No recomiendo Bitwarden

 (マリウス.com)
1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Tras varios años usándolo en self-hosting, Bitwarden se ha vuelto una opción difícil de recomendar por el peso de su servidor oficial, una dirección open source cada vez menos clara, la baja calidad de sus clientes y problemas de seguridad repetidos
  • Mientras que el servidor oficial de Bitwarden tiene una arquitectura pesada centrada en un backend en C# y MSSQL Express, el servidor no oficial compatible basado en Rust, Vaultwarden, es más simple y ligero, por lo que suele preferirse en despliegues pequeños y medianos
  • La licencia restrictiva de @bitwarden/sdk-internal, incorporada al cliente en 2024, fue relicenciada como GPLv3 tras la reacción de la comunidad, pero aumentó la preocupación de que el proyecto se mueve más hacia suscripciones SaaS que hacia su parte libre y de código abierto
  • En los clientes de Bitwarden se han acumulado fallas como errores al importar bóvedas, falta de movimiento de elementos entre bóvedas de organization y bóvedas individuales, soluciones alternativas con exportación en JSON en texto plano, imposibilidad de acceder a la bóveda por actualizaciones automáticas, una UI lenta y una experiencia de autocompletado incómoda
  • En vez de confiar todas las credenciales a una sola bóveda, resulta más adecuado segmentarlas entre proyectos profesionales o de clientes, cuentas con PII, cuentas sin PII, infraestructura y secretos de un solo uso, usando herramientas como gestores de contraseñas SaaS, variantes de KeePass, HashiCorp Vault y pass

Por qué ya no recomiendo Bitwarden

  • Hace casi 4 años publiqué cómo operar tu propio LastPass sobre hardened OpenBSD, explicando una configuración en la que se instala Vaultwarden en una instancia de OpenBSD o en una Raspberry Pi bare metal y se usa como backend para las apps cliente de Bitwarden
  • Después de usar personalmente un enfoque similar durante años, llegué a la conclusión de que ya no recomiendo usar Bitwarden
  • Los problemas centrales se resumen en el peso del servidor oficial, la falta de claridad en su rumbo open source, la calidad y UX de las apps cliente, los problemas de seguridad recurrentes y el riesgo estructural de confiar todas las credenciales a un solo administrador de contraseñas

Un gestor de contraseñas premium con doble licencia

  • Wikipedia describe a Bitwarden como un servicio premium de gestión de contraseñas open source para almacenar información sensible, y señala que es propiedad de Bitwarden, Inc. y desarrollado por esa empresa
  • Bitwarden desarrolla el servidor oficial y las apps cliente para la mayoría de las plataformas, y también ofrece un producto SaaS para usuarios que no quieren alojarlo por su cuenta
  • El precio del producto alojado es similar al de sus competidores, aunque con diferencias de funciones, y las apps cliente son las mismas tanto si se usa el hosting de Bitwarden como si se hace self-hosting
  • En 2022, Bitwarden recibió una inversión de crecimiento de 100 millones de dólares de PSG, con participación de Battery Ventures
  • Un gestor de contraseñas que busca mantener el open source no es lo mismo que uno cuyo directorio incluye inversionistas que esperan retorno sobre una inversión de 100 millones de dólares; desde ese punto, el producto puede empezar a moverse más en función de los inversionistas que de los usuarios

El contraste entre el servidor oficial y Vaultwarden

  • Se dice que hacer self-hosting de Bitwarden te lleva con bastante rapidez al infierno del software empresarial
  • El despliegue estándar del servidor Bitwarden consiste en un backend pesado en C# e incluye MSSQL Express, y no funciona junto con bases de datos más amigables para Linux como PostgreSQL o MariaDB
  • Según el tamaño del despliegue y los requisitos de alta disponibilidad, puede ser necesario usar Kubernetes, lo que añade overhead y complejidad
  • En despliegues pequeños y medianos, muchas veces se prefiere Vaultwarden
    • Vaultwarden es un servidor no oficial compatible con Bitwarden escrito en Rust
    • Es más simple y ligero que el servidor oficial de Bitwarden, lo que representa una gran diferencia para los administradores
    • El hecho de que en GitHub parezca tener cerca de 3 veces más estrellas que la implementación oficial hace pensar cómo están percibiendo la dirección del stack oficial los usuarios más técnicos de Bitwarden
  • Una empresa que recibió una inversión Serie B de 100 millones de dólares podría haber considerado sumar a quienes construyeron una implementación de backend mucho más exitosa para optimizar y acelerar el stack oficial

