Logos von Bitwarden und UCS mit einem Schlüsselbund in der Mitte

Außer der Zwei-Faktor-Authentisierung (2FA) sind sichere Kennwörter immer noch der beste Schutz gegen Datendiebstahl. Wie Sie als Administrator*in einer UCS-Domäne mit sogenannten Passwort-Richtlinien Ihre Benutzer und Benutzerinnen zu einer Mindestlänge oder dem regelmäßigen Ändern des Kennworts verpflichten, haben wir bereits in dem Artikel „Sichere Passwörter für die UCS-Domäne“ beschrieben. In diesem Beitrag gehen wir einen Schritt weiter und stellen Ihnen nach einer kleinen Auffrischung zum Thema Passwortmanager im Allgemeinen eine konkrete Software-Lösung vor, die Ihnen eine komfortable Möglichkeit zum Speichern und Verwalten von Passwörtern bietet – damit keiner Ihrer Anwender*innen die Zugangsdaten irgendwo im Klartext notieren muss.

Für jeden Dienst ein Passwort

Eine Grundregel lautet: Je länger ein Kennwort ist, desto schwieriger wird es, dieses mit einer sogenannten Brute-Force-Attacke zu knacken. Um zu verdeutlichen, welche zeitlichen Aufwände in etwa für das Knacken von Passwörtern entstehen, hat datenschutz.org ein spannendes Widget konstruiert, mit dem man sich nicht nur Passwörter generieren lassen kann, sondern auch gleich noch Informationen über deren Sicherheit erhält (wobei es sich natürlich nur um Richtwerte handelt, da das Knacken von Passwörtern immer von mehreren Faktoren abhängt). Folgende Beispielwerte lassen sich dabei ermitteln (Voraussetzung: Die Passwörter enthalten Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen):

Passwortlänge Benötigte Zeit zum Entschlüsseln
4 Zeichen Zwei Stunden
8 Zeichen Zwei Jahre
16 Zeichen 139.563.251 Jahre
32 Zeichen 25.887.483.909 Jahre

(Quelle)

Dabei probiert eine Software in kurzer Zeit und unter Aufwendung von viel Rechenleistung möglichst viele verschiedene Zeichenkombinationen aus, bis sie ein Passwort „errät“. Da viele Nutzer*innen kurze Kennwörter verwenden, die oft nur aus Buchstaben bestehen, dauert das meist nicht besonders lange. Je länger und komplexer (Buchstaben, Sonderzeichen, Ziffern und Groß-/Kleinschreibung) ein Passwort also ist, desto sicherer ist es auch.

Allerdings ist Komplexität nur einer von mehreren Sicherheitsfaktoren, die bei der Nutzung von Passwörtern bedacht werden sollten. So ist beispielsweise auch dringend davon abzuraten, ein einziges Passwort – so komplex es auch sein mag – für verschiedene (oder gar alle) Dienste und Plattformen zu verwenden. Schließlich wissen Sie nicht, wie die Betreiber dieser Dienste die Passwörter ihrer Nutzer*innen intern gespeichert. Liegen sie dort im Klartext in einer Datenbank? Oder doch als Hash-Wert, den ein Verfahren wie Salted Hashing oder PBKDF2 SHA-256 berechnet hat? Immer wieder kursieren Meldungen, dass ein Dienst geknackt wurde und die Passwörter öffentlich im Netz verfügbar oder weiterverkauft worden sind. Die logische Schlussfolgerung lautet: Jeder Dienst bekommt sein eigenes Passwort.

Viele Anwender*innen überlegen sich in diesem Fall ein Standardkennwort, das sie in ein individuelles Passwort für die jeweilige Plattform integrieren. Oft funktioniert das auch, aber eben nicht immer. Der eine Dienst definiert als Richtlinie mindestens zwei Sonderzeichen, der nächste nur Ziffern oder Großbuchstaben, und wieder ein anderer fordert eine Mischung und mindestens acht Zeichen. Da sich die wenigsten alle Zugangsdaten merken können, muss eine Alternative zur Notiz in einer Datei oder gar auf einem Zettel unter der Tastatur her. Je mehr Passwörter man auf diese Weise verwalten muss, desto frustrierender kann das Ganze auf die Dauer werden. Ein Passswortmanager kann in so einem Fall Abhilfe schaffen.

Screenshot der UCS-Anmeldemaske

Auch wenn UCS mit Single-Sign-On einige Shortcuts bietet: Internet-Nutzer sammeln mit der Zeit viele Zugangsdaten an.

Wie arbeitet ein Passwortmanager?

Passwortmanager sind Programme zum Verwalten von Benutzernamen und Passwörtern. Die Zugangsdaten werden verschlüsselt aufbewahrt, und ein sogenanntes Master-Passwort bietet bei Bedarf Zugriff auf die Daten. Anstelle von vielen verschiedenen Kennwörtern müssen sich Anwender*innen dann nur noch ein einziges merken. Oft unterstützen Passwortmanager die Nutzer auch beim Erstellen von sicheren Kennwörtern, warnen vor möglichen Phishing-Attacken und synchronisieren die Passwörter zwischen mehreren Geräten. Es gibt Passwortmanager, die über die Cloud eines externen Dienstleisters den Abgleich der Datenbank mit den Zugangsdaten ermöglichen, und solche, die ihren Tresor lokal ablegen. Das Synchronisieren über mehrere Geräte und Betriebssysteme liegt damit in der Hand der Benutzer*innen.

Auch viele Webbrowser bieten eine Passwortverwaltung an, die immer dann in Aktion tritt, wenn eine Website die Zugangsdaten anfordert. Was auf den ersten Blick bequem erscheint, hat aber auch Nachteile: Ein Webbrowser ist in erster Linie nun einmal ein Webbrowser, und die integrierten Passwortverwaltungen sind durchaus anfällig für Schadsoftware und Angriffe von außen. Wer also Firefox, Safari, Chrome & Co. seine Kennwörter anvertrauen möchte, sollte unbedingt ein Master-Passwort einrichten, alle verfügbaren Updates des Browsers zeitnah einspielen und den Rechner oder das mobile Gerät mit einem eigenen Kennwort schützen.

Bitwarden: Passwortmanager aus dem Open Source – Spektrum

Es gibt mittlerweile zahlreiche Passwortmanager im Netz, die von unterschiedlichen Instanzen getestet und bewertet wurden. Auch wenn die Funktionsweise im Grunde immer gleich ist, existieren doch Unterschiede hinsichtlich der Benutzeroberfläche, des Funktionsumfangs sowie der Nutzerfreundlichkeit. Und natürlich stellt sich auch immer die Frage: Was kostet ein Passwortmanager? Kostenlos sind die Programme tatsächlich in vielen Fällen, obwohl hier auch wieder zwischen der Anwendung als Einzelnutzer oder als Organisation unterschieden werden muss.

Bitwarden bietet einen Open-Source-Passwortmanager, der multiplen Anwendungsszenarien gerecht wird und im Univention App Center als App für Univention Corporate Server (UCS) angeboten wird (dazu später mehr in diesem Artikel). Im Folgenden möchte ich Bitwarden und seine zahlreichen Funktionen genauer vorstellen.

Was genau ist Bitwarden eigentlich – und wer steckt dahinter?

Bei Bitwarden handelt es sich um eine Software zur sicheren Verwaltung sensibler Passwörter. Präziser formuliert handelt es sich um ein Software-Paket, das wiederum aus einzelnen Komponenten (Browser-Erweiterung, Mobile App sowie Server-Applikation) besteht. Die Software wurde von dem Anbieter 8bit Solutions aus Florida, USA (mittlerweile Bitwarden, Inc.) entwickelt und ist, im Vergleich zu ähnlichen Diensten wie beispielsweise KeePass (2003) oder Clipperz (2007), relativ neu am Markt.

Die Erstveröffentlichung erfolgte am 10. August 2016. Zunächst gingen mobile Apps für iOS und Android sowie Browser-Erweiterungen für Chrome und Opera an den Start; Anfang 2017 kam dann die Erweiterung für Firefox hinzu. In den darauffolgenden Jahren wurde die Software beständig weiterentwickelt und nach und nach für weitere Browser und Betriebssysteme verfügbar gemacht (siehe Abschnitt „Bitwarden: Auflistung der kompatiblen Clients, Browser und Apps“. Das Leistungsspektrum ist verhältnismäßig groß; aufgrund seiner system- und device-übergreifenden Einsetzbarkeit ist der Bitwarden Passwortmanager einem großen Nutzerpublikum zugänglich.

Bitwarden: Auflistung der kompatiblen Clients, Browser und Apps

Nachfolgend möchten wir Ihnen eine Auflistung der derzeit verfügbaren Integrationsmöglichkeiten für den Bitwarden Passwortmanager geben. Dem Thema „Bitwarden und UCS“ widmen wir natürlich einen eigenen Abschnitt.

