A reformulação silenciosa do Bitwarden

 (blog.ppb1701.com)
4 pontos por GN⁺ 5 시간 전 | 2 comentários | Compartilhar no WhatsApp
  • O Bitwarden dobrou o preço do Premium e removeu a frase “Always free”, mostrando uma tendência de mudar condições por meio de ajustes no site e em conteúdos existentes, em vez de anúncios oficiais
  • O CEO de longa data Michael Crandell passou para um papel de conselheiro em fevereiro, e Michael Sullivan, com histórico de M&A na Acquia e na Insightsoftware, assumiu como novo CEO
  • A frase “Always free” sumiu da página para uso pessoal em meados de abril, e os valores GRIT mudaram de Inclusion e Transparency para Innovation e Trust
  • No blog e nos comunicados à imprensa, não há aviso separado sobre a troca de CEO, a mudança de valores ou a remoção da promessa gratuita, e alguns textos antigos agora se contradizem entre a nova lista de valores e a descrição anterior
  • Usuários do Vaultwarden precisam observar se a publicação em open source do cliente Bitwarden e a liberdade de conexão com servidores serão mantidas; a licença Apache 2.0 ainda deixa aberta a possibilidade de forks

As mudanças silenciosas no Bitwarden

  • Em março, ao dobrar o preço do Premium, o Bitwarden exibiu o produto como se tivesse preço mensal, embora nunca tenha oferecido cobrança mensal, e só avisou clientes existentes 15 dias antes da renovação
  • Durante trocas de respostas no Mastodon sobre o aumento de preço, fatos centrais foram confirmados, e depois disso a operação da empresa e os textos do site continuaram mudando
  • As mudanças não vieram em grandes anúncios, mas de formas pouco visíveis, como edições em conteúdo existente, alterações no LinkedIn e remoção de frases do site

Troca na liderança

  • Segundo uma reportagem da Fast Company, o CEO de longa data Michael Crandell passou para um papel de conselheiro em fevereiro, sem anúncio oficial da empresa
  • Crandell estava no Bitwarden desde 2019 e liderou a empresa no período em que usuários passaram a buscar o Bitwarden como alternativa após as mudanças no LastPass
  • O novo CEO é Michael Sullivan, ex-CEO da Acquia e da Insightsoftware
  • O LinkedIn de Sullivan destaca “todos os aspectos de M&A, com experiência direta com grandes empresas de PE”
  • Sullivan liderou a aquisição da Acquia por US$ 1 bilhão pela Vista Equity Partners em 2019 e o investimento de US$ 1 bilhão na Insightsoftware pela Hg em 2021
  • O CFO Stephen Morrison também deixou a empresa em abril, e o ex-CEO da InVision Michael Shenkman entrou como sucessor
  • Kyle Spearrin começou o Bitwarden em 2015 como um projeto de hobby, preocupado com como o LastPass mudaria sob nova propriedade, e continua como CTO

Mudanças no site e na linguagem dos valores

  • Na página do gerenciador de senhas pessoal do Bitwarden, a frase “Always free” desapareceu em meados de abril
  • O plano gratuito ainda existe, mas a frase que prometia gratuidade contínua, antes exibida abaixo da área de escolha de planos, foi removida
  • O GRIT, que representava os valores culturais do Bitwarden, era originalmente Gratitude, Responsibility, Inclusion e Transparency
  • Depois de 4 de maio, o GRIT passou a ser Gratitude, Responsibility, Innovation e Trust
  • Com a saída de Inclusion e Transparency e a entrada de Innovation e Trust, a linguagem dos valores foi reescrita

Conteúdo alterado sem anúncio oficial

  • No blog do Bitwarden, não há texto sobre o novo CEO, a mudança de valores ou a remoção da promessa “Always free”
  • Também não há comunicado separado sobre essas mudanças na área de imprensa
  • O texto “Defining and sustaining value for Bitwarden users”, escrito por Crandell em 2022, foi alterado silenciosamente
  • A lista GRIT no corpo desse texto foi trocada pelos novos valores Innovation e Trust, mas o parágrafo explicativo no fim ainda fala dos valores antigos Inclusion e Transparency
  • O nome de Crandell continua no texto, e o conteúdo ficou em um estado contraditório
  • Como no aumento de preço, repete-se o padrão de esconder mudanças dentro de conteúdo existente e evitar atenção
  • Em entrevista à Fast Company em 2024, Crandell descreveu a camada gratuita como “um compromisso firme da empresa. Totalmente funcional, gratuita para sempre”, mas hoje ele está em papel de conselheiro e a frase “Always free” desapareceu da página

