Passbolt-Überprüfung

Passbolt


ProPrivacy.com Ergebnis
8.1 aus 10

Zusammenfassung

Passbolt ist ein Open-Source-Passwort-Manager für Unternehmen und Teams. Es kann auf Ihrem eigenen Server selbst gehostet, auf einem gemieteten Server selbst verwaltet oder vollständig vom luxemburgischen Entwickler Passbolt SA gehostet werden. In diesem ausführlichen Passbolt-Test werden Sicherheit, Funktionen, Preis-Leistungs-Verhältnis und mehr behandelt.

Schnelle Statistik

  • Land
    Luxemburg

Vorteile

  • Geprüfter 100% Open Source Code
  • Asymmetrische Ende-zu-Ende-Verschlüsselung
  • Selbst gehostet oder vollständig gehostet
  • Kostenlose Community Edition
  • AutoFill mit Browser-Add-Ons
  • Kryptografie mit öffentlichen Schlüsseln (wie in Blockchain)
  • Sehr kollaborative Funktionen
  • Interoperabel (Open API & CLI)

Nachteile

  • Browserbasierte Kryptografie (aber so stark wie es nur geht)
  • Vollständig gehostete Pläne verwenden Google- und AWS-Server

Preisgestaltung

Passbolt Community Edition (CE) ist eine kostenlose Open-Source-Software, die Sie selbst hosten oder auf einem Drittanbieter-Server installieren können.

Es sind auch vollständig gehostete Enterprise-Pakete verfügbar, die eine Reihe zusätzlicher Funktionen sowie E-Mail- oder Telefonsupport bieten (kostenlose Benutzer können nur das Community-Forum unterstützen)..

Selbst gehostete Pläne

Zahlungen erfolgen per Karte mit dem Stripe-Zahlungsprozessor. Wer die zusätzlichen Enterprise-Funktionen ausprobieren möchte, muss sich direkt an das Unternehmen wenden.

Passbolt-Cloud-Pläne

Eigenschaften

  • Teilen von Passwörtern
  • Selbst gehostet oder gehostet
  • Favoriten
  • Filter
  • Suche
  • Bemerkungen
  • Benutzerverwaltung
  • Gruppenverwaltung
  • E-Mail Benachrichtigungen
  • Chrome- und Firefox-Browser-Add-Ons
  • Dunkles Thema (nur Premium)
  • 2FA (nur Premium)
  • LDAP-synchronisiertes Benutzerverzeichnis (nur Premium)

Slack-Integration, Audit-Protokolle und mobile Apps werden Premium-Nutzern in naher Zukunft versprochen.

Zwei-Faktor-Authentifizierung

Passbolt unterstützt die Zwei-Faktor-Authentifizierung (2FA) über TOTP (Time-based One-Time Password), Yubikey oder Duo.

Einstellungen für die Passbolt-Zwei-Faktor-Authentifizierung

Dunkles Thema

Wir sind ehrlich gesagt ein wenig ratlos über die große Beliebtheit dunkler Themen, aber hier ist es trotzdem.

Passbolts dunkles Thema

Privatsphäre und Sicherheit

Zuständigkeit

Passbolt SA ist in Luxemburg registriert und unterliegt daher der DSGVO und anderen EU-Datenschutzbestimmungen. Luxemburg hat keine besonderen Beziehungen zur von der NSA geführten Spionageallianz Five Eyes der Vereinigten Staaten, aber ein Spionageskandal von 2013, der zum Rücktritt des Premierministers führte, zeigt, dass die Spionageagentur Service de Renseignement de l'État (SREL) des Landes weit entfernt ist passiv.

Wahrscheinlich relevanter ist, dass Passbolt SA Google Cloud Platform und Amazon Web Services (AWS) verwendet, um vollständig gehostete Konten zu hosten. Es kann davon ausgegangen werden, dass beide Konten einer umfassenden NSA-ähnlichen Überwachung unterliegen. Zum Glück gibt Passbolt Sicherheit, indem er dies bestätigt "beinhaltet keinerlei Tracker" und die Verwendung von Ende-zu-Ende-Verschlüsselung sollte die meisten Befürchtungen zerstreuen.

Selbstverständlich können Sie Passbolt überall selbst hosten - auf Hardware, die Sie selbst steuern können, oder auf Hardware, die Sie von Anbietern in einem beliebigen Land gemietet haben.

Technische Sicherheit

Kennwörter werden clientseitig mit einer OpenPGP-Browsererweiterung verschlüsselt, die auf der JavaScript-Bibliothek von OpenPGP.j basiert, sodass sie durchgehend verschlüsselt werden (e2ee). Während der Übertragung werden sie mit SSL / TLS verschlüsselt, dem Mechanismus, der HTTPS-Websites schützt.

Auf der Serverseite verwendet Passbolt die GnuPG-Php-Erweiterung und openpgp-php, um die Prüfung öffentlicher Schlüssel durchzuführen und das GPGAuth-Authentifizierungsprotokoll zu unterstützen.

Beachten Sie, dass im Ruhezustand nur Kennwörter verschlüsselt werden - keine Kommentare oder die Liste der Personen, mit denen Sie ein Kennwort teilen. Allerdings ist es normalerweise möglich, Daten auf Systemebene mit Festplattenverschlüsselungssystemen wie EncFS zu verschlüsseln, wenn dies Sie stört.

Der gesamte von Passbolt verwendete Code ist vollständig Open Source. Und obwohl davon ausgegangen wird, dass „die Codeüberprüfungsarbeiten niemals durchgeführt werden“, wurde ein Großteil davon mit 2 vollständigen Überprüfungen bis heute ausführlich geprüft. Was toll ist. Eine weitere Überprüfung ist für 2020 geplant, und das Unternehmen führt weiterhin ein Bug Bounty-Programm auf YesWeHack durch.

