Bei jeder Software ohne Audit, richtig. Ich sage auch nicht, dass man es nicht nutzen sollte bzw. könnte. Es ist halt nur nicht möglich, Audits anderer Software bzw. Implementationen heranzuziehen.Annahme würde dann quasi für jedes OpenSource Projekt oder ClosedSource Software ohne Audit gelten
Gerade Passwortmanager sind halt auch ein verdammt sensibles Stück Technik, daher sollte man sich den Gefahren bewusst sein. 100% Sicherheit gibt es aber per se nie und auch ein Audit bietet sie nicht. Erhöht sie aber auch. Bei kommerzieller Software hat man parallel die Möglichkeit, den Verein im Zweifel zu verklagen, falls die Mist bauen sollten bzw. ne Versicherung wahrscheinlich weniger Fragen stellt. Ist aber bei privater Nutzung nahezu irrelevant.
Find ich als Qualitätsstandard auch schwierig. Letztlich wird die Software von 4, vielleicht 6 Leuten getragen:Denke bei Vaultwarden mit 123 Contributoren
Contributors to dani-garcia/vaultwarden
Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs - Contributors to dani-garcia/vaultwarden
github.com
Einen Überblick über alles haben die allerwenigsten.
Nur nochmal zur Klarstellung: Ich will nicht sagen, dass Vaultwarden unsicher wäre. Es ist nur so, dass man sich mit falscher Kennzahlen nicht in Sicherheit wiegen sollte. Schlüsse sollte man nur anhand wirklich nutzbarer Zahlen ziehen. Und da ist ein Punkt, dass es noch keinen bekannten Sicherheitsbruch gab, obwohl schon recht lange auf dem Markt. Zumindest ist es ein Hinweis.