Bitwarden: Desktop Clients

Die Software läuft auf den drei großen Betriebssystemen und bringt dabei jeweils unterschiedliche Installationsoptionen mit:

Bitwarden für Windows

Bitwarden ist für Windows 7, Windows 8 und Windows 10 verfügbar – jeweils für die 64-Bit (x64)- und die 32-Bit (x86)-Variante. Für diese Betriebssysteme bietet Bitwarden Inc auch jeweils Support an. Die Installation kann über folgende Varianten erfolgen:

  • Standard Installer
  • Download als App im Windows Store
  • Portable App for Flash Drives (keine automatischen Updates in dieser Version)
  • Chocolately Package Manager

Bitwarden für MacOS

Die Software steht ab OS X Mavericks zur Verfügung und kann über die folgenden Wege installiert werden:

  • Standard Installer
  • Mac App Store
  • Homebrew Package Manager

Bitwarden für Linux

Die Passwortmanagement-Software von Bitwarden ist für zahlreiche Linux-Distributionen nutzbar. Über folgende Wege können Nutzer die Software beziehen:

  • Standard Installer
  • Bitwarden für Ubuntu, Debian, Linux Mint und weitere (keine automatischen Updates verfügbar)
  • Bitwarden für Fedora, CentOS, openSUSE, RHEL und weitere (keine automatischen Updates verfügbar)
  • Snap Package Manager
Screenshot der Bitwarden-App als Linux-Download

Vorschau von Bitwarden als Linux-Installation

 

Bitwarden für Webbrowser

Mit der kontinuierlichen Weiterentwicklung des Passwortmanagers wuchs auch die Liste an Webbrowsern, die ihn als direkte Erweiterung anbieten. Mittlerweile steht der Dienst für sage und schreibe 8 verschiedene Browser zur Verfügung:

  • Google Chrome
  • Mozilla Firefox
  • Safari
  • Opera
  • Vivaldi
  • Microsoft Edge
  • Brave
  • Tor Browser

Bitwarden als mobile App

Bitwarden bietet seine mobile App in den beiden großen, hinlänglich bekannten App Stores an. Hinweis: Benutzer von UCS erhalten die Server-Applikation im App Center von Univention.

Im Univention App Center: Passwortmanager Bitwarden

UCS-Administratoren, die den Bitwarden Cloud Service nicht verwenden wollen und ihren Passwortspeicher stattdessen selbst hosten möchten, finden den Passwortmanager Bitwarden im Univention App Center. Das Programm steht unter der AGPLv3-Lizenz und integriert sich problemlos in UCS-Umgebungen.

Installation von Bitwarden in UCS

Wie mit allen Partner-Apps haben wir uns auch im Fall Bitwarden bemüht, die Installation nutzerfreundlich und simpel zu gestalten. Folgendes gilt es zu beachten, wenn Sie Bitwarden über das Univention App Center in Ihr UCS integrieren möchten:

  • ID und Key müssen bei Bitwarden angefordert werden.
  • Die Konfigurationsparameter für einen E-Mailserver müssen vom Administrator bei der Installation hinterlegt werden, damit die Bitwarden Instanz E-Mails verschicken kann, z.B. bei der Registrierung eines neuen Benutzers.
  • Die oben in der Tabelle dargestellten Konditionen gelten auch für die Bitwarden App im App Center: Der Passwortmanager ist für bis zu zwei User kostenfrei; sollen weitere User aufgeschaltet werden, wird eine entsprechende Lizenz benötigt.

Warum Bitwarden mit UCS einsetzen?

Bitwarden ist ein zuverlässiger Passwortmanager für Ihre UCS-Benutzer*innen, der auf dem eigenen Server läuft. Der Weg über einen Cloud-Service mag bequem sein, bedeutet aber auch immer, dass Sie die Kontrolle abgeben und dass sensible Kennwörter bei einem externen Dienstleister liegen.

Weitere Vorteile:

  • Mit der aktuellen Version von Bitwarden (1.38.2), die im App Center zur Verfügung steht, ist die Anbindung an ein Identity Management per Single Sign-On (via SAML) nachgezogen worden, was den Nutzerkomfort und die Wertigkeit immens erhöht. Eine Integration mit dem Identity Management in UCS gibt es noch nicht. Aber sie kann manuell konfiguriert werden.
  • Ferner erhalten Organisationen, die sich für eine Bitwarden-Nutzung via UCS entscheiden, natürlich die weitreichenden Möglichkeiten von UCS und den anderen Apps, die dafür zur Verfügung stehen, automatisch mit dazu.

Bitwarden Web-Tresor/ Web Vault

Wer ohne Laptop, Handy oder Tablet reist und von unterwegs dringend Zugriff auf gespeicherte Passwörter benötigt, kann über das Bitwarden Web Vault von jedem internetfähigen Gerät online auf die Daten zugreifen.
Wie Sie sehen, steht der Passwortmanager Bitwarden in so vielen unterschiedlichen Varianten zur Nutzung bereit, dass ein Test für die meisten Nutzer problemlos möglich sein dürfte.