Por que sair da nuvem do Bitwarden

  • Uma instância do Vaultwarden está em operação desde janeiro, e a conta na nuvem do Bitwarden foi encerrada quando saiu o texto anterior sobre o aumento de preço
  • A preocupação atual não é tanto o cofre de senhas em si, mas o padrão repetido de construir confiança e dependência para depois mudar as condições em silêncio
  • Esse padrão não aparece em um anúncio dramático único, mas em várias pequenas mudanças em camadas
  • Exemplos incluem um texto de recurso com mudança de preço embutida, informações no LinkedIn alteradas sem comunicado e uma página de valores diferente da semana passada
  • Para quem continua usando a nuvem do Bitwarden, essas mudanças são um motivo para parar e refletir
  • O caso do GitHub, abordado em março, teve uma trajetória de plataforma open source confiável, promessa de independência, anos de erosão silenciosa e depois Phase 3, e a semelhança com o Bitwarden aumenta a preocupação
  • Como opção para ter posse direta do cofre de senhas, é apresentado o processo de self-hosting do Vaultwarden
  • A carreira de Sullivan se conecta a processos de preparar empresas para venda, o que pode ser lido como um cenário de maximização de receita, organização das demonstrações financeiras, aumento da atratividade dos números e busca por compradores
  • Compradores potenciais podem ser grandes empresas de tecnologia, concorrentes como a 1Password, ou companhias interessadas na base de usuários ou em contratos enterprise
  • Se uma aquisição assim de fato acontecer, pode surgir um movimento de fork muito mais forte do que a insatisfação vista no aumento de preço

O que usuários do Vaultwarden devem observar

  • A viabilidade de longo prazo do Vaultwarden depende de o cliente Bitwarden continuar sendo publicado como open source e de não haver restrições à escolha do servidor
  • Hoje, o Vaultwarden implementa a API pública de servidor do Bitwarden, e os apps oficiais não conseguem distinguir a diferença
  • Não há garantia de que, sob a nova liderança, o Bitwarden manterá clientes open source e liberdade de conexão com servidores
  • O fator que adia o pior cenário é que self-hosting está explicitamente posicionado como recurso enterprise e gera receita real
  • Remover o self-hosting significaria provocar clientes corporativos pagantes, o que é uma restrição importante para o Bitwarden
  • Ainda assim, o que o Bitwarden vende para empresas é a stack oficial de servidor, não o Vaultwarden
  • O Vaultwarden existe em um espaço que o Bitwarden tolerou, mas nunca apoiou oficialmente
  • Se o cálculo mudar, a API pode começar a mudar aos poucos sem anúncio separado, e a compatibilidade pode se quebrar naturalmente
  • Não parece ser uma mudança iminente, mas a promessa “Always free” também parecia sólida até a frase já desaparecer da página

A rede de segurança real e a possibilidade de fork

  • O cliente do Bitwarden usa licença Apache 2.0, então existe uma base para forks da comunidade
  • Um fork teria de mudar nome e interface para evitar problemas de marca, mas ainda poderia usar o mesmo motor
  • O cofre web funciona no navegador independentemente de mudanças nos apps, então, no pior caso, a perda pode se limitar temporariamente ao preenchimento automático
  • Esse inconveniente não é fatal, e o próprio Vaultwarden mostra que esse modelo funciona
  • O principal ponto a monitorar é a publicação do cliente
  • Se o cliente for fechado, a comunidade perceberá rapidamente, e a chance de um fork em seguida é alta

Leituras relacionadas

2 comentários

 
GN⁺ 1 시간 전
Comentários no Lobste.rs

  • A Vista Equity é a mesma que comprou a Citrix em 2022, e no fim esse foi o motivo de eu ter saído de lá
    Não vejo como isso possa dar em algo bom, então encaro isso como um sinal de que é hora de começar a procurar ativamente alternativas aos serviços em nuvem deles

  • Gerenciadores de senhas já estão maduros o bastante e são uma categoria de produtos com reputação consolidada de enshittification, então parece viável até uma cooperativa de engenharia de software para hospedar de forma paga e bem feita um gerenciador de senhas FOSS
    Seria preciso uma empresa cujo estatuto limitasse a propriedade societária apenas a quem realmente trabalha lá
    Sem esse tipo de proteção, em algum momento um investidor de fora aparece com uma oferta difícil de recusar