Bitwarden lite y la dirección del open source

  • En lugar de adoptar Vaultwarden como proyecto oficial, Bitwarden parece haber contratado a su desarrollador principal y luego publicado Bitwarden lite, una versión más ligera de su backend existente
  • Bitwarden lite sigue siendo un servicio basado en .NET de Microsoft, y se considera que aún requiere más de 3 veces la RAM que normalmente consume una instancia de Vaultwarden
  • La naturaleza open source de Bitwarden se ha vuelto más difusa durante el último año aproximadamente
    • A fines de 2024, los usuarios descubrieron una nueva dependencia @bitwarden/sdk-internal en el cliente
    • Esa licencia incluía texto que impedía usar ese SDK en software distinto de Bitwarden, en implementaciones no compatibles con Bitwarden o para desarrollar otros SDK
  • En un producto que se presenta como open source, ese tipo de licencia se interpretó como un punto de inflexión importante
  • Tras una reacción considerable de la comunidad, Bitwarden lo calificó como un “error de empaquetado” y finalmente relicenció el SDK bajo GPLv3
  • En lo técnico, el problema quedó resuelto, pero en lo filosófico dio la impresión de que la parte libre y open source sirve de anzuelo, mientras que el producto real es la suscripción SaaS y la comunidad queda relegada a aportar issues y traducciones
  • Una crítica relacionada puede leerse en The freeware parts are bait

Las apps cliente son el problema principal

  • Incluso dejando de lado el backend, el mayor problema de Bitwarden se considera que son las aplicaciones cliente
  • Se evalúa que funciones publicitadas no funcionan como se espera, que tras 10 años del lanzamiento aún faltan funciones básicas, y que la interfaz de usuario queda mal parada frente a alternativas de precio similar
  • Si Bitwarden fuera un esfuerzo puramente comunitario y FOSS, quizá estos defectos podrían pasarse por alto, pero al tratarse de una empresa financiada con capital de riesgo es difícil aplicarle el mismo estándar
  • También se ve que la comunidad queda atada a procesos burocráticos, lo que deja claro que Bitwarden es más un producto corporativo que un esfuerzo comunitario

Problemas de migración de bóvedas

  • Hace alrededor de un año, ayudé a un usuario que quería pasarse de un producto competidor a Bitwarden con la idea de apoyar software open source mediante una suscripción anual en vez de una plataforma propietaria
  • Surgieron problemas durante la importación de la bóveda desde el gestor de contraseñas anterior hacia una nueva cuenta de Bitwarden y, según este reporte de bug en GitHub, al menos una bóveda requería una solución técnica bastante rebuscada para lograr que la importación funcionara
  • La función de migración e importación se promocionaba en varios materiales de marketing y en la documentación de Bitwarden, y varios usuarios ya habían pasado por el mismo problema
  • Aun así, en vez de resolver ese issue, se percibió que Bitwarden pidió abrir otra discusión en el foro comunitario
  • Este tipo de burocracia corporativa no encaja con la idea de software open source y resulta difícil de justificar cuando una función promocionada, tanto en software open source como en un producto de pago, simplemente no funciona en la práctica
  • Al probar la misma importación en alternativas propietarias de Bitwarden, funcionó sin problemas

Falta de mover elementos entre bóvedas

  • El problema de migración no se limita solo a la importación inicial
  • Incluso si se intenta mover elementos entre una bóveda de organization y una bóveda individual dentro de Bitwarden, hasta ahora no existe una función adecuada para mover los elementos seleccionados a otro lugar
  • Si son unos pocos inicios de sesión, se pueden duplicar y editar, pero cuando hay que reorganizar cientos de elementos, salir de una organización o consolidar varias organizaciones, el trabajo repetitivo se vuelve excesivo
  • La solución alternativa oficial que recomiendan el soporte de Bitwarden y el hilo de la comunidad consiste en exportar la bóveda de origen como JSON sin cifrar, modificar el archivo y luego volver a importarlo en la bóveda de destino
  • Este proceso crea un riesgo de seguridad, ya que más de 500 credenciales pueden quedar en texto plano en ~/Downloads o en directorios sincronizados en la nube como Dropbox, OneDrive o iCloud
  • La exportación no incluye archivos adjuntos, y tampoco elementos de la papelera, historial de contraseñas ni marcas de tiempo
  • Para organizaciones que dependen de archivos adjuntos como claves SSH, claves de licencia o códigos de recuperación en imagen, o de historiales de contraseñas por cumplimiento y auditoría, es un método difícil de aceptar
  • Que un producto que debería ser la única fuente de verdad de las credenciales no ofrezca, ni siquiera en su décimo año, un botón para mover íntegramente 500 elementos a otra bóveda deja ver cuáles son sus prioridades de ingeniería