Besuchen Sie unser App Center und laden Sie Bitwarden für UCS kostenlos zum sofortigen Einsatz herunter!

Zum Download


Bitwarden: Vorteile der Nutzung des Passwortmanagers

Warum es ratsam ist, einen Passwortmanager sowohl für die Arbeit als auch im privaten Bereich zu nutzen, sollte bereits zu Beginn des Artikels deutlich geworden sein. Nachfolgend will ich die Vorteile, die Bitwarden mitbringt, in zusammengefasster Form darstellen:

Günstige Preise

Der Bitwarden-Passwortmanager lässt sich in seiner Eigenschaft als Open Source Software zwar kostenlos nutzen; jedoch ist es ein weit verbreiteter Mythos, dass „Open Source“ immer mit „komplett gratis“ gleichzusetzen ist. Insofern werden auch in diesem Fall für die Nutzung gewisser Premium-Features oder bei größeren Nutzerzahlen Gebühren fällig, die sich für ein so weit entwickeltes Tool aber stark in Grenzen halten. Mehr dazu später im Artikel (per Anker auf den Abschnitt „Preise für unterschiedliche Nutzergruppen verlinken“).

Hohe Nutzerfreundlichkeit

Nichts ist für neue Benutzer*innen frustrierender als ein Programm, dessen Bedienung sich nach der Installation als schwierig und unverständlich herausstellt. Nicht selten resultiert ein solcher Umstand darin, dass die Anwendungen wieder gelöscht werden und der Hersteller eine negative Bewertung auf der jeweiligen Download-Plattform erhält. Bitwarden zeichnet sich jedoch durch einen hohen Grad an Nutzerfreundlichkeit aus und ist intuitiv bedienbar.

Hohes Maß an Sicherheit

Selbstverständlich erwarten Nutzer*innen genau dies von einem zuverlässigen Passwortmanager – und bei Bitwarden wurde penibel darauf geachtet, dieser Anforderung im vollen Umfang zu entsprechen. So können nicht nur Open Source-begeisterte Menschen an der Überprüfung und Verbesserung der Sicherheit mitwirken; vielmehr wird Bitwarden auch regelmäßig durch unabhängige Sicherheitsfirmen überprüft. In der Zusammenfassung der ausführlichen Analyse des Unternehmens Cure53 heißt es etwa:

„Während der Tests, die vom Cure53-team durchgeführt wurden, wurden nur fünf Schwachstellen aufgedeckt, von denen nur eine ein sofortiges Eingreifen erforderte. Diese Resultate sind überaus positiv zu bewerten, vor allem dann, wenn man den enormen Umfang und die Komplexität des überprüften Codes bedenkt.“ (Quelle)

Mehr zum Thema Sicherheit lesen Sie auch im Abschnitt „Bitwarden: Sicherheit des Programms“.

Bitwarden: Test der Installation und ersten Benutzerschritte

In einem ersten größeren Bitwarden-Test soll es nun darum gehen, das Programm in Betrieb zu nehmen, einen Überblick über die in der kostenlosen Basisversion verfügbaren Funktionen zu liefern und erste Passwörter abzuspeichern [Die Funktionen der Premiumversion werde ich zu einem späteren Zeitpunkt im Rahmen eines Artikel-Updates vorstellen].

Bitwarden-Installation

Anmerkung: Für meinen Bitwarden-Test nutze ich das Linux-Betriebssystem Ubuntu; insofern ist es möglich, dass es gewisse Abweichungen im Installationsprozess gibt – auch wenn das Prinzip dasselbe sein dürfte.

Um an die kostenfreie Version von Bitwarden zu kommen, genügt in der Regel bereits die Eingabe des Namens in das Suchfeld auf dem Desktop, um direkt zum Bitwarden-Download zu gelangen. Das Suchergebnis liefert noch einmal eine kurze Einleitung und betont den Open-Source-Gedanken, der hinter der Anwendung steht.
Wer diesen Weg nicht gehen kann oder möchte, kann den Passwortmanager natürlich auch auf klassischem Wege direkt von der Seite des Anbieters (für alle oben beschriebenen Betriebssysteme und Webbrowser) herunterladen.

Nach einem Klick auf „Installieren“ geht es auch direkt los; die Bitwarden-Installation dauerte in meinem Fall etwa eine Minute. Startet man im Anschluss an die Installation das Programm, wird man zunächst zum Login beziehungsweise zum Anlegen eines Accounts aufgefordert.