  • Eu também uso vaultwarden, então provavelmente receberia bem um fork comunitário
    Já houve problemas de compatibilidade entre alguns clientes oficiais do Bitwarden e meu servidor vaultwarden, e o calendário de releases nem sempre bateu bem
    Num fork comunitário, esse tipo de problema talvez fosse tratado melhor, o que poderia até melhorar a estabilidade
    Claro que, sem o volume de contribuição dos engenheiros pagos do Bitwarden, o desenvolvimento de novos recursos pode praticamente parar, mas para um gerenciador de senhas isso ainda me parece aceitável

  • Hoje, antes mesmo de saber disso, eu já tinha migrado para o 1Password, e não foi uma decisão tomada de forma leviana
    Mas a experiência de uso do Bitwarden era bem irritante. Cofres que não sincronizavam, gestão de segredos complicada demais, compartilhamento ruim e extensões inconsistentes
    Depois de ler isso, fiquei ainda mais seguro da minha decisão

    • Sim. A reformulação da experiência do usuário foi realmente muito ruim

  • Estou usando Bitwarden agora, mas já faz tempo que venho pensando em migrar para o gerenciador de senhas integrado da Apple
    Não tenho nenhuma reclamação específica sobre o Bitwarden, mas a solução da Apple é mais integrada ao sistema operacional
    Só que há duas coisas que me preocupam. Queria saber como exportar ou fazer backup das senhas para não perder acesso à conta caso eu deixe de usar Apple no futuro, e também se dá para exigir autenticação extra apenas para algumas senhas mais sensíveis, já que elas sincronizam entre o notebook e o celular e a senha do celular é relativamente fraca
    Não me importo de proteger contas sensíveis atrás da senha de login do Mac, mas estender essa confiança ao celular já me incomoda. Queria saber se existe alguma forma de equilibrar conveniência e segurança

    • Pelo que sei, no macOS dá para importar e exportar senhas em CSV

  • Comecei a usar Bitwarden no início justamente por ele ser open source, e também não tenho problema nenhum em pagar por ele
    É uma pena, porque eu realmente queria evitar a dor de cabeça de hospedar isso por conta própria
    Mesmo assim, vou continuar fazendo exportações periódicas e me manter pronto para sair na hora se o serviço realmente piorar
 
GN⁺ 5 시간 전
Comentários do Hacker News

  • Mais do que o aumento de preço em si, o que me preocupa é o novo CEO ter uma mentalidade de private equity
    Agora parece bem provável que o Bitwarden passe a focar em extrair valor enquanto o produto estagna e a qualidade cai
    Parece que está na hora de migrar antes que a segurança e a qualidade desandem

    • Não é meu projeto, mas o Vaultwarden é um backend alternativo open source para o Bitwarden e foi escrito em Rust
      Pelo que sei, existe há bastante tempo e ainda recebe manutenção
      https://github.com/dani-garcia/vaultwarden
    • Como assinante pago, até consigo aceitar o aumento de preço em si
      O que me preocupa é a troca de CEO e a remoção da expressão always free terem coincidido “por acaso”
    • Eu tinha migrado para o Bitwarden depois que o 1Password fez exatamente esse tipo de coisa com a nova política de preços, então acho que é o ciclo da vida
    • Estou realmente cansado do ciclo de monetização por piora de qualidade
      Descobrir recentemente as mudanças na verificação do Android e no CAPTCHA também foi uma grande decepção
      Anos atrás eu tinha migrado para o Android por achar que era uma alternativa mais aberta do que a Apple, e mais ou menos na mesma época saí do LastPass para o Bitwarden
      Esses serviços de infraestrutura deveriam simplesmente funcionar em silêncio por anos sem exigir atenção, mas às vezes parece que, enquanto o capitalismo continuar, vamos ter que aguentar esse tipo de coisa cada vez mais rápido
    • PE? Private equity é uma ladeira escorregadia rumo à enshittification aberta

  • Quando conheci o Bitwarden pela primeira vez, uns 3 anos atrás, já comecei a hospedar o Vaultwarden imediatamente
    Hoje mantenho uma instância pessoal e outra para a empresa de um amigo, e ambas rodam de forma muito estável
    Se você consegue fazer self-hosting, vale a pena operar sua própria instância do Vaultwarden
    Se, como eu, você fica um pouco preocupado com o fato de a base de código do Vaultwarden não ter passado por uma auditoria de segurança adequada, colocá-lo atrás de uma VPN provavelmente já resolve bem
    Não me preocupo muito com o Bitwarden afundar, porque já existe uma alternativa open source bem estabelecida
    No pior cenário, o Bitwarden poderia tornar os clientes incompatíveis com o Vaultwarden, mas, como o texto diz, se isso acontecer a comunidade vai fazer um fork na mesma hora

