Bitwarden oder Keepass was nutzt Ihr?

[Niklas434]

Nextcloud (TOTP/Brutefore-Protection/Suspicious Logins) und mehrere Dutzend (kein Witz!) Labels in Traefik. Hat mich, mit Steilvorlage eines Users hier, eine Woche gekostet.

Klingt gut, gerade die Sicherheit wird von vielen unterschätzt und dann ist der Salat da. Finde es auch nicht sinnvoll, wenn sich jeder einen Vaultwarden Server hinstellt Fail2Ban und min. Cloudflare zwischenschalten ist Pflicht.

Sicherheit (auch Backups) und Nutzen müssen immer im Einklang sein. Ich glaube die wenigsten machen sich auch um Backups Gedanken, auch wenn das bei Vaultwarden recht einfach ist.

Da finde ich das KeePass Konzept dann so einfach wie genial.

 

[s1ave77]

Klingt gut

Sieht auch so aus .

Hast du Nextcloud und wenn mal getestet?

 

[Niklas434]

Ergebnis; Nexcloud Selftest sagt A+ und gibt ein Bienchen für industry leading hardenings.

Wusste nicht, dass man seine Nextcloud bewerten lassen kann...so wie man das auch Mailtestern kennt. Probs wieder was gelernt

Ja aber mich noch nie so damit auseinandergesetzt wie du. Ich bin vom Selfhosting weg....ggf. gönne ich mir noch einen LowEnd server für Whoogle das war es dann auch.

 

[s1ave77]

Da finde ich das KeePass Konzept dann so einfach wie genial.

Das ist eigentlich so erschreckend simpel (richtig konfiguriert) und dabei sicher, da werden dann wieder alle mißtrauisch, ob das gehen kann.

Ich sag mal: kann zumindest für mich gut so tun.

Wusste nicht

Der ist von Nexcloud und soll dir zeigen, wie es aussieht. Da geht's um Sicherheit. Die brauchen dir nichts zu 'verkaufen™'. .

Ergänzung (22. Juli 2024)

Den Check hab ich von Reddit . Wäre ich doch in meiner konitiven Dissonanz schwimmend, nie drauf gekommen.

 

[Das MatZe]

Würde die DB aber dann mit einem Schlüssel absichern.

Meinst du damit das Masterpasswort?
Oder ein Key-File?

Ersteres halte ich ohnehin für absolut obligatorisch, letzteres für Optional - nutze ich aber auch.

 

[s1ave77]

Key-File!

 

[Restart001]

Seit über 25 Jahren hier nur die Brain.exe, sorry.

 

[s1ave77]

Brain.exe

Geht TOTP mit Stift und Papier, dann mach ich das auch.

Ergänzung (22. Juli 2024)

Versuche mir das gerade vorzustellen. Experimente beschäftigen mich, und das war'ne Steilvorlage™.

Mein Gehirn kann, mit etwas Training garantiert multiples TOTP, Muster sind sein Ding.

ZERO TRUST™ = VERIFIKATION!

Und schon vorbei! Verifikation Seite <> Brain ist noch nicht möglich.

Die Versuche dazu bisher, müssen noch das Problem der Anbindung/Integration lösen. Vorher ist das Marketing BULLSHIT, verdrängen die halt.

 

[Oli_P]

Meinst du damit das Masterpasswort?
Oder ein Key-File?

Ersteres halte ich ohnehin für absolut obligatorisch, letzteres für Optional - nutze ich aber auch.

Wenn du eine Datenbank hochlädst in die Cloud, diese auf jeden Fall mit einem Keyfile verschlüsseln. Ohne Keyfile kann die Datenbank nicht geöffnet werden.

 

[Mosed]

Seit über 25 Jahren hier nur die Brain.exe, sorry.

Du kannst dir dutzende 20-stellige alphanumerische Passwörter merken? Die du zudem nur alle paar Wochen mal brauchst.

Ja, es gibt z.B. die Option sich ein Basispasswort zu merken und je nach Seite ein paar Stellen zu modifizieren. Aber ob das dann so sicher ist...

 

[s1ave77]

ob das dann so sicher ist...

Alleine eh' nicht. Ist nur eine Frage des Aufwands, Quanten-Computer essen eliptische Kurven und ähnliche Konzepte zum Frühstück!!!!

Der sieht die Muster sofort! Da braucht man Konzepte mit wesentlich mehr Entropie . Die kann der Mensch lösen (mit Kontext!) alles andere braucht jede Menge Geduld.

 

[Shio]

Ist ein QoL-Feature und gefährlich. Zero Trust sagt, manuelle Eingabe keine Ablage mit Klartext egal wie lange.

Ich weiß was du meinst, aber Zero Trust fördert damit halt nur unsichere Passwörter und dann sind wir wieder am Anfang.
Wenn da schon was in deinem Handy ist was dein Autofill abfangen kann, dann ist manuelles Tippen doch auch keine Hürde mehr.

 

[s1ave77]

Zero Trust fördert damit ...

... Secrets, Hashes und Tokens! Geht .

 

[brianmolko]

Keepass

 

[Shio]

... Secrets, Hashes und Tokens! Geht .

Ja schön wärs, bringt aber nichts wenn das bei 99% der Apps nicht geht.
Mir gings ja nur um mobile Apps. Müsste Google mal was in Richtung sicherem Piping schaffen, dann sollte das wohl auch mit dem Autofill nicht so ein Problem sein.

 

[s1ave77]

bringt aber nichts wenn das bei 99% der Apps nicht geht.

Traefik kann das von sich aus. Der übernimmt einiges (mit Langzeittoken für App-Zugriff). Andres kann das auch, wie Home Assistant, ....

Nur Nextcloud ohne OAuth2, da WebDAV, aber extra gehärtet.

Bei mir ist bisher: Geht nicht heißt auch für mich geht nicht.

 

[BeBur]

Egal, Hauptsache Passwortsafe wird verwendet. Vorschlag: Nimm einfach das, was du eh schon verwendest: KeePassXC. Man kann sich immer in technischen Details verlieren, aber die Frage ist, welches Problem (mit KeePassXC) du eigentlich lösen willst.

 

[Oli_P]

Das ist richtig, was du schreibst... Hauptsache einen Password-Safe nutzen, irgendeinen Finde diese Threads aber immer wieder interessant, wenn Leute berichten, wie sie ihre Zugangsdaten managen. Hab schon öfters Anregungen gehabt, etwas zu ändern bei mir. Grade bei Keepass sieht man zig verschiedene Möglichkeiten. Hab irgendwo gelesen, dass jemand Keepass nutzt + Browser-Plugin für Passwörter von Norton im Browser. Das hab ich zwar nicht verstanden, denn Keepass fügt (fast) immer in jeder Anwendung die Zugangsdaten zuverlässig ein (im Browser sowieso), ganz ohne Zusatzsoftware. Aber wird schon nen Grund haben

 

[KitKat::new()]

Finde es auch nicht sinnvoll, wenn sich jeder einen Vaultwarden Server hinstellt Fail2Ban und min. Cloudflare zwischenschalten ist Pflicht.

Fail2Ban kann man sich ja überlegen, aber cloudflare? Nein, warum? 😃

 

[WhiteHelix]

Server falsch konfiguriert, Backup offen rumliegen lassen, Verschlüsselung ist dann doch nicht so gut wie versprochen und das Salz war gerade auch wieder alle.

Das ist halt mit der größte Unterschied für mich von Bitwarden zu Lastpass und Co, Entschlüsselung findet ausschließlich lokal auf dem Client und niemals in der Cloud statt. https://bitwarden.com/help/bitwarden-security-white-paper/

Bei mir auch Bitwarden, Keepass kommt grade wegen Komfort absolut nicht in Frage. Hatte zwischenzeitlich auch einen Vaultwarden, aber das Rest-Risiko durch lokale Backups an nix mehr ran zu kommen + der lächerliche Preis für den Support wars mir dann wert zu wechseln