Não recomendo o Bitwarden

 (マリウス.com)
1 pontos por GN⁺ 2 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Após anos de uso com hospedagem própria, o Bitwarden se tornou uma escolha difícil de recomendar por causa do peso do servidor oficial, da direção open source cada vez menos clara, da baixa qualidade dos clientes e de problemas de segurança recorrentes
  • Enquanto o servidor oficial do Bitwarden tem uma arquitetura pesada centrada em backend em C# e MSSQL Express, o servidor compatível não oficial baseado em Rust Vaultwarden é mais simples e leve, sendo preferido em implantações de pequeno e médio porte
  • A licença restritiva do @bitwarden/sdk-internal, adicionada ao cliente em 2024, foi relicenciada como GPLv3 após reação negativa, mas aumentou as preocupações de que a empresa esteja se movendo mais em direção a assinaturas SaaS do que à parte gratuita e open source
  • Nos clientes do Bitwarden, acumulam-se problemas como falha na importação do cofre, ausência de movimentação de itens entre cofres de organization e cofres individuais, solução alternativa de exportação em JSON em texto puro, perda de acesso ao cofre causada por atualização automática, UI lenta e UX de preenchimento automático incômoda
  • Em vez de confiar todas as credenciais a um único cofre, faz mais sentido segmentá-las entre ferramentas como gerenciadores de senha SaaS, a família KeePass, HashiCorp Vault e pass, separando projetos profissionais/de clientes, contas com PII, contas sem PII, infraestrutura e segredos de uso único

Por que deixei de recomendar o Bitwarden

  • Há quase 4 anos, publiquei como operar sua própria alternativa ao LastPass em OpenBSD endurecido, mostrando uma configuração em que se roda o Vaultwarden em uma instância OpenBSD ou em um Raspberry Pi bare metal e se usa isso como backend dos aplicativos cliente do Bitwarden
  • Depois de usar pessoalmente uma abordagem parecida por vários anos, cheguei agora à conclusão de que não recomendo mais usar o Bitwarden
  • Os problemas centrais se resumem ao peso do servidor oficial, à falta de clareza na direção open source, à qualidade e UX dos aplicativos cliente, aos problemas de segurança recorrentes e ao risco estrutural de confiar todas as credenciais a um único gerenciador de senhas

Um gerenciador de senhas premium com licenciamento duplo

  • A Wikipedia descreve o Bitwarden como um serviço premium open source de gerenciamento de senhas para armazenar informações sensíveis, e o apresenta como pertencente e desenvolvido pela Bitwarden, Inc.
  • O Bitwarden desenvolve o servidor oficial e os aplicativos cliente para a maioria das plataformas, além de oferecer um produto SaaS para usuários que não querem hospedar por conta própria
  • O preço do produto hospedado é semelhante ao dos concorrentes, embora haja diferenças de recursos, e os aplicativos cliente são os mesmos tanto para quem usa a hospedagem da empresa quanto para quem faz self-hosting
  • Em 2022, o Bitwarden recebeu um investimento de US$ 100 milhões liderado pela PSG growth equity, com participação da Battery Ventures
  • Um gerenciador de senhas que tenta manter o open source é diferente de um gerenciador de senhas cujo conselho tem investidores esperando retorno sobre US$ 100 milhões; a partir desse ponto, fica mais fácil o produto passar a se mover em função dos investidores, e não dos usuários

Contraste entre o servidor oficial e o Vaultwarden

  • Há quem diga que, ao hospedar o Bitwarden por conta própria, você entra relativamente rápido no inferno do software corporativo
  • A implantação padrão do servidor Bitwarden é um backend pesado em C# com MSSQL Express incluído, e não funciona com bancos de dados mais amigáveis ao Linux, como PostgreSQL ou MariaDB
  • Dependendo da escala da implantação e dos requisitos de alta disponibilidade, pode ser necessário usar Kubernetes, o que adiciona overhead e complexidade
  • Em implantações de pequeno e médio porte, muitas vezes se prefere o Vaultwarden
    • O Vaultwarden é um servidor não oficial compatível com o Bitwarden, escrito em Rust
    • Ele é mais simples e leve que o servidor oficial do Bitwarden, o que faz grande diferença para administradores
    • O fato de o número de estrelas no GitHub parecer ser cerca de 3 vezes maior que o da implementação oficial leva a refletir sobre como os usuários mais técnicos do Bitwarden enxergam hoje a direção da stack oficial
  • Para uma empresa que recebeu uma rodada Series B de US$ 100 milhões, era possível ao menos considerar trazer para a stack oficial — para otimizá-la e acelerá-la — as pessoas que construíram uma implementação de backend muito mais bem-sucedida

