Hallo,
meine Lebensgefährtin nutzt nur ihr Android Smartphone als IT Device. Auf welchen Password Safe sollten wir setzen für Sie? Sollte natürlich Sicherheit bieten aber auch leicht und komfortable im Umgang.
Und wie sähe da das Thema automatisches Backup aus? Es muss nicht unbedingt in der Cloud sein, sie ist größtenteils mit dem Gerät über WLAN im Heimnetzwerk unterwegs, dort haben wir z.B. eine Synology DS224+ im Einsatz und der RPi hat auch noch Kapazitäten für einen weiteren Container.
Ich verwende KeePassDX und synchronisiere über Syncthing, das auf einem Raspi läuft, die KeePass-Datenbank. Zussätzlich habe ich zur Sicherheit auf allen Devices noch eine KeePass-Schlüsseldatei.
Da kann ich sofort Bitwarden als Vaultwarden Container empfehlen.
Läuft bei mir seit vielen Jahren auf der Synology.
Ist meiner Ansicht nach die beste Methode.
Der Safe liegt sicher zu Hause.
Man kann die Bitwarden Addons und Apps nutzen.
Besser geht es meiner Ansicht nach nicht wenn es um Komfort und Sicherheit geht.
Wie man einen Vaultwarden Container anlegt kann man leicht bei YouTube recherchieren.
Obwohl ich die Bitwarden-Server nicht nutze, zahle ich aber die 10$ im Jahr weil Ich den Passwortmanager unterstützen will.
Der macht uns das Leben sehr viel einfacher.
Als „Stand-alone“ Lösung für ein Einzelgerät mit Android ist KeePassDX bestens geeignet. Eine Backup-Funktion ist nicht integriert. Da muss man sich selber kümmern. Letztlich sind KeePassDX und Bitwarden/Vaultwarden hier Mittel der Wahl und es hängt von den eigenen Gegebenheiten ab, welche App besser zu einem passt.
Auf jeden Fall KeepassDX!
Bitwarden gibt es nicht direkt von F-droid, was die einfach machen könnten. Da sie es nicht tun traue ich denen nicht. Bei Bitwarden muss man ein Konto anlegen, nein Danke! Und die App hat zwei Tracker, Google und Microsoft. Wer macht den sowas?
Bitwarden wäre in dem Fall der beste Konsens zwischen Sicherheit und Komfort, meiner Meinung nach,
Man kann die alternative Implementierung Vaultwarden in einem Container hosten.
Die offizielle Bitwarden Version kann man auch hosten, kostet aber mehr Ressourcen.
Wenn man sich nicht selbst kümmern will, kann man auch die offiziellen Bitwarden Server nutzen. Die Daten werden sowieso verschlüsselt bevor diese mit dem Server synchronisiert werden.
Das geht dann aber auf Kosten des Datenschutzes einher,.
Ich bin der Meinung KeePassDX ist nicht geeignet für unerfahrene User aufgrund der manchmal komplexeren Nutzung.
Wir schreiben hier über KeePassXC, und du meinst diese Software zum Verwalten von Passwörtern?
Was ist an dieser Software kompliziert, bzw. komplex zu verwalten?
Weil jemand eine App nicht via F-Droid anbietet, traust du ihm nicht?
Du kannst Bitwarden via Vaultwarden auch selbst hosten, das „Konto“ bleibt dann aber bei dir 
Deine Argumente sind ein wenig merkwürdig, und dein Beitrag trieft ein wenig nach Polemik…
Beispielsweise Pfad-Abhängigkeit bei der Synchronisierung über verschiedene Geräte hinweg. Kann zu Datenverlust führen und ist leider vielen Nutzern nicht bewusst.
Kannst Du diese Aussage bitte etwas genauer elaborieren.
Wenn ich eine Software direkt von F-droid bekomme, dann garantieren die dass die App auch dem Quelltext(Source) entspricht. Das kann auch jeder auschreichend qualifizierte Dritte nachprüfen.
Bitwarden gibt die App und den Quelltext herraus, dritte können aber nicht prüfen ob da nicht doch ein Hintertürchen eingesetzt wurde.
Bitwarden könnte diese Möglichkeit problemlos anbieten. KeepassDX ist nur ein Entwickler und tut das, Bitwarden nicht. Das ist für mich Grund genug Bitwarden nicht zu trauen.
Nein, hier geht es um Android, nicht Linux. Es geht um KeepassDX.
@porcupine0815 Der hat was verwechselt.
Bitwarden hatte die App auf F-Droid
Was hältst du für wahrscheinlicher:
Und warum können da Dritte dann nicht prüfen ob Hintertürchen eingebaut wurden?
Sorry irgendwie verstehe ich deine Logik nicht…
@Chief1945 hat eigentlich auch schon alles dazu gesagt - danke 
Nein, hatten die nicht. Und im gegensatz zu dir prüfe ich meine Aussagen und schreibe nicht irgendwas daher.
Bitwarden sitzen in den USA, dort kann von den Behörden genau das angeordnet werden, incl. Schweigen (gag order).
@Helen
Lies über "reproducible builds” nach. Es geht darum wie man aus einem Quelltext immer wieder die identische App bauen kann. Das ist Voraussetzung bei F-droid.
Threema bietet das auch ohne F-droid:
https://threema.ch/de/open-source/reproducible-builds
Das beantwortet nicht meine Frage, warum Dritte nicht den Quellcode nach Hintertürchen durchsuchen könnten…
Man kann es über den F-Droid-Client beziehen, allerdings nur über Bitwardens Repo: https://mobileapp.bitwarden.com/fdroid/
Uhh, jetzt kommt Feuer rein.
Da würde mich doch eine seriöse Quelle interessieren, die belegt, dass geheime Backdoors in Software in den USA erzwungen werden können. Soweit ich weiß ist das nicht der Fall. Sowohl eine kurz Google-Suche als auch ChatGPT haben das verneint.
Um eine APK zu erhalten, muss der Quellcode kompiliert werden, wodurch er für Menschen unlesbar wird. Ähnlich wie bei den Exodus-Analysen gibt es nur Hinweise darauf auf die verwendeten Abhängigkeiten, was aber tatsächlich in einer App passiert ist nicht mehr nachvollziehbar.
Doch, ist es. Nur mit mehr Aufwand.
Wenn ich das gemacht habe, müsste die so erstellte APK doch denselben Hash-Wert haben wie die heruntergeladene APK, oder?
Je nach Anwendung und/oder eingesetzten Tools (Obfuscation) wird es auch dann nicht mehr nachvollziehbar sein. Ich habe selber mit Anwendungen zu tun, die zwar nicht besonders groß sind, aber schon aufgrund ihrer Komplexität selbst im nicht-kompilierten Zustand schwer nachvollziehbar sind. Wenn dann wichtige Kommentare fehlen, wird es umso schwerer.
@Dabbler Schon aufgrund der Signierung wird der Hash vermutlich ein anderer sein - habe ich aber bisher nie geprüft.
@Rudolf Alternativ kannst du dir die App auch selbst bauen. Dann hättest du die Verbindung zum Quellcode: