Erfahrungen mit Bitwarden? Oder: wie verwaltet ihr eure Passwörter?

[Ungesund]

Hello,

Ich nutze seit langem einen nicht all zu tollen online-Passwort Manager (Lastpass), von dem ich gerne endlich weg möchte.

Nun habe ich bitwarden gefunden, und so eine Vorstellung wie das Benutzen ablaufen soll. Evtl. Nutzt ja jemand Bitwarden, und kann mir sagen ob das so möglich ist:

- Bitwarden läuft bei mir zuhause via Docker auf meinem Debian-Server, clients syncen neue passwörter/änderungen, wenn sie im netzwerk sind.

- Wenn ein Client nicht im Netzwerk ist, können Passwörter offline in der app gelesen werden.

- Unterwegs kann ich dann ein neues Passwort hinzufügen, das wird dann aber vom client erst in die db gesynct, wenn ich wieder zuhause in meinem Netzwerk bin.

Gerade beim letzten punkt ist die Bitwarden Dokumentation nicht so aussagekräftig, oder ich habe dazu einfach falsch gesucht/es nicht gefunden.


Aber mal so generell gefragt: wie Verwaltet ihr eure Passwörter? Nach dem ganzen Lastpass shit der so passiert ist, möchte ich ungerne nochmal meine gesammelten Zugangsdaten in eine cloud laden. Selbst wenn es meine eigene wäre. 😅 - wie macht ihr das so?

 

[one]

Eigentlich (eigentlich deshalb, weil momentan leider nicht) per KeePass. Die verschlüsselte Datenbank liegt auf meinem Server und wird entsprechend abgerufen, wenn sie gebraucht wird. Ich muss das nur erst wieder zu Ende einrichten, weil ich da zu lange geschlampt habe. Ob sich da jetzt allerdings unterwegs am Handy auch neue Passwörter in die Datenbank schreiben lassen, kann ich gerade tatsächlich nicht sagen. Ich meine das ging nur per Computer, hat mich immer gestört, muss ich mal nachschlagen.

Die Datenbank kann meinetwegen durchaus in fremde Hände gelangen (was trotzdem Scheiße wäre, weil ich dann offensichtlich ein Sicherheitsproblem auf meinem Server hätte), da sie eben verschlüsselt ist und erst durch das Masterpassword in KeePass entschlüsselt werden kann. Wenn man sich damit zu unsicher fühlt, kann man das Masterpassword im Grunde endlos lang gestalten. Man sollte es nur parat haben, wenn man es braucht. Aber für sichere Passwörter und wie man damit umgeht gibt es genügend Lektüre (ich meine damit das Masterpassword).

 

[Fhynn]

Bin ebenfalls KeePass Nutzer.

Datenbank liegt auf meinem NAS, ehemals via WebDAV aufrufbar von meinen ganzen Clients, gerade stelle ich alles nach und nach auf VPN um.
Windows Clients nutzen KeePassXC mit Browserplugin, am Smartphone (Android) ist Keepass2Android im Einsatz. Damit kann ich auch neue Einträge generieren.

Fahre damit seit Jahren gut (: EInzige was ich mir noch merke ist ein 0815 Kennwort für unwichtigen Bullshit wo ich mir nicht mal die Mühe eines KeePass Eintrags mache und halt mein Masterkennwort. Rest wird random generiert. Ist ab und an etwas krass nervig für Streamingdienste z.B., wenn Netflix mal wieder eine Anmeldung möchte und ich das über die TV-Fernbedienung hinfummeln darf, aber na ja... irgendwas ist immer (:

 

[dexter]

Nutze ebenfalls keepass, allerdings ohne sync. Da ich eh nur 2 Geräte nutze, wo ich Passwörter eingebe, ist das nur gelegentlich nervig und Lust das abzustellen hab ich jeweils auch nur in dem Moment und später was wichtigeres zu tun...

 

[one]

Das kommt halt eben auf drauf an, was und von wie vielen Orten man das macht, was man eben macht. Das muss jeder selbst für sich abwägen. Für nur zwei Geräte hätte ich wahrscheinlich schlicht und einfach einen Zettel im Portemonnaie oder sowas. Und ganz davon ab würde ich bei nur zwei Geräten wahrscheinlich auch dem PW-Managers des Browser vertrauen. Das ist heute recht gut abgesichert und lässt sich geräteübergreifend synchen.

Eigentlich warte ich aber darauf, dass die Passwörter wegkommen und Fingerprint zum Standard wird. I know, about it... aber angenehmer wäre es und bei nicht ganz so legalen Aktivitäten schützt man sich so oder so dagegen.

 

[drfuture]

@fingerprint alleine ist viel zu unsicher - das lässt sich,wie schon mehrfach belegt, selbst von Fotos extrahieren und mit relativ wenig Aufwand verwenden.
Beim Handy ist das noch einmal ein wenig was anderes wenn der Fingerprint im Gerät gespeichert ist und z.B. über die Kamera noch eine 2. Kontrolle macht... dann brauch ich eine ähnliche Person, das Handy + Fingerprint.