Bitwarden lite e a direção open source

  • Em vez de adotar o Vaultwarden como projeto oficial, o Bitwarden aparentemente contratou o principal desenvolvedor do Vaultwarden e depois lançou o Bitwarden lite, uma versão mais leve do backend existente
  • O Bitwarden lite continua sendo um serviço baseado em .NET da Microsoft e, segundo avaliações, parece exigir mais de 3 vezes a RAM normalmente consumida por uma instância do Vaultwarden
  • O caráter open source do Bitwarden ficou mais nebuloso ao longo do último ano
    • No fim de 2024, usuários descobriram que uma nova dependência, @bitwarden/sdk-internal, havia entrado no cliente
    • A licença incluía texto dizendo que esse SDK não poderia ser usado em software que não fosse o Bitwarden, em implementações não compatíveis com o Bitwarden ou no desenvolvimento de outros SDKs
  • Em um produto que se apresenta como open source, esse tipo de cláusula de licença foi visto como um ponto de virada importante
  • Após forte reação da comunidade, o Bitwarden chamou isso de "bug de empacotamento" e, no fim, relicenciou o SDK sob GPLv3
  • Tecnicamente, o problema foi resolvido, mas filosoficamente ficou a impressão de que a parte gratuita e open source serve como isca, enquanto o produto real é a assinatura SaaS e a comunidade fica restrita ao papel de fornecer issues e traduções
  • Uma crítica relacionada é The freeware parts are bait

Os aplicativos cliente são o problema central

  • Mesmo deixando o backend de lado, o maior problema do Bitwarden são os aplicativos cliente
  • Recursos anunciados não funcionam como esperado, ainda faltam funções básicas mesmo após 10 anos de lançamento, e a interface do usuário é vista como inferior quando comparada a alternativas de preço parecido
  • Se o Bitwarden fosse um esforço puramente comunitário de FOSS, talvez desse para relevar essas falhas, mas é difícil aplicar o mesmo padrão a uma empresa financiada por capital de risco
  • O fato de a comunidade parecer presa a procedimentos burocráticos também mostra que o Bitwarden é mais um produto de empresa do que um esforço comunitário

Problemas de migração de cofres

  • Cerca de um ano atrás, ajudei um usuário que queria migrar de um produto concorrente para o Bitwarden, com a ideia de apoiar software open source por meio de uma assinatura anual em vez de usar uma plataforma proprietária
  • Houve problemas no processo de importar o cofre do gerenciador de senhas anterior para a nova conta Bitwarden e, segundo um relatório de bug no GitHub, pelo menos um cofre exigia uma gambiarra técnica considerável para que a importação fosse concluída com sucesso
  • As funções de migração e importação eram anunciadas em vários materiais de marketing e na documentação do Bitwarden, e diversos usuários já estavam enfrentando o mesmo problema
  • Ainda assim, o Bitwarden aparentemente pediu que se abrisse outra discussão no fórum da comunidade em vez de lidar com a issue
  • Esse tipo de burocracia corporativa não combina com a imagem de software open source e é difícil de justificar quando um recurso anunciado tanto no software open source quanto no produto pago simplesmente não funciona na prática
  • Quando a mesma importação foi testada em alternativas proprietárias ao Bitwarden, ela funcionou sem problemas

