Re: Passwort-Safe, für mehrere Rechner

Top Page
Attachments:
Message as email
+ (text/plain)
+ (text/html)
Delete this message
Reply to this message
Author: Der PCFreak
Date:  
To: list
Subject: Re: Passwort-Safe, für mehrere Rechner
Hi!

Am 02.01.22 um 22:16 schrieb Bernd Stroessenreuther:

> Hi Sven,Am 24.09.21 um 09:08 schrieb Sven Velt:
>> Daher wieder zurück zu Textfile-mit-GPG :-/Von dem her wäre wohl Bitwarden (Server gibt's zum Selbst-Hosten undpassende Clients, auch für Browser) das offensichtlichste, was einenzusätzlichen Sync überflüssig macht. Allerdings war ich der Meinung, esgäbe aus dem KeePass(.*)-Universum auch einen "Server", zumindest fürdie Browser-Integration.Und es gibt auch noch:https://github.com/liuchenx/bitwarden_rs(Unofficial lightweight Bitwarden compatible server written in Rust)...
> Darf ich fragen, was aus dem Thema inzwischen so geworden ist? Bist Duletztendlich bei bitwarden_rs (der inzwischen ja offenbar vaultwardenheisst,https://github.com/dani-garcia/vaultwarden) gelandet? Und wiezufrieden bist Du mit der Lösung?Hintergrund: Wenn es eine Lösung gibt,a) die mit vertretbarem Aufwand selbst gehostet werden kannb) bei der ich in Bezug auf Security *und* Reliability keine Abstrichegegenüber meiner aktuellen Lösung machen mussc) schöne (native) Integration mit mehreren Browsern auf mehrerenGeräten hatdann könnte ich mich vielleicht auch mal von meinem Textfile-mit-GPGtrennen. Das verschlüsselte File liegt bei mir in einem Git (das nur als"Synchronisationsplattform" genutzt wird). Die Keys liegen nur auf denClients.Keep it simple. Daraus ergeben sich dann Vorteile bei der Reliability.Dass bei vaultwarden c) zutreffend ist, steht außer Frage.a) und b) sollten - soweit ich sehe - auch zutreffen. Allerdings stützensich meine Erfahrungswerte bisher lediglich auf 3 h lesen und einbisschen ausprobieren.Weitere Erfahrungswerte zu a) und b) wären daher für mich von großemInteresse!Grüße aus Altdorf,Bernd


Habe Bitwarden (selfhosted) und jetzt Vaultwarden (selfhosted) seit
längerem im Einsatz
und bisher keinerlei Probleme.

Der “originale” Bitwarden benötigt ja MS-SQL und deswegen auch ein
Minimum-Anforderung
von 2GB RAM, der MS-SQL-Container startet nicht mal wenn man weniger hat.
Mit dem hab ich angefangen und war auch sehr zufrieden. Ich wollte
allerdings auch das
TOTP-Feature nutzen, was nur in der Bezahlversion geht und man muss dann
wieder die
von Bitwarden gekaufte Lizenz in die selbstgehostete Instanz einspielen
usw., das war mir
zu blöd, deswegen bin ich dann nahtlos auf Vaulwarden umgestiegen und da
sind alle
Features, inkl. Organisationen und Family for free enthalten.

Die Migration (war nur 1 User - ich) habe ich per Export/Import direkt
über das Web-Interface
gemacht.

Ich habe das Admin-Interface und die Möglichkeit zur Neuregistrierung
von Benutzern direkt
nach dem Setup deaktiviert.

Hier ist auch der Ansatz etwas anders bei Vaultwarden.

Vaultwarden hat ein Admin-Web-Interface für seine Einstellungen (sofern
man sie nicht per
Environment/Config) schon voreingestellt hat und ein separates Interface
für die Enduser.

Bei Bitwarden waren die Grundeinstellungen nur Config-File machbar, das
Interface für
Enduser ist identisch.