El problema de que las actualizaciones del cliente rompan funciones

  • Bitwarden distribuye actualizaciones del cliente sin aviso previo al usuario, y a veces esas actualizaciones pueden provocar desde el lado del cliente que la bóveda quede inaccesible
  • Mientras viajaba, F-Droid actualizó Bitwarden durante la noche mientras el teléfono estaba conectado, y a la mañana siguiente no se podía acceder a la bóveda desde la app de Bitwarden necesaria para iniciar sesión en el banco
  • Llevar tiempo identificar la causa, y la situación se confirmó mediante el issue de bitwarden/android y la discusión de Vaultwarden
  • Se evitó una situación peor porque se tenía una UPDC que alojaba el backend de Bitwarden
  • La forma de empujar una actualización que parece introducir cambios de protocolo incompatibles entre cliente y backend se sintió irresponsable, y llevó a la conclusión de que no se puede confiar en Bitwarden para usuarios que necesitan confiar en un gestor de contraseñas en modo offline
  • Después de eso, se desactivaron las actualizaciones automáticas del cliente de Bitwarden y se exportó una instantánea actualizada de todas las contraseñas a respaldos locales basados en KeePassChi, KeePassXC y KeePassDX
  • Se considera que este problema, a diferencia de lo que afirman empleados de Bitwarden, no es exclusivo de Vaultwarden
    • En el repositorio bitwarden/android hay varios reportes similares
    • La regresión de la versión 2025.12.x recibió reportes de que pedía la contraseña maestra dos veces después de iniciar sesión y hacía que la app se cerrara inesperadamente
    • La versión 2025.6.0 recibió reportes de que provocaba cierres inmediatos al iniciar para varios usuarios
  • La app de Android fue reescrita por completo en 2024, pasando de .NET MAUI a Kotlin nativo, y desde el lanzamiento de v2024.10.1 se dice que siguen apareciendo regresiones en cada lanzamiento trimestral

Experiencia de usuario y calidad de las apps de escritorio y móviles

  • Bitwarden ha sido calificado subjetivamente como una de las peores apps en términos de UI tanto en teléfono como en escritorio
  • Incluso después de usarlo durante años, llegaba a dar pereza abrir la extensión de ungoogled-chromium o las apps de escritorio y móvil
  • Compilar desde el código fuente la app de escritorio basada en Electron es muy engorroso, y el Flatpak precompilado no funciona bien en Wayland
  • El cliente y la extensión sí admiten uso offline, pero no parece que hayan sido diseñados con el uso offline como prioridad
    • Al abrir la app móvil o la extensión del navegador hay una demora que da la impresión de que intenta conectarse al backend
    • En configuraciones donde el backend no está expuesto a internet pública, esa demora puede ir de varios segundos a varios minutos
    • No parece haber forma de desactivar la sincronización al desbloquear la bóveda para evitar esperas innecesarias
  • La lista de inicios de sesión de Vault en la extensión del navegador también resulta incómoda
    • Normalmente otros gestores de contraseñas rellenan el formulario de inicio de sesión al hacer clic en un elemento de la lista
    • En Bitwarden, al hacer clic en todo el elemento de la lista se abre la pantalla de detalles, y para el autocompletado hay que presionar el pequeño botón Fill de la derecha
    • Al pasar el mouse se resalta el elemento grande de la lista, pero el autocompletado real está ligado solo al botón pequeño, lo que dificulta su uso
    • Tampoco parece existir una opción para cambiarlo de modo que hacer clic en el elemento haga el autocompletado y el botón pequeño abra los detalles
  • Problemas similares aparecen repetidamente en Hacker News y en la comunidad
  • Tampoco se han atendido solicitudes de funciones que siguen en el foro de la comunidad desde 2021, como un historial simple de edición por elemento, y hasta revendedores MSP han criticado públicamente el “desarrollo de funciones glacialmente lento”

