das Zertifikat passt dann aber nur wenn ich die Vaultwarden Instanz ins Internet stelle und erreichbar mache unter der Adresse. Ich will Vaultwarden aber nur lokal anwenden. Als jemand der alles was geht selbst hosted, bin ich mit Pi’s besser bedient als mit einer NAS 
Die einfachste Lösung wäre Tailscale zu verwenden. Ist kostenlos und eine Mesh-VPN-Lösung (Ende-Zu-Ende-Verschlüsselt) mit nützlichen optionalen Features wie HTTPS (keine eigene Domain notwendig), netzwerkweites DNS (für Adguard Home/Pihole) und gegen kleinen Aufpreis mit Mullvad-VPN-Integration. Mit Tailscale kann man dann auch von Unterwegs auf alles sicher zugreifen ohne Ports zu öffnen.
Ansonsten ist eine Domain ziemlich günstig zu erwerben und mit DNS-challenge geht auch HTTPS ohne offene Ports.
Dritte Lösung wäre ein eigenes Zertifikat zu erstellen, das auf alle Endgeräte installieren und mit einem eigenen DNS-Server Adresse und Domain verknüpfen.
Das ist ein Aspekt, der meiner Erfahrung nach auch oft für Irritationen sorgt. Viele User sind es gewöhnt, dass Apps/Programme überall gleich oder zumindest ähnlich aussehen. Der leidige Electron-Trend verstärkt das ja noch, weil nun wirklich alles gleich aussieht, egal auf welcher Plattform man unterwegs ist.
Das ist auch etwas, das ich sehr schätze: anders als bei Bitwarden und 1Password gibt’s ein File mit einem dokumentierten Format, das einfach von verschiedenen Programmen eingelesen und verarbeitet werden kann. Aus „Nerd“-Perspektive ist die Vielfalt an verschiedenen Anwendungen sogar ja ganz nett, man kann sich die aussuchen, die einem am besten gefällt.
Ich nutze alle drei parallel: 1Password im Hauptjob und privat mit meiner Familie, Bitwarden für mein Nebengewerbe und eine Organisation, bei der ich ehrenamtlich tätig bin, KeePassXC für ein anderes Nebengewerbe. Bei 1Password kenne ich noch die Zeiten, als es ohne Zwangs-Cloud auskam und man sich, ähnlich wie bei KeePass, selbst um einen Sync kümmern musste, wenn man mehrere Geräte nutzen wollte. Prinzipiell taugen alle Lösungen, man tauscht halt bei jeder gewisse Aspekte für mehr Komfort oder mehr Sicherheit. Mit KeePass ist es z.B. echt nervig, gemeinsam auf Tresore, Items oder nur Teile eines Tresors zuzugreifen, da bieten Bitwarden und 1Password gerade für Unternehmen viel mehr Möglichkeiten, granular Berechtigungen zu vergeben. Dafür liegen dann die Daten auf einem fremden Server. Browser-Extensions und Integration in mobile Systeme sind bei beiden auf einem ähnlichen Level, da nehmen die sich nicht viel. Ein wichtiger Unterschied ist aber, dass 1Password für die Verschlüsselung nicht nur auf das Master-Password setzt, sondern noch einen sog. Secret Key dazu nimmt, vergleichbar mit dem Keyfile bei KeePass. Für User mit einem schwachen Master-Passwort bietet das einen Vorteil gegenüber Bitwarden, sollte der Server des Anbieters einmal kompromittiert sein. Wie du schon richtig sagtest, …
Bei KeePass ist das optional möglich (aber zu empfehlen bei Cloud-Lagerung), bei 1Password per Default an und auch nicht zu deaktivieren (weil Cloud auch Default ist) und bei Bitwarden gibt’s das aktuell mWn nicht.
Verstehe! Ich habe das etwas stärker abgesichert, da ich mir mein Schließfach teile. Hatte mal hier ausführlicher beschrieben, wie ich das absichere und meine zweiten Faktoren, Schlüssel etc. auf mehrere Orte verteile.
Sehr gut! 
Vielleicht ja ein Projekt für den nächsten Urlaub, mal alle Backups durchzutesten und nach Schwachstellen zu suchen. Denn die gibt’s immer irgendwo, egal wie gut man denkt, alles durch geplant zu haben 
das muss ich mir mal genauer anschauen, wie das genau funktioniert, danke für den Tipp!
Ich habe Mullvad schon auf dem Router laufen und benutze meinen Router auch als VPN Client daher bin ich egal wo ich bin immer im Heimnetz.
Eigenes Zertifikat funktioniert nicht, bzw kann es nicht ausreichend in Android eingebunden werden so das die Bitwarden app es akzeptiert.
Das stimmt so nicht, und wieso bist du mit einem Pi-hole besser dran als mit einem NAS?
Wobei, ACME läuft sicher auch im Container auf dem Pi-hole, du brauchst halt nur eine Domain oder DynDNS Domain - geht alles…
Ich nutze Vaultwarden via Docker auf dem NAS und es ist nur intern erreichbar, den DNS Eintrag setze ich im Pi-hole, dank Wildcard Zertifikat via LetsEncrypt und ACME via Docker habe ich auch keine Ports dafür offen…
Edit:
Bei Bitwarden kannst du aber 2FA für deinen Account nutzen;)
Edit2:
Macht man ja so nach Best Practice auch nicht, viel zu umständlich und nicht automatisiert → ACME und LetsEncrypt, falls es Wildcard Zertifikate benötigt, ansonsten gibt es noch andere freie CA’s;)
Edit3:
Die Abhängigkeit vom externen Server ist mittlerweile nicht mehr notwendig, oder besteht diese immer noch?
Ansonsten müsste man auch hier wieder selbst hosten, sehe da dann für das überschaubare Szenario keinen Vorteil wenn man nativ Wireguard oder IPSec der vorhandenen Geräte verwendet…
https://www.kuketz-forum.de/t/vpn-wie-vertrauenswuerdig-ist-tailscale/1392
Also wenn ich dich richtig verstehe, installiere ich ACME und Vaultwarden in Docker. Zertifiziere eine dyn Domain, und setze dann den DNS Eintrag im Pi-hole für DNS verifizierung? Das funktioniert?
Du brauchst einen Koordinations-Server, sei es über Tailscale direkt oder selbst hosten. Dieser verteilt die öffentlichen Schlüssel und Kontaktdaten. Da Tailscale Ende-Zu-Ende-Verschlüsselte Verbindungen zwischen den Geräten direkt aufbaut und die privaten Schlüssel nur auf deinen Endgeräten verbleiben sehe ich kein Problem den von Tailscale zu nehmen. Siehe:
https://tailscale.com/blog/how-tailscale-works
Findest du das nicht ein wenig Kanonen auf Spatzen für das genannte Vorhaben?
Korrekt, ich habe die Subdomain für Vaultwarden als lokalen DNS-Eintrag auf dem Pi-hole gesetzt, dieser zeigt auf den Reverseproxy-Eintrag vom NAS, welcher auf die Vaultwardeninstanz verweist - dank Wildcardzertifikat problemlos möglich - klingt erstmal kompliziert, ist es aber nicht wirklich.
Nein. Ich frage mich eher warum sich Leute die Mühe machen Teile davon selbst zu machen nur um nachher mit weniger Komfort, mehr Arbeit und weniger Features da zustehen, als einfach Tailscale oder vergleichbare Lösungen zu verwenden die dafür konzipiert wurden. Es hat noch einen weiteren Vorteil: Verschlüsselung in der Kommunikation zwischen den Geräten auf denen Tailscale läuft, insbesondere auch im Heimnetzwerk. Netzwerken sollte nicht vertraut werden und zu viele tun das im Heimnetzwerk.
Das verschlüsselt aber nicht zusätzlich sondern ist nur eine weitere Zugriffshürde, richtig? Der Vault liegt ja weiterhin nur mit dem PW verschlüsselt auf den Bitwarden-Servern.
geht das auch ohne reverse Proxy? würde falls möglich reverse Proxy vermeiden wollen, könnte Probleme machen mit meinem anderen Kram (alleine schon die pi-hole ist ja mit reverse Proxy schon kompliziert zu bedienen) edit: nee ich glaube es funzt nicht ohne reverse Proxy habs mir gerade noch mal überlegt. lol
Weil die Leute vielleicht keine Lust auf weitere Abhängigkeiten haben?
Wenn ich ein entsprechendes Endgerät mit VPN Funktionalitäten (Wireguard oder IPSec) zu Hause habe, und nur aus der Ferne mit meinem Endgeräten auf das interne Netz zugreifen möchte, warum sollte ich mir da eine weitere Abhängigkeit ans Bein binden?
Korrekt, bzw. auf deinem eigenen Server;)
Ist die Schlüsseldatei bei KeepassXC nicht auch nur ein weiterer Faktor?
Nein, es geht nicht ohne, zumindest nicht ohne Warnmeldung beim Zertifikat - du kannst ja die Instanz auch via IP aufrufen - es gibt aber für Docker auch den nginx Proxy Manager oder so, ist dann halt nur alles ein wenig komplizierter🙈
also danke schon mal für diesen tipp ich probier das mal aus (erst mal in einer testumgebung lol)
Ob jemand Lust auf etwas hat, darauf habe ich natürlich keinen Einfluss. Aber es gibt gute Gründe Tailscale o.Ä. zu verwenden und kaum dagegen. Wenn Tailscale mal dicht macht nimmt man halt den nächsten Anbieter. Es gibt damit keinen Vendor lock-in und der Lern- und Umsetzungs-Aufwand ist sicher geringer als wenn man den eigenen Weg geht, insbesondere, wenn man keine unverschlüsselte Kommunikation (inklusive Heimnetz) will.
Bitwarden verwendet nach meinem Kenntnisstand eine Sqlite-Datenbank, in der jeder Eintrag verschlüsselt enthalten ist. Es wird auf dem Endgerät eine lokale Kopie abgelegt. Der Datenbank ist zu entnehmen, wie viele Passwörter ich dort verwalte. Da aber eine lokale Kopie auf dem Endgerät genutzt wird, wird nicht für jedes genutzte Passwort bei Bitwarden nachgefragt.
Wie viele Geräte auf die Datenbank zugreifen, könnte ersichtlich sein. Wann die online sind, ist allenfalls eingeschränkt sichtbar.
In dieser Hinsicht ist Keepass günstiger, weil hier die Datenbank als ganzes verschlüsselt wird und nichts über die darin enthaltenen Einträge ersichtlich ist.
Aber ja, wer unter Privacy-Gesichtspunkten ein Problem damit hat, dass andere sehen, wie viele Geräte er hat und wann diese online sind, darf nur mit jeweils einem Gerät auf jeweils einen Dienst zu greifen und darf nicht ein und denselben Dienst mit zwei Geräten nutzen. Das dürfte für die Mehrzahl der internetnutzenden Personen eher unpraktikabel sein. Aber dann entfällt auch das Problem der Synchronisation irgendwelcher Daten. Dann braucht es einen Dienst wie 1Password oder Bitwarden auch nicht.
2 „Gefällt mir“
Nein, KeePass (optional) und auch z.B. 1Password (zwangsweise) verschlüsseln den Vault mit beiden Keys:
Your KeePass database file is encrypted using a master key. This master key can consist of multiple components: a master password, a key file and/or a key that is protected using the current Windows user account.
(Source)
Your Secret Key and your 1Password account password both protect your data. They’re combined to create the full encryption key that encrypts everything you store in 1Password.
(Source)
Bei Bitwarden wird nur das Account Password genutzt:
Your Bitwarden vault is encrypted using complex cryptographic algorithms and locked up tight. Your master password is used to derive a master key, which is the only thing that can open your vault. The master key is generated by a key derivation function (KDF) using your master password and email address as inputs when you log in to Bitwarden.
(Source)
Der zweite Faktor ist ein Zugriffsschutz auf den Account, hilft also gegen Phishing (bis zu einem gewissen Grad) oder ein kompromittiertes Passwort, jedoch nicht gegen einen kompromittierten Server. 1Password bietet zusätzlich auch 2FA z.B. mit einem YubiKey, dort ist es aber ebenfalls nur Zugriffsschutz. Bei KeePass ist MFA in der Form nicht nötig, weil man eh von vornherein selbst für die Speicherung verantwortlich ist und dann z.B. eher seinen Dropbox-, GDrive-, … Account mit MFA schützen muss.
Das klingt nach dem LastPass-Modell Bitwarden (Link) und 1Password (Link, Link) verschlüsseln deutlich mehr.
Genau das. Vollkommen aberwitzig, diese ganze Diskussion. Für 99% der Nutzer sind die Daten die Bitwarden&Co sehen vollkommen unproblematisch. Wenn man hier manche Kommentare liest, denkt man es handelt sich um Ed Snowden persönlich und nicht um Horst von nebenan, der um Datenschutz bemüht ist. Und für die 1% der Nutzer, für die diese Daten problematisch sind, hoffe ich, dass sie nur Whonix und QubesOS verwenden, gute Opsec-Praktiken haben und nicht viel in irgendwelchen Foren wie hier schreiben, damit einen das Sprachmuster nicht verrät.
2 „Gefällt mir“
Aber wo hilft denn die Schlüsseldatei von KeepassXC bei einem kompromittierten Server?
Aus den Zitaten geht ja nur hervor, dass der Masterkey aus mehreren Komponenten bestehen kann - wenn die Datenbank also einmal entsperrt ist, liegt sie quasi auch unverschlüsselt vor - gerade wenn man diese direkt in Dropbox und Konsorten ablegt, wäre mir da etwas mulmig.
Datenschutz ist nicht gleich Datensicherheit…
Außerdem wäre es hilfreicher auf ernstgemeinte Fragen einzugehen anstatt die Diskussion als aberwitzig zu bezeichnen - warum nimmst du dann noch dran teil?
Damit sich unerfahrene Leser nicht von der Paranoia anstecken lassen und das Leben unnötig schwer machen.
Deswegen empfiehlst du dann auch Tailscale, damit man sich eine weitere Abhängigkeit ins Boot holt und das Leben schwerer macht, oder wie soll der unerfahrene Leser das verstehen?