18. Oct 2018

David Roth

5 Min.

Bitwarden – Open-Source Passwort-Manager

Passwort-Manager vereinfachen das Handling von Passwörtern – und machen es vor allem wesentlich sicherer. Sowohl im privaten Umfeld, als auch bei Teams: Sobald mehrere Online-Accounts verwaltet werden, ist sichere Passwortverwaltung ein Muss. So waren wir schon vor ein paar Jahren damit konfrontiert, dass wir unbedingt Herr über unsere ständig wachsende Liste von Passwörtern werden mussten. Wir haben uns damals für Zoho Vault entschieden und konnten damit einige Zeit ganz gut leben. Leider haben sich bei diesem Service im Laufe der Jahre einige Schwächen herauskristallisiert. So war der vermeintlich einfache Zugriff auf ein Passwort des Öfteren mit einer ordentlichen Portion Frustration verbunden.

Geschwindigkeit

Mit unserem stetigen Wachstum an verwalteten Accounts stieg die Zugriffszeit massiv an. So konnte beim Zugriff auf ein Passwort gut und gerne eine halbe Minute die Ladeuhr blinken, bevor der Safe das gewünschte Passwort ausspuckte. Bei mehrfacher, täglicher Verwendung ein No-Go!

Ständige Logouts

Sowohl die Browser-Extension, als auch die Mobile-App plagten uns täglich mit unnötigen Logouts. Zu den ohnehin langsamen Zugriffszeiten kam also noch die ständige Neu-Eingabe des Master-Passworts dazu – mit entsprechender zusätzlicher Verzögerung durch die Ladezeit.

Leider konnten wir beim Hersteller keinerlei Initiative erkennen, die uns auf eine baldige Besserung der Situation hoffen ließ. Die Entwicklung des Web-UIs und der Mobile App brachten in den zwei Jahren kaum Veränderungen – gefühlter Stillstand auf allen Ebenen.

A new star is born

Nach einer erneuten Online-Suche fanden wir einen weiteren Stern am Passwort-Manager-Himmel: Bitwarden – ein vielversprechendes Tool mit Zukunftsperspektive.

Bitwarden ist ein relativ neuer Passwort-Manager, bei welchem der Hersteller als einer der wenigen am Markt komplett auf ein Open-Source-Entwicklungsmodell setzt. Die Lösung bietet dem Benutzer die bekannten Zugriffsmöglichkeiten auf die verwalteten Passwörter: Mittels Browser-Plugin, Desktop-App, Smartphone-App und Command-Line-Interface ist für jede Situation das richtige Tool dabei. Alle Apps und Plugins werden konsequent von Mac, Windows, Linux bzw.den gängigsten Browsern unterstützt.

Bitwarden im Einsatz

Bitwarden eliminiert für uns die Hauptkritikpunkte der alten Lösung. Der Zugriff auf die Passwörter erfolgt auch bei großen Sammlungen zügig. Sowohl Browser Extension als auch Smartphone-App nerven nicht mit sinnlosen täglichen Logouts, sondern bieten eine angenehm schnelle Reaktionszeit. Das User-Interface ist übersichtlich, modern und logisch bedienbar. Passwörter können in sogenannten Collections einfach mit den gewünschten Benutzern und Gruppen geteilt werden. Frustration? Keine Spur!

Sicherheit

Wer einen Passwort-Manager verwendet, erwartet sich natürlich ein hohes Maß an Sicherheit. Bitwarden geht diesbezüglich keinerlei Kompromisse ein und verschlüsselt Passwörter konsequent auf dem Client. Als Verschlüsselungstechniken werden anerkannte Industriestandards wie AES-256-Verschlüsselung und PKDF2-Key-Derivation verwendet. Da alle Daten immer lokal verschlüsselt werden, bevor sie das jeweilige Endgerät verlassen, ist ein Passwort-Diebstahl auf dem Server ausgeschlossen. Außerdem nimmt der Hersteller an der Security-Plattform HackerOne teil, wodurch etwaige Sicherheitslücken frühzeitig durch Audits erkannt und gemeldet werden. Ein weiteres positives Merkmal im Bezug auf Sicherheit: Der Quellcode aller Bitwarden-Apps inkl. Server ist frei auf GitHub verfügbar und kann von jedermann eingesehen und verbessert werden. Das Hosting erfolgt entweder auf der eigenen Infrastruktur mit vorgefertigten Docker-Images, oder als von Bitwarden verwalteter Online-Service.

Für wen ist Bitwarden geeignet?

Nach unserer derzeitigen Erfahrung ist Bitwarden hervorragend für kleine Unternehmen und Teams von bis zu 30 Personen geeignet. Aufgrund der teilweise noch etwas rudimentär gehaltenen Verwaltungsoberfläche, wird die Organisation von Benutzern und Gruppen bei größeren Teams derzeit noch schnell etwas unübersichtlich. Da ist noch einiges an Optimierungspotential vorhanden. Dank Open-Source-Ansatz sind wir aber nun auch selbst in der Lage, entsprechende Verbesserungen am Quellcode beizusteuern und daher nicht unbedingt auf den Hersteller angewiesen.

Warum Bitwarden und nicht XY? – Eine Frage der Perspektive

Die Auswahl an Passwort-Managern am Markt ist riesig. Zahlreiche Entwickler bieten professionelle Lösungen an – mit all ihren Vor- und Nachteilen. Neben dem Vergleich von Hard-Facts wie Funktionalität und Usability, gehört für eine Entscheidung auch immer eine gewisse Portion Vertrauen und Zuversicht in die Zukunft der Lösung dazu. Ausschlaggebend für unseren Entschluss auf Bitwarden zu setzen, waren dann schlussendlich die folgenden Gründe:

Modernste Technologien, Open-Source Entwicklung und insbesondere die Möglichkeit zum Docker-Hosting auf unserer eigenen Infrastruktur. Bitwarden bringt alle wichtigen Voraussetzungen mit und besticht insbesondere mit hoher Geschwindigkeit.

Wir sind jedenfalls froh, die Migration durchgeführt zu haben und sehen eine große Zukunft für diesen Passwort-Manager. Neugierig geworden? Macht euch doch einfach schlau unter bitwarden.com.