La interfaz riesgosa del CLI de Bitwarden

  • El CLI de Bitwarden también ha sido calificado como deficiente en su interfaz de usuario
  • El list del bw tool muestra detalles completos de todos los elementos, incluidas contraseñas y códigos TOTP, incluso sin flags adicionales como --show-credentials
  • Se critica que está diseñado sin considerar suficientemente situaciones en las que bw list pueda enviarse por error por pipe a otro lugar y exponer involuntariamente todas las credenciales
  • También se señala como problema que el CLI de Bitwarden sea una herramienta de terminal hecha en TypeScript
    • Tiene mucho runtime y muchas dependencias
    • Se considera que el stack de JavaScript ya no es una opción ligera para ejecutar despreocupadamente en entornos de CI

Historial de seguridad

  • La función central de un administrador de contraseñas es mantener a los usuarios seguros y resguardar sus credenciales de forma segura.
  • Como producto que existe desde 2016, Bitwarden ha recibido críticas por haber atravesado una cantidad nada menor de problemas de seguridad desplegados en producción real.
  • Esto no significa que cada incidente individual haya sido catastrófico, pero sí se señalan como problemas una postura de seguridad centrada en reaccionar después de los hechos, respuestas del tipo “comportamiento intencional” ante hallazgos desconcertantes, la dependencia de la cadena de herramientas de Node.js para un CLI clave en seguridad y un patrón de atención tardía a problemas que investigadores externos ya habían señalado con anticipación.

  • 2023: KDF

    • En enero de 2023, justo después de la intrusión a LastPass, el investigador de seguridad Wladimir Palant publicó un análisis según el cual las 200,001 iteraciones de PBKDF2 anunciadas por Bitwarden en realidad estaban más cerca de 100,000.
    • La razón era que las iteraciones adicionales del lado del servidor solo se aplicaban al hash de la contraseña maestra usado para iniciar sesión, y no a la clave de cifrado que protege los datos de la bóveda.
    • Se señaló que un atacante con acceso a una bóveda filtrada podía omitir por completo el servidor, y que el nivel de seguridad efectivo terminaba siendo el mismo que el de LastPass.
    • La cantidad predeterminada de iteraciones del lado del cliente también era de apenas 100,000, por debajo de la recomendación de OWASP en ese momento, y esta preocupación ya se había planteado desde 2020.
    • Bitwarden finalmente elevó el valor predeterminado a 600,000 y agregó soporte para Argon2, pero el cambio inicial solo se aplicó a cuentas nuevas, por lo que los usuarios existentes tuvieron que modificar manualmente la configuración de KDF.

  • 2023: bypass de Windows Hello

    • En 2023, RedTeam Pentesting dio a conocer la vulnerabilidad del cliente de escritorio de Windows “Bitwarden Heist”.
    • Esta vulnerabilidad, identificada como CVE-2023-27706, permitía que un atacante con privilegios de administrador de dominio extrajera la clave de descifrado de la bóveda desde el almacenamiento local de DPAPI sin necesidad de Windows Hello ni del prompt de contraseña maestra.
    • Los investigadores describieron que cualquier proceso ejecutándose en una sesión de usuario con pocos privilegios podía pedirle a DPAPI las credenciales para desbloquear la bóveda.
    • La corrección se incluyó en la versión 2023.4.0, varios meses después de la divulgación inicial.

  • 2023: autocompletado entre orígenes

    • Ese mismo año se divulgó CVE-2023-27974.
    • La extensión de navegador de Bitwarden ofrecía rellenar credenciales incluso en iframes entre dominios incluidos en una página confiable, siempre que coincidiera el dominio base.
    • Por ejemplo, si trusted.com incluía un iframe de attacker.trusted.com y ese subdominio estaba controlado por un tercero, era posible robar credenciales.
    • Bitwarden respondió que necesitaba manejar los iframes de esa manera por compatibilidad, y que “Auto-fill on page load” no estaba activado por defecto.
    • Para los usuarios que sí tenían activada esa opción, eso fue un consuelo mínimo.