Screenshot der Registrierungsmaske von Bitwarden

Elementar für die Accounterstellung bei Bitwarden ist die Vergabe eines sicheren und gut merkbaren Masterpasswortes.

 

Für die Erstellung eines Accounts benötigt Bitwarden eine gültige E-Mail-Adresse; zudem muss bereits jetzt das Master-Passwort festgelegt werden. Und damit sind wir auch schon bei der ersten Herausforderung:

Das Bitwarden Master-Passwort sollte natürlich möglichst sicher sein, da man sich als Benutzer darüber Zugang zu den übrigen Daten verschafft, die man über den Passwortmanager abspeichert. Insofern erscheint es sinnvoll, ein möglichst langes und kompliziertes Passwort auszuwählen. Jedoch weist Bitwarden explizit darauf hin, dass es keine Möglichkeit gibt, das Passwort zurückzusetzen, falls man es vergessen sollte. Für den Nutzer bedeutet das:

  • Passwort entweder irgendwo notieren, wo es sicher ist und keinen direkten Hinweis liefert, wofür es ist.
  • Eine Kombination aus Buchstaben, Zahlen und Sonderzeichen wählen, hinter der sich eine Logik verbirgt, die man sich gut merken kann.
  • Eine Passphrase wählen, die man sich gut merken kann und die einen entscheidenden Hinweis auf das Passwort enthält.
  • Die Option des Master-Passwort-Hinweises nutzen (kann eingegeben werden, um eine Gedächtnisstütze zu haben, falls das Passwort doch einmal vergessen wurde).

Um der Sicherheit willen ist die Entscheidung, das Master-Passwort von einer Zurücksetzung auszuschließen, natürlich nachvollziehbar; für die Nutzbarkeit bedeutet es hingegen einen Abstrich. Hier wäre zumindest die Option, sich beispielsweise über eine hinterlegte Mobilfunknummer eine TAN zum Zurücksetzen des Passworts zusenden zu lassen, ein nutzerfreundliches Vorgehen.

Dies widerspräche aber dem Sicherheitskonzept erheblich – denn wenn es eine Möglichkeit zum Zurücksetzen gäbe, müsste Bitwarden notgedrungen im Bestitz eines Masterschlüssels für die Passwörter der Benutzer sein. Das wiederum würde es Dritten (zum Beispiel Regierungsbehörden) theoretisch ermöglichen, Zugriff auf die Passwörter der Nutzer zu erhalten. Hinweis: Es ist möglich, das Master-Passwort in Bitwarden nach der Accounterstellung wieder zu ändern. Die Option dazu findet man über den Pfad „Konto“ → Master-Passwort ändern. Die Änderung selbst ist nur im Bitwarden Web-Tresor möglich, auf den man automatisch weitergeleitet wird. Dort findet sich die Option zur Passwort-Änderung unter „Einstellungen“.

Screenshot zeigt die Änderungsoption für das Masterpasswort bei Bitwarden

Das Master-Passwort lässt sich ändern – wenn man das alte Passwort nicht vergessen hat.

 

Nach der Eingabe des Master-Passworts und des Hinweises müssen noch die AGB und die Datenschutzerklärung akzeptiert werden. Durch einen Klick auf „Absenden“ wird der Account direkt angelegt und kann mit den Zugangsdaten aufgerufen werden.
Hinweis: Um alle Bitwarden-Funktionen freizuschalten, muss der Nutzer seine E-Mail-Adresse bestätigen. Dazu findet sich im Web-Tresor des Passwortmanagers nach der Accounterstellung ein entsprechender Hinweis unter dem Reiter „Mein Tresor“. Der Versand der E-Mail erfolgt umgehend; nach einem Klick auf den blauen Verifizierungsbutton wird man erneut zur Bitwarden-Weboberfläche weitergeleitet und muss sich erneut mit dem Master-Passswort einloggen, um die Verifizierung abzuschließen.

Werb-Tresor von Bitwarden mit der Aufforderung zur E-Mail-Bestätigung

Für die vollumfängliche Nutzung von Bitwarden müssen Nutzer*innen ihre Mailadresse verifizieren.

 

Bitwarden: Funktionen in der Übersicht

Als Nutzer eines kostenlosen Bitwarden-Basisaccounts stehen nach dem Login folgende Features zur Verfügung:

Login anlegen

Dies ist die klassische Funktion, warum Passwortmanager in erster Linie entwickelt und genutzt werden. Neben dem Passwort des Users sowie dem Nutzernamen, dessen Login gespeichert werden soll, speichert das Tool auch die Login-URL ab. Hier bieten sich mehrere Möglichkeiten der URL-Erkennung, um dem Tool später den Autofill der Nutzerdaten zu ermöglichen (siehe auch Abschnitt Bitwarden Browser-Plugin).

  • Standard-Match-Erkennung
  • Basis-Domäne
  • Server
  • Beginnt mit
  • Regulärer Ausdruck
  • Exakt
  • Niemals

Zusätzlich kann ein TOTP-Authentifizierungsschlüssel vergeben und eine Notiz hinzugefügt werden. Weitere nützliche Funktionen sind der Kompromittierungscheck sowie die optionale automatische Passwortgenerierung durch Bitwarden selbst.

Screenshot des Bitwarden-Passwortgenerators

Sichere Passwörter lassen sich bei Bitwarden per Generator automatisch erstellen

 

Karten anlegen

Mit dieser Bitwarden-Funktion können Kreditkarten in Bitwarden hinterlegt werden; dabei wird nach dem Namen des Karteninhabers, der Kartennummer, der Marke, dem Ablaufmonat, dem Ablaufjahr sowie dem Sicherheitscode gefragt.

Identitäten anlegen

Dieses Feature erlaubt es, komplette Personeneintragungen inklusive Daten (Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer, E-Mail, Adresse etc.) anzulegen. Diese Funktion dient als Nutzerverwaltungstool beziehungsweise als Speicherungsoption der Daten, die für eine solche benötigt werden. Einzelpersonen, die Bitwarden vorwiegend als Passwortmanager nutzen, werden wohl nicht viel Verwendung dafür haben, aber Kleinunternehmer oder auch Vereinsvorsitzende bekommen mit der Identitätsverwaltung eine schöne Zusatzfunktion an die Hand.

Sichere Notizen erstellen

Diese Funktion scheint zunächst selbsterklärend zu sein, aber sie geht über das bloße digitale Hinkritzeln einer Notiz hinaus. Neben einem simplen Textfeld kann der Benutzer auch versteckte Felder oder Booleans hinzufügen.

Bitwarden Browser-Plugin

Um Bitwarden sinnvoll einsetzen zu können, sollte neben dem eigentlichen Passwortmanager auch eine Browser-Applikation installiert werden; eine Auflistung aller unterstützten Browser finden Sie oben im Abschnitt „Bitwarden für Webbrowser“. Den von Ihnen präferierten Browser können Sie direkt aus dem Bitwarden-Webtresor heraus auswählen. Im Programm selbst ist der Installationshinweis etwas merkwürdig untergebracht worden. Sie finden ihn im Dropdown-Menü Hilfe → Browser-Erweiterung installieren. Hier können Sie zwischen Chrome, Firefox, Safari, Edge und Opera auswählen.

Die Installation im Browser selbst geschieht einfach durch einen Klick auf den Installationsbutton; um die Erweiterung nutzen zu können, müssen anschließend natürlich wieder die E-Mail-Adresse und das Master-Passwort eingegeben werden. Anschließend öffnet sich der Passwortmanager direkt als Sidebar (in meinem Fall handelt es sich um die Bitwarden Firefox – Erweiterung). Alternativ kann man den Bitwarden-Tresor aber auch als eigenes kleines Fenster öffnen. Besonders vorteilhaft: die kleine Ansicht bietet im Grunde alle wesentlichen Funktionen, die man als Nutzer braucht, weswegen es nicht mehr nötig ist, sich noch zusätzlich im Hauptprogramm anzumelden.

Screenshot zeigt eine in Firefox aufgerufene Webseite mit der Bitwarden-Erweiterung

Links im Bild: die Firefox-Erweiterung von Bitwarden, die Nutzer*Innen direkt im Browser verwenden können.

 

Es ist an dieser Stelle nicht notwendig, erneut auf die Features einzugehen, die sich für Desktop, Vault/ Web-Tresor und Browser-Erweiterung nicht grundlegend unterscheiden. Da ich aber für diesen Artikel parallel einen Bitwarden-Test fahre, möchte ich mir insbesondere die Autofill-Funktion der Browser-Erweiterung anschauen, zumal diese in anderen Testberichten in der Vergangenheit bemängelt wurde.