Ausência de movimentação de itens entre cofres

  • O problema de migração não se limita apenas à importação inicial
  • Mesmo ao tentar mover itens entre um cofre de organization e um cofre individual dentro do Bitwarden, até agora não existe um recurso adequado para mover os itens selecionados para outro lugar
  • Se forem apenas alguns itens de login, é possível duplicá-los e editá-los, mas em situações de organizar centenas de itens, sair de uma organização ou consolidar várias organizações, o trabalho repetitivo se torna excessivo
  • A solução alternativa oficial recomendada pelo suporte do Bitwarden e pela thread da comunidade é exportar o cofre de origem como JSON não criptografado, editar o arquivo e depois importá-lo novamente para o cofre de destino
  • Esse processo cria um risco de segurança em que mais de 500 credenciais podem ficar em texto puro em ~/Downloads ou em diretórios de sincronização em nuvem como Dropbox, OneDrive e iCloud
  • A exportação não inclui anexos de arquivo, itens da lixeira, histórico de senhas nem carimbos de data e hora
  • Para organizações que dependem de anexos como arquivos de chave SSH, chaves de licença, códigos de recuperação em imagem ou de histórico de senhas para conformidade e auditoria, é uma abordagem difícil de aceitar
  • O fato de um produto que deveria ser a única fonte da verdade para credenciais ainda não oferecer, após 10 anos, um botão para mover integralmente 500 itens para outro cofre revela as prioridades de engenharia

Atualizações do cliente quebrando funcionalidades

  • O Bitwarden distribui atualizações do cliente aos usuários sem aviso prévio, e essas atualizações às vezes podem causar, no lado do cliente, a impossibilidade de acessar o cofre
  • Durante uma viagem, enquanto o celular ficou conectado durante a noite, o F-Droid atualizou o Bitwarden e, na manhã seguinte, não foi possível acessar o cofre no app do Bitwarden necessário para o login do banco
  • Levou tempo para identificar a causa, e a situação foi confirmada por meio da issue do bitwarden/android e da discussão do Vaultwarden
  • Foi possível evitar uma situação pior porque havia uma UPDC que hospedava o backend do Bitwarden
  • Empurrar uma atualização que parece ter introduzido uma mudança de protocolo incompatível entre cliente e backend pareceu irresponsável, e levou à conclusão de que não era possível confiar no Bitwarden para usuários que precisam confiar em um gerenciador de senhas em modo offline
  • Depois disso, as atualizações automáticas do cliente Bitwarden foram desativadas, e o snapshot mais recente de todas as senhas foi exportado como backup local baseado em KeePassChi, KeePassXC e KeePassDX
  • Considera-se que esse problema, ao contrário do que afirmam funcionários do Bitwarden, não é exclusivo do Vaultwarden
    • Há vários relatos semelhantes no repositório bitwarden/android
    • A regressão da release 2025.12.x teve relatos de exigir a senha mestra duas vezes após o login e de fazer o app travar
    • A release 2025.6.0 teve relatos de provocar travamento imediato na inicialização para vários usuários
  • O app Android foi totalmente reescrito em 2024 de .NET MAUI para Kotlin nativo, e desde o lançamento da v2024.10.1 vem sendo avaliado como tendo regressões contínuas a cada release trimestral

Experiência do usuário e qualidade dos apps desktop e mobile

  • O Bitwarden foi avaliado como, subjetivamente, um dos piores apps em termos de UI tanto no celular quanto no desktop
  • Mesmo após anos de uso, chegou ao ponto de haver relutância em abrir a extensão do ungoogled-chromium ou os apps de desktop e mobile
  • Compilar o app desktop baseado em Electron a partir do código-fonte é muito trabalhoso, e o Flatpak pré-compilado não funciona corretamente no Wayland
  • Os clientes e extensões suportam uso offline, mas não parecem ter sido projetados com uso offline como prioridade
    • Ao abrir o app mobile ou a extensão do navegador, há uma demora que parece ser uma tentativa de conectar ao backend
    • Em configurações em que o backend não fica exposto à internet pública, essa demora pode ir de alguns segundos a vários minutos
    • Não parece haver uma forma de desativar a sincronização no desbloqueio do cofre para evitar esperas desnecessárias
  • A lista de logins do Vault na extensão do navegador também é incômoda
    • Normalmente, outros gerenciadores de senha preenchem o formulário de login ao clicar em um item da lista
    • No Bitwarden, clicar no item inteiro da lista abre a tela de detalhes, e é preciso apertar o pequeno botão Fill à direita para fazer o preenchimento automático
    • Ao passar o mouse, o item grande da lista fica destacado, mas o preenchimento automático continua vinculado apenas ao botão pequeno, dificultando a operação
    • Também não parece haver uma configuração para fazer o clique no item da lista executar o preenchimento automático e deixar o botão pequeno para abrir detalhes
  • Problemas parecidos aparecem repetidamente no Hacker News e na comunidade
  • Até pedidos de recurso como um simples histórico de edição por item, presentes no fórum da comunidade desde 2021, não foram atendidos, e até revendedores MSP criticaram publicamente o que chamaram de "desenvolvimento de funcionalidades glacialmente lento"