    • Verdade, mas o Vaultwarden não é algo para largar rodando sozinho sem pensar muito
      Você está hospedando segredos que precisam ser preservados por muito tempo, então, se for implantar por conta própria, precisa cuidar bem dos backups e praticar restauração com regularidade
      É preciso confirmar que os backups realmente funcionam, que não estão corrompidos e que existe uma cópia fora do local
    • O motivo de eu usar o Vaultwarden é que, por um lado, seria bom pagar e deixar uma empresa resolver a questão das senhas, mas eu realmente não sei em quem confiar para não abusar do fato de um dia essa empresa ter as chaves de todo o meu reino
      A reclamação sobre private equity é justa, e antes disso já existia a mentalidade de MBA de Harvard que faz a empresa enxergar clientes não como uma relação a ser cultivada, mas como um recurso a ser explorado
      Não gosto que empresa nenhuma me veja como recurso a ser explorado, mas, pela natureza da relação, algumas são mais perigosas do que outras
      Não quero uma empresa olhando com ganância para minha senha do banco, minha senha do Google ou a senha da minha conta na corretora, nem avaliando meu pacote de senhas para decidir quais delas poderia “intermediar” para ganhar mais dinheiro
      Nem gosto da ideia de ficarem pensando em como dificultar a exportação para extrair valor das minhas senhas
      Algo do tipo “desculpe, por causa de $SECURITY_BLATHER não dá para exportar passkeys, então você não pode migrar”
      Para ser justo, acho que o Bitwarden teve esse problema por um tempo, mas não parece ser mais o caso, e, pelo que eu saiba, outros serviços ainda podem prender você com passkeys
      Não consigo confiar minhas senhas a private equity nem à mentalidade de MBA de Harvard, e também é difícil acreditar que qualquer empresa de cofres de senha jamais deixará de ser comprada por um tipo PE/HMBA que queira minerar minhas senhas
      Se você seguir a cadeia de valor até o fim, também fica difícil confiar em empresas que usam minhas senhas como garantia para levantar dívida de verdade
      Eles ficam com o dinheiro e eu com o risco, então recuso de forma categórica
      Por isso, hospedar meu próprio cofre de senhas não me deixa exatamente feliz, mas quem mais dá para confiar?
    • Estou muito satisfeito com o self-hosting do Vaultwarden
      Estou realmente cansado de virar refugiado de gerenciador de senhas
      Ou o preço sobe ou o serviço desaparece, e o Dropbox se encaixa exatamente nisso
    • Mas os clientes não parecem ser open source, certo?

  • No desktop, saí do Bitwarden para o KeepassXC
    No celular uso o KeepassDX, que é um cliente Android compatível com o KeepassXC, e no navegador uso a extensão KeepassXC Browser, que se conecta ao cliente desktop
    O KeepassXC funciona com um único arquivo, então você pode sincronizar esse arquivo entre dispositivos ou salvá-lo na nuvem com qualquer ferramenta de sincronização de sistema de arquivos
    Estou muito satisfeito com a mudança
    [1]: https://keepassxc.org
    [2]: https://www.keepassdx.com

    • Migrei recentemente para uma configuração com KeePass depois que o 1Password aumentou o preço, e é muito bom ter controle total
    • O KeePass é um retrocesso tão grande em usabilidade e recursos que eu nem o considero concorrente
      O próprio motivo de eu ter migrado para o 1Password foi evitar como é fácil perder dados por acidente nos clientes do KeePass
      Por exemplo, um cliente que eu usava apagou um campo inteiro de notas por causa de um bug temporário
      Foi corrigido rápido, mas o dano para mim foi real
      Hoje uso o 1Password e já testei praticamente todo o resto, mas ainda acho que ele é o melhor produto no geral
      Nessa categoria, eu aceito pagar o preço mais alto para ter o melhor produto
    • Se algum dia eu tiver que sair do ecossistema Apple, meu plano também é exatamente esse

  • Esse texto me fez ir conferir
    Desde o ano passado eu já vinha desconfiando do Bitwarden, depois que começaram a mudar a experiência de desktop para ficar parecida com a de todos os outros produtos e passar a ocupar espaço demais
    Antes ele se encaixava perfeitamente no preenchimento automático do navegador, era muito rápido e não atrapalhava
    Agora virou uma experiência cheia de espaços em branco inflados, lenta e com elementos padronizados de UX que parecem SaaS feito por IA
    Acho que agora vou ter que olhar para Vaultwarden, Proton Pass e Keepass
    É uma pena ver mais uma ferramenta que funcionava perfeitamente ser estragada por ignorar os próprios usuários, como aconteceu com LastPass, Authy e Google Reader