Autofill-Funktion von Bitwarden im Test

Screenshot der Autofill-Funktion von Bitwarden

Autofill-Funktion von Bitwarden

Über das Bitwarden-Plugin für den Browser kann über den Reiter „Mein Tresor“ auf die gespeicherten Einträge beziehungsweise Passwörter zugegriffen werden. Wenn eine URL hinterlegt wurde, lässt sich die Webseite, auf welcher der Login stattfinden soll, auch direkt darüber aufrufen. Ist man einmal auf der Seite, genügt ein Klick auf
„Auto-Ausfüllen“ im Bitwarden Passwortmanager – und das Programm füllt die Login-Felder automatisch mit dem Nutzernamen und dem Passwort! Alternativ können Nutzername und/ oder Passwort auch per Copy & Paste extrahiert und eingefügt werden; dieser Weg dauert selbstverständlich etwas länger.

Fazit: Der Bitwarden-Test im Hinblick auf die Autofill-Funktion konnte keinerlei Probleme feststellen. Insofern lässt nicht nur die Intention, sondern auch die Bedienbarkeit und der Komfort der Anwendung nichts zu wünschen übrig.

 

Passwörter „im Vorbeigehen“ anlegen und speichern

Hat man sich einmal zur Nutzung des Passwortmanagers entschieden, zeigt sich anhand des Browser-Plugins fortlaufend das Potenzial von Bitwarden: Login einfach innerhalb von Sekunden während des Surfens erstellen? Absolut kein Problem! Gehen Sie folgendermaßen vor:

  • Rufen Sie die gewünschte Webseite auf.
  • Klicken Sie auf die Login-Funktion der Webseite bzw. suchen Sie die Login-Unterseite auf.
  • Öffnen Sie nun die Bitwarden-Erweiterung.
  • Klicken Sie auf den Plus-Knopf in der rechten oberen Ecke.
  • Bitwarden hat im nun erscheinenden neuen Eintrag bereits den Namen und die URL der Seite per Autofill eingetragen.
  • Jetzt können Sie Ihren Nutzernamen vergeben und das Passswort entweder händisch eintragen – oder sich über den Passwortgenerator einfach ein sicheres Passwort erstellen lassen.
  • Klicken Sie auf „Speichern“.
  • Der Eintrag ist nun angelegt; beim nächsten Besuch können Sie sich unkompliziert via Autofill auf der Seite anmelden.

Bitwarden: Sicherheit des Programms

Im folgenden Abschnitt will ich noch etwas detaillierter auf die Sicherheit von Bitwarden eingehen, da dies, wie bereits erwähnt, natürlich einen zentralen Aspekt eines jeden Passwortmanagers darstellt.

Zwei-Faktor-Authentifizierung

Zunächst einmal erhöht die (mittlerweile für viele Web-Services gängige) 2-Faktor-Authentifizierung (2FA) die allgemeine Sicherheit des eigenen Bitwarden-Accounts immens. Neben der ohnehin obligatorischen Eingabe des Master-Passworts kann der Login zusätzlich durch die notwendige Eingabe eines Sicherheitscodes geschützt werden. Diesen Code kann sich der Nutzer auf verschiedenen Wegen zustellen lassen. Derzeit stehen folgende Optionen zur Auswahl:

  • E-Mail
  • SMS
  • Anruf
  • Authentifizierungs-App

Als Basis-Nutzer können Authentifizierungs-Apps und E-Mail genutzt werden; die Methoden YubiKey OTP Sicherheitsschlüssel, Duo und FIDO U2F Sicherheitsschlüssel sind Premium-Nutzern vorbehalten.

Während der Vorteil einer 2-Faktor-Authentifizierung für Bitwarden unbestreitbar in der deutlich erhöhten Sicherheit liegt (Hacker können selbst dann nicht auf den Account zugreifen, wenn Sie an das Master-Passwort gekommen sind), erfährt der Nutzungskomfort natürlich einen kleinen Dämpfer, da bei jedem Login zunächst der Authentifizierungscode angefordert werden muss.

Bitwarden-Prüfschlüssel (Fingerabdruck-Phrase)

Jeder Bitwarden-Account bekommt seitens des Anbieters automatisch eine sogenannte öffentliche „fingerprint-phrase“ (im Deutschen etwas lapidar mit „Prüfschlüssel“ übersetzt) zugewiesen. Dieser Prüfschlüssel besteht aus fünf englischen Wörtern ohne semantischen Zusammenhang, die in einer festen Reihenfolge erscheinen.
Dieser Prüfschlüssel erlaubt es, einzelne Bitwarden-Nutzer zweifelsfrei zu identifizieren und ist vor allem dann praktisch, wenn es nicht nur um einen einzelnen Bitwarden-Login geht, sondern vielmehr mehrere Nutzer an einem einzelnen Account hängen. Dies ist zum Beispiel bei Organisationen der Fall.