Interface arriscada da CLI do Bitwarden

  • A CLI do Bitwarden também é avaliada como tendo uma interface de usuário ruim
  • O comando list da ferramenta bw exibe detalhes completos de todos os itens, incluindo senhas e códigos TOTP, mesmo sem flags adicionais como --show-credentials
  • Há críticas de que o design não considerou suficientemente situações em que bw list pode ser enviado por engano para outro lugar via pipe e expor involuntariamente todas as credenciais
  • Também é apontado como problema o fato de a CLI do Bitwarden ser uma ferramenta de terminal feita em TypeScript
    • Há muito runtime e muitas dependências
    • A stack de JavaScript é avaliada como não sendo mais uma escolha leve para executar sem pensar em ambientes de CI

Histórico de segurança

  • O papel central de um gerenciador de senhas é manter o usuário seguro e armazenar as credenciais com segurança
  • Como um produto em uso desde 2016, o Bitwarden é avaliado como tendo passado por um número nada pequeno de problemas de segurança implantados em produção real
  • Isso não significa que cada incidente isoladamente tenha sido catastrófico, mas são apontados como problemas uma postura de segurança centrada em reação posterior, respostas no estilo “comportamento intencional” para descobertas constrangedoras, dependência da cadeia de ferramentas do Node.js para uma CLI de segurança crítica e um padrão de demora para tratar problemas já apontados previamente por pesquisadores externos

  • 2023: KDF

    • Em janeiro de 2023, logo após a invasão da LastPass, o pesquisador de segurança Wladimir Palant publicou uma análise mostrando que as 200.001 iterações de PBKDF2 anunciadas pelo Bitwarden na prática ficavam mais perto de 100.000
    • O motivo era que as iterações adicionais no lado do servidor eram aplicadas apenas ao hash da senha mestra usado no login, e não à chave de criptografia que protege os dados do cofre
    • A avaliação foi de que um invasor com acesso a um cofre vazado poderia contornar completamente o servidor, e o nível efetivo de segurança acabaria ficando igual ao da LastPass
    • O número padrão de iterações no lado do cliente também era de 100.000, abaixo da recomendação da OWASP na época, e essa preocupação já vinha sendo levantada desde 2020
    • O Bitwarden acabou elevando o padrão para 600.000 iterações e adicionando suporte a Argon2, mas a mudança inicial se aplicava apenas a contas novas, então usuários existentes precisavam alterar manualmente a configuração de KDF

  • 2023: bypass do Windows Hello

    • Em 2023, a RedTeam Pentesting divulgou a vulnerabilidade do cliente desktop para Windows “Bitwarden Heist”
    • A vulnerabilidade, CVE-2023-27706, permitia que um invasor com privilégios de administrador de domínio extraísse a chave de descriptografia do cofre do armazenamento local DPAPI sem Windows Hello nem prompt de senha mestra
    • Os pesquisadores descreveram que qualquer processo executado em uma sessão de usuário de baixo privilégio podia solicitar ao DPAPI as credenciais usadas para desbloquear o cofre
    • A correção foi incluída na versão 2023.4.0, alguns meses após a divulgação inicial

  • 2023: preenchimento automático entre origens

    • No mesmo ano, foi divulgada a CVE-2023-27974
    • A extensão de navegador do Bitwarden oferecia preenchimento de credenciais até mesmo para iframes entre domínios incluídos em uma página confiável, desde que o domínio base coincidisse
    • Por exemplo, se trusted.com incluísse um iframe attacker.trusted.com e esse subdomínio fosse controlado por terceiros, seria possível roubar credenciais
    • O Bitwarden respondeu que precisava tratar iframes dessa forma por compatibilidade, e que “Auto-fill on page load” não vinha ativado por padrão
    • Para usuários que tinham essa opção ativada, isso foi um consolo pequeno

  • 2025: clickjacking baseado em DOM

    • Em agosto de 2025, o pesquisador de segurança Marek Tóth divulgou um tipo de ataque de clickjacking baseado em DOM capaz de fazer a extensão de navegador do Bitwarden preencher automaticamente dados de cartão de crédito e informações pessoais em uma página maliciosa com um único clique
    • A vulnerabilidade foi reportada em abril de 2025, quatro meses antes da divulgação pública, mas o Bitwarden a classificou como “moderate severity”
    • O patch foi incluído na versão 2025.8.2, liberada no mesmo dia em que o embargo do pesquisador terminou

  • 2026: Shai-Hulud

    • Alguns dias antes da redação do texto, o cliente oficial de CLI do Bitwarden 2026.4.0 foi comprometido no ataque em andamento à cadeia de suprimentos da Checkmarx
    • A versão do pacote afetada parece ter sido @bitwarden/cli2026.4.0, e o código malicioso foi publicado em bw1.js, incluído no pacote
    • O ataque parece ter explorado uma GitHub Action comprometida no pipeline de CI/CD do Bitwarden, em um padrão compatível com os danos observados em outros repositórios atingidos por essa campanha
    • Organizações que instalaram o pacote npm malicioso do Bitwarden devem tratar o caso como um incidente de exposição de credenciais e comprometimento de CI/CD
    • O payload baixa o runtime Bun, descriptografa o worm Shai-Hulud de segundo estágio e então coleta tokens de GitHub e npm, chaves SSH, histórico de shell, credenciais de AWS, GCP e Azure, segredos do GitHub Actions e até arquivos de configuração MCP usados por ferramentas de IA
    • Os dados roubados eram exfiltrados por meio da criação automática de um repositório público na própria conta de GitHub da vítima para fazer o upload
    • O pipeline de distribuição via npm do Bitwarden ficou comprometido por cerca de 19 horas, tempo suficiente para 334 desenvolvedores baixarem o pacote malicioso
    • A posição oficial do Bitwarden enfatizou que os dados dos cofres de usuários finais não foram acessados, mas usuários que executaram bw em pipelines de CI acabaram entregando aos invasores outros segredos presentes nessas máquinas
    • A avaliação foi de que, se bw fosse um binário único com linkagem estática, como é comum nos ecossistemas de Go ou Rust, não existiria o raio de impacto da distribuição via npm
    • Embora ataques à cadeia de suprimentos também estejam aumentando nos ecossistemas de Go e Rust, ainda se considera que a barreira para ataques bem-sucedidos continua mais alta

Abordagem daqui para frente: dividir e isolar

  • A conclusão é que não existe um único gerenciador de senhas que se encaixe perfeitamente em todos os casos de uso e configurações
  • Na vida pessoal, não há necessidade de compartilhar cofres ou senhas individuais com outras pessoas, mas no trabalho isso é comum
  • Logins de conta bancária ou de portais de seguro não precisam ser usados em ferramentas de CLI, mas devem estar acessíveis em vários dispositivos
  • Segredos de armazenamento em nuvem ou chaves privadas SSH para deploy não precisam ser sincronizados com o celular, mas devem estar acessíveis em uma ferramenta de linha de comando que possa ser chamada programaticamente
  • Em vez de tentar resolver tudo com um único software ou plataforma, faz mais sentido compartimentalizar melhor os conjuntos de credenciais
  • Também do ponto de vista de segurança, dividir grupos de senhas entre diferentes softwares e serviços reduz o alcance do impacto em caso de vazamento de dados

Classificação de credenciais e escolha de ferramentas

  • Grupo A: projetos profissionais e de clientes

    • Grupo A consiste em credenciais de projetos profissionais e de clientes, como logins de plataformas
    • Uso um gerenciador de senhas SaaS que oferece compartilhamento adequado de cofres, integração com as ferramentas que o cliente realmente usa, SSO, extensões de navegador em dispositivos corporativos, logs de auditoria e elimina o ônus de hospedagem
    • A plataforma é proprietária e, em condições normais, eu não a preferiria, mas aceito esse trade-off porque o escopo deste grupo está limitado apenas ao trabalho com clientes

