Bitwarden & google Account

  • Heute kam mir dieser Link eines Freundes auf den Computer
    https://addons.mozilla.org/de/firefox/add…ger/?src=search
    https://addons.mozilla.org/de/firefox/user/12533945/

    Ein neues, mir bis dato unbekanntes Programm, eine Erweiterung, die eine Verwaltung der/meiner Passwörter anbietet.
    So weit, so wie auch immer.
    Nur ist dann mein Passwort-Speicher bei Google hinterlegt, niemand weiß wie sicher die Daten dort sind, wer wie und wann einen Zugriff auf diese haben könnte und wie geschützt sind sie dort, meine Passwörter? Besser als auf dem heimischen Computer, oder muss (sollte?) ich mir Sorgen machen?
    Ein für mich weiteres Nein für diese App ist das neue Anmelden bei Google, oder auch bei Bitwarden. Wieder ein Konto, wieder neues Passwort, wieder neue und mehr Daten im Netz.

    Nutzt diese App jemand, bisher, hat damit jemand bereits Erfahrung, Meinungen oder Bedenken?

    Weitere Infos zur App https://addons.mozilla.org/de/firefox/add…ger/?src=search

    Zitat

    Bitwarden speichert all deine Logins in einem verschlüsselten Tresor, der mit allen Geräten synchronisiert wird. Da er komplett verschlüsselt ist, bevor er überhaupt dein Gerät verlässt, hast nur du Zugriff auf deine Daten. Nicht einmal Bitwarden kann deine Daten lesen, selbst, wenn wir es wollten. Deine Daten sind mit einer AES-256-Bit-Verschlüsselung, sowie Salted Hashing und PBKDR2 SHA-256 abgesichert.

    Und ich war noch nie ein gutgläubiger Tomas 8)

    https://support.mozilla.org/de/kb/berechti…x-erweiterungen

  • Bitwarden ist ein relativ bekannter Passwort-Manager, der vor allem beliebt ist, da er Open Source ist. Cliqz (ein deutsches Unternehmen von Privatsphäre-Produkten, an denen auch Mozilla beteiligt ist) hat letzten Sommer die Erweiterung überprüft und kam zum Ergebnis, dass es keine negativen Folgen für den Nutzer gibt. Seit dem wird sogar direkt im Add-on Manager des Cliqz-Browsers, der auf Firefox basiert, Bitwarden empfohlen. Letzten Oktober wurde die deutsche Firma Cure53 mit einem Sicherheits-Audit beauftragt. Die Ergebnisse wurden veröffentlicht und die gefundenen Schwachstellen behoben. Die Erkenntnisse von Cure53 sind vertrauenswürdig. Auch Mozilla lässt seine Sicherheits-Audits im Rahmen seines MOSS/SOS-Programms sehr häufig von Cure53 ausführen.

    Wie du darauf kommst, dass die Daten bei Google liegen würden, ist mir ehrlich gesagt ein Rätsel. Weder auf der Bitwarden-Webseite steht davon etwas noch auf der AMO-Seite noch in der Erweiterung.

    Dass ein Cloud-Speicher nicht ohne Account funktioniert, sollte allerdings einleuchten. Das kann anders ja überhaupt nicht sein. Auch ich nutze einen Cloud-Speicher für meine Firefox-Passwörter, namentlich Firefox Account. Wenn du das in Frage stellst, hast du das Konzept von Bitwarden nicht verstanden und der ganze Thread ist obsolet. Wer Bitwarden installiert, will schließlich genau das. Genau darum geht es ja: Überall auf seine Passwörter zugreifen zu können. Das steht direkt im ersten Satz der Beschreibung auf AMO. Wer das nicht will, installiert sich sowas nicht, weder Bitwarden noch ein Konkurrenzprodukt.

    Deine Bemerkung mit "gutgläubiger Tomas" in Bezug auf "Nicht einmal Bitwarden kann deine Daten lesen" verstehe ich ebenfalls nicht. Was ist für dich daran unglaubwürdig? Auch auf den Firefox Account trifft das zu. Mozilla ist technisch überhaupt nicht dazu in der Lage, die Daten zu lesen, das ist ein belegter Fakt. Denn was Firefox und Bitwarden gemeinsam haben, ist, dass beide Open Source sind. Würde die Aussage nicht der Wahrheit entsprechen, wäre das bereits herausgekommen und du köntest darüber im Web lesen. Tatsächlich hat Bitwarden aber einen sehr positiven Ruf, was sich ja auch in den AMO-Reviews zeigt - 4,8/5 bei mehr als 1.300 Bewertungen ist hervorragend.

  • Hoppala, lang und ausführlich. Kompliment, so schnelle Antwort.
    Gut, hier meine Bedenken, das Bild mit google hat mich irritiert

    https://addons.mozilla.org/de/firefox/add…ch#&gid=1&pid=2

    Dann erneut ein Konto eröffnen, und wieder meine Daten eingeben. Weiterer Aspekt meiner Bedenken, einfach erklärt

    Zitat

    Bemerkung mit "gutgläubiger Tomas" in Bezug auf "Nicht einmal Bitwarden kann deine Daten lesen"


    Der Tomas ist ein Sprichwort, das ich benutzt habe, nich tin Bezug auf Mozilla oder die app, sondern auf mich bezogen; ob und dass Bitwarden meine daten dann nicht einsehen kann, da bin ich mir nicht sicher, da für mich alles im Leben machbar ist; wen mir jemand sagt er könne nicht meine Anmeldedaten, meine Mailadresse oder meine Nutzerdaten auslesen, meine privaten Nachrichten, die ich in einem forum sende u. empfange, dan nist das für mich fragwürdig, zweifelhaft, wenn nicht gar unglaubhaft. Solange mir einer nicht das Gegenteil nachweisen kann. Nennen wir hier mal das bekannte Facebook, Twitter usw., ohne auf dieses forum eingehen zu wollen. Ich kann mir nicht vorstellen, dass jemand, der ein Forum dieser Größenordnung o. a. eine app betreibt und für Nutzer bereitstellt, nicht auf deren/dessen Daten zugreifen kann. Natürlich kann ich das nicht behaupten, nur mein Bauchgefühl sagt mir anderes. ein Spezialist für datensicherheit oder ein Internet-Spezi bin ich nicht, mene Bedenken und Zweifel gelten für alle Bereich im Leben, so auch für das Internet. Aus diesen Gründen bin ich sehr vorsichtig und auch zurückhaltend, was meine Daten betrifft. Dahingehend, was deren Veröffentlichung betrifft.
    Das geht nicht gegen die Internet-foren, oder gegen die Betreiber hier, nur bin ich überall sehr "sparsam" mit meinem Privaten. Schon immer gewesen.

    Ganz einfach ausgedrückt: Ich will keinen schlechten Eindruck verbreiten, bezüglich der Passwort App, ich kenne es auch nicht. Nur skeptisch bin ich, deshalb meine Einwände und Fragen, oder mit der bitte um weitere Meinungen von anderen Nutzern.

    Freuen würde mich das, falls mich jemand davon überzeugen kann, dass meine sicherheitsrelevanten Bedenken nicht begündet sind.


  • das Bild mit google hat mich irritiert

    Das Bild zeigt rechts das Bitwarden-Fenster. Und genau das wollte der Autor auch zeigen. Es geht also ausschließlich um dieses Fenster rechts. Dass als Hintergrund auf dem Bild eine Google-Startseite ist hat gar nichts zu besagen. Der Autor der Erweiterung hätte genau so gut eine x-beliebige andere Seite nehmen können.

  • das Bild mit google hat mich irritiert

    Das zweite Bild hat Google gezeigt, das nächste Amazon und ein anderes Bitbucket. Ich weiß nicht, wieso man dann meint, dass die Daten ausgerechnet zu Google gingen. Zumal das ja auch irgendwo im Text stehen dürfte, wenn dem so wäre.

    Dann erneut ein Konto eröffnen, und wieder meine Daten eingeben

    Wie ich bereits sagte: Das wäre anders überhaupt nicht möglich und das ist auch vollkommen logisch. Ohne Account kann es keine Synchronisation von Daten geben. Wie willst du sonst von einem anderen Gerät auf deine Daten zugreifen? Dass es darum geht, sagt wie gesagt bereits der erste Satz der Beschreibung.

    ob und dass Bitwarden meine daten dann nicht einsehen kann, da bin ich mir nicht sicher, da für mich alles im Leben machbar ist

    Im Falle des Firefox Accounts ist es auch so, dass sich die Verschlüsselung aus dem Passwort ableitet und mit einem solchen Konzept ist es ausgeschlossen und nicht machbar, dass Mozilla die verschlüsselten Daten liest. Wie das System funktioniert, ist öffentlich erklärt und kann jeder durchlesen. Insofern kann ich auch sagen, dass es für Bitwarden machbar ist, etwas Vergleichbares zu machen. Und wie gesagt ist Bitwarden Open Source und würde der Entwickler in dem Punkt lügen, wäre es so sicher wie das Amen in der Kirche, dass Bitwarden nicht so positiv bewertet wäre und ebenso sicher, dass du darüber auf zahlreichen Webseiten lesen könntest, was nachweislich nicht der Fall ist.

    wen mir jemand sagt er könne nicht meine Anmeldedaten, meine Mailadresse oder meine Nutzerdaten auslesen, meine privaten Nachrichten, die ich in einem forum sende u. empfange, dan nist das für mich fragwürdig, zweifelhaft, wenn nicht gar unglaubhaft.

    Wenn du kein Vertrauen hast, ist das die eine Sache. Aber zu sagen, es sei unglaubhaft, bringt dich in eine Position, in der du Nachweise zu liefern hast.

    Um irgendwelche private Nachrichten in irgendwelchen Foren geht es überhaupt nicht, das ist am Thema vorbei.

    Solange mir einer nicht das Gegenteil nachweisen kann.

    Eine eigenartig verdrehte Logik ist das. Wie ich bereits schrieb, würdest du darüber lesen können, würde Bitwarden lügen. Spätestens in den Überprüfungen von Cliqz und Cure53 wäre das zwangsläufig aufgeflogen. Bei Berücksichtigung der genannten Fakten gibt es keinen rationalen Grund, das anzuzweifeln. Siehe letzter Absatz, an der Stelle wärst du derjenige, der einen Nachweis für das Gegenteil liefern müsste, nicht umgekehrt.

    Nennen wir hier mal das bekannte Facebook, Twitter usw., ohne auf dieses forum eingehen zu wollen. Ich kann mir nicht vorstellen, dass jemand, der ein Forum dieser Größenordnung o. a. eine app betreibt und für Nutzer bereitstellt, nicht auf deren/dessen Daten zugreifen kann.

    Der Vergleich ergibt nicht den geringsten Sinn, weil weder Facebook noch Twitter jemals behauptet haben, sie könnten auf keine Daten zugreifen. Mal ganz davon abgesehen, dass sich Bitwarden nicht einmal in der Nähe der Dimension von Facebook und Twitter befindet, was deinen Vergleich zusätzlich schwächt.

    Wieso du dir nicht vorstellen kannst, dass eine Passwort-Synchronisation nicht direkt auf deine Passwörter zugreifen kann, weiß ich nicht, da ich es sehr gut vorstellbar finde. Vor allem, da es auch Bitwarden in eine bessere Lage bringt, da sie so auch von keinen Behörden gezwungen werden können, die Daten herauszugeben, was für Bitwarden-Nutzer ein extremer Vertrauensverlust wäre, wenn es anders wäre. Deren Geschäft lebt vom Vertrauen der Nutzer. Ohne Vertrauen der Nutzer ist Bitwarden am Ende, schließlich arbeiten sie mit den Passwörtern der Nutzer.

    Freuen würde mich das, falls mich jemand davon überzeugen kann, dass meine sicherheitsrelevanten Bedenken nicht begündet sind.

    Wenn dich das, was ich schrieb, nicht überzeugt hat, dass deine Bedenken unbegründet sind, und eigentlich bereits das aus meinem ersten Beitrag, dann glaube ich nicht, dass du zu überzeugen bist. Denn wenn du nicht einmal Firmen wie Cure53 glaubst, gibt es keine überzeugenden Argumente… ;)


  • Wenn du kein Vertrauen hast, ist das die eine Sache. Aber zu sagen, es sei unglaubhaft, bringt dich in eine Position, in der du Nachweise zu liefern hast.

    Soweit vermag ich nicht zu gehen, da ich einen solchen Nachweis nicht erbringen kann.

    Zitat

    Wieso du dir nicht vorstellen kannst, dass eine Passwort-Synchronisation nicht direkt auf deine Passwörter zugreifen kann, weiß ich nicht, da ich es sehr gut vorstellbar finde.

    An diesem Punkt muss ich korrigieren, es trat ein Mißverständnis auf.

    Zitat

    Mikrat hat geschrieben:
    So, 24. Mär 2019 20:13
    Nennen wir hier mal das bekannte Facebook, Twitter usw., ohne auf dieses forum eingehen zu wollen. Ich kann mir nicht vorstellen, dass jemand, der ein Forum dieser Größenordnung o. a. eine app betreibt und für Nutzer bereitstellt, nicht auf deren/dessen Daten zugreifen kann.

    Das meinte ich in umgekehrter Folge, ein solcher Zugriff ist für mich sehr nachvollziehbar.

