Online-Bitwarden zu riskant gegenüber Offline-Keepassxc ?

[maloy]

Hallo.

In das Newbie Unterforum passt das Thema nicht, geht da eh nur verloren. Hab' ich schon im Fußball-Unterforum erlebt. Da sind die Stammuser nun mal unter sich und ich fragte mich mal , hat nun jemand mir geantwortet, oder einem 4 Postings über mir ? Anhand der Betreffzeile erkennt ihr schon, nichts genaues weiß er nicht. Meine SuFu brachte hier zwar Treffer ans Tageslicht, doch die waren für mich viel zu overdressed. Ich habe bei youtube Passwort Manager eingegeben, doch bereits die ersten beiden konnte man vergessen. Zu schnelle Mausklicks, zu viel vom Zuschauer vorausgesetzt usw. Doch dieses Video

Datenschutzhinweis für Youtube

An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.

Youtube Videos ab jetzt direkt anzeigen

Video anzeigen

war relativ ansprechend. Doch wenn ich das halbwegs richtig verstanden habe, liegt der Passwort Safe online auf einem Server. Der Junge erklärt das ab 2:25 und Bitwarden selbst hätte keinen Zugriff auf den Safe. Meine sämtlichen Forenpasswörter kann ruhig jeder wissen, das juckt mich nicht. Doch die Passwörter für amazon, ebay, Homebanking und so, gebe ich jedes Mal auf' s neue ein. Und wenn ich mir vorstelle, die liegen alle in diesem Safe auf dem Server. Oh je, was meint ihr dazu ?

Von keepassxc und Konsorten habe ich Null Plan. Da ist mal von Sprachpakete installieren die Rede und dann hatte ein Nutzer in einem Mint Forum trotzdem noch Probleme, obwohl er dies bzgl viel mehr auf' m Kasten hat, als ich.

Abschlussfrage: Würdet ihr euer Master-Passwort und die Passwörter im Safe einem Server Betreiber anvertrauen oder sind euch Offline Safes bekannt, die ohne viel TammTamm, sprich, ohne großartige Korrekturen installiert und eingerichtet werden können ?

Denn mit solchen Videos kann ich, wie oben schon geschrieben, nichts anfangen. Wer mal Zeit und Bock hat:

Datenschutzhinweis für Youtube

An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.

Youtube Videos ab jetzt direkt anzeigen

Video anzeigen

Datenschutzhinweis für Youtube

An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.

Youtube Videos ab jetzt direkt anzeigen

Video anzeigen

Gruß

 

[KurantRubys]

Zu Bitwarden gibt’s diverse Audits, kannst du selbst hosten mit Vaultwarden, OpenSource…

Selfhosting geht da auch recht unkompliziert über Docker, dann liegt das eben worauf immer dein Docker läuft.

TLDR und was u.a. auch für mich der Grund war um zu wechseln

Bitwarden Security Whitepaper | Bitwarden Help Center

The Bitwarden Security Whitepaper highlights the security and compliance program, elaborating on security principles like password hashing and key derivation.

bitwarden.com

All cryptographic keys are generated and managed by the client on your devices, and all encryption is done locally.

 

[tobsel]

Wenn man nie etwas mit Docker oder selbst Hosting etc. zutun hatte ist es sicher eine sehr gute Idee das dann mit einem Passwort Manager auszuprobieren am besten dann direkt über das Internet verfügbar machen….

Leute… echt 😟

 

[maloy]

Zu Bitwarden gibt’s diverse Audits, kannst du selbst hosten mit Vaultwarden, OpenSource…

Selfhosting geht da auch recht unkompliziert über Docker, dann liegt das eben worauf immer dein Docker läuft.

TLDR und was u.a. auch für mich der Grund war um zu wechseln

Bitwarden Security Whitepaper | Bitwarden Help Center

The Bitwarden Security Whitepaper highlights the security and compliance program, elaborating on security principles like password hashing and key derivation.

bitwarden.com

Rein vom Alter her könntest du mein Enkel sein, soll heißen, ich habe nicht die Bohne verstanden. Tja, ist ne andere Generation, weiß noch noch nicht mal, was Audit bedeutet. Nichts für ungut.

Wenn man nie etwas mit Docker oder selbst Hosting etc. zutun hatte ist es sicher eine sehr gute Idee das dann mit einem Passwort Manager auszuprobieren am besten dann direkt über das Internet verfügbar machen….

Leute… echt 😟

Vielleicht finde ich ja noch einen Offline PWM. Auch wenn es schon lange her ist, aber in diesem Fall würde ich auch was dafür bezahlen, wenn er sich sozusagen wie von selbst installiert.

 

[KurantRubys]

Leute… echt 😟

Hab ich das gesagt? 🤷‍♂️ Seh auch absolut keinen Grund dazu, siehe zitiertes Whitepaper.