Der Prüfschlüssel ist über folgende Pfade zu finden:

  • Desktop-App: Konto → Prüfschlüssel
  • Web-Tresor: Einstellungen → Konto
  • Browser-Plugin: Einstellungen → Konto → Prüfschlüssel
  • Mobile App: Einstellungen → Konto → Prüfschlüssel

Prüfschlüssel zur Identifikation neuer Nutzer einsetzen

Um die Fingerabdruck-Phrase sinnvoll einzusetzen, können Sie folgendermaßen vorgehen, bevor Sie als Administrator neue Benutzer zu Ihrer Organisation hinzufügen:
Lassen Sie sich vor dem Hinzufügen den Prüfschlüssel des Nutzers anzeigen und bitten Sie beispielsweise um die Verifikation des dritten Wortes in der Kette via E-Mail, per SMS, live am Telefon oder dergleichen. Auf diesem Wege können Sie sicherstellen, dass die Verschlüsselung funktioniert und der Server, auf dem Bitwarden läuft, nicht kompromittiert wurde.

Verschlüsselungscode-Einstellungen anpassen

Im Web-Tresor von Bitwarden können außerdem die Einstellungen des Verschlüsselungscodes angepasst werden, um den Account optimal vor Brute-Force-Attacken schützen zu können. Dazu muss unter Einstellungen bis zum Punkt „Verschlüsselungscode-Einstellungen“ gescrollt werden. Hier gibt es dann die Möglichkeit, die Anzahl der KDF-Iterationen zu erhöhen (KDF = engl. Key derivation function, dt. Schlüsselableitung). In diesem Fall bedient sich das Programm des sogenannten Schlüsselstreckungsverfahrens. Bitwarden empfiehlt, sich sukzessiv an einen geeigneten Wert heranzutasten, da eine hohe Anzahl an KDF-Iterationen den Login-Prozess möglicherweise verlangsamt.

Preise für unterschiedliche Nutzergruppen

Neben der Funktionalität und der Nutzerfreundlichkeit spricht auch die Preisgestaltung für Bitwarden. Kosten entstehen Einzelnutzern und Organisationen nur, wenn Sie Premium-Features nutzen möchten. Die nachfolgenden Preise kommuniziert der Anbieter auf seiner Webseite (Stand: Februar 2020).

Kosten für Einzelnutzer und Familien

Basic-Account Premium-Account Familien-Account
Kostenlos; beinhaltet alle Grundfunktionen des Passwortmanagers:

  • Unbegrenzte Anzahl an Passwörtern/ Accounts im Web-Tresor
  • Synchronisation mit allen Endgeräten
  • Sicherer Passwortgenerator
  • Self-Hosting-Option
$10 pro Jahr; beinhaltet zusätzlich folgende Premium-Features:

  • 1 GB verschlüsselter Speicherplatz für Dateien
  • 2-Faktor-Authentifikation mit Yubikey, U2F oder Duo
  • Sicherheitsreports
  • TOTP-Authentifizierungsschlüssel
$40 pro Jahr; der Account kann mit bis zu 6 Usern genutzt werden und bietet folgende Extra-Funktionen:

  • Bevorzugter Kundensupport
  • Unbegrenzte Passwortsammlungen und Teilfunktion
  • Self-Hosting-Funktion
  • TOTP-Authentifizierungsschlüssel

 

Kosten für Unternehmen

Organisation (kostenlos) Teams Unternehmen
Der Account kann von zwei Nutzern verwendet werden, die ihre Passwörter/ Zugangsdaten untereinander teilen können. $3 pro Monat und Benutzer; beinhaltet Premium-Features für alle Mitglieder, ist jederzeit um weitere Mitglieder erweiterbar und enthält außerdem folgende Team-Features:

  • Benutzergruppen
  • Event-Logs
  • Directory Connector
  • API Zugang
$5 pro Monat und Benutzer; beinhaltet Premium-Features und Team-Features für alle Mitglieder, ist jederzeit um weitere Mitglieder und hat außerdem folgende Extras an Bord:

  • SSO – Authentifizierung über SAML 2.0 und OpenID Connect
  • Unternehmensrichtlinien
  • Self-Hosting-Option

Einen ausführlichen Vergleich über die in den Business-Paketen von Bitwarden enthaltenen Features erhalten Sie auf der Preisseite des Anbieters.

Wenn Sie Fragen oder Anregungen haben, diskutieren Sie mit uns im Forum oder hinterlassen Sie gerne einen Kommentar hier im Blog.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Carsten Wurtmann

Carsten ist im Marketing zuhause und hat bereits für zahlreiche Online-Medien zu diversen Themen publiziert. Im Fachbereich IT interessiert er sich vor allem für die Themen (Daten)sicherheit und Digitale Souveränität.