Was mir sehr gut gefällt und das war unter LastPass (da war ich
jahrelang Premium-Kunde)
nicht schön gelöst ist die Möglichkeit, bei der Erkennung der Webseite
reguläre Audrücke
verwenden zu können und per Eintrag beliebig viele Domains zu hinterlegen.

Ich bin bisher sehr zufrieden, der Container läuft vor sich hin, das
tägliche Backup hat ca. 3MB
und im Gegensatz zum Original mit MS-SQL und den entspr.
Systemvorrausetzungen läuft mein
Vaulwarden Container im Standby mit nicht spürbarer CPU-Last und Memory
von ca. 35MB
(docker stats).

Ich hab das ganze mit docker-compose gelöst:

|version: "3.6" services: vaultwarden: container_name:
vaultwarden_server image: vaultwarden/server:latest env_file:
./environment restart: unless-stopped volumes: - ./data:/data ports: -
"127.0.0.1:22333:80" |

und einem |environment| file

|# If the variable ADMIN_TOKEN is set, the <url>/admin page is
available! # If the variable is not set, it is gone. # So better only
set ADMIN_TOKEN if you really need to change something!
#ADMIN_TOKEN=hurrgaDieWaldfeeschreibichdochhiernichthin ## Mail specific
settings, set SMTP_HOST and SMTP_FROM to enable the mail service. ## To
make sure the email links are pointing to the correct host, set the
DOMAIN variable. ## Note: if SMTP_USERNAME is specified, SMTP_PASSWORD
is mandatory SMTP_HOST=smtp.gmail.com SMTP_FROM=vaultwarden@???
SMTP_FROM_NAME=Vaultwarden SMTP_PORT=587 # Ports 587 (submission) and 25
(smtp) are standard without encryption and with encryption via STARTTLS
(Explicit TLS). Port 465 is outdated and used with Implicit TLS.
SMTP_SSL=true # (Explicit) - This variable by default configures
Explicit STARTTLS, it will upgrade an insecure connection to a secure
one. Unless SMTP_EXPLICIT_TLS is set to true. Either port 587 or 25 are
default. #SMTP_EXPLICIT_TLS=false # (Implicit) - N.B. This variable
configures Implicit TLS. It's currently mislabelled (see bug #851) -
SMTP_SSL Needs to be set to true for this option to work. Usually port
465 is used here. SMTP_USERNAME=vaultwarden@???
SMTP_PASSWORD=AchNeeauchhiernix SMTP_TIMEOUT=15
#SMTP_AUTH_MECHANISM="Plain" PASSWORD_ITERATIONS=1234567
DOMAIN=https://bw.mydomain.com |

Alles hinter einem nginx als Reverse Proxy mit Let’s Encrypt Zertifikaten.

Das Backup löse ich derzeit so, dass ich den container 1x pro Tag kurz
stoppe und den kompletten Ordner |/container/vaultwarden/data| als
Archiv speichere und danach
den Container wieder starte.

Die Integration in allen Browsern per Plugin (getestet: Edge, Chrome,
Chromium, Firefox, Vivaldi) funktioniert einfach genial.
Auch unter iOS habe ich den Standard-Password-Safe mit Bitwarden
ersetzt, Apple lässt das mittlerweile problemlos zu. Auch die Eingabe von
Passwörtern in Apps funktioniert damit perfekt und falls nicht,
copy&paste klappt immer. Außerdem am Smartphone sehr bequem, dass man
den Vault dann per Fingerabdruck anstatt Passwort öffnen kann usw.

Ich kann hier aber nur für iOS sprechen, denke aber, dass mit aktuellem
Android hier die Integration auch passt.

Zusammengefasst würde ich sagen, Bitwarden ist wirklich sehr gut, wurde
ja auch schon auditiert und ist somit für mich der beste Kompromiss zwischen
Sicherheit und Bequemlichkeit.

Gruß

Peter