterschiede in den Verschlüsselungsverfahren unterhalten – das führt zu weit und da verstehen andere Leute mehr davon als ich …

[3] Okay, das ist nicht weiter erstaunlich. Im Prinzip sind die Bitwarden-Anwendungen ja nur angepasste Browser.

[4] Beim Mac klappt leider noch nicht der Fingerabdruck, soll aber demnächst kommen.

8 Replies to “Passwörter unkompliziert verwalten mit Bitwarden (alle Plattformen)”

  1. Interessant wäre die Frage nach deren Geschäftsmodell. Kaum einer wird zahlen wenn doch, da kommt doch kaum was zusammen. Ich würde mich gerne auf den Dienst verlassen wollen.

    Wobei die Option, dies auf dem eigenen Server einrichten zu können, sehr attraktiv klingt. Das lässt mich tatsächlich überlegen, ob es eine Alternative zu RoboForm ist.

  2. @Paubolix Auch ich habe lange überlegt ob ich Enpass oder Bitwarden nutzen soll…und habe mich letztlich für Enpass entschieden, weil ich mich ebenfalls gefragt habe, womit bzw. wie der Betreiber eigentlich Geld verdienen will. Die meiner Meinung nach wenigen Nutzer die für diesen Dienst Geld zahlen werden, können letztlich nicht ausreichen. Bitwarden ist interessant- keine Frage, aber Zweifel bleiben. Das Geschäftsmodell überzeugt mich bis jetzt nicht.

    1. Ob sich das Geschäftsmodell rechnet, kann ich natürlich auch nicht sagen. Das ist aber auch für größere Firmen schwer zu sagen: LastPass hat gerade kräftig an der Preisschraube gedreht (ca. 35 € jährl.), als 1Password sein Abo-Modell einführte (ebenfalls ca. 35 € jährl.), waren viele unzufrieden usw. (Oder denken wir an den Giganten Google, der einfach mal den beliebten Google Reader eingestampft hat und vor ein paar Wochen Google+ aufgab.)
      Der große Vorteil von Bitwarden: Der gesamte Code ist für andere Entwickler über GitHub zugänglich. Damit besteht auch für den Fall der Fälle eine gute Chance, dass jemand die Entwicklung übernimmt. Aber momentan wird derart aktiv an dem Dienst gearbeitet, dass ich persönlich da mal in Ruhe abwarte …

      1. Ich muss meinen obigen Beitrag revidieren. Habe aus Neugier durch diesen tollen Beitrag Bitwarden installiert…und bin echt total begeistert. Toll gemachtes Programm, dass meiner Meinung nach besser ist wie Enpass. Vielen Dank hierfür!!

        1. Das freut mich! Das Programm ist ja schon seit 2016 auf dem Markt und scheint inzwischen eine kleine – aber feine – Fan-Gemeinde zu haben, die das Programm sehr gerne benutzt. Und wie gesagt: Der Entwickler scheint sehr bemüht zu sein – da könnten demnächst weitere Neuerungen kommen, aber schon jetzt hat es alles, was ich will. Es fühlt sich schlank und flott an, ohne dass man einen großen Pflegeaufwand betreiben müsste – das zählt in der Hektik des Alltags …

  3. Ich habe statt keepass keepassxc, also den Forc im Einsatz. Klappt wunderbar, etwas moderner und wie ich finde ausreichend für das was ich brauche. Mit keepass2android mit eigener Tastatur und Integration in Android 8.0

  4. Für mich sind die Wechselkosten leider zu hoch. Das Umziehen meiner Passwörter aus KeepassXC würde sich einfach nicht lohnen.

    Sonst würde ich spontan sagen, dass Bitwarden einen guten Eindruck macht. Die Desktop-Version basiert auf Electron und sollte sich auf allen Desktops gleich anfühlen.

    Die Android-Version wirkt deutlich ausgereifter als Keepass.

    1. Kann ich gut verstehen – Keepass ist ja nach wie vor ein ausgezeichnetes Programm, das ich auch immer empfehlen würde. Die Vorteile von Bitwarden liegen ja weniger in den Funktionen, eher das moderne Layout und die einheitliche Führung ergeben einen „runden“ Eindruck, der aber für die eigentliche Verwaltung nicht entscheidend ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.