Passwortmanager Bitwarden, SafeinCloud oder doch Enpass

Huggy schrieb:
Inwiefern kann das in der Praxis zu Problemen führen? Wie ist man dadurch angreifbar?
Zum Vergrößern anklicken....

Längst behobene Fehler in der JavaScript-Engine (die ja weitgehend der in Chrome gleicht) könnten in deinem Browser schon lange automatisch weggepatcht worden sein, in deinem als "Passwortmanager" getarnten veralteten Chrome sind sie aber noch offen. Erschwerend kommt eine zusätzliche Schicht an Abstraktionen hinzu. Hierzu ein Beispiel (von Fefe): https://www.trustwave.com/Resources...18-1000136---Electron-nodeIntegration-Bypass/

Es hat schon Gründe, warum KeePass eben nicht auf einem Webbrowser läuft.
 
Ist zwar schon ein wenig "alt" das Thema, aber mittlerweile soll bei Bitwarden das JavaScript Problem wohl bis auf die Android-App behoben sein.

https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/

Ich probiere Bitwarden gerade aus, weil Dashlane bei mir als Safari-Browsererweiterung nur noch Probleme macht. Wie läuft Bitwarden da so im Alltag? Arbeitet der Manager vernünftig mit Safari zusammen? Ich brauche kein automatisches Anmelden auf den Webseiten, schön wäre aber, das auf Knopfdruck die entsprechenden Anmeldedaten in die richtigen Felder eingefügt werden. Mehr brauch ich gar nicht. Dashlane versagt da bei mir ständig.

Bei Bitwarden gefällt mir Open Source und die aufgeräumte Oberfläche - manche würden sie auch schlicht und langweilig nennen.
Enpass hab ich auch gerade als Test am Laufen, hier stören mich aber erhebliche Syn-Probleme, egal ob ich über die iCloud oder Dropbox sync.
 
MarcNRW schrieb:
Enpass hab ich auch gerade als Test am Laufen, hier stören mich aber erhebliche Syn-Probleme, egal ob ich über die iCloud oder Dropbox sync.
Zum Vergrößern anklicken....
Keine Probleme mit Enpass bei der Syncronisation zwischen diversen iOS- und macOS-Geräten über iCloud.
 
Ich habe auch null Probleme mit dem Sync.
Bei mir ist die Desktop App etwas Buggy - die crasht von Zeit zu Zeit mal. Ist aber auch besser geworden
 
...weil es hier gerade rein passt: Ich empfehle die Kombination aus KeePassXC (OpenSource, alle Plattformen)
https://keepassxc.org/

mit Strongbox:
https://strongboxsafe.com/

Strongbox ist freemium aber OpenSource und bietet ein ähnliches Preismodell wie Enpass. Ich habe mich für die (teure) Livetime-Lizenz entschieden, da ich finde, daß die App es wert ist: Sehr häufig Updates, YubiKey-2-Faktor-Encryption, synchronisiert zuverlässig über WebDAV mit meiner Nextcloud.

Vorteil bei der App-Kombination: KeePass ist OpenSource, es gibt viele Clients, ebenso bei den Apps für Mobilgeräte -> man muss sich nicht auf einen Entwickler festlegen...
 
Strongbox guck ich mir auch mal an, auch wenn das Styling der App so aussieht, als wenn ich meinen alten C64 wieder raus kramen würde.... :D
 
Du hattest einen merkwürdigen C64.
 
Dass Enpass nicht extern geprüft wurde und den Sitz in die USA verlegt hat, erachtet Ihr als unkritisch? Sehe ich das richtig?
 
Snow Apple schrieb:
Dass Enpass nicht extern geprüft wurde und den Sitz in die USA verlegt hat, erachtet Ihr als unkritisch? Sehe ich das richtig?
Zum Vergrößern anklicken....
Nein, aber wenn du mehr weißt, warum dann nur die kurze Aussage ohne Hintergrundinformationen?
 
  • Gefällt mir
Reaktionen: Snow Apple und dg2rbf
KOJOTE schrieb:
Nein, aber wenn du mehr weißt, warum dann nur die kurze Aussage ohne Hintergrundinformationen?
Zum Vergrößern anklicken....

Unternehmenssitz:
https://www.enpass.io/contact-us/
Siehe ganz unten:
913 N. Market Street von Enpass Technologies Inc.,Wilmington, Delaware,USA
Siehe auch im Forum:
https://discussion.enpass.io/index.php?/topic/19120-change-of-buisness-place-and-laws-to-the-us/

Auditierung bzw. ext. Test fehlt:
https://discussion.enpass.io/index.php?/topic/404-security-audit/page/6/#comments
Fazit: angekündigt, aber immer noch nicht durchgeführt.

Bin jetzt trotzdem erstmal wieder bei Enpass gelandet, um von externen Servern (Bitwarden) weg zu kommen.
Mich würde allerdings weiterhin Eure Meinung zu den genannten Punkten interessieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: KOJOTE
Snow Apple schrieb:
Mich würde allerdings weiterhin Eure Meinung zu den genannten Punkten interessieren.
Zum Vergrößern anklicken....
Das die jetzt in den USA beheimatet sind stört mich nicht, ich nutze ja auch Apple-iCloud. :iD:

Bei der Frage nach den technischen Hintergründen zu einer Prüfung des Codes von Enpass fehlt mir das nötige Hintergrundwissen. Ich bin da auf Infos, z.B. bei MacUser oder in der Presse angewiesen und somit bleibt mir nur zwischen den Zeilen zu lesen.
 
