PWD Manager - Mehrere DB sinnvoll? + Bitwarden selbst hosten

[Tanduvil]

Hallo in die Runde,

Grüße, dies ist mein erster Post, ich lese schon einige Zeit ohne Account mit. Heute habe ich als Einstiegspost gleich 4 Fragen zum Thema Sicherheit an euch, die mich seit einiger Zeit umtreiben, ich hoffe, das ist nicht zuviel Stoff auf einmal


Die erste ist eine Frage zum Passwortmanager generell, ich benutze aktuell Keepass:
Teilt ihr eure Passwörter auf mehrere Datenbanken auf, also Firma (User, Backups etc.), privat, Banking, Shopping etc., oder lasst ihr alles in einer DB? Meine Einträge wachsen rapide an, aktuell sind es 160 Stück. Und halt alles gemischt. Wie sieht es mit dem Sinn einer Aufteilung aus?


Meine zweite Frage betrifft meine Überlegungen, von Keepass zu Bitwarden zu wechseln:
Ich würde Bitwarden am liebsten selbst hosten, hat jemand Erfahrungen mit Bitwarden_RS auf einem Pi? In die Cloud möchte ich nicht. Ich habe, mal vereinfacht, folgende Netzwerkstruktur:

(Internet) --- Edgerouter X --- DMZ (Appliance mit Sophos XG Home) --- LAN (Appliance mit OPNsense)

Einwahl wäre dann natürlich über VPN. Wo würdet ihr den Pi platzieren bzw. wie würdet ihr vorgehen?


Meine dritte und vierte Frage betrifft eure Empfehlung für Dokumente, die ihr, auch bei (mindestens) 3-2-1 Backups mit Lagerung an verschiedenen Orten, trotzdem in ausgedruckter Form vorhalten würdet. Backup-Login-Codes, Netzwerkpläne? Eine Passwortliste vom PWD-Manager? Klingt paranoid, aber es kann ja irgendwie immer alles sein.


Vielen Dank und Grüße,
Christian

 

[spcqike]

ich hab mir vor wenigen Wochen Vaultwarden aufgesetzt (ehemals Bitwarden_RS, wenn ich das richtig verstanden habe) und bin sehr zufrieden.
Läuft auf Docker auf ner VM auf meinem Server.

aktuell habe ich nur einen User (die Datenbank beinhaltet ja mehrere User) wo ich alle meine Passwörter sichere. Ob man nun zwangsweise mehrere Benutzer für unterschiedliche Zwecke anlegen muss, oder ob ein sicheres Datenbankpasswort ausreicht .... Kommt wohl auch schwer auf den Einzelfall an. Mir reicht erst einmal eins für alles

Wenn du den Zugriff wirklich nur per VPN realisieren willst, kann der Pi wahrscheinlich ins interne LAN. Ich würde ihn wohl in die DMZ werfen und per Remote mit eigener DNS und Lets Encrypt Zertifikat zugänglich machen. (zumindest hab ich es bei mir so)

Ich denke man braucht nur die Dokumente aufheben, die man braucht, um im Worstcase an alle Daten zu kommen. Das kann von Schlüsseln für das verschlüsselte Backup über Netzwerkpläne bis zum eigenen Masterpasswort der Datenbank alles sein. Kommt auch wieder auf den EInzelfall an.

Das gute an Bitwarden (und damit auch Vaultwarden), man kann mehrere Benutzer erstellen und einen Notfallkontakt hinterlegen. Dieser bekommt dann nach X Tagen Zugriff auf die eigenen Passwörter. Damit muss man das eigene Passwort nicht aufschreiben, sofern die Frau/Freundin die Notfallperson ist. Diese bräuchte also nur Zugriff zum verschlüsselten Backup und jemanden der ihr Hilft, aus dem Backup eine VM mit dem Docker/Dienst ans laufen zu kriegen.

 

[madmax2010]

Teilt ihr eure Passwörter auf mehrere Datenbanken auf, also Firma (User, Backups etc.), privat, Banking, Shopping etc., oder lasst ihr alles in einer DB? Meine Einträge wachsen rapide an, aktuell sind es 160 Stück. Und halt alles gemischt. Wie sieht es mit dem Sinn einer Aufteilung aus?

https://github.com/gopasspw/gopass
Gopass
und dann halt ein internes repo und halle haben gescheite gpg keys.

 

[BeBur]

Teilt ihr eure Passwörter auf mehrere Datenbanken auf, also Firma (User, Backups etc.), privat, Banking, Shopping etc., oder lasst ihr alles in einer DB? Meine Einträge wachsen rapide an, aktuell sind es 160 Stück. Und halt alles gemischt. Wie sieht es mit dem Sinn einer Aufteilung aus?

