Die Datenbank ist immer verschlüsselt (source), die unverschlüsselten Bestandteile landen nur im RAM und auch dort nur so lange, wie sie gebraucht werden. Die Cloud sieht also nie die unverschlüsselte Datenbank.
Dass der Masterkey aus zwei Komponenten besteht, ermöglicht, ein leicht zu merkendes aber ggbfalls nicht ganz so sicheres Passwort zu wählen, weil durch das Keyfile dann ausreichend viel Entropie in den eigentlichen Verschlüsselungs-Key gelangt, sodass die Datenbank auch bei einem Diebstahl aus der Cloud sicher bleibt. Das gleiche Prinzip nutzt auch 1Password mit dem Secret Key. Selbst wenn du für deine Datenbank bei KeePass oder 1Password als Passwort nur „passwort“ wählst, solange das KeyFile bzw. bei 1Password der Secret Key zusätzlich zur Verschlüsselung genutzt wird, würde ich mir bei einem Leak trotzdem keine Sorgen machen. Natürlich gibt’s noch andere Gründe, weshalb ein stärkeres Passwort dennoch Sinn ergibt.
Das nenne ich mal eine ordentliche Antwort auf eine Nachfrage - danke dafür:)
Zumindest könnte man bei Bitwarden Premium noch SSO benutzen um den Account noch weiter abzusichern.
Ich denke mit einer selbstgehosteten internen Variante inkl. entsprechendem Masterpasswort und 2FA ist man sicher genug unterwegs - zumindest besser als ohne Passwortmanager
Wenn man nur intern darauf zugreift, sicherlich. Wenn externer Zugriff gewünscht ist, würde ich den meisten doch eher direkt Bitwarden statt Vaultwarden empfehlen, einfach weil ich Bitwarden eher zutraue, ihre Infrastruktur abzusichern
Weil du das hier alles mit nahezu keinem Aufwand bekommst und bei Bedarf selbst fortgeschrittene Features einfach zu managen sind: https://tailscale.com/features
Selbst im einfachsten Fall wo du nur die mesh-VPN-Funktionalität verwendest musst du nur Tailscale auf jedem Gerät installieren (ist ein Befehl) und einloggen. Einfacher geht’s nicht.
Wie sicherst du beispielsweise die Kommunikation in deinem Heimnetz ab? Dein Wireguard-Tunnel verbindet dich entweder direkt mit deinem Server oder mit dem Heimnetz. Was ist mit den anderen Verbindungen zwischen den ganzen Geräten in deinem Heimnetz? Lässt du die unverschlüsselt? Hoffentlich nicht. Und schon bleibt es nicht beim einen Wireguard-Tunnel. Du benötigst Zertifikate, musst dich um Domains kümmern oder zumindest deinen DNS Server konfigurieren, damit deine Verbindungen TLS verschlüsselt werden. Und schon hast du mehr Aufwand als einfach nur Tailscale zu verwenden. Du brauchst HTTPS? Ein Klick in Tailscale. Oder du willst nicht nur eine Verbindung sondern mehr geräte verbinden, alles ende-zu-ende verschlüsselt. Dann willst du vielleicht Zugriffssteuerung. Das eine Gerät soll nur auf die einen Services zugreifen können, das andere nur auf andere usw. Alles mit ein paar klicks in Tailscale. Dateien zwischen Geräten direkt verschlüsselt versenden ohne zusätzliche Software? Tailscale. Exit Node festlegen z.b. via Mullvad VPN. Tailscale. DNS-server für alle Geräte auch über verschiedene Orte hinweg und ohne offene Ports? Tailscale. Beliebig viele Server und clients über beliebige Standorte alle untereinander auf direktem Weg miteinander verbunden und fortgeschrittener Zugriffssteuerung? Tailscale.
Es ist völlig egal, ob du nur die Basisfunktion benutzt oder die Funktionalität voll ausnutzt. In nahezu jedem Fall ist es der einfachere Weg, der trotzdem hohe Sicherheit bietet.
Weil wir hier scheinbar noch selbst bestimmen können worüber wir schreiben oder?
Habe ich übrigens über Tailscale an sich was geschrieben?
Ich habe nur gefragt warum man es benutzen sollte - die Antwort kam dir ja jetzt erst halbwegs über die Tastatur…
Schön, dass du alle möglichen Vorteile hier aufzeigst - wenn man aber nichts groß davon braucht und es schon anders abgedeckt hat?