Ich nutze seit Jahren Bitwarden selbst gehostet + in der ganzen Familie.
Das ganze läuft einfach flüssig und hat zig Codereviews und Audits durchlaufen.

Zu deinen Punkten @Ungesund - alles geht, bis auf das hinzufügen von neuen Passwörtern offline. Für neue Eingaben muss eine Verbindung zum Server bestehen.

Warum ich das so praktisch finde?

Egal ob am Handy oder auf irgend einem PC (zu Hause, Firma) auf denen ich die Browsererweiterung oder die App habe gehe ich einfach auf eine Internetseite, klicke auf login, sehe beim Besuch schon eine Info das ich dafür bereits zugangsdaten habe und klicke auf ausfüllen > login.
Wenn es noch keine Zugangsdaten gibt gehe ich auf "neue Zugangsdaten" gebe Benutzer an, lasse ein PW generieren, gehe auf speichern. Gehe dann auf "registrieren" lasse wieder ausfüllen - ergänze evtl. noch fehlende Infos über die Formular-Vervollständigung vom Browser und fertig.

Auf jeder Seite ein 15-20 Zeichen (viele Seiten begrenzen die Zeichen...) zufällig generiertes Passwort ohne wirklich aufwand - bzw. eigentlich sogar für mich weniger Aufwand als wenn ich ein fixes Passwort manuell eingeben müsste.

Dann habe ich eine Organisation gekauft (irgendwas mit $20 / Jahr), darüber lassen sich Passwörter mit anderen Bitwarden-Nutzern die ebenfalls der "Organisation" angehören teilen - und ich teile mir diverse Zugänge mit meiner Frau / Familie.

Zusätzlich lassen sich sichere freitext-Notizen, Anhänge, Kreditkarten-Infos dort ablegen.

Wenn man die App / die Browsererweiterung nicht verwenden kann / darf kann man über die Weboberfläche auf seine Daten zugreifen. Dort lässt sich auch prüfen ob man irgendwo doppelte oder schlechte Passwörter verwendet - oder in einer geleakten Datenbank auftaucht.
(letzteres evtl. nur als Premium-Account der ein paar $ kostet). Geht aber alles inkl. der Premium-Accounts beim selber hosten.

In meinem Fall habe ich es aber auch einem vServer mit anderen Diensten laufen und nicht zu Hause; Aber auch zu Hause lässt sich im Prinzip das ganze nach außen freigeben. Für ein vernünftiges SSL-Zertifikat benötigt es "glaube ich" einen reverse-Proxy.
In Sachen Sicherheit wurde aber nicht nur Bitwarden sondern das gesamte Docker-Konstrukt auditiert - sprich auch der dort verwendete Webserver, daher habe ich auch keine großen Bedenken das im Internet zu betreiben.

@one in wie weit ist der Passwortsafe im Browser abgesichert? Jeder Benutzer der zugriff zum Account des Computer hat (inkl. jedem Prozess der auf deinem PC läuft bis hin zu Javascript in Websiten unter ausnutzung einer Sicherheitslücke die es fast wöchenlich gibt) haben nach meinem Verständnis zugriff auf die sqlite-DB in der die Passwörter verschlüsselt liegen. Der Schlüssel dazu liegt aber ebenfalls im Browserprofil und ist einfach aus der Textdatei zu lesen - siehe diverse Backup / Recovery-Tools der Browser.
Sicherer wird es erst dann wenn ein manuelles Master-Passwort gesetzt wird.

 

[one]

Der Schlüssel für die KeePass Datenbank wird nirgendwo gespeichert. Im Normalfall ist nicht mal KeePass selbst auf dem PC gespeichert (USB-Stick).

Und mit fingerprint meine ich den fingerprint des Gerätes, nicht den eines Fingers.

Die Passwortdatenbank in einem Browser selbst ist im Normalfall mit dem Anmeldepasswort gesichert.

 

[drfuture]

@Browser - das Anmeldepasswort von Windows? Leider nein - wie gesagt die DB im Browser lässt sich einfach so entschlüsseln / öffnen. Die Verschlüsselung hilft nur gegen eine 1:1 Kopie der DB-Datei ohne das man andere Dateien mit nimmt.
Passwörter im Browser zu speichern sollte man echt lassen.

Zu Keepass hatte ich ja nichts geschrieben - das passt natürlich.

 

[one]

Im Grunde kann man mit einem Passwort alleine heute ja nichts mehr anfangen. Zumindest dort wo ich mich anmelde ist überall 2FA per Authenticator aktiv.

Dass man das PW besser nicht im Browser abspeichert, da bin ich momentan noch dabei.

 

[redbeard]

- Bitwarden läuft bei mir zuhause via Docker auf meinem Debian-Server, clients syncen neue passwörter/änderungen, wenn sie im netzwerk sind.

Geht.

- Wenn ein Client nicht im Netzwerk ist, können Passwörter offline in der app gelesen werden.

Geht.

- Unterwegs kann ich dann ein neues Passwort hinzufügen, das wird dann aber vom client erst in die db gesynct, wenn ich wieder zuhause in meinem Netzwerk bin.

Geht nicht.