Ohne Grund sollte man nicht aufteilen und wenn du einen Container mithilfe des anderen öffnen kannst dann ist der Nutzen auch schon wieder sehr begrenzt.
Ich verwende 2 Container, einen für eher irrelevante Logins zu 1000 Websites und der ist an Firefox angebunden über Plugin. Dann einen zweiten mit wichtigeren Logins, Email, Paypal, etc. Ich traue firefox Plugins nicht so sehr und die Plugins haben afaik leider vollen Zugriff auf angebundene Container.
Nach "Themen" würde ich nicht aufteilen, das ist viel zu umständlich und hat keinen Mehrwert. Du kannst ja Einträge kategorien zuordnen, das erfüllt den selben zweck. 160 Einträge ist ja jetzt auch nicht die Welt. Ich pflege meine Container nicht besonders gut (d.h. ich lösche veraltetes selten raus) und finde mich dank Suchfunktion und Kategorien problemlos zurecht.

Ich würde Bitwarden am liebsten selbst hosten

Würde ich persönlich nicht machen. Zu aufwendig, zu riskant. Eines Tages bist du im Urlaub und dein VPN funktioniert nicht mehr und du kannst dich nirgends einloggen. Oder dein Backup ist seit 6 Monaten kaputt und das merkst du erst als deine SD karte im PI kaputt geht... etc.

Meine dritte und vierte Frage betrifft eure Empfehlung für Dokumente, die ihr, auch bei (mindestens) 3-2-1 Backups mit Lagerung an verschiedenen Orten, trotzdem in ausgedruckter Form vorhalten würdet. Backup-Login-Codes, Netzwerkpläne? Eine Passwortliste vom PWD-Manager? Klingt paranoid, aber es kann ja irgendwie immer alles sein.

Das ist überhaupt nicht paranoid, sondern gehört einfach mit dazu. Ich habe die Faktoren die man braucht für den Zugriff zum Hauptcontainer extern eingelagert, demnächst teile ich das noch auf auf zwei Standorte.


mMn ist safety weit wichtiger als security, d.h. die Absicherung gegen Tod, Unfall, Naturkatastrophe, Menschlicher Fehler ist weit wichtiger als die Absicherung gegen Einbruch und Diebstahl. Natürlich MUSS es Absicherung gegen Einbruch und Diebstahl geben, aber eine Flut, ein Krankenhausaufenthalt, Tod oder menschlicher Fehler sind weit wahrscheinlicher als das jemand versucht, mit Gewalt oder List Offline an deinen Container zu kommen.
Ich lese immer einen Haufen Beiträge von Nutzern, die sich gegen alle denkbaren Einbruchsszenarien absichern. Das ist halt viel viel cooler als darüber nachzudenken ob jemand zugriff erhalten sollte, wenn man unansprechbar im Krankenhaus liegt oder was ist wenn Haus niederbrennt.

 

[Oli_P]

Mit anderen Passwort-Managern als Keepass hab ich aktuell keine Erfahrungen. Zumindest zur ersten Frage kann ich antworten, dass ich im Berufsleben mehrere Keepass-Datenbanken nutze. Das sind dann z.B. Datenbanken mit persönlichen Logins und Datenbanken mit geteilten Logins. Ausserhalb des Berufslebens hab ich auch noch ne abgespeckte Datenbank fürs Smartphone.

 

[Tanduvil]

@spcqike @BeBur @madmax2010 @Oli_P

Vielen Dank für eure wertvollen Tipps und Gedankenanstöße! Ich muss mir jetzt ein paar Gedanken machen, bei denen ich mich dank euch sicherer fühle. Ich werde dann hier berichten bzw. nochmals nachfragen, wenn ich mir unsicher bin.

Grüße!

 

[WhiteHelix]

Mal noch so als Erfahrung aus der Praxis, ich hab Vaultwarden auch mitlaufen als AddOn vom Home Assistant. Für die PWs in der Arbeit hab ich ne eigene Sammlung angelegt mit eigenem User für die Sammlung, damit da auch nur die Kennwörter angezeigt werden und nicht mein ganzer privater Kram. Läuft soweit sehr zuverlässig, HA macht täglich automatisiert ein Backup in die Cloud.

Bisher problemfrei, hab ich jetzt seit 3 Monaten so im Einsatz. Vorheriger PW Manager war Enpass, bin aber privat noch nicht komplett gewechselt.

 

[Tanduvil]

Vielen Dank, @WhiteHelix !