Hi!

Am 02.01.22 um 22:16 schrieb Bernd Stroessenreuther:

Hi Sven,Am 24.09.21 um 09:08 schrieb Sven Velt:

Daher wieder zurück zu Textfile-mit-GPG :-/Von dem her wäre wohl Bitwarden (Server gibt's zum Selbst-Hosten undpassende Clients, auch für Browser) das offensichtlichste, was einenzusätzlichen Sync überflüssig macht. Allerdings war ich der Meinung, esgäbe aus dem KeePass(.*)-Universum auch einen "Server", zumindest fürdie Browser-Integration.Und es gibt auch noch: https://github.com/liuchenx/bitwarden_rs(Unofficial lightweight Bitwarden compatible server written in Rust)...

Darf ich fragen, was aus dem Thema inzwischen so geworden ist? Bist Duletztendlich bei bitwarden_rs (der inzwischen ja offenbar vaultwardenheisst, https://github.com/dani-garcia/vaultwarden) gelandet? Und wiezufrieden bist Du mit der Lösung?Hintergrund: Wenn es eine Lösung gibt,a) die mit vertretbarem Aufwand selbst gehostet werden kannb) bei der ich in Bezug auf Security *und* Reliability keine Abstrichegegenüber meiner aktuellen Lösung machen mussc) schöne (native) Integration mit mehreren Browsern auf mehrerenGeräten hatdann könnte ich mich vielleicht auch mal von meinem Textfile-mit-GPGtrennen. Das verschlüsselte File liegt bei mir in einem Git (das nur als"Synchronisationsplattform" genutzt wird). Die Keys liegen nur auf denClients.Keep it simple. Daraus ergeben sich dann Vorteile bei der Reliability.Dass bei vaultwarden c) zutreffend ist, steht außer Frage.a) und b) sollten - soweit ich sehe - auch zutreffen. Allerdings stützensich meine Erfahrungswerte bisher lediglich auf 3 h lesen und einbisschen ausprobieren.Weitere Erfahrungswerte zu a) und b) wären daher für mich von großemInteresse!Grüße aus Altdorf,Bernd

Habe Bitwarden (selfhosted) und jetzt Vaultwarden (selfhosted) seit längerem im Einsatz
und bisher keinerlei Probleme.

Der “originale” Bitwarden benötigt ja MS-SQL und deswegen auch ein Minimum-Anforderung
von 2GB RAM, der MS-SQL-Container startet nicht mal wenn man weniger hat.
Mit dem hab ich angefangen und war auch sehr zufrieden. Ich wollte allerdings auch das
TOTP-Feature nutzen, was nur in der Bezahlversion geht und man muss dann wieder die
von Bitwarden gekaufte Lizenz in die selbstgehostete Instanz einspielen usw., das war mir
zu blöd, deswegen bin ich dann nahtlos auf Vaulwarden umgestiegen und da sind alle
Features, inkl. Organisationen und Family for free enthalten.

Die Migration (war nur 1 User - ich) habe ich per Export/Import direkt über das Web-Interface
gemacht.

Ich habe das Admin-Interface und die Möglichkeit zur Neuregistrierung von Benutzern direkt
nach dem Setup deaktiviert.

Hier ist auch der Ansatz etwas anders bei Vaultwarden.

Vaultwarden hat ein Admin-Web-Interface für seine Einstellungen (sofern man sie nicht per
Environment/Config) schon voreingestellt hat und ein separates Interface für die Enduser.

Bei Bitwarden waren die Grundeinstellungen nur Config-File machbar, das Interface für
Enduser ist identisch.

Was mir sehr gut gefällt und das war unter LastPass (da war ich jahrelang Premium-Kunde)
nicht schön gelöst ist die Möglichkeit, bei der Erkennung der Webseite reguläre Audrücke
verwenden zu können und per Eintrag beliebig viele Domains zu hinterlegen.

Ich bin bisher sehr zufrieden, der Container läuft vor sich hin, das tägliche Backup hat ca. 3MB
und im Gegensatz zum Original mit MS-SQL und den entspr. Systemvorrausetzungen läuft mein
Vaulwarden Container im Standby mit nicht spürbarer CPU-Last und Memory von ca. 35MB
(docker stats).

Ich hab das ganze mit docker-compose gelöst:

version: "3.6"
services:
  vaultwarden:
    container_name: vaultwarden_server
    image: vaultwarden/server:latest
    env_file: ./environment
    restart: unless-stopped
    volumes:
        - ./data:/data
    ports:
      - "127.0.0.1:22333:80"

und einem environment file

# If the variable ADMIN_TOKEN is set, the <url>/admin page is available!
# If the variable is not set, it is gone.
# So better only set ADMIN_TOKEN if you really need to change something!
#ADMIN_TOKEN=hurrgaDieWaldfeeschreibichdochhiernichthin

## Mail specific settings, set SMTP_HOST and SMTP_FROM to enable the mail service.
## To make sure the email links are pointing to the correct host, set the DOMAIN variable.
## Note: if SMTP_USERNAME is specified, SMTP_PASSWORD is mandatory
SMTP_HOST=smtp.gmail.com
SMTP_FROM=vaultwarden@gmail.com
SMTP_FROM_NAME=Vaultwarden
SMTP_PORT=587   # Ports 587 (submission) and 25 (smtp) are standard without encryption and with encryption via STARTTLS (Explicit TLS). Port 465 is outdated and used with Implicit TLS.
SMTP_SSL=true   # (Explicit) - This variable by default configures Explicit STARTTLS, it will upgrade an insecure connection to a secure one. Unless SMTP_EXPLICIT_TLS is set to true. Either port 587 or 25 are default.
#SMTP_EXPLICIT_TLS=false # (Implicit) - N.B. This variable configures Implicit TLS. It's currently mislabelled (see bug #851) - SMTP_SSL Needs to be set to true for this option to work. Usually port 465 is used here.
SMTP_USERNAME=vaultwarden@gmail.com
SMTP_PASSWORD=AchNeeauchhiernix
SMTP_TIMEOUT=15
#SMTP_AUTH_MECHANISM="Plain"
PASSWORD_ITERATIONS=1234567
DOMAIN=https://bw.mydomain.com

Alles hinter einem nginx als Reverse Proxy mit Let’s Encrypt Zertifikaten.

Das Backup löse ich derzeit so, dass ich den container 1x pro Tag kurz stoppe und den kompletten Ordner /container/vaultwarden/data als Archiv speichere und danach
den Container wieder starte.

Die Integration in allen Browsern per Plugin (getestet: Edge, Chrome, Chromium, Firefox, Vivaldi) funktioniert einfach genial.
Auch unter iOS habe ich den Standard-Password-Safe mit Bitwarden ersetzt, Apple lässt das mittlerweile problemlos zu. Auch die Eingabe von
Passwörtern in Apps funktioniert damit perfekt und falls nicht, copy&paste klappt immer. Außerdem am Smartphone sehr bequem, dass man
den Vault dann per Fingerabdruck anstatt Passwort öffnen kann usw.

Ich kann hier aber nur für iOS sprechen, denke aber, dass mit aktuellem Android hier die Integration auch passt.

Zusammengefasst würde ich sagen, Bitwarden ist wirklich sehr gut, wurde ja auch schon auditiert und ist somit für mich der beste Kompromiss zwischen
Sicherheit und Bequemlichkeit.

Gruß

Peter