  • 2025: clickjacking basado en DOM

    • En agosto de 2025, el investigador de seguridad Marek Tóth reveló un tipo de ataque de clickjacking basado en DOM que podía hacer que la extensión de navegador de Bitwarden autocompletara datos de tarjetas de crédito e información personal con un solo clic desde una página maliciosa.
    • La vulnerabilidad había sido reportada en abril de 2025, cuatro meses antes de su publicación, pero Bitwarden la clasificó como “moderate severity”.
    • El parche se incluyó en la versión 2025.8.2, desplegada el mismo día en que terminó el embargo del investigador.

  • 2026: Shai-Hulud

    • Unos días antes de escribir este texto, el cliente oficial de Bitwarden CLI 2026.4.0 fue comprometido en el ataque en curso a la cadena de suministro de Checkmarx.
    • La versión del paquete afectada parece haber sido @bitwarden/cli2026.4.0, y el código malicioso fue publicado en bw1.js, incluido en el paquete.
    • Todo indica que el ataque aprovechó una GitHub Action comprometida del pipeline de CI/CD de Bitwarden, en un patrón consistente con otros repositorios afectados por esta campaña.
    • Las organizaciones que instalaron el paquete npm malicioso de Bitwarden deberían tratarlo como un incidente de exposición de credenciales y compromiso de CI/CD.
    • El payload descarga el runtime de Bun, descifra el gusano Shai-Hulud de segunda etapa y luego recopila tokens de GitHub y npm, claves SSH, historial de shell, credenciales de AWS, GCP y Azure, secretos de GitHub Actions e incluso archivos de configuración de MCP usados por herramientas de IA.
    • Los datos robados se exfiltraban creando automáticamente un repositorio público en la propia cuenta de GitHub de la víctima y subiéndolos allí.
    • El pipeline de publicación en npm de Bitwarden estuvo comprometido durante unas 19 horas, tiempo suficiente para que 334 desarrolladores descargaran el paquete malicioso.
    • La postura oficial de Bitwarden enfatizó que no se accedió a los datos de las bóvedas de los usuarios finales, pero quienes ejecutaron bw en un pipeline de CI terminaron entregando a los atacantes otros secretos presentes en esa máquina.
    • Se ha señalado que, si bw hubiera sido un binario único enlazado estáticamente, como es común en los ecosistemas de Go o Rust, no habría existido el radio de impacto propio del formato npm.
    • Aunque los ataques a la cadena de suministro también están aumentando en los ecosistemas de Go y Rust, se considera que la barrera para ejecutar un ataque exitoso sigue siendo más alta.

En adelante: dividir y aislar

  • Se llega a la conclusión de que no existe un único administrador de contraseñas que encaje perfectamente en todos los casos de uso y configuraciones.
  • En la vida personal no hace falta compartir una bóveda o contraseñas individuales con otras personas, pero en el trabajo esto sí es común.
  • Los accesos a cuentas bancarias o portales de seguros no necesitan usarse desde herramientas CLI, pero sí deben poder consultarse desde varios dispositivos.
  • Los secretos de almacenamiento en la nube o las claves privadas SSH para despliegues no necesitan sincronizarse con el teléfono, pero sí deben estar disponibles desde una herramienta de línea de comandos invocable por programa.
  • En vez de intentar resolverlo todo con un solo software o plataforma, resulta más razonable compartimentar mejor los grupos de credenciales.
  • También desde la perspectiva de seguridad, dividir los grupos de contraseñas entre distintos programas y servicios ayuda a reducir el alcance del impacto en caso de una filtración de datos.

Clasificación de credenciales y elección de herramientas

  • Grupo A: proyectos profesionales y de clientes

    • Grupo A corresponde a credenciales de proyectos profesionales y de clientes, como inicios de sesión en plataformas
    • Se usa un gestor de contraseñas SaaS que ofrece compartición adecuada de bóvedas, integración con las herramientas que realmente usan los clientes, SSO, extensiones de navegador para dispositivos corporativos, registros de auditoría y elimina la carga de hospedarlo
    • La plataforma es un producto propietario, así que en circunstancias normales no sería la opción preferida, pero como el alcance de este grupo se limita al trabajo con clientes, se acepta ese intercambio

  • Grupo B: cuentas con PII

    • Grupo B corresponde a credenciales de cuentas que contienen PII, como cuentas bancarias y tiendas en línea
    • Estas cuentas ya contienen datos personales como nombre, dirección, fecha de nacimiento e información de pago, y esos propios servicios también sufren filtraciones con regularidad, algo que incluso puede comprobarse en Have I Been Pwned
    • Se considera que un compromiso del gestor de contraseñas no ampliaría de forma significativa la información que un atacante ya conoce
    • Con TOTP y Passkeys disponibles, lo importante aquí es la disponibilidad entre dispositivos, la confiabilidad y las funciones sin conexión
    • Para que no se vea comprometido automáticamente junto con el Grupo A, se usa un segundo gestor de contraseñas en la nube, separado y de otro proveedor, con una contraseña maestra distinta y un mecanismo de recuperación diferente
    • Como se planea usar la app móvil en al menos un dispositivo con GrapheneOS, se prefiere una solución que no dependa de Google Play Services y que, de ser posible, ofrezca clientes de código abierto o con código fuente disponible

  • Grupo C: cuentas sin PII

    • Grupo C incluye foros de internet, sitios web, servicios que respetan la privacidad y cuentas que no conservan PII
    • Para este grupo no se necesita ni se quiere un servicio en la nube
    • Se usan KeePassChi, KeePassXC y KeePassDX, y el archivo de base de datos se coloca en una carpeta sincronizada entre dispositivos con Syncthing
    • Este enfoque ya se trató antes en un artículo sobre crear un Dropbox descentralizado con Syncthing
    • Como el archivo .kdbx en sí está cifrado, incluso si Syncthing se viera comprometido y un atacante obtuviera el archivo, tendría que romper el cifrado de KeePassChi/KeePassXC para sacar información útil
    • En móvil, KeePassDX en Android puede leer el mismo archivo sin problemas

  • Grupo D: infraestructura

    • Grupo D corresponde a credenciales de infraestructura, como inicios de sesión en servidores y claves SSH
    • Las credenciales personales se guardan de la misma forma que en el Grupo C
    • Las credenciales que realmente usan scripts, trabajos de CI y servidores remotos se gestionan con HashiCorp Vault
    • HashiCorp Vault ya era una herramienta que se operaba en la configuración de OpenBSD con fines de PKI
    • Puede ser algo excesivo para un solo usuario, pero ofrece políticas de acceso, autenticación basada en tokens para agentes de automatización, credenciales de corta duración cuando están soportadas y registros de auditoría
    • También se está evaluando Infisical

  • Grupo E: credenciales de un solo uso

    • Grupo E corresponde a claves API, tokens de acceso personal y secretos arbitrarios que solo se usan desde la línea de comandos
    • Se usa la antigua utilidad pass
    • pass guarda cada secreto como un archivo individual cifrado con GPG dentro de un repositorio Git
    • La estructura es simple, fácil de auditar y encaja bien con scripts de shell y dotfiles
    • El repositorio Git está en infraestructura propia, no en GitHub, y solo se sincroniza manualmente cuando realmente hace falta acceder a él desde otra máquina

Conclusión sobre pasar de una bóveda única a varias herramientas

  • Para alguien acostumbrado al mundo de la bóveda única, esto puede parecer una configuración excesiva y con demasiadas piezas móviles
  • Después de años usando Bitwarden como solución para todo, la conclusión fue que one size fits all en realidad era one size fits poorly
  • Dividir las credenciales entre varias herramientas resultó ser mucho menos doloroso de lo esperado al principio, porque cada herramienta encajaba mejor en una tarea específica
  • Incluso si una de las herramientas se ve comprometida, el radio de impacto queda limitado a una categoría de secretos y no a todas las credenciales

Juicio final

  • Después de años autoalojando Bitwarden, se considera que el producto se ha ido alejando cada vez más de la dirección que se esperaba al principio
  • Una arquitectura orientada primero a la empresa que apenas cabe en una Raspberry Pi, un intento a medias de un backend ligero, la controversia por la licencia del SDK, la lenta velocidad de atención de funciones, problemas de UX sin resolver durante años y problemas de seguridad que nunca debieron llegar a desplegarse forman en conjunto una imagen que no encaja con la narrativa de “un gestor de contraseñas de código abierto para todos”
  • Eso no significa que las alternativas sean universalmente mejores o que no tengan problemas
  • Los gestores de contraseñas son intrínsecamente difíciles, y todos los actores de este espacio tienen sus propios problemas
  • Hay que revisar con rigor cuánto se está confiando todas las credenciales a una sola pieza de software, y si esa apuesta sigue siendo correcta; en este caso, la conclusión fue que ya no lo era

