Bitwarden als Browserextension?
Benutzt ihr die Browserextension von Bitwarden oder macht ihr das lieber ohne?
4 Antworten
Hey,
ja ich nutze die Erweiterung und hatte bisher auch nie wirklich Probleme mit dieser.
Mfg Jannick (L1nd)
Ich benutze KeepassXC mit entsprechender Erweiterung.
Bei Bitwarden müsste ich meinen eigenen Server hosten und das habe ich aktuell nicht vor. Sorry, dass ich dem Betreiber von Bitwarden nicht genug vertraue, dass ich ihm meine Passwörter gebe...
Wenn es mein eigener Server ist: Ja.
Aber es gibt ja noch mal einen Unterschied zwischen Software und Betreiben. Und da setze ich zu wenig Vertrauen in Dienste wie Bitwarden. Die Firma ist scheinbar aus den USA und die Server? Ist aber auch egal, da sie in den USA firmieren, fallen sie unter die dortigen Gesetze - beruhigt mich nicht.
Daneben gilt:
Some modules: Proprietary
Quelle: https://en.wikipedia.org/wiki/Bitwarden
Bitwarden ist eben Open Source und in deren Code kann man sehen, dass alle Daten Ende-zu-Ende verschlüsselt sind. Also können die nichts sehen.
Ja, hatte ich benutzt, mittlerweile aber 1 Password. Bitwarden ist aber eine sehr gute kostenlose Alternative, mit der Extension gabs nie Probleme.
Sehe den Sinn dieser Extension nicht. Bitwarden ist ja schon eine Webanwendung, zusätzliche Komfortfunktionen hölen mir die Sicherheit zu sehr aus, dann kann ich auch gleich den Browserinternen PW-Speicher nutzen.
Ich denke, es geht um das Ausfüllen von Zugangsdaten im Browser. Da ist eine Erweiterung viel sicherer als einfach die Passwörter in die Zwischenablage zu kopieren, wo jeder Prozess darauf zugreifen kann.
Ist halt die Frage, wie leicht sich sowas austricksen lässt. Per Copy&Paste muss schon ein schädliches Programm bei mir laufen, bei einer Extension reicht oft schon ein unsichtbares Formular und ein wenig Unachtsamkeit.
Ich kenne die Bitwarden Browsererweiterung nicht, verwende aber die von KeepassXC und gehe mal davon aus, dass beide ähnlich funktionieren.
Natürlich darf so eine Erweiterung nicht einfach irgendwelche Felder ausfüllen. Es wird immer die URL überprüft, z.B. mein Google Passwort kann ich nur bei https://accounts.google.com/* ausfüllen, und das passiert auch nie automatisch, sondern muss noch mit einem Klick bestätigt werden. Je spezifischer die URL, umso besser.
Damit hier etwas schiefgehen kann, müssen schon mehrere Probleme vorliegen:
- Eine bösartige Webseite wird aufgerufen.
- Die bösartige Webseite befindet sich unter einer URL, die einem Passworteintrag zugeordnet ist. Das kann eigentlich nur passieren, wenn eine Seite Anmeldungen mit den gleichen Zugangsdaten unter vielen verschiedenen URLs ermöglicht und man diese URLs nicht manuell erfassen möchte, und wenn diese Seite auch nutzergenerierten Content hostet. Ein Beispiel wären die Webseiten der TUM. Dort habe ich als URL einfach https://*.tum.de/* gesetzt, weil an vielen Stellen nicht das zentrale SSO der TUM verwendet wird. Die TUM hostet auch Webseiten für Studenten und Mitarbeiter (z.B. unter der home.in.tum.de Domain). Wenn auf so einer Webseite ein Passwortformular wäre, würde mir KeepassXC das Ausfüllen mit meinen TUM Zugangsdaten vorschlagen. Das ist aber eine seltene Ausnahme. Die allermeisten Webseiten haben eine einzelne Login URL.
- Es fällt nicht auf, dass die Webseite bösartig ist und man bestätigt das Ausfüllen der Zugangsdaten.
Insbesondere verhindert eine Browsererweiterung das Ausfüllen auf Phishingseiten, egal wie glaubwürdig diese aussehen. Wenn man die Zugangsdaten manuell kopiert und eine Phishingseite nicht erkennt, hat man Pech gehabt.
Iframes sollten für die Erweiterung auch kein Problem darstellen, da der Browser den Kontext isoliert. Javascript einer Seite in einem Iframe kann also nicht auf ein Passwort außerhalb zugreifen und umgekehrt.
letzlich muss ich dann 2 Anwendungen vertrauen, Bitwarden und dann noch der Extension. Für mich ein unnötiges Risiko.
Bitwarden ist doch Open-Source. Eigentlich kann man drauf vertrauen.