    Zitat

    Deren Geschäft lebt vom Vertrauen der Nutzer. Ohne Vertrauen der Nutzer ist Bitwarden am Ende, schließlich arbeiten sie mit den Passwörtern der Nutzer.

    Solches Vertrauen ist in der Wirtschaft alltäglich, die Unternehmen arbeiten alle mit Nutzerdaten und wie oft werden Deren (Nutzer) Daten entwendet oder abgegriffen; alleine dieser Aspekt lässt meinen Alarm ertönen.

    Zitat

    Denn wenn du nicht einmal Firmen wie Cure53 glaubst, gibt es keine überzeugenden Argumente

    Die Tatsache dass ich das Unternehmen Cure53 nicht kenne, und bis gestern den Namen nicht einmal gelesen habe, kann mein Vertrauen nicht verstärken. Gerne lasse ich mich überzeugen, dass der Einsatz der App den Einsatz wert ist. Es ist nicht aus der Welt, ich werde mir die Funktionen ansehen und mich damit versuchen :)
    Für die ausführlichen und detailreichen Informationen will ich an diesem Punkt noch einmal Danke sagen.
    Auch an Road-Runner für die Klärung meines Irrtums.

  • Ich kenne dieses Programm nicht und werde es auch nicht nutzen weil ich generell meine Passwörter im Passwortmanager lokal haben möchte (KeePass). Aber vielleicht hast du schon mal etwas von Ende-zu-Ende Verschlüsselung gehört?
    Das nutzt Bigwarden auch siehe: https://help.bitwarden.com/article/what-i…n-is-encrypted/

    Auch FirefoxSend und zb. andere Webseitenprogramme wie zb.PrivateBin haben Ende-zu-Ende Verschlüsselung. Da kann ein Webseitenbetreiber, wenn er dieses auf seinem Server laufen hat überhaupt keinen Einblick in die Dateien oder Pastes haben, denn nur der Ersteller kennt den Link und kann diesen Anderen mitteilen.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • @ zitronella
    bisher hatte ich nie einen Manager für meine Passwörter. Immer hatte ich die im Profil meines FF gespeichert und das Masterpasswort benutzt. So fühle ich mich sicher und nur ich habe einen Zugriff auf meinen Computer und den Browser. Wird etwas erneuert, und ich muss mein Profil auf einen neuen FF übertragen, dann nehme ich eine gespeichert Version meines FF, das ich immer gespeichert habe und aktuell halte. Aus genannten Gründen habe ich mir keine Gedanken über dings-zu-punkt-Verschlüsselung oder einer anderen Sicherheitseinstellung für meine Passwörter gemacht. Das KeePass hatte ich vor Zeiten versucht, kam damit gar nicht klar, da ich mich jedesmal für einen Zugriff anmelden musste. Gerade das wollte ich nicht.

  • anmelden bei KeePass? Wo denn anmelden? Da gibt es ein Masterpasswort und sonst nix. Ich hab so an die 500 Accounts/Passwörter darin und weiß kein einziges. Lediglich mein Masterpasswort weiß ich.
    Beim Firefox hast du doch auch ein Masterpasswort, welches du eingeben/merken musst, genauso wie bei KeePass. :-??

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • @ zitronella
    auch bei KeePass muss ich doch einen für mich persönliches Profil online erstellen, und mich dann dort anmelden. Sehe ich das falsch? Zumindest hatte ich das so in Erinnerung, als ich die Erweiterung für Google Chrome angenommen und probiert hatte.

  • @ Zitronella (heute korrekt, entschuldige bitte),

    Soweit mich meine Erinnerung nicht im Stich lässt, musste ich mir dort ein Konto einrichten, mit einem Pw, um Zugriff auf die dort gespeicherten Pw + Daten zu haben, um überhaupt ein KeePass einrichten zu können ...

  • Dann trügt Dich Deine Erinnerung. Was Du tun musstest: eine Passwort-Datenbank erstellen und mit einem Passwort sichern. Irgendwo müssen die Passwörter ja abgespeichert sein. Aber diese Datenbank liegt auf Deinem Rechner, es sei denn, Du speicherst sie selbst in der Cloud um von mehreren Geräten aus darauf zugreifen zu können.


  • Dann trügt Dich Deine Erinnerung xxx es sei denn, Du speicherst sie selbst in der Cloud um von mehreren Geräten aus darauf zugreifen zu können.


    Das Alter, es ist sicher das Alter :? Danke Dir für den Hinweis, das hat mich durcheinander gebracht. Inzwischen wurde alles wieder gelöscht, von mir. Werde das die Tage noch einmal ausprobieren und besser auf die Details achten.