Die ETH Zürich hat diese Passwortmanager geprüft und und diverse gravierende Schwachstellen entdeckt.
Verstehe die Kritik nicht ganz, wenn die Forscher einen eigenen Server aufgesetzt haben wo die die Dienste laufen ist natürlich so einiges möglich. Sobald der User dann zugreift, kann der Serverbetreiber natürlich die Daten abgreifen. Ich hätte nichts anderes erwartet.
Hier die Reaktion von bitwarden:
Die Übernahme des Servers wäre zwar ein GAU, aber völlig ausschließen wird man das nicht können. Ich habe den ETH-Bericht so verstanden, dass die Angreifer auf die Passwörter kommen.
Das widerspricht der Zero-Knowledge-Aussage, dass Bitwarden zu keinem Zeitpunkt selbst an die Passwörter kommt.
Erst das Versprechen einer Zero-Knowledge-Architektur macht das Produkt verwendbar, weil man ja nicht seine Geheimnisse gerne anderen anvertraut. Ich ziehe keepass ohne die Cloud-Lösung vor, weil das einfacher ist und ich den cloud-Anteil nach meinen Anforderungen durch das Halten einer DB-Kopie selbst realisieren kann.
Welche Schritte sind erforderlich, um das zu machen ?
Dankimvoraus - toni
Da gibt es mehrere gute Anleitungen im Internet. Eine davon ist:
1 Like