Passwort Manager Empfehlungen

Ach ja nicht wundern, die Daten unter dem Menüpunkt sind nicht immer korrekt. Das Ablaufdatum immer direkt auf der Seite im Browser prüfen und sich nicht auf die Daten im NGINX verlassen, die sind nicht immer aktuell. Der Fehler ist aber bekannt.

Mal an die Selfhosted leute hier, wie verwendet ihr die geschichte? Gerade wegen Zugriff von außen.

Wenn ich es ja richtig verstanden habe ist ja der Container immer auf den Lokalen genutzten Geräten.

Als bsp. habe ich mir jetzt Bitwarden mal installiert, klappt auch, da es nur lokal steht mit self signed zertifikat usw.

Jetzt habe ich die Passwörter auf dem handy und auf dem PC in der App.

Wenn den Server abschalte, habe ich ja noch die Kopie, kann aber nicht mehr syncen, logisch.

Wenn aber jetzt Unterwegs ein Passwort brauche habe ich da nur das Handy mit dem Tresor da die Maschine ja Lokal steht.

Jetzt habe ich da 3 Szenarien

A) Duckdns/dyndns etc. einrichten und den Server von außen Verfügbar machen

B) Ein VPN Nachhause, ist aber wenn man ggfs. mal an einem Fremd PC ist nicht so leicht

C) Der Tresor wird dann unterwegs nur als Handy App mitgenommen, wenn kennwörter Einträge, syncen die sich ja eh wieder wenn zu hause bin.

Nutzt ihr dann die A varriante? Oder wie nutzt ihr es?

Denn dann stell ich mir die Frage was ist "sicherer" das ich mein Home anschluss via einem dyndns ständig tracken lasse und dann den Server von außen freigebe, oder dann nicht doch gleich, zumindest bei bitwarden, die Kostenlose Cloud Varriante nutze, zwar mit dem Risiko das die Daten dort liegen, würde aber behaupten das die Infrastruktur dort besser geschützt ist als dann bei mir wo nur eine Fritzbox davor ist. Besitze keine USG oder ähnliches um da evt. mehr Kontrolle zu haben.

Ich hab einen reverse proxy davor und ne domain mit ddns. Dann bist du auch recht sicher unterwegs.

Zitat von jkasten

Ich hab einen reverse proxy davor und ne domain mit ddns. Dann bist du auch recht sicher unterwegs.

Und was für ein Reverse Proxy?

Nginx proxy manager... Ist genial und Mega einfach zu bedienen.

Danke, schaue ich mir mal an.

Also ist der Gedankengang schon richtig, wenn selbst Hosten dann auch schauen das die Security natürlich passt, einfach die Fritzbox davor und Port freigeben direkt auf den Bitwarden wäre schon grob fahrlässig.

Habe u.a. jetzt auch von Traefik gelesen, aber erstmal muss ich in den kopf kriegen das ich im Proxmox ein Container erstellen kann/soll der dann Docker hat in dem ich Container erstellen kann :D, das würde aber wieder vom Thema abweichen.

Nutzt denn jemand ein self-hosted Manager "Offline" und kann aus seiner Erfahrung sprechen? Denn ich weiß noch nicht ob ich wirklich den Manager Online Verfügbar machen müsste.

Oder auch an den Rest die es Online nutzen, gab es da wirklich schon momente wo dachtet oh, wäre der jetzt nicht Online wäre ich aufgeschmissen?

Da ich den auf der Arbeit als auch zuhause nutze, ist es schon praktisch wenn er online erreichbar ist. Aber ansonsten gäbe es ja den Container auf dem Handy und der sync sich ja wieder zuhause. Zur Not auch per vpn.

Ach, guck mal im Wiki. Da ist ne Anleitung zu Bitwarden mit proxy

Ok ja, wenn man an einem anderen PC ist oder auf der arbeit und man braucht eines seiner Kennwörter brauch man ja auch den Container, im Zweifel hat man den ja im Handy dabei, neue Einträge werden ja an der Quelle nicht dazu kommen weil gar nicht daheim bist :D.

Nachteilig wäre es wohl wenn man sich mal irgendwo Anmelden muss und man nicht zuhause ist, dann umständlich die Passwörter am Handy generieren und übertragen ist dann wohl das K.o Kriterium.

Danke mit der Anleitung, schau ich mir noch mal in ruhe an die Tage.

Im kopf hab ich da weiter den Knoten mit den Containern, aber klar im Proxmox sind es OS Container...und mit Portainer nutzt man dann eben Docker Apps/Container das ist ja wieder was anderes, mehr als Apps zu sehen :P.