Discusión relacionada

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Opiniones en Lobste.rs

  • También me molesta el mensaje flash de desactivar JavaScript que aparece al cambiar de pestaña, y también me molesta que cambie el título de la pestaña
    No voy a desactivar JavaScript por defecto. Demasiados sitios se rompen por eso
    Para la mayoría de los sitios que visito normalmente, un bloqueador de anuncios basta, y NoScript solo lo uso en algunos sitios problemáticos; parece que este sitio entró en esa lista

    • De verdad me molesta que para leer algo en internet se espere por defecto la ejecución de código arbitrario
      Estoy de acuerdo, pero alguien tiene que hacer algo. Como dices, la comodidad de tener JavaScript activado en todos lados pesa más que este solo sitio, pero algún día esa comodidad va a cruzar el umbral crítico
    • En la oficina lo evito a propósito desde que ese sitio mostró “steve ballmer nude pics” como un <title> “gracioso”
    • Simplemente ese estilo de redacción no es de mi gusto
    • Entiendo lo que dices y, de hecho, estoy de acuerdo porque también dejo JavaScript activado por defecto
      Pero no hago excepciones para sitios problemáticos; los borro del historial y procuro no volver
      Al mismo tiempo, también entiendo la intención del autor. No parece que solo quiera trolear, sino más bien decir: “Sí, esto es una canallada. Pero, ¿tiene sentido que en la web cualquier sitio por defecto pueda hacer esto o cosas mucho peores?”
      JavaScript ha hecho posible gran parte de mi carrera profesional, pero me sigue pareciendo una locura que una página de solo texto o imágenes pueda ejecutar código arbitrario sin ninguna advertencia o pista, y usar CPU, ancho de banda y otros recursos sin límite

  • También hay cosas de KeePassXC que me dan mala espina
    Me preocupa que el uso de herramientas de IA acelere la incorporación de funciones no deseadas ni necesarias en un gestor de contraseñas. Por ahora parece que se usa sobre todo para corregir bugs, pero una vez que se arreglen la mayoría, ya sabemos qué sigue. La tentación es demasiado grande
    Hace poco añadieron “más compatibilidad de formatos de archivo en el visor de adjuntos en línea (imágenes, HTML, Markdown), y edición de adjuntos de archivos de texto”, y yo no quiero ese tipo de código dentro de un gestor de contraseñas. Ya existen editores de texto y apps para ver archivos
    Están compitiendo duro con 1Password, así que bastaría con enfocarse en la mejor experiencia de usuario posible. Todavía no estoy listo para confiar en los desarrolladores de KeePassX? KeePassChi? ChiPass?

  • Casi en todo prefiero software libre y de código abierto, pero para gestores de contraseñas he usado 1Password desde hace tiempo
    En esta categoría decidí no escatimar, y con el modelo de suscripción me pareció que el negocio de la empresa no dependía de hacer upselling desde un plan gratuito, sino de vender un producto que realmente funciona
    Ojalá fuera open source, pero aparte de eso la sincronización entre dispositivos es estable y la extensión del navegador hace su trabajo sin problemas

    • Antes era fan de 1Password y lo usé por más de 10 años
      Mi límite final fue cuando básicamente bloquearon la posibilidad de usar tu propio método de sincronización en vez de guardar mis datos en sus servidores
      En ese momento los clientes fuera de Apple tampoco eran muy buenos, y también influyó que cada vez usaba más plataformas no Apple. Parece que eso mejoró en los últimos años, pero no lo he vuelto a intentar
      No me fui por dinero. Ahora uso VaultWarden con almacenamiento de datos autoalojado y aun así le pago a Bitwarden
      Aunque prefiero software libre y de código abierto, en herramientas como esta el criterio absoluto es poder controlar dónde se almacenan los datos
    • En ciertas situaciones la sincronización todavía falla
      Si cambias una credencial en otro lugar que no sea un dispositivo Android, la primera vez que usas 1Password en Android después de eso completa la credencial anterior antes de que se sincronice el valor nuevo
      El primer inicio de sesión falla, y cuando me doy cuenta de la razón e intento de nuevo, ya se terminó la sincronización y sí funciona. Me desespera cada vez

