Hallo Gemeinde!
Ich evaluiere seit Dezember nun die Nextcloud Passwords App für den Hausgebrauch und parallel dazu Vaultwarden/Bitwarden für die Nutzung im Firmenumfeld. D.h. ich habe beide Systeme in dieser Zeit kritisch betrachtet. Ich möchte hier keinen Vergleich ziehen, aber ich möchte die Punkte, die mir bei der NC Passwords App oft störend aufgefallen sind hier darbringen.
Mein selbst gehostetr Nextcloud Server:
OpenSUSE Leap 15.6 (VM)
Apache 2.4x
PHP 8.2.30
MariaDB 10.11.15
Nextcloud 33.0
Passwords App: Legacy Release Version 2026.3.10
Nextcloud läuft hinter einem Caddy Reverse-Proxy
Es geht mir vor allem um die Funktonweise des Firefox-Plugins. Die App wird wohl allgemein hauptsächlich über ein Browser-Plugin genutzt.
Diese beiden Einstellungen haben wahrscheinlich Einfluss auf manche der Punkte:
App-Passwort ist gesetzt. Eine Anmeldung im Browser-Plugin ist damit nötig.
Automatisches Ausfüllen habe ich aus Sicherheitsgründen deaktiviert.
-
Keine Funktion, wenn die Nextcloud Instanz nicht erreichbar ist.
Ein Passwort-Manager sollte die Daten lokal vorhalten und nicht vom Server abhängig sein. Der Server sollte lediglich für die Synchronisation mehrerer Clients nötig sein.
Ein Zugriff auf die Passwörter unabhängig von der aktuellen Verfügbarkeit des Servers ist vermutlich nicht nur mein Wunsch. Gerade wer den Server nicht selbst betreibt hätte hier vielleicht gerne mehr Sicherheit. -
Und auch wenn Nextcloud danach wieder online ist, funktioniert das Plugin nicht wieder. Ein Klick auf Refresh am Ordner-Tab bringt nichts. Auch der Ablauf des eingestellten autom. Abmeldens bewirkt nichts. Das Plugin muss neu gestartet werden (bspw. deaktiviert u. wieder aktiviert).
Die Mobile App hat hier hingegen kein Problem. -
Meldung “Neues Passwort erkannt” kommt zeitweise selbst bei bereits gespeicherten (und auch eben aus der App eingefügten) Passwörtern.
Offensichtlich hat die App Problem, die Datenfelder korrekt zu erkennen. Das Problem tritt bspw. häufig bei OpenWRT 23.05 Login auf. -
Anderseits reagiert die App bspw. auf dieser Webseite (Nextcloud Community) aktuell gar nicht. Die Zugangsdaten konnte ich nur manuell hinzufügen.
-
Meldung “Neues Passwort erkannt” kommt auch immer, wenn Tresor gesperrt ist. Wofür? Die gesammelten Zugangsdaten werden dann nach Anmeldung in der App aufgelistet, obwohl sie bereits gespeichert sind. Ziemlich sinnlos.
Hier würde ich mir wünschen, dass das Plugin keine Aktivitäten zeigt. -
Bei Login mit dem App-Passwort sollte es eine Möglichkeit zum Anzeigen d. Passworts geben. Das App-PW ist im Idealfall lang und komplex. Hier wäre eine Kontrollmöglichkeit von Vorteil.
-
Konto autom. abmelden: Die max. 60 min. sind mir hier zu kurz. Ich würde mir mehrere Stunden wünschen, oder dass der Timer mit der tatsächlichen Browsernutzung zurückgesetzt wird. Offenbar ist es aber die App-Nutzung.
Auch eine Möglichkeit eines manuellen Sperrens / Abmeldens würde ich mir wünschen. -
Passwörter hinzufügen ist nur für aktuellen Browser-Tab möglich. Das schränkt die Nutzung der App auf Webseiten ein. Ich möchte aber auch andere Geheimnisse in der App speichern, wie bspw. Kreditkarte oder System-Login-Daten.
Dafür muss man sich aber in der Webapp anmelden. Einen funktionierenden Desktop-Client gibt es ja leider auch noch nicht für Linux. -
Vorschläge sind oft nicht nachvollziehbar. Bspw. werden mir auf meiner eigenen Nextcloud (ist vermutlich nicht in App hinterlegt) die Zugangsdaten für administrator.de angeboten.
-
Auch aus diesem Grund würde ich mir ein Suchfeld am Vorschläge Tab wünschen. So müsste man nicht erst den Such-Tab suchen, um einen Begriff eingeben zu können. Dieser könnte dann überhaupt entfallen.
Auch hielte ich es für sinnvoll, wenn der Vorschläge-Tab immer nach Öffnen des Drop-Downs aktiv wäre. Ohne Auto-Ausfüllen muss man eben immer über die Schaltfläche > Drop-Down > Vorschläge oder über Kontextmenü > PW f. NC > PW > Vorschläge gehen. Beides aufwendig verglichen zu Bitwarden bei gleicher Sicherheitseinstellung. Ein kürzerer Weg zu den Vorschlägen wäre daher wünschenswert. -
Das leeren der Zwischenablage passiert durch das Reinkopieren eines Leerzeichens. Meine KDE Zwischenablage hat aber eine Historie von Einträgen, so wird das Passwort lediglich eine Position zurück gerückt und verbleibt in der Zwischenablage. Ich muss sie manuell leeren.
Aber vermutlich ist das hier auch gar nicht anders möglich, und können das andere PW-Manager auch nicht besser.
Einige der Punkte stören mich schon gravierend, vor allem auch, weil ich einen Vergleich zu einem anderen Produkt habe, das diese Schwächen nicht hat. Sie wären aber wohl alle auch hier besser umsetzbar, wenn man das möchte.
Der allgemeine Funktionsumfang der NC-App wäre für meinen privaten Gebrauch völlig ausreichend, und weil ich NC ohnehin betreibe, wäre es natürlich fein, wenn die Passwortverwaltung damit auch ordentlich funktionieren würde.
Die Schwächen sehe ich aber vor allem im Browser-Plugin. Vielleicht lässt sich da das eine oder andere noch verbessern.
Grüße