  • Grupo B: contas com PII

    • Grupo B consiste em credenciais de contas que contêm PII, como contas bancárias e lojas online
    • Essas contas já contêm informações pessoais como nome, endereço, data de nascimento e dados de pagamento, e esses próprios serviços também sofrem vazamentos regularmente, algo que pode ser verificado no Have I Been Pwned
    • Não considero que um comprometimento do gerenciador de senhas expanda de forma significativa o que um atacante já sabe
    • Em um cenário com TOTP e Passkeys, o que importa aqui é disponibilidade entre dispositivos, confiabilidade e funcionamento offline
    • Uso um segundo gerenciador de senhas em nuvem, separado e de outro fornecedor, para que não seja comprometido automaticamente junto com o Grupo A, além de usar uma senha mestra diferente e mecanismos de recuperação diferentes
    • Como pretendo executar o app móvel em pelo menos um dispositivo com GrapheneOS, prefiro soluções que não dependam do Google Play Services e, se possível, ofereçam clientes open source ou com código-fonte disponível

  • Grupo C: contas sem PII

    • Grupo C inclui fóruns da internet, sites, serviços que respeitam a privacidade e contas que não mantêm PII
    • Este grupo não precisa de serviços em nuvem, e eu também não os quero
    • Uso KeePassChi, KeePassXC e KeePassDX, e mantenho o arquivo do banco de dados em uma pasta sincronizada entre dispositivos pelo Syncthing
    • Essa abordagem também foi discutida anteriormente no texto sobre como criar um Dropbox descentralizado com Syncthing
    • Como o próprio arquivo .kdbx é criptografado, mesmo que o Syncthing seja comprometido e um atacante obtenha o arquivo, ele ainda precisará quebrar a criptografia do KeePassChi/KeePassXC para obter informações úteis
    • No celular, o KeePassDX no Android lê o mesmo arquivo sem problemas

  • Grupo D: infraestrutura

    • Grupo D consiste em credenciais de infraestrutura, como logins de servidor e chaves SSH
    • Credenciais pessoais são armazenadas da mesma forma que no Grupo C
    • Para credenciais que scripts, tarefas de CI e servidores remotos realmente usam, utilizo o HashiCorp Vault
    • O HashiCorp Vault já era uma ferramenta que eu operava na configuração do OpenBSD para uso de PKI
    • É um pouco exagerado para um único usuário, mas oferece políticas de acesso, autenticação baseada em token para agentes de automação, credenciais de curta duração quando suportado e logs de auditoria
    • Também estou avaliando o Infisical

  • Grupo E: credenciais de uso único

    • Grupo E consiste em chaves de API, tokens de acesso pessoal e segredos aleatórios usados apenas na linha de comando
    • Uso o antigo utilitário pass
    • O pass armazena cada segredo como um arquivo individual criptografado com GPG dentro de um repositório Git
    • A estrutura é simples, fácil de auditar e combina bem com scripts de shell e dotfiles
    • O repositório Git fica na minha própria infraestrutura, não no GitHub, e eu só sincronizo manualmente quando realmente preciso acessá-lo em outra máquina

Conclusão da transição de um cofre único para várias ferramentas

  • Para quem vem do mundo de um cofre único, isso pode parecer uma configuração excessiva, com peças demais em movimento
  • Depois de anos usando o Bitwarden como solução universal, cheguei à avaliação de que one size fits all na prática era one size fits poorly
  • Dividir as credenciais entre várias ferramentas foi muito menos doloroso do que eu esperava no início, porque cada ferramenta se encaixava melhor em uma tarefa específica
  • Mesmo que uma ferramenta seja comprometida, o raio de explosão fica limitado a uma categoria de segredos, e não ao conjunto inteiro de credenciais

Veredito final

  • Depois de hospedar o Bitwarden por conta própria durante anos, passei a ver o produto como algo cada vez mais distante da direção que eu esperava no início
  • Uma arquitetura com foco corporativo que mal cabe em um Raspberry Pi, uma tentativa pela metade de criar um backend leve, a polêmica de licenciamento do SDK, a lentidão no tratamento de recursos, problemas de UX que ficaram anos sem correção e questões de segurança que nunca deveriam ter sido lançadas juntos compõem um quadro que não combina com a narrativa de “gerenciador de senhas open source para todos”
  • Isso não significa que as alternativas sejam universalmente melhores ou livres de problemas
  • Gerenciadores de senhas são inerentemente difíceis, e todos os players desse espaço têm seus próprios problemas
  • É preciso examinar com rigor o quanto você está confiando todas as suas credenciais a um único software e se essa aposta continua sendo a correta; neste caso, cheguei à conclusão de que ela deixou de ser a escolha certa