Mit dem reverseproxy ist es sehr bequem:

Du rufst mit x-beliebigem Browser Deine Domain auf (z.B. https://passwort.meinedomain.de) und trägst Deine Zugangsdaten (EMailadresse & passwort) ein.

So kannst Du von überall auf Deinen pw zugreifen.

WENN Du das möchtest.

Alternativ via VPN und Smartphone-App

Zitat von Tuxtom007

Aber vorischtig, Reverse-Proxy, egal ob Traefik oder nginx Proxymanager sind Komfortlösungen aber nicht wirklich eine Sicherheitslösung.

Ich hab da gewaltige Bauschmerzen mit, meinen Passwortmanager per nginx vom Internet erreichbar zu machen. Da ziehe ich doch schon eher den Remote-Zugang per VPN vor, wenn überhaupt benötigt.

Grundsätzlich korrekt, am sichersten ist es immer per VPN oder nur lokal. Da bei Bitwarden die Möglichkeit besteht 2FA zu nutzen und der Passwortcontainer sehr gut verschlüsselt ist, sehe ich da aber nicht unbedingt ein Problem ihn hinter einem Reverse Proxy zu nutzen. Gänzlich ohne würde ich es allerdings auch nicht machen. Im Wiki in der Anleitung von mir ist zb der Admin Zugang zum Bitwarden auch nur lokal erreichbar, was zusätzlich Sicherheit bietet.

Vor dem bösen bösen Internet... !? Verstehe die Frage nicht?

Zitat von mbe

Vor wem oder was wollt ihr euch eigentlich schützen?

Warum fährst du angeschnallt Auto? (also hoffe ich zumindest)

Warum werden Autos abgeschleppt, statt der Halter informiert wenn das Fenster offen ist bei einem Parkenden Auto?

Das Internet ist voll von IP und Port Scannern, wenn jemand explizit jemand "hacken" oder sonst was will, findet man fast immer wege.

Aber man muss es auch jemanden nicht so leicht machen das man sofort weiß welcher Server wohinter steckt und direkt ein Zugriff auf das System passiert.

Sobald man ein Port auf seinem Heimrouter nach Intern aufmacht ist hier einfach ein Einfallstor vorhanden, da macht ein Reverse Proxy mehr Sinn als das z.b. direkt der Ziel Webserver kommt.

Das trifft es ganz gut und man kann vor allem auch noch solche Dinge wie fail2ban davor schalten um auch ungewünschte Loginversuche zu verhindern.

Vor behörden? Nö, die sind doch eh schon irgendwo bei mir im WLAN sei es durch Handy oder sonst was :D.

Vor gezieltern Hackern? Sind die Chancen sehr gering, und da meine ich nicht die script kiddys.

Gibt es bei mir was zu holen? Eher weniger.

Nehmen wir aber mal die leute die keine Kiddys sind, aber mich auch nicht gezielt hacken wollen.

Was machen die? Richtig, sie lassen ihre Port Scanner laufen ggfs. noch irgendwelche Prüfungen ob sich ein Webserver meldet, kommt das entsprechende Ziel zurück, wirst du evt. dann auch ausgewählt.

Kommt aber nur ein Reverse Proxy zurück, oder sogar, da weiß ich jetzt weniger wie sich der nginx verhält, sogar die meldung das es ein nginx proxy die anfrage entgegen genommen hat, wie hoch is die chance das es dann jemand weiter versucht? Geringer.

Die Port Scanner und ähnliches suchen ja nach den üblichen verdächtigen was leute vergessen...eine NAS die direkt das Webinterface zeigt, die fritzbox außen einwahl, oder die ganzen IP Cameras, ich erinnere mich da gern an die Kameras von einem Discounter die, ohne das die leute es gewusst haben auch aus der Cloud erreichbar gewesen sind und so mit "admin admin" eingeloggt werden konnte.

Ergo, scanner an, Ports scannen, warten das die camera sich meldet automatisch admin admin testen, ach guck an.

Ich versteh dein Gedanken, ein Reverse Proxy ist auch keine Firewall oder sonst was, du schaltest nur einfach noch was davor um nicht sofort von außen zu zeigen was sich dahinter verbirgt.

Und für mich ist es dann nur der Schutz dagegen, das nicht sofort der 08/15 scanner dem otto hacker aufzeigt, ach guck an da kommt das bitwarden interface da sind passwörter zu holen.