    • Não acho nem de longe que redesenho de interface seja o significado original de enshittification
      O Bitwarden foi de longe a melhor opção gratuita para gerenciamento de senhas desde que comecei a usá-lo, 8 anos atrás
      Se eu gosto da mudança de UI? Nem tanto, mas como não é uma parte que eu use com frequência, isso não me incomoda muito

  • A maioria dos gerenciadores de senha parece não ter nenhum fosso em importação/exportação, então estou apostando no fato de que, se a situação piorar, dá para migrar rápido para Proton Pass ou Vaultwarden
    Ainda assim, se possível eu preferiria não fazer self-hosting
    Se a coisa que você hospeda por conta própria são as chaves da sua vida, isso exige um nível completamente diferente de disciplina para seguir administrando a aplicação e o ambiente
    No mínimo, eu colocaria isso atrás de algo como um túnel WireGuard para uma máquina confiável, mas aí isso cria um transtorno extra no uso do dia a dia

    • O Proton Pass usa túnel WireGuard? E o Bitwarden? TLS não seria suficiente
      Claro, a máquina que hospeda as senhas precisa estar bem protegida
      Você pode deixá-la fisicamente em casa e, onde ela aparecer na internet pública, encaminhar só a porta 443 por um proxy

  • Estou olhando o Bitwarden com mais atenção depois de ter descoberto recentemente no rastreador de issues do GitHub que o problema de vazamento de memória já se arrasta há bastante tempo
    Uso a extensão em todos os navegadores, e no Safari ela parece consumir RAM de forma anormal; também suspeito que isso explique por que o uso de RAM no MS Edge só cresce sem parar
    No geral, se o Bitwarden quer mais dinheiro, isso por si só não é um problema, mas trocar a liderança executiva por alguma figura aleatória vinda de private equity e fazer o aumento de preço de forma silenciosa já passa do limite
    Ainda bem que isso veio à tona, e agora tenho ainda mais motivação para procurar uma alternativa adequada e amigável a FOSS

  • Droga, eu só recentemente migrei para o Bitwarden e comecei a pagar
    O principal motivo foram os cofres compartilhados para vários usuários e o acesso de emergência ao cofre pessoal
    Espero muito que não estraguem isso nem aumentem demais o preço

  • Obrigado por me dar o empurrão que faltava para sair do Bitwarden
    Usei por anos, mas estava migrando aos poucos, e agora terminei

    • Fiquei curioso para saber para onde você migrou

  • Ótimo texto
    Troquei o Bitwarden por uma combinação de KeepassXC / KeepassDX / Syncthing no celular Android, PC Linux e PC Windows
    Eu já usava essa configuração antes de começar a usar o Bitwarden, e hoje a experiência com KeePass está muito melhor
    Importar do Bitwarden também foi bem simples, então recomendo

    • Eu também usava essa configuração e mudei para o Bitwarden quando fui para o iOS
      No Android, o que você está usando para Syncthing? Antes existia o app oficial do Syncthing para Android, mas ele deixou de ser mantido, e o fork popular também foi abandonado pelo mantenedor
      Também pesquisei como usar Syncthing no iOS, mas só encontrei o Möbius Sync, que não rodava em segundo plano
      Então acabei migrando para o Bitwarden, mas agora vou ter que pensar de novo no que fazer a seguir
    • Qual variação de Keepass você está usando?

  • No meu lado, o site ainda mostra Always free
    Tanto na página de pagamento linkada no texto quanto dentro da própria página isso ainda aparece
    Mesmo assim, a mudança de liderança, a falta de transparência, o aumento de 100% no preço e a alteração silenciosa de valores centrais são preocupantes
    Eu estava satisfeito pagando 10 dólares por ano ao Bitwarden, e 20 dólares ainda é aceitável, mas a semente da desconfiança foi plantada

    • Entrando diretamente no site, aparece “Get Started Free”
      “Always Free” fica só no rodapé da página de preços para clientes individuais
      O que me preocupa mais é que eles começaram a usar a mesma formulação pela qual a Adobe foi criticada, tipo “$price por mês, cobrado anualmente”
      Esse tipo de texto parece estranho para um produto que agora custa 20 dólares por ano
      Não estamos falando de centenas ou milhares de dólares, nem de clientes corporativos, e sim de um produto de 20 dólares para usuário comum
      A falta de transparência e esse hábito de ir mudando as coisas discretamente me deixam em alerta
    • Na atualização, disseram que a expressão always free saiu por engano durante a atualização do site e seria recolocada em breve
      Parece que este texto foi escrito nesse intervalo