 

[xST4R]

also ich hab auch vor das so zu machen > Vaultwarden

das ganze ist am ende doch sowieso verschlüsselt , und login würde ich dann zb nur via passkey erlaubt und das dann an hardware binden zb einem yubikey,nitrokey oder titankey ...

also selbst als "anfänger" ist das meiner meinung nach kein hexenwerk das ganze sicher aber dennoch benutzerfreundlich zu machen ...

oder liege ich da komplett daneben ?

Wenn man nie etwas mit Docker oder selbst Hosting etc. zutun hatte ist es sicher eine sehr gute Idee das dann mit einem Passwort Manager auszuprobieren am besten dann direkt über das Internet verfügbar machen….

Leute… echt 😟

versteh daher deine angst nicht ganz.

es gibt vorallem auch schon einfache möglichkeiten das ganze sicher selbst zu hosten , sei es über die image von einem nas (synology) oder unraid oder truenas oder oder oder ...

---

ein weiterer vorteil ist das die ganz ganz wichtigen themen wie finanzen/email/google/amazon usw. mit der hardware (also yubikey,nitrokey oder titankey) abgesichert sind und nicht einmal in vaultwarden eingetragen werden müssen !

 

[maloy]

es gibt vorallem auch schon einfache möglichkeiten das ganze sicher selbst zu hosten , sei es über die image von einem nas (synology) oder unraid oder truenas oder oder oder ...

---

ein weiterer vorteil ist das die ganz ganz wichtigen themen wie finanzen/email/google/amazon usw. mit der hardware (also yubikey,nitrokey oder titankey) abgesichert sind und nicht einmal in vaultwarden eingetragen werden müssen !

Freunde, ich weiß nicht, ob mein studierter Schwager mit Abi Note 1 und Sternchen, mir einen reindrücken wollte, aber als ich ihn fragte, ob ich nicht einfach die Passwörter als txt oder pdf abspeichern könne, um dann bei Bedarf das jeweilige PW mit copy and paste in eine beliebige Eingabezeile einfüge, hat er es bejaht.

Belassen wir es mal bei dem PW 4711. Hier gibt es 3 Möglichkeiten:

Mann tippt es von Hand ein

Manche Webseiten bieten sogar den "Service", das PW verdeckt einzugeben, oder während der Eingabe sichtbar. Was immer das auch bringen soll, falls mir jemand während der Eingabe über die Schulter schaut ?

Mit Copy & Paste

Mit einem Passwort-Manager.

Was spricht gegen die ersten ersten 2 Versionen, die Wahrscheinlichkeit, sich zu vertippen ?

Was spricht gegen Copy & Paste ? Dass bereits irgend jemand, der von wo auch immer, das einfügen mitkriegt, oder sich vielleicht schon auf meinem Rechner befindet ?

Dann würden auch bei einem langen und komplizierten PW irgend welche Dunkelmänner die Eingabe mitlesen. Also wenn ich mir das alles vor Augen halte, dann ist ein PWM in der Tat ein probates Mittel. Aber wie gesagt und ich will nicht schon wieder auf die Tränendrüsen drücken,

"es gibt vorallem auch schon einfache möglichkeiten das ganze sicher selbst zu hosten , sei es über die image von einem nas (synology) oder unraid oder truenas oder oder oder ..."

Einfache: Ja nee iss klaar. Wenn schon dieser Newbie im Linux Forum, der mir weit voraus war, nach dem installieren des Sprachpaketes nicht klar kam, schaue ich mal nach einer Freeware für Dummys oder einer "fertigen" Kaufversion. Wird schon........

 

[Lunat1cx]

- Passwortmanager kann dir dabei helfen zufallsgeneriert sichere Kennwörter zu erzeugen.
- Er kann sie verschlüsselt abspeichern -> eine Textfile oder PDF ist das meist nicht. Kommt dein Rechner abhanden oder nur die Festplatte liegen alle deine Kennwörter im Klartext vor.
- Desweiteren kann z.B. Keepass bei der Eingabe so umherspringen das es auch für einen evtl. laufenden Keylogger schwieriger bis unmöglich ist herauszufinden was bei der getätigten Eingabe durch den Passwort-Manager Usernamen und Kennwort ist.

Das Selbsthosten von Vaultwarden ist jetzt auch nicht unbedingt so easy wie es hier hingestellt wird. Du brauchst ne Domain, SSL-Zertifikat und nen DynDNS-Eintrag, Portweiterleitung nicht zu vergessen. Ein gewisses Verständnis von Monitoring sollte unter Umständen vorhanden sein.