Probleme mit der JavaScript-Kryptografie im Browser bleiben jedoch bestehen. Das Wichtigste ist, dass der Browser nur schädlichen Code akzeptiert, der von einem kompromittierten Server an ihn gesendet wird. Passbolt wirkt dem entgegen, indem es eine Browsererweiterung verwendet, anstatt sich nur auf native JS im Browser zu verlassen, und die Verwendung von gut geprüftem Open-Source-Code ist beruhigend.

Browserbasierte Kryptografie kann nicht als sicher angesehen werden wie dedizierte Software-Client-Lösungen, aber die Passbolt-Implementierung ist sehr stark.

Benutzerfreundlichkeit

Einrichtung und Installation

Der einfachste Weg, eine Passbolt-Instanz einzurichten, ist, Passbolt SA dies für Sie tun zu lassen. Dies kostet Geld, entzieht Passbolt SA jedoch die vollständige Kontrolle und bedeutet, dass Ihre Daten auf US-Servern gehostet werden (wenn auch e2ee)..

Sie können stattdessen eine Instanz (Community Edition oder Premium) auf Ihrer eigenen Serverhardware oder auf einem von einem Drittanbieter gemieteten Server-Space selbst hosten. Hierfür stehen schrittweise Anleitungen auf verschiedenen Serverplattformen zur Verfügung.

Das Image der virtuellen Maschine funktionierte aus irgendeinem Grund nicht für uns (möglicherweise unser Fehler), aber die Ubuntu-Anweisungen waren sehr klar und wirkten bezaubernd. Wenn Sie Befehle ausschneiden und in ein Terminalfenster einfügen können, ist die Installation ein Kinderspiel.

Die Unterstützung für Docker stellt sicher, dass Sie Passbolt auf nahezu jeder Plattform installieren können, während das US-amerikanische Hosting-Unternehmen Digital Ocean den Installationsprozess von Passbolt auf einem seiner „Droplets“ für Sie weitgehend automatisiert.

Verwenden Sie als Teammitglied

Sobald Ihre Passbolt-Instanz eingerichtet ist, können Sie damit beginnen, Kennwörter für Teammitglieder freizugeben. Wenn sie eine Einladung zum Beitritt erhalten, werden die Teammitglieder aufgefordert, das Passbolt-Plugin für Firefox oder Chrome herunterzuladen. Dies ist nicht optional, da Passbolt das Browser-Add-On benötigt, um Schlüsselpaare zu validieren.

Das Anlegen eines neuen Kontos ist dann nur noch das Befolgen einiger einfacher Anweisungen. Nutzung der App als Teammitglied

Sobald dies erledigt ist, können sich die Teammitglieder beim Webportal anmelden. Von hier aus können Sie neue Passwörter erstellen, um diese mit anderen Teammitgliedern zu teilen. Erstellen Sie neue Passwörter und teilen Sie sie mit den Teammitgliedern

Sie können auch Gruppen von Teammitgliedern erstellen und Kennwörter für beliebige Gruppen freigeben.Gruppe von Teammitgliedern bearbeiten

Die Browser-Add-Ons sind nicht nur eine wichtige Komponente des PGP-Kryptografie-Schemas, sondern ermöglichen auch das einfache automatische Ausfüllen von Web-Logins. Vorgeschlagene Kennwörter werden mit der von Ihnen besuchten URL abgeglichen, oder Sie können nach dem gewünschten Kennwort suchen oder suchen.

Passwörter mit einer URL abgleichen

Sie können sogar spontan neue Passwörter erstellen. Erstellen von Passwörtern im laufenden Betrieb

Eine Sache, die wir an dem Ansatz des Add-Ons zum automatischen Ausfüllen von Passwörtern mögen, ist, dass es manuell aufgerufen werden muss, indem Sie auf das entsprechende Symbol klicken. Dies bedeutet, dass der Team-Passwort-Manager Seite an Seite mit jedem persönlichen Passwort-Manager arbeitet, den Sie möglicherweise auch verwenden, um Formulare automatisch auszufüllen, sobald Sie eine Webseite besuchen.

Passbolt füllt Dinge wie Kreditkartendaten nicht automatisch aus, was für Software, die auf die Verwendung durch Gruppen ausgerichtet ist, völlig angemessen ist. Standardmäßig erhält der Teamadministrator E-Mail-Benachrichtigungen, wenn ein neues Kennwort erstellt wird.

Möchten Sie einige Alternativen sehen? Informieren Sie sich in unseren ausführlichen Empfehlungen über die besten verfügbaren Passwortmanager.

Abschließende Gedanken

Es gibt sehr wenig, was man an Passbolt nicht mag. Es handelt sich um einen sehr funktionalen und geprüften Open-Source-Team-Passwort-Manager, den Sie für maximale Privatsphäre selbst hosten oder Passbolt SA die harte Arbeit für Sie erledigen lassen können.

Die Premium-Funktionen sind derzeit recht begrenzt, was die Community Edition zu einer sehr attraktiven Option für alle macht, die nur über einen relativ geringen technischen Aufwand verfügen, um eine Instanz selbst einzurichten. Allerdings können insbesondere die kommenden mobilen Apps, die nur Premium-Nutzern zur Verfügung stehen, diese Gleichung ändern.

Die browserbasierte Kryptografie ist nach wie vor unvollkommen, aber sehr praktisch, und Passbolt hat offensichtlich große Anstrengungen unternommen, um sicherzustellen, dass sie so gut wie möglich ist.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me