Bitwarden ist ok-ish, finds fuer den Privatgebrauch aber eher wirr mit dem Konzept der Shared und local Collections. Dafuer kanns aber 2FA Foo (wie sinnig das ist, darf man selbst entscheiden ).

Disclaimer: Ich habs nie privat benutzt, hoste es aber fuer ~250 User im Unternehmen.

Meine 2 Cents fuer eine Alternative: Enpass mit OwnCloud/NextCloud Backend falls vorhanden, sonst Google Drive Backend. Das kann den Offline Punkt naemlich, ist vom UI her angenehmer, kost aber ein paar Dukaten.

 

[Buschfunk]

Ich speichere meine Passwörter vornehmlich in der iCloud Keychain (Apple User). Manchen alten Kram habe ich noch in einem in der iCloud befindlichen Tresor einer alten 1Passwort-Installation liegen (darunter auch WLAN-Passwörter und Software-Lizencodes).

Solange man sich im Apple Universum bewegt ist das sehr angenehm und gut integriert und mittels Passwort bzw. Biometrie gut nutzbar. Nur wenn ich dann öfter am Windows-Rechner bin, hilft mir das nicht weiter und meist öffne ich dann die Passwörter im iPhone und tippe sie ab. Nicht sonderlich elegant, aber für meine Fälle reicht mir das aus.

So eine lokale bzw. eigene Cloud Lösung steht auf der ToDo-Liste aber die ist lang und es steht sehr weit unten.

 

[dexter]

Für nur zwei Geräte hätte ich wahrscheinlich schlicht und einfach einen Zettel im Portemonnaie oder sowas. Und ganz davon ab würde ich bei nur zwei Geräten wahrscheinlich auch dem PW-Managers des Browser vertrauen.

Zettel hatte ich vor 20 Jahren. Wurde mir dann ab so ~30 Logins zuviel.
Mittlerweile hab ich knapp 500 Passwörter. Und nicht nur Webseiten-logins. Sim-karten, Bankkarten, FTPlogins usw. usf.
(jaja, bei den 500 Passes ist natürlich auch jeder Krempel dabei, den ich seit Jahren nicht mehr brauche)

 

[one]

Deshalb nutze ich ja auch KeePass. Nur hab ich die Datenbank leider momentan nicht auf dem Server und da ist nix mit Datenbank synchen. Eigene Schlamperei...

Bankdaten speichere ich allerdings tatsächlich nirgendwo außer in meinem Kopf.

500 Passes brauche ich aber nicht. Ich nutze bei selten besuchten Seiten einfach die PW-Vergessen-Funktion.

 

[one]

Brauchste nicht lachen. Bei meinem Stromanbieter mache ich das jedes Jahr. Was interessiert mich das Passwort, außer ich hinterlege die Zählerstände? Da wird was kryptisches neu angelegt und vergessen. Sicherer geht es nun wirklich nicht.

Beim Finanzamt passe ich aber fortan besser auf. Ich brauchte da schonmal neue Zugangsdaten und das geht ja nur über eine neue Entschlüsselungsdatei und den Zugangscode zu dieser bekommt man dann auf dem Postweg. Das hat schon leicht genervt, weil ich die Steuererklärung meist pünktlich mache. Also pünktlich zum letzten Stichtag.

 

[dexter]

Mit Passwort vergessen kann ich nix anfangen, ich hab gewöhnlich bei allem 'ne andere Mailaddi. Die weiss ich unter Umständen in 1-2 Jahren nicht mehr genau ... oops.
Hilft auch herzlich wenig bei FTP oder Datenbankdaten etc. Oder Simkarte mhh.
So hab ich alles an einem Ort und gut.

 

[Ungesund]

Ja Mega, schon mal vielen Dank für eure Beiträge!

KeePass hatte ich mir auch angeschaut, aber da haben mich die windows only Screenshots etwas abgeschreckt. Aber scheint da ja auch ne menge Ports zu geben. Das werde ich mal im Hinterkopf behalten, falls die Bitwarden Installation/Einrichtung/Nutzung mich aus irgendwelchen Gründen wahnsinnig macht.

Auch danke an drfuture und redbeard für die direkten Bitwarden-Erfahrungsberichte. Das klingt alles sehr ähnlich zu Lastpass, nur ohne das Cloudgedöns, und das ich von unterwegs keine Passwörter editieren kann ist auch okay. Nach außen öffnen möchte ich das erstmal nicht, funktioniert ja auch offline und das wird reichen.

Cool, sobald der neue RAM für meinen "neuen" ThinkCentre tiny angekommen ist, werde ich den mal neu aufsetzen und dann auch Bitwarden installieren. Ich schreibe mal wie es läuft, wenn es läuft.

 

[Ungesund]

So, Bitwarden läuft, umzug ging auch problemlos. Hatte etwas sorge, dass der lüfterlose Celeron N3000 das ganze sehr zähflüssig macht, aber ist enorm responsive und lastet das system zu 1% aus… da kann ich glaube ich noch nach ein paar anderen coolen containern gucken, die ich laufen lasse.

Vielen dank nochmal! Lastpass Account ist auch schon gelöscht. 😅