Wo muss ich mich um meine (DYN) DNS Domain kümmern, wozu um Zertifikate wenn ACME alles automatisiert erledigt? Selbst ein NAS kann sich heute schon ohne separate Tools um ein Zertifikat kümmern und sogar die DYNDNs Domain direkt auf die interne IP vom NAS legen…
Hast du ACME schon benutzt?
Was hat die Kommunikation in meinem Heimnetz jetzt mit dem ursprünglichen Thema zu tun?
Wenn doch alles so einfach mit Tailscale ist, dann zeig doch @WtfUndso deine HTTPS Ein-Klick-Lösung in Kombination mit seinem Pi-hole und Docker
Deine Aufzählungen gehen einfach nur am Thema vorbei - vielleicht hängst du das Tailscalethema bei meinem verlinkten Post mit ran, passt da besser rein
Eine ganz, ganz tolle Diskussion. Ich tendiere zu Bitwarden, aber KeypassXC ist auch noch nicht aus dem Rennen. Und das Büchlein auch noch nicht.
Noch kurz zu meiner Implementierung:
Ich habe KeypassXC auf einem PC, auf dem ausschließlich das letzte Ubuntu läuft. Zusätzlich zu einem starken Masterpasswort habe ich auch ein Keyfile generiert.
Auf dem Android Handy verwende ich KeypassDX. Die Datenbank und der Keyfile liegen in einem Samsung Tresor, der mit der Handypin abgesichert ist und bei Bedarf vom sicheren Ordner in den unsicheren Ordnerbereich gebracht wird und bei Nichtgebrauch wieder zurück.
Da ich mich mit dem Masterpasswort schwer tue, erzeugt aus einer Wortliste, habe ich die App zusätzlich mit Fingerabdruck gesichert.
Die Datenbank wird nur am PC gepflegt und bei Veränderung per Usb-Anschluss auf das Handy kopiert.
Das wollte ich so, bzw. in ähnlichen Varianten natürlich nicht empfehlen.
Dann würde ja nur eine der Cloud-Lösungen der vorgeschlagenen Anbieter in Frage kommen - zum Testen reicht auch erstmal die Gratisvariante von Bitwarden in Europa gehostet
Danke für den Link - aus dem ich hier, passend zum Thema des aktuellen Threads, einmal zitieren möchte:
„Schützen“ und „erreichbar machen“ sind genau die richtigen Stichpunkte: Die DSGVO geht entsprechend nicht nur auf Vertraulichkeit ein (was man mit ihr gewöhnlich assoziiert), sondern auch auf Zugänglichkeit, selbst im von Dir zitierten ‚worst case‘. Dummerweise beißen sich diese beiden Zielsetzungen nicht selten, so dass man immer einen Kompromiss finden muss.
Daher ist auch die hier im Thread zitierte DAU-Tauglichkeit ein wichtiges Thema: DAU ist ja nicht in erster Linie ein Schimpfwort, sondern ein Design-Prinzip, das beachtet werden sollte. Ein Auto sollte zum Beispiel so konstruiert sein, dass auch unerfahrene Fahrer nicht beim kleinsten Bedienfehler damit einen schlimmen Unfall bauen können.
Und für den DAU ist manchmal Zugänglichkeit wichtiger als Vertraulichkeit, wenn das Verhalten dazu neigt, dass man sich auch mal selber aussperrt… Idealerweise steht beides in einem ausgewogenen Verhältnis.
Hey Nebu,
auf dem Weg zu deiner Lösung gibst das erste Problem. Nginx reverse proxy läuft auf Docker auf dem port 81 (gleicher Pi wie pi-hole und mittels MACVLAN auch im gleichen Netzwerk wie pi-hole welches nicht auf Docker läuft). Wenn ich einen host einrichte auf Nginx (beispiel.de:2000) und im pi-hole beispiel.de auf die IP Adresse von Nginx verweise gibt es immer einen ‚Bad Gateway‘ Fehler. Komischerweise erscheint die ‚Welcome Page‘ von Nginx jedoch auf beispiel.de:80. Das hat hier nichts in einem Passwortmanager Thread (naja…indirekt schon) zu suchen aber ich dachte probier mal eventuell hat Nebu bei gleichem Setup die Lösung schon parat
Am besten du machst einen neuen Thread auf und beschreibst dein Setup und das Problem dort mal ausführlich - so wird dir und auch anderen besser geholfen
Du musst für jeden Proxyeintrag natürlich auch ein Ziel/Instanz angeben - ich würde auch den Nginx Proxy Manager auf Port 80/443 lauschen lassen…