  • En general estoy de acuerdo con los argumentos en contra de Bitwarden, pero muchos de los problemas planteados no son tan graves y algunos parecen venir de una configuración personalizada como VaultWarden o GrapheneOS
    He usado Bitwarden durante unos 5 o 6 años, y el único problema que tuve fue que la extensión del navegador se puso lenta por un tiempo después del rediseño de la UI. Lo resolví bajando a una versión anterior de la extensión desde los releases de GitHub y usándola así unos meses
    Si alguien se tomó el tiempo de escribir algo tan largo, me habría gustado que al menos mencionara una alternativa SaaS real a la cual cambiarse. Si el lector investiga por su cuenta quizá hasta le vaya mejor eligiendo un gestor SaaS que le encaje, pero igual da lata
    Me gustaría oír de otros gestores de contraseñas que ofrezcan hosting gratuito, soporte offline, sincronización automática en la nube, extensión de navegador con atajo de autocompletado, app móvil y, de ser posible, una alternativa open source
    Buscando un poco, parece que Proton Pass cumple con todo eso para quien esté buscando alternativa. Tal vez lo pruebe algún día, pero por ahora Bitwarden me funciona bien

    • Solo he usado la configuración oficial de Bitwarden, y una de esas críticas sí me parece válida
      Organizar elementos dentro de Bitwarden es casi demencial
      Aunque fuera solo poder arrastrar columnas para mover elementos entre organizaciones ya sería excelente, pero lo que queda ahora es un sistema muy limitado
      Es ridículo que en un software de pago la única solución real sea crear tus propias herramientas de administración
    • En Firefox sigue siendo lentísimo, tanto que terminé dejando la extensión y usando la app de escritorio
    • Todos los problemas de línea de comandos se resuelven con rbw
      Lo descubrí hace relativamente poco y me cambié por completo

  • pass, el “gestor de contraseñas estándar de UNIX”, también está muy bien. Lo he usado por más de 10 años
    https://www.passwordstore.org/

  • Yo uso Bitwarden, así que esperaba que este texto me convenciera de dejarlo y propusiera un enfoque mejor
    Pero si alguien dedicó tiempo a escribir algo tan largo y aun así no tiene más que quejas bastante menores ni una propuesta mucho mejor, eso más bien me deja más tranquilo respecto a Bitwarden

    • Es casi decepcionante
      Bitwarden implementa el desbloqueo del almacén con passkeys. Era el último secreto que todavía tenía que memorizar
      Cualquier alternativa por lo menos tendría que hacer eso

  • Como usuario de Bitwarden, lo recomiendo
    Es barato, ofrece todo lo que necesito y es software libre y de código abierto
    No tengo tiempo para usar 5 soluciones de gestión de contraseñas, 4 herramientas de línea de comandos y 3 contraseñas maestras. Bitwarden está bastante bien
    1Password me da una vibra totalmente maligna y no quiero involucrarme con eso

    • Pasé por Chrome, sincronización autoalojada de KeePass y Firefox, y terminé en Bitwarden
      Definitivamente fue lo más fácil para cambiarme y compartir con la familia. La suscripción también es muy barata

  • ¿Hay alguna otra solución open source que soporte compartir credenciales como Bitwarden?
    Llevo más de 15 años usando KeePass/KeePassXC, pero cuando hay que compartir paquetes de credenciales con compañeros no desarrolladores o con la familia, no he encontrado una solución mejor que Bitwarden
    Nunca me ha encantado Bitwarden, pero en cuanto a almacenamiento, compartición y sincronización de credenciales, siempre ha sido la opción menos mala

    • Hace poco encontré Passbolt[0]
      Igual que Bitwarden, da una impresión muy empresarial, pero se ve interesante. No sé si realmente sea bueno, pero sí parece una posible alternativa a Bitwarden
      [0]: https://www.passbolt.com/
    • También puedes mover todas tus contraseñas a otro gestor que te guste más y seguir usando Bitwarden solo para las credenciales compartidas

  • Llevo un tiempo usando keepassXC y keepassDX. Los nombres son realmente tontos
    Espero que algún día terminemos cambiándonos a ChiPass

  • Si es GPG… probablemente sea algo como cifrar para uno mismo con RSA, ¿no?
    Mejor usar age