 

[maloy]

1. Passwortmanager kann dir dabei helfen zufallsgeneriert sichere Kennwörter zu erzeugen.
2. Er kann sie verschlüsselt abspeichern -> eine Textfile oder PDF ist das meist nicht. Kommt dein Rechner abhanden oder nur die Festplatte liegen alle deine Kennwörter im Klartext vor.

1. Ja, das verstehe ich. Sollte ich einen finden, der sich leicht einrichten lässt, ist er auch meine erste Wahl noch vor:

2. Ich kann alles zu 100 % ausschließen. Meine soziale Situation ließ es noch nie zu, dass sich irgend jemand jemals an meinen PC' s zu schaffen machte. Meine Frau geht auch nie an meine Geräte und selbst wenn ich mal eines meiner Notebooks verkaufen sollte, baue ich vorher die Festplatte aus. Bliebe noch die Paranoia und berechtigte Vorsichtsmaßnahmen, um es den Spähern schwer zu machen, auf meinem PC nach den Kennwörtern zu suchen.

 

[Friday13th]

oder liege ich da komplett daneben ?

Ist schon ein wenig älter, aber ja - da liegst du relativ daneben.

Bei Bitwarden verwendest du keinen Passkey / Yubikey zum login, sondern du verwendest diesen lediglich dazu um die Passwort Datenbank abzurufen, welche dann lokal zwischengespeichert wird und mit dem Masterpasswort verschlüsselt ist.

Das bedeutet in der Konsequenz, dass wenn ein lokaler Angriff stattfindet die Passwörter grundsätzlich nur mittels Masterpasswort verschlüsselt sind - auch wenn jemand an deinen Vaultwarden Docker Container ran kommt, kann die Datenbank mittels Brute Force gehackt werden (heißt natürlich nicht, dass das automatisch auch schnell funktioniert) - nur sollte klar sein, dass du hier kein f2a mittels Passkey/Yubikey hast.

Bei KeepassXC läuft das anders, hier wird durch den Yubikey tatsächlich die Entropie erhöht und demnach ist auch die Datenbank westentlich sicherer als bei Bitwarden - ähnlich wie wenn man eine Keyfile bei KeepassXC verwendet.

 

[xST4R]

Ist schon ein wenig älter, aber ja - da liegst du relativ daneben.

Bei Bitwarden verwendest du keinen Passkey / Yubikey zum login, sondern du verwendest diesen lediglich dazu um die Passwort Datenbank abzurufen, welche dann lokal zwischengespeichert wird und mit dem Masterpasswort verschlüsselt ist.

Das bedeutet in der Konsequenz, dass wenn ein lokaler Angriff stattfindet die Passwörter grundsätzlich nur mittels Masterpasswort verschlüsselt sind - auch wenn jemand an deinen Vaultwarden Docker Container ran kommt, kann die Datenbank mittels Brute Force gehackt werden (heißt natürlich nicht, dass das automatisch auch schnell funktioniert) - nur sollte klar sein, dass du hier kein f2a mittels Passkey/Yubikey hast.

Bei KeepassXC läuft das anders, hier wird durch den Yubikey tatsächlich die Entropie erhöht und demnach ist auch die Datenbank westentlich sicherer als bei Bitwarden - ähnlich wie wenn man eine Keyfile bei KeepassXC verwendet.

also ist KeepassXC der sicherere pw manager ?

 

[Shihatsu]

Cloud = Computer anderer Leute.
Jede Verschlüsselung wird irgendwann gebrochen werden, manch eine früher als später, Stichwort Quantencryptographie.

Die beiden Dinge in Kombination führen mich dazu das ich NIEMALS Passwörter gesammelt in irgendeine Cloud - die nicht meine ist - hochladen würde.

 

[Lunat1cx]

Bei Bitwarden verwendest du keinen Passkey / Yubikey zum login, sondern du verwendest diesen lediglich dazu um die Passwort Datenbank abzurufen, [...] nur sollte klar sein, dass du hier kein f2a mittels Passkey/Yubikey hast.

Huh? Bitwarden unterstützt doch 2FA mit Yubikey, SMS, OTP etc.

 

[LuxSkywalker]

ich betreibe selber vaultwarden innerhalb eines FreeBSD Jails - welche aber WAN seitig keinerlei Zugriff zulässt, warum auch?

die gängingen Bitwarden Clients haben einen eigenen Cache und müssen nicht 24/7 mit dem Vaultwarden Server verbunden sein

was allerdings NICHT geht in meiner Konfiguration: unterwegs vom Handy aus einen neuen Eintrag anlegen, dafür muss ich mich halt kurzerhand per OpenVPN verbinden

neue Einträge können nur bei Zugriff auf den Server gesetzt werden!

ich würde NIEMALS irgendeinen Cloud Passwort Manager vertrauen - megafail in meinen Augen... das kann früher oder später nur schief gehen