Discussões relacionadas

Leituras relacionadas

1 comentários

 
GN⁺ 2 시간 전
Opiniões no Lobste.rs

  • A mensagem piscando de desative o JavaScript que aparece depois de trocar de aba é irritante, e o título da aba mudando também irrita
    Eu não vou desativar JavaScript por padrão. Muitos sites quebram por causa disso
    Na maioria dos sites que visito normalmente, um bloqueador de anúncios já basta, e o NoScript eu só uso em alguns sites particularmente ruins; pelo visto este entrou nessa lista

    • Eu realmente odeio que, para ler textos na internet, a expectativa padrão seja a execução de código arbitrário
      Concordo, mas alguém precisa fazer alguma coisa. Como você disse, a conveniência de deixar JavaScript ligado em todo lugar ainda é maior do que lidar com este site em particular, mas um dia essa conveniência vai passar do limite
    • Tenho evitado esse site de propósito desde que, no escritório, ele exibiu “steve ballmer nude pics” como um <title> “engraçadinho”
    • Simplesmente não gosto desse tom de escrita
    • Entendo o ponto, e concordo porque na prática também deixo JavaScript ativado por padrão
      Só que eu não abro exceções para sites ruins; apago do histórico e tento não voltar
      Ao mesmo tempo, também entendo a intenção do autor. Não parece ser só trollagem, e sim algo como: “ok, isso é uma sacanagem. Mas faz sentido que na web qualquer site, por padrão, possa fazer isso ou algo muito pior?”
      O JavaScript viabilizou boa parte da minha carreira profissional, mas ainda acho meio insano que uma página que é só texto ou imagem possa, sem nenhum aviso ou pista, executar código arbitrário e usar CPU, banda e outros recursos sem limite

  • Também tenho minhas ressalvas com o KeePassXC
    Tenho receio de que o uso de ferramentas de IA acelere a adição de recursos que eu não quero nem preciso em um gerenciador de senhas. No momento parece estar sendo usado mais para corrigir bugs, mas depois que a maioria dos bugs estiver resolvida, já dá para imaginar o próximo passo. A tentação é grande demais
    Recentemente adicionaram “mais suporte a formatos de arquivo no visualizador de anexos embutido (imagens, HTML, Markdown), além de edição de anexos de texto”, e eu não quero esse tipo de código dentro de um gerenciador de senhas. Já existem editores de texto e aplicativos para visualizar arquivos
    Eles estão competindo pesado com o 1Password, então bastaria focar na melhor experiência de usuário possível. Ainda não estou pronto para confiar nos desenvolvedores do KeePassX? KeePassChi? ChiPass?

  • Em quase todo o resto prefiro software livre e de código aberto, mas para gerenciador de senhas uso 1Password há um bom tempo
    Decidi não economizar nessa área, e pelo modelo de assinatura concluí que o modelo de negócios da empresa não é fazer upsell em cima de um plano gratuito, e sim vender um produto que realmente funciona
    Eu gostaria que fosse open source, mas, independentemente disso, a sincronização entre dispositivos é confiável e a extensão do navegador faz seu trabalho sem problemas

    • Eu era fã de longa data do 1Password e usei por mais de 10 anos
      Meu limite final foi quando eles praticamente bloquearam a opção de levar seu próprio método de sincronização, em vez de guardar meus dados nos servidores deles
      Na época, os clientes fora do ecossistema Apple também não eram grande coisa, e o fato de eu estar usando cada vez mais plataformas não Apple também pesou. Parece que eles melhoraram nisso nos últimos anos, mas não voltei a testar
      Eu não saí por causa de dinheiro. Hoje hospedo meus próprios dados com VaultWarden e, mesmo assim, pago para o Bitwarden
      Embora eu prefira software livre e de código aberto, em ferramentas desse tipo o critério absoluto para mim é conseguir controlar onde os dados ficam armazenados
    • Em certas situações a sincronização ainda falha
      Se eu alterar uma credencial em algum lugar que não seja meu dispositivo Android, na primeira vez que eu usar o 1Password no Android depois disso ele preenche a credencial antiga antes de sincronizar o valor novo
      O primeiro login falha; quando percebo o motivo e tento de novo, aí funciona porque a sincronização já terminou nesse intervalo. Isso me irrita toda vez

  • Em geral concordo com os argumentos contra o Bitwarden, mas muitos dos problemas levantados não me parecem tão graves, e alguns parecem vir de configurações personalizadas como VaultWarden ou GrapheneOS
    Uso o Bitwarden há uns 5 ou 6 anos, e o único problema que tive foi a lentidão por um tempo depois da reformulação da UI da extensão do navegador. Resolvi voltando para uma versão anterior da extensão nas releases do GitHub e usando assim por alguns meses
    Se a pessoa foi escrever um texto tão longo, eu gostaria que pelo menos tivesse mencionado de fato alguma alternativa SaaS para migrar. Talvez até seja melhor no fim que cada leitor pesquise por conta própria e escolha o gerenciador de senhas SaaS que mais combina com ele, mas ainda assim é meio irritante
    Eu gostaria de ouvir sobre outros gerenciadores de senhas que ofereçam hospedagem gratuita, suporte offline, sincronização automática em nuvem, extensão de navegador com atalho para preenchimento automático e aplicativo móvel, de preferência alternativas open source
    Procurando um pouco, parece que o Proton Pass atende a todos esses requisitos para quem está buscando alternativa. Talvez eu experimente algum dia, mas por enquanto o Bitwarden me atende bem

    • Eu só usei a configuração oficial do Bitwarden, e uma das críticas me parece correta
      Organizar itens dentro do Bitwarden é quase coisa de maluco
      Já seria ótimo se ao menos desse para arrastar colunas para mover itens entre organizações, mas por enquanto só restou um sistema limitado
      É engraçado que, num software pago, a única solução real seja criar suas próprias ferramentas de administração
    • No Firefox ele ainda é absurdamente lento, então acabei abandonando a extensão e usando o aplicativo de desktop
    • Todos os problemas relacionados à linha de comando se resolvem com rbw
      Descobri faz relativamente pouco tempo e migrei totalmente

  • O pass, o “gerenciador de senhas padrão do UNIX”, também é bom. Uso há mais de 10 anos
    https://www.passwordstore.org/

  • Eu uso Bitwarden, então esperava que esse texto me convencesse a parar de usar e sugerisse uma abordagem melhor
    Mas se alguém gastou tempo escrevendo um texto tão longo e, tirando reclamações bem pequenas, não tem nada muito sério nem uma sugestão muito melhor, isso acaba até me deixando mais tranquilo com o Bitwarden

    • É quase decepcionante
      O Bitwarden implementa desbloqueio do cofre com passkey. Era a última senha que eu ainda precisava memorizar
      Qualquer alternativa, no mínimo, teria que chegar nesse nível

  • Como usuário do Bitwarden, eu recomendo
    É barato, oferece tudo de que preciso e é software livre e de código aberto
    Eu não tenho tempo para usar 5 soluções de gerenciador de senhas, 4 ferramentas de linha de comando e 3 senhas mestras. O Bitwarden é muito bom
    O 1Password me passa uma energia totalmente maligna e eu não quero me envolver com isso

    • Passei por Chrome, sincronização auto-hospedada do KeePass, Firefox e agora cheguei ao Bitwarden
      Para migrar e compartilhar com a família, foi de longe o mais fácil. A assinatura também é muito barata

  • Existe alguma outra solução open source que suporte compartilhamento de credenciais como o Bitwarden?
    Uso KeePass/KeePassXC há mais de 15 anos, mas quando preciso compartilhar um conjunto de credenciais com colegas que não são desenvolvedores ou com a família, nunca encontrei solução melhor que o Bitwarden
    Nunca gostei de verdade do Bitwarden, mas, em termos de armazenar credenciais e compartilhar/sincronizar, ele sempre foi a opção menos ruim

    • Encontrei o Passbolt[0] não faz muito tempo
      Tem uma cara mais corporativa, como o Bitwarden, mas parece interessante. Não sei se é realmente bom, mas parece poder ser uma alternativa ao Bitwarden
      [0]: https://www.passbolt.com/
    • Você também pode migrar todas as suas senhas para outro gerenciador de senhas de sua preferência e continuar usando o Bitwarden só para as credenciais compartilhadas

  • Faz um tempo que uso keepassXC e keepassDX. Esses nomes são realmente idiotas
    Estou torcendo para um dia migrar para o ChiPass

  • Se for GPG… então provavelmente é algo como criptografar para si mesmo com RSA?
    É melhor usar age