Tschüss LastPass – Hallo bitwarden!

Ich nutze schon seit ziemlich langer Zeit den Passwortmanager LastPass, der mir auch eigentlich immer treue Dienste geleistet hat.

Trotzdem habe ich vor einiger Zeit den Wechsel zu bitwarden durchgeführt und bin sehr zufrieden – ich möchte kurz erklären, was mich dazu bewogen hat und wieso ich nun zufriedener bin als vorher.

Wieso ein Passwort-Manager?

Der Grund, weshalb ich einen Passwort-Manager nutze, ist eigentlich ganz einfach: ich kann mir auf keinen Fall alle meine Passwörter merken, denn ich nutze für jede Website ein eigenes, zufällig generiertes Passwort.

So muss ich mir, sollte eine meiner genutzten Websiten angegriffen und kompromittiert werden, nicht viele Gedanken machen. Ich muss nicht alle meine Logins ändern, um wieder ein sicheres Passwort zu nutzen, sondern muss nur ein einziges Passwort als unsicher betrachten – das der angegriffenen Website.

Passwörter von Kundensystemen – sofern vorhanden – speichere ich übrigens nur für den Zeitraum des „Einsatzes“ ab.

Meine Philosophie: jeder, der mehrere Logins im Internet hat (also wirklich jeder), sollte einen Passwort-Manager nutzen.

Was mich an LastPass stört

LastPass ist eigentlich ein sehr angenehm zu nutzender Dienst. Leider gibt es hier und da kleinere Probleme und Bugs, die mir das Leben schwer machen – dazu zählt z.B. auch, dass auf einigen Websiten das Auto-Fill einfach nicht korrekt funktioniert und die Anpassung der Loginfelder im LastPass Vault nervenaufreibend ist.

Außerdem ist das Interface von LastPass offensichtlich irgendwo in 2010 stehen geblieben; das ist natürlich auch ein wenig Geschmackssache, wenn z.B. die Browserplugins einfach nicht angenehm anzusehen und zu nutzen sind, ist das für mich ein Ausschlusskriterium. Die LastPass-Browser-Plugins sind leider auch relativ langsam und träge, was mich desöfteren genervt hat.

Wen die oben genannten Punkte nicht stören, ist mit LastPass sicher sehr gut bedient – habe ich es doch auch jahrelang als Premium-Nutzer verwendet. Es sind eben die Kleinigkeiten, die mich stören.

Über bitwarden

bitwarden ist ein, im Vergleich zu den Branchengrößen, relativ kleiner und junger Passwort-Manager, der von

Sicherheit

Über die Sicherheit von bitwarden gibt es eine ganze Kategorie in der Hilfe.

Ein Hauptunkt ist natürlich, dass bitwarden Open Source ist und der komplette Code auf GitHub öffentlich zur Verfügung steht. Jeder kann also einen kompletten Code Review durchführen, wenn er möchte und jeder kann an dem Projekt mitarbeiten, sofern es seine Programmierkenntnisse zulassen. Zeitgleich ist jede Änderung am Code öffentlich und etwaige Backdoors würden sehr zeitnah auffallen.

Zusätzlich verschlüsselt bitwarden alle Daten mit AES 256 und PBKDF2. Die Verschlüsselung wird nicht auf den bitwarden-Servern durchgeführt, sondern immer auf dem Client. Selbst wenn also die bitwarden-Server angegriffen werden sollten, haben die Angreifer nur wenig Chancen, eure Passwörter herauszufinden – ein gutes Master-Passwort vorausgesetzt. Zu der Frage, wieso man bitwarden seine Daten anvertrauen sollte, schreibt der Entwickler:

  1. bitwarden is 100% open source software. All of our source code is hosted on GitHub and is free for anyone to review. Hundreds of software developers follow bitwarden’s source code projects (and you can too!).
  2. We do not store your passwords. We store encrypted versions of your passwords that only you can unlock. Your sensitive information is all encrypted locally on your personal device before ever being sent to our cloud servers.
  3. bitwarden has a reputation. bitwarden is used by thousands of people. If we did anything questionable or risky we would be out of business.

bitwarden vertraut außerdem nicht auf sein eigenes Können, wenn es um die Sicherheit der Server geht, sondern Microsoft. Die komplette Infrastruktur wird von Microsoft gehosted und gemanaged.

Alles in Allem habe ich mich persönlich dazu entschlossen, meine Passwörter dem Dienst anzuvertrauen. So viel Offenheit ist selten auf diesem Gebiet, das soll auch ein wenig belohnt werden.

Der Wechselprozess

Die Migration von LastPass zu bitwarden gestaltete sich einfacher, als ich vorher dachte. Es gibt sogar einen Artikel bei bitwarden dazu.

Kurzfassung: Daten bei LastPass exportieren, Daten bei bitwarden importieren, Browser-Plugins installieren – das war’s. Mehr gibt’s wirklich nicht zu tun und auch Umlaute oder Sonderzeichen in meinen Passwörtern wurden korrekt übertragen.

Die Migration ist also absolut kein Grund, nicht zu bitwarden zu wechseln.

Was mich an bitwarden stört

Tja, auch das beste Tool hat seine Schwächen. Es sind für mich keine Killerfeatures, eher nice to have. Soweit ich das auf Github beobachten konnte, ist der Entwickler auch durchaus bereit, auf Vorschläge einzugehen.

Feature Requests meinerseits sind:

Unterscheidung von Subdomains

Quasi meine komplette Infrastruktur läuft auf Subdomains von dominicpratt.de. Es nervt, immer wieder das passende Passwort auswählen zu müssen, weil bitwarden nicht zwischen Subdomains unterscheiden kann – ich bekomme also beim Aufruf von dominicpratt.de auch die Passworteinträge für wiki.dominicpratt.de und analytics.dominicpratt.de angezeigt. Hierzu gibt es aber schon ein GitHub-Issue und ich hoffe, dass sich das Problem bald beheben lässt.

Shortcuts

Ich brauche Tastatur-Shortcuts. Wirklich. Ich möchte einfach mit z.B. „Alt + Bild Ab“ durch meine Logins wechseln können. Der Wunsch geht eigentlich Hand in Hand mit der oben genannten Subdomain-Sache, denn mit Shortcuts könnte ich problemlos durch die Logins blättern, ohne die Hände von der Tastatur nehmen zu müssen.

Fazit

Ich bin glücklich. Ich bin sogar sehr glücklich, endlich LastPass den Rücken gekehrt zu haben. Wie schon angesprochen, war LastPass zwar nicht schlecht, aber bitwarden ist einfach in so vielen Belangen besser, auch wenn es hier und da noch seine Kanten hat. bitwarden ist außerdem noch ziemlich preiswert, denn für nur 10 USD / Jahr bekommt ihr alle Premium-Features – z.B. auch 1GB verschlüsselten Speicherplatz für eure Anhänge (Lizenzkeys, Ausweise, …).

Ich glaube, der Artikel liest sich ein wenig, wie Werbung – ihr könnt euch aber sicher sein, dass ich weder von bitwarden, noch von jemand, der damit zu tun hat, beeinflusst wurde. Der Artikel stammt komplett aus meiner Feder und wurde in keiner Weise von außen beeinflusst – die einzige E-Mail, die ich mit dem Entwickler austauschte, war die Bitte um Pressematerial (wie z.B. die eingebundenen Bilder). Dieser Bitte kam mir der Entwickler auch flott nach – danke dafür!

Gibt es Fragen zu bitwarden? Einfach ab damit in die Kommentare und ich gebe die Fragen, die ich nicht selbst beantworten kann, gerne an den Entwickler weiter.

Schreibe einen Kommentar