  • Gefällt mir
Reaktionen: Snow Apple
Ich nutz schon lange Bitwarden, selbstgehostet auf meinem NAS und bin damit zufrieden. Vom Java Problem hab ich aber mal wieder nix mitbekommen.
 
Ich bin weiterhin seit Jahren bei 1Password... funktioniert für mich einfach sehr gut. Auch die Möglichkeit es in Windows nutzen zu können ist sehr gut bei meinem workflow.
Ich habe da logischerweise meine Zugänge, aber auch Softwarelizenzen, Auweisdaten und Führerschein mit Scan (hat mir schon sehr geholfen), Email, Bankkonten usw. drin.... diese Möglichkeit bietet mir iCloud in dieser Form nicht.
Das ist mir auch den Preis wert.. mal ganz ehrlich, das nutzte ich täglich im Prinzip mehrmals, es geht nichts verloren an Zugängen usw., dadurch habe ich aber gute Passwörter.... und einmal essen gehen kostet schon das gleiche wie die jährlichen Kosten dafür.......

Das einzige wo ich noch nicht dahintergestiegen bin,1Password zeigt mir doppelte Passwörter an... .weil ich z.B. Email oder Bankdaten gespeichert habe, aber logischerweise den Email oder Bank-Login nochmals....

spike
 
Bin auch bei Enpass und speicher neben PW auch SW-Lizenzen etc..
Ich habe die One-Time-Free Variante, aber die war damals vor ein paar Jahren, wenn ich mich recht erinnere, wesentlich günstiger.

Ich finde aber jetzt knapp 2€/Monat mehr als fair in Anbetracht der "Notwendigkeit" eines solchen Programms und dem Komfort.
 
picknicker1971 schrieb:
Bin auch bei Enpass und speicher neben PW auch SW-Lizenzen etc..
Ich habe die One-Time-Free Variante, aber die war damals vor ein paar Jahren, wenn ich mich recht erinnere, wesentlich günstiger.

Ich finde aber jetzt knapp 2€/Monat mehr als fair in Anbetracht der "Notwendigkeit" eines solchen Programms und dem Komfort.
Zum Vergrößern anklicken....

Habe über Android in der App angezeigt bekommen "Pro" Lifetime. Kostenlos. Nur mit Email registriert, um es auch auf anderen Geräten als Pro Version zu haben.
Naja, vielleicht ist man bzgl. Datenschutz/Audit/ usw. auch mittlerweile zu paranoid.
 
Snow Apple schrieb:
Habe über Android in der App angezeigt bekommen "Pro" Lifetime. Kostenlos. Nur mit Email registriert, um es auch auf anderen Geräten als Pro Version zu haben.
Naja, vielleicht ist man bzgl. Datenschutz/Audit/ usw. auch mittlerweile zu paranoid.
Zum Vergrößern anklicken....
Kann auch so gewesen sein - war seinerzeit sehr preiswert oder sogar umsonst
 
Bzgl. Electron schreibt Bitwarden selbst:
Desktop Electron Backdoor Concern
The often shared article suggests an attack that requires a user to have a compromised machine, which of course would allow a malicious attacker to compromise data on that machine. As long as you have no reason to believe the device you are using has been compromised, your data is safe.
(Quelle: https://bitwarden.com/help/article/security-faqs/#desktop-electron-backdoor-concern)

Google Übersetzung:
Desktop Electron Backdoor-Problem
Der häufig geteilte Artikel schlägt einen Angriff vor, bei dem ein Benutzer über einen kompromittierten Computer verfügen muss, wodurch ein böswilliger Angreifer natürlich Daten auf diesem Computer kompromittieren kann. Solange Sie keinen Grund zu der Annahme haben, dass das von Ihnen verwendete Gerät kompromittiert wurde, sind Ihre Daten sicher.

Ich persönlich mag Bitwarden. Habe es aber nur auf Android. Web Oberfläche funktioniert gut (2FA).
Leider sind Bitwarden und auch Enpass nicht die Eier legende Wollmichsau. Hätte Notizen gerne in der Form im Passwortmanager, dass Bilder sich nicht komprimiert im Anhang befinden, sondern in Originalgröße im Text selbst. Somit bin ich immer noch auf der Suche und nicht vollkommen zufrieden.
 
Überraschenderweise hat Bitwarden gar kein Problem mit der Architektur von Bitwarden. Notiert...
 
Da es erwähnt wurde und gefragt wurde, was dahinter steckt ... fand es selbst ganz aufschlussreich. Schön reden war auch nicht mein Plan.
 
Das Statement ist doch ehrlich und schlüssig. Ist alles gesagt und kann jeder selber entscheiden.
Auf einen kompromittierten Rechner ist übrigens kein Passwort-Manager der Welt sicher...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten