Strategie für Passwörter

[King TuT]

Hallo!

Ich bin auf der Suche nach einem Algorithmus, mit dem man für verschiedene Webseiten einfach Passwörter erzeugen kann.
So nach der Art "passwort_GMX" und "passwort_telekom" ... da gab es mal einen total spannenden Artikel, wie man so etwas erzeugen kann ... nur finde ich den leider nirgens mehr ..

Und für all - ja ich benutze einen PasswortManager (KeePass) aber machmal würde ich mir wünschen, dass die Passwörter für Onlineshops "intiutiv" sind und ich nicht erst in Keepass auf dem Handy suchen muss .....

Danke für eure Hilfe!
Tschau
TuT

 

[Dorwyn]

Mach es doch genau so wie du es schon beschrieben hast:
Einen bestimmten Teil in Großbuchstaben, einen bestimmten Teil in Kleinbuchstaben, eine Ziffernfolge und Sonderzeichen. Gepaart mit dynamischen, bspw. dem Anbieter entsprechenden Teil. Kann bei Bedarf ja auch noch um einen weiteren dynamischen Teil ergänzt werden. Jedenfalls Teile an die du dich erinnern kannst. Bsp:

meinPASSWORTgmx1234email!$%

Schon hat dein Passwort eine Länge von 20++ Zeichen und erfüllt die allermeisten gängigen Passwortvorgaben. Die Teile: mein PASSWORT 1234 !$% sind dabei immer gleich.
Für sehr sensible Zugänge nimmst du dann ein eigenes Passwort dass so auch nicht zurückrechenbar ist. Dafür ist dann Keepass immer noch gut.

 

[ibinsfei]

Ich habe fest Grossbuchstabe Kleinbuchstabe Zahl Sonderzeichen und danach den Namen auf der Tastatur eins nach links verschoben (bzw. rechts bei q,a,y) und danach wieder ein festes Sonderzeichen.
Z.B. für netflix: Aa1$bwrdkuy_ youtube: Aa1$xizrzvw_

 

[EchtAtze]

Da fällt mir genau dieses Programm/dieser Algorithmus ein: https://masterpassword.app/

 

[DrSnuggles]

@King TuT
Das sollte man heutzutage nicht mehr machen.
Diese Systeme haben den Nachteil dass wenn 2 Passwörter leaken alle von dir leaken. Wenn die Seite super deutlich drin steht reicht auch eins.
Es passiert regelmäßig, dass Passwörter leaken.

Wenn man Passwörter für Seiten ableitet aus einem Masterpasswort muss da eine Krypto-Hashfunktion zwischen sein und dein Passwort sollte ab 16 Zeichen haben

PS: Masterpassword.app schaut ganz gut aus, aber man gewinnt wenig gegenüber einem Passwortsafe

 

[RichyZuHause]

Sehe ich genauso wie der Dottore.
Ich bin seit Jahren abhängig von meinem PW-Manager.
Aber lieber von dem.

 

[Mr. Big]

Genau, KeePass ist dein Freund!

 

[Joshua]

Alternativ gibt es auch noch KeePassXC, dem Fork vom Fork von KeePass. Open-Source, Cross-Platform-fähig für Windows, Linux und macOS und über Extensions in die gängigen Browser integrierbar.

 

[Hellfire]

Hallo,

also ich muss schon sagen, es war ein seltsames Gefühl, als ich nicht mehr das Passwort meines Main-Emailaccounts auswendig kannte, weil ich das dem Passwortmanager überlassen habe. Ich bin mir nicht ganz sicher, aber das könnten mittlerweile schon 10 Jahre her sein, seit ich KeePass/KeePassXC benutze und nie Probleme hatte. Der Container liegt in der Cloud, was mein Kompromiss mit Hinsicht auf Praktikabilität ist. Ich wechsle das Masterpasswort regelmäßig und eine Kopie des Containers liegt gespeichert auf einem USB-Stick im Tresor.

 

[adhome]

Ein typisches Problem ist auch, dass man sich komplett ausschließen kann.
Email sollte man deshalb immer noch aufschreiben auf nen Zettel.
Folgendes ist mir passiert:
Ich wollte von wo anders auf mein LastPass Konto zugreifen. Hatte Masterpassword eingegeben und es kam nur eine Meldung, dass ich wo anders bin und über meine Emailadresse was bestätigen soll.
Ja und nun ratet mal, wo das Password zum Emailaccount gespeichert ist....

 

[Bingo3]

Der Container liegt in der Cloud, was mein Kompromiss mit Hinsicht auf Praktikabilität ist. Ich wechsle das Masterpasswort regelmäßig und eine Kopie des Containers liegt gespeichert auf einem USB-Stick im Tresor.

Wie legt man den Container in die Cloud und ist dann ein Zugriff bei Browsertätigkeit problemlos möglich?

Gruß
Bingo3

 

[Hellfire]

Hallo,

das ist unter Windows recht simpel: Du hast ja einen eigenen Ordner, der über den Explorer etc. anwählbar ist, etwa der Dropbox-Ordner oder eben der Ordner deiner Cloud. Diese Datei wählt man einfach mit Keepass/KeepassXC als Standarddatei aus. Die Browserintergration funktioniert ganz normal, die Cloud spielt da keine Rolle.

 

[tomcat]

Ich nutze inzwischen die Kombination keepassxc und yubikey für die Cloud Datenbank... so kann ich ein relativ normales Passwort nehmen, brauche aber zusätzlich das Geheimnis auf dem Yubikey zum entschlüsseln....

Ich würde wenn die Passwörter nicht so deutlich nach der Seite benennen, wie der Doc auch schon anmerkte....

 

[King TuT]

Hallo!
Vielen Dank für eure vielen Beiträge!

Dne Vorschlag von ibinsfei finde ich recht interessant:

Z.B. für netflix: Aa1$bwrdkuy_ youtube: Aa1$xizrzvw_

Natürlich - das hatte ich ja geschrieben - soll man die Passwörter nicht einfach erraten können - aber eben trotzdem auch mal ohne Keepass auskommen.
Ich muss nochmal den Artikel suchen gehen - ich glaube den habe ich im heise forum mal irgendwann gesehen ....


Tschau
TuT

 

[omycron]

Vieleicht könnte einer der Experten mir eine Frage beantworten: Wie verhält sich KeePass(xc) im Vergleich zu Bitwarden? Soll bei beides Open Source sein... Danke im Voraus.

 

[Brian]

Benutze für jede Webseite ein neues von pwgen generiertes Passwort.

Was ärgerlich ist, sind die Beschränkungen in der Länge vieler Webseiten. 30 Zeichen geht häufig nicht. Und zweitens ist ärgerlich, dass viele Webseiten Sonderzeichen erzwingen.

Kennen die XKCD zu Passwörtern nicht?

user@host: $ pwgen 30 1
eewooZaa6iez3shiGiath4goo9jo7u
user@host: $ pwgen -y 30 1
ie6aM6Aekaeh+aX^ie%ngohth6povu
user@host: $ pwgen -ys 30 1
YIR~MJ0JH@2(hz/*GXu~RZ|V&ueu6J

Ach ja, auch wenn manche behaupten es sei nicht so. Auf die Länge kommt es an

 

[ibinsfei]

Und zweitens ist ärgerlich, dass viele Webseiten Sonderzeichen erzwingen.

Neulich habe ich eine Webseite gesehen, da wird User und PW als GET-Parameter im Query-String übergeben. Die "Begründung" auf Nachfrage, es sei ja sicher, da https verwendet wird

 

[JoPa]

Ach ja, auch wenn manche behaupten es sei nicht so. Auf die Länge kommt es an

DannKannIch_diesen_SatzJa2xAlsPWnehmen!

 

[Rubb]

Vieleicht könnte einer der Experten mir eine Frage beantworten: Wie verhält sich KeePass(xc) im Vergleich zu Bitwarden? Soll bei beides Open Source sein... Danke im Voraus.

... lies' 'mal die "Aktuellste" ct 2021-05, Seite 16 ... Dort wird "Alles" Offenbart ....
https://www.heise.de/select/ct/2021/5/2101108560374094255

25 Passwortmanager für PC und Smartphone​

 

[Brian]

DannKannIch_diesen_SatzJa2xAlsPWnehmen!

Von der Länge her ist das super, aber ich würde mir nicht anfangen wollen zu merken an welcher Stelle ich Unterstriche oder ein x einsetzen muss. Das ist mir viel zu kompliziert. Schau Dir mal den XKCD an...

Ich merke mir ja auch gar keine Passwörter mehr, bis auf das, mit dem ich meine Passwortsafe öffnen kann.

Dennoch habe ich aus historischen und beruflichen Gründen noch so um die 100 Passwörter im Kopf. Die meisten davon haben aber nirgendwo mehr Gültigkeit. Das ist wie alte Werbung. Die geht auch nicht mehr wirklich aus dem Gedächtnis.

 

[omycron]

Vieleicht könnte einer der Experten mir eine Frage beantworten: Wie verhält sich KeePass(xc) im Vergleich zu Bitwarden? Soll bei beides Open Source sein... Danke im Voraus.

... lies' 'mal die "Aktuellste" ct 2021-05, Seite 16 ... Dort wird "Alles" Offenbart ....
https://www.heise.de/select/ct/2021/5/2101108560374094255

25 Passwortmanager für PC und Smartphone​

Schon gelesen: Geschmachssache bzw. Prioritätengeschacher :-)

 

[Joshua]

Vieleicht könnte einer der Experten mir eine Frage beantworten: Wie verhält sich KeePass(xc) im Vergleich zu Bitwarden? Soll bei beides Open Source sein... Danke im Voraus.

... lies' 'mal die "Aktuellste" ct 2021-05, Seite 16 ... Dort wird "Alles" Offenbart ....
https://www.heise.de/select/ct/2021/5/2101108560374094255

Ich habe den Artikel gelesen, Fazit darin: "Weit vorn liegen 1Password, Bitwarden und Daslane ... KeePass sehen wir in gewisser Weise als Sonderling."
Für mich war KeePass eigentlich immer gesetzt (sicher und Open-Source). Mittlerweile "kämpfe" ich da aber bei mir mit eine Gerätevielfalt mit Windows, Linux und iOS/iPadOS. Die Handhabung dabei Zugangsdaten zwischen den Geräten sicher und aktuell zu verwenden, ist schon recht beschwerlich und KeePass wirkt ein wenig aus der Zeit gefallen. Bitwarden scheint eine interessante Alternative zu sein, zumal man einen zentralen Synchronisierungs-Server sogar selbst betreiben könnte. Ich habe nur keinen Plan, wie ich das dafür bereitgestellte Docker-Image am besten verwenden kann.

 

[omycron]

Ich habe nur keinen Plan, wie ich das dafür bereitgestellte Docker-Image am besten verwenden kann.

Wenn Du ein NAS zu Hause haben solltest, ist es nicht so schwer. Es gibt ein paar Anleitungen, von denen mich dann eine, die mir am anschaulichsten schien, zum Ziel geführt hat. In diesem Fall für auf Basis eines Synology-NAS. Jetzt läuft Bitwarden auf Telefon, Laptop und Desktop mit den entsprechenden Apps/Programmen und alle sind synchron.

 

[Brian]

@Joshua, Du könntest mal über eine Fido2 Key nachdenken...

 

[Joshua]

Wenn Du ein NAS zu Hause haben solltest, ist es nicht so schwer. Es gibt ein paar Anleitungen, von denen mich dann eine, die mir am anschaulichsten schien, zum Ziel geführt hat. In diesem Fall für auf Basis eines Synology-NAS. Jetzt läuft Bitwarden auf Telefon, Laptop und Desktop mit den entsprechenden Apps/Programmen und alle sind synchron.

Ich habe das Synology-NAS DS215j. Ist jetzt schon auch schon ein paar Jahre alt. Macht das Sinn bei dieser ein Docker-Image einzubinden oder erzeugt das zu viel Last, was sich eventuell negativ auf den sonstigen Betrieb auswirkt? Hast du Link-Tipps zur Installation des Bitwarden-Docker-Image auf einem Synology-NAS?

Du könntest mal über eine Fido2 Key nachdenken...

Ja, habe ich sogar schon mal, aber das ist dann doch erst mal "nur" eine Zusatzoption zur sicheren Authentifizierung, oder? Eine gemeinsame Datenbasis und entsprechtende Client-Software oder Apps benötige ich davon unabhängig als Grundlage.

 

[chaospir8]

@Joshua
Hast Du nicht irgendwo einen alten Raspberry Pi rumliegen?

Self-Hosted Bitwarden On Raspberry Pi - Frank Meffert

This article explains how to install a self-hosted bitwarden appliance on a raspberry pi using docker and self-signed SSL.

(https://frankmeffert.de/self-hosted-bitwarden-on-raspberry-pi/)

- EDIT -
Ich bin nun spontan dabei, nach dieser Anleitung so ein Ding auf meinem alten BananaPi aufzusetzen.
Bis zu den SSL-Zertifikaten war's bis jetzt pille-palle.

 

[Brian]

Du könntest mal über eine Fido2 Key nachdenken...

Ja, habe ich sogar schon mal, aber das ist dann doch erst mal "nur" eine Zusatzoption zur sicheren Authentifizierung, oder? Eine gemeinsame Datenbasis und entsprechtende Client-Software oder Apps benötige ich davon unabhängig als Grundlage.

Ich benutze Fido2 selber nicht, aber die YubiKeys können mehr als kryptographische Verfahren, also auch Passwort Management. Zumindest habe ich das so verstanden. Ich überlege selber schon länger mal darauf umzusteigen. Da das alles offene Schnittstellen sind und die auch Software für alle von Dir aufgeführten OS haben, dachte ich das das was sein könnte.

 

[omycron]

Hast du Link-Tipps zur Installation des Bitwarden-Docker-Image auf einem Synology-NAS?

Ich fand diese ganz hilfreich:

How to Setup Bitwarden on a Synology NAS!

In this tutorial, we will look at how to self-host the password manager bitwarden on a Synology NAS! This uses Docker and Synology's built-in tools to run!

(https://www.wundertech.net/how-to-self-host-the-password-manager-bitwarden-on-a-synology-nas/)

Kenne die Leistungsfähigkeit der DS215j nicht. Mein NAS ist auch bereits 5 Jahre alt. Bei mir ist die CPU-Last durch das Dockerimage nicht besonders hoch, soweit wie ich das sehen kann. Vielleicht kannst Du ja auch erstmal eine Testinstallation machen und schauen, wie sich Dein NAS verhält ohne gleich mit allen Passwörtern auf diese Plattform umzuziehen.

 

[Joshua]

Hast Du nicht irgendwo einen alten Raspberry Pi rumliegen?

Self-Hosted Bitwarden On Raspberry Pi - Frank Meffert

This article explains how to install a self-hosted bitwarden appliance on a raspberry pi using docker and self-signed SSL.

(https://frankmeffert.de/self-hosted-bitwarden-on-raspberry-pi/)

Wenn ich das richtig sehe, ist bitwarden_rs ein Ein-Mann-Projekt. Ich schätze ja sonst solche Initiativen, stelle mir aber die Frage, ob das der richtige Weg (für mich) ist. Ich verzichte auf das unsichere Gefühl, dass meine Passwörter irgendwo bei einem Anbieter gespeichert werden und tausche gegen ein inoffizielles Server-Backend eines mir Unbekannten, bei dem ich zudem nicht weiß, ob er als Einzelkämpfer nachhaltig Sicherheitsupdates gewährleisten kann? Ich weiß, KeePass ist was das betrifft vielleicht auch nicht viel besser. Aber KeePass steht in einem viel stärkeren Blickpunkt und unter Beobachtung. Da werden Schwachstellen sicher eher bekannt und behoben. Davon ab, will ich ja von KeePass weg in die Richtung mehr Komfort und trotzdem sicher.

 

[vinyl]

was spricht eigentlich gegen folgende lösung:

auf irgendeinem server liegt eine liste die so aussieht:

01 fe7ß2d6_
02 gr6_?$Dy
...

leicht passwortgeschützt

auf dem handy gibt es eine encryptete liste:

47 amazon
17 baidu
63 ccb

 

[Joshua]

Docker auf meinem Synology NAS DS215j kann ich leider vergessen. Voraussetzung ist eine Intel-CPU, die DS215j hat aber eine ARM-CPU.

Ich habe mich dann doch mal an die Installation auf einem Raspberry Pi nach der von @chaospir8 verlinkten Anleitung gewagt:

Self-Hosted Bitwarden On Raspberry Pi - Frank Meffert

This article explains how to install a self-hosted bitwarden appliance on a raspberry pi using docker and self-signed SSL.

(https://frankmeffert.de/self-hosted-bitwarden-on-raspberry-pi/)

Ich habe das nach der Anleitung nicht hinbekommen. Ich muss auch gestehen, ich bin was Raspberry Pi, Linux(artige) OS und Komandozeilenbefehle betrifft ein Laie. Man konnte die aufgeführten Befehle nicht immer einfach per copy&paste übernehmen und es gab manchmal irgendwelche Fehlermeldungen, mit denen ich nichts anfangen konnte. Ich habe dann einen neuen Versuch nach dieser Anleitung gestartet:

How to Self-host Bitwarden on a Raspberry Pi - WunderTech

This tutorial will show you how to self-host the password manager Bitwarden on a Raspberry Pi! Full written instructions!

(https://www.wundertech.net/how-to-self-host-bitwarden-on-a-raspberry-pi/)

Damit bin ich von der Ablauflogik her durchgekommen. Ich habe Docker, Portainer, Nginx Proxy und danach Bitwarden installiert. Sah alles gut aus. Am Ende des ersten Kapitel ist beim Aufruf von http://[RASPBERRY_PI_IP]:8080 (natürlich mit der IP des Raspi) genau nichts passiert (Verbindung fehlgeschlagen). Nun bin ich ratlos ...

 

[Brian]

Vermutlich ist Dein Problem, dass Du den Container nicht erreichen kannst. Generell schauen ob da überhaupt etwas auf Port 8080 lauscht kannst du mit:

netstat -lnpt

Warum man sich den Overhead und die Probleme eines Dockers überhaupt antun muss verstehe ich aber nicht. Besonders sieht es doch so aus, als ob es Bitwarden auch für z.B. Debian als Paket gibt.

 

[Joshua]

Warum man sich den Overhead und die Probleme eines Dockers überhaupt antun muss verstehe ich aber nicht. Besonders sieht es doch so aus, als ob es Bitwarden auch für z.B. Debian als Paket gibt.

Für mich kann ich das beantworten: Ich habe weder die Hardware noch das Know-how für einen dauerhaft betriebenen Linux-Server. Ich habe versucht das mit den vorhandenen Mitteln zu lösen.

 

[Brian]

Aber ein Raspberry Pi ist doch ein dauerhaft betriebener Linux Server. Oder habe ich das falsch verstanden, dass Du das auf einem Raspberry Pi installierst? Ist das ein Raspbian oder welches OS ist da drauf?

 

[Joshua]

Ja, ich habe hier ein Raspberry Pi 4 mit dem eigenen OS drauf. Als experimentierfreudiger Windows-Mausschubser brauche ich aber spätestens dann ein „Bilderbuch“ mit Schritt-für-Schritt-Anleitung, wenn es auf die Komandozeile geht. Bei der Suche nach Anleitungen für "Raspberry Pi Bitwarden" bin ich bisher nur auf die Variante mit Docker gestoßen. Wenn es da andere Möglichkeiten gibt, freue ich mich über entsprechende Hinweise.

 

[Brian]

Container haben halt das Problem, dass man bei Fehlern noch weitere Schichten in Betracht ziehen muss und auch verstehen muss, wie z.B. Dateien oder das Netzwerk an den Container weiter gereicht werden. Daher benötigen die, wenn etwas schief läuft viel mehr Know How als "normale Anwendungen".

Habe Deinen ersten Link mal durchgelesen und das sieht wirklich nicht sonderlich kompliziert aus. Und ist auch wirklich sauber geschrieben.

Aber das Kommando welches ich in #32 gepostet habe, sollte zeigen, ob eventuell schon etwas anderes auf Port 80/443 läuft. Es ist nicht unwahrscheinlich, dass Du eigentlich alles richtig gemacht hast.

 

[Joshua]

Ich bin nun spontan dabei, nach dieser Anleitung so ein Ding auf meinem alten BananaPi aufzusetzen.
Bis zu den SSL-Zertifikaten war's bis jetzt pille-palle.

Habe Deinen ersten Link mal durchgelesen und das sieht wirklich nicht sonderlich kompliziert aus. Und ist auch wirklich sauber geschrieben.

Ich habe mich jetzt noch einmal daran gewagt. Mal abgesehen davon, dass ich erst mal verstehen musste, dass eine vorangestellte "#" bedeutet, dass ich "sudo" vor der Befehlsfolge eingeben muss, hing ich dann bei "docker pull bitwardenrs/server:raspberry". Da bekam ich zurück: "Error response from daemon: manifest for bitwardenrs/server:raspberry not found: manifest unknown: manifest unknown"

Okay, ich habe in anderen Anleitungen gesehen, dass da "bitwardenrs/server:latest" stand, also habe ich das mal genommen und damit lief es dann durch. Nächste Hürde für mich: "simply created a small bash script".

$ docker run -d --name bitwarden \
-e ROCKET_TLS='{certs="/ssl/bitwarden.crt",key="/ssl/bitwarden.key"}' \
-v /path/to/certs/:/ssl/ \
-v /path/to/bw-data/:/data/ \
-v bitwarden:/config \
-p 443:80 \
--restart always \
bitwardenrs/server:raspberry

Musste ich erst mal recherchieren wie das geht, wie gesagt, ich bin da Laie. Als mit nano eine Datei bitwarden.sh erstellt ("bitwardenrs/server:raspberry" im Script ersetzt durch "bitwardenrs/server:latest") und mit "bash bitwarden.sh" gestartet.
Nach der Anleitung sollte der Bitwarden-Server dann laufen. Der Aufruf https://raspberrypi/ oder http://raspberrypi/ oder http://<IP des Raspi>/ liefert mir aber nur ein "ERR_CONNECTION_REFUSED"

Jetzt habe ich wieder keinen Plan, was ich machen kann. sudo netstat -lnpt liefert mir folgendes (Anmerkung: ich habe zwischenzeit auch XRDP installiert):

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      414/cupsd         
tcp6       0      0 ::1:3350                :::*                    LISTEN      504/xrdp-sesman   
tcp6       0      0 ::1:631                 :::*                    LISTEN      414/cupsd         
tcp6       0      0 :::3389                 :::*                    LISTEN      533/xrdp

 

[chaospir8]

Du musst nicht vor jeden Befehl sudo eingeben. Kannst auch dauerhaft als root arbeiten mit einmaligem su.
Ich bin aber wie Du eher DOS/Windows-affin und Linux mache nur wg. RPi-Rumspielen.

 

[ibinsfei]

Du solltest statt "/path/to/certs/" den Pfad angeben, wo deine Zertifikate sind und statt "/path/to/bw-data/" den Pfad, wo deine sqlite-DB gespeichert werden soll.

 

[Joshua]

Du solltest statt "/path/to/certs/" den Pfad angeben, wo deine Zertifikate sind und statt "/path/to/bw-data/" den Pfad, wo deine sqlite-DB gespeichert werden soll.

Okay danke, ich merke schon, dass ist nicht meine Welt. Wenn /home/pi/bitwarden.crt und /home/pi/bitwarden.key gegeben ist, dann sehe das z. B. so aus:

docker run -d --name bitwarden \
-e ROCKET_TLS='{certs="/ssl/bitwarden.crt",key="/ssl/bitwarden.key"}' \
-v /home/pi/:/ssl/ \
-v /home/pi/:/data/ \
-v bitwarden:/config \
-p 443:80 \
--restart always \
bitwardenrs/server:latest

Die sqlite-DB würde dann mit der Vorgabe auch einfach in /home/pi/ erstellt werden. Muss ich noch etwas anpassen, was ich über sehen habe?

 

[ibinsfei]

Ich habe es mal testweise auf meinem raspi probiert:

sudo curl -sSL https://get.docker.com | sh
sudo usermod -aG docker pi
docker run hello-world
sudo apt-get install -y libffi-dev libssl-dev
sudo apt-get install -y python3 python3-pip
sudo apt-get remove python-configparser
sudo pip3 -v install docker-compose
mkdir /home/pi/bitwarden
mkdir /home/pi/bitwarden/ssl
mkdir /home/pi/bitwarden/data
cd /home/pi/bitwarden/ssl
openssl genrsa -out myCA.key 2048
openssl req -x509 -new -nodes -sha256 -days 3650 -key myCA.key -out myCA.crt
openssl genpkey -algorithm RSA -out bitwarden.key -outform PEM -pkeyopt rsa_keygen_bits:2048
openssl req -new -key bitwarden.key -out bitwarden.csr
vi openssl.cnf
openssl x509 -req -in bitwarden.csr -CA myCA.crt -CAkey myCA.key -CAcreateserial -out bitwarden.crt -days 365 -sha256 -extfile openssl.cnf
docker pull bitwardenrs/server:latest

Den container installiert und gestartet:

docker run -d --name bitwarden \
-e ROCKET_TLS='{certs="/ssl/bitwarden.crt",key="/ssl/bitwarden.key"}' \
-v /home/pi/bitwarden/ssl/:/ssl/ \
-v /home/pi/bitwarden/data/:/data/ \
-v bitwarden:/config \
-p 443:80 \
--restart always \
bitwardenrs/server:latest

Danach kannst du den Container immer mit folgendem beenden:

docker stop bitwarden

bzw. starten:

docker start bitwarden

Willst du "docker run .." erneut laufen lassen, weil z.B. etwas mit den Parametern nicht stimmt bzw. du sie geändert hast musst nach dem Stop des Container diesen entfernen, bevor du ihn neu einrichten kannst:

docker rm bitwarden

Ich würde an deiner Stelle ein Verzeichnis für die Zertifikate und die DB anlegen.

Mittels

docker ps

kannst du prüfen, ob der Container läuft, das sollte dann in etwa so aussehen:

CONTAINER ID        IMAGE                       COMMAND                  CREATED             STATUS                   PORTS                           NAMES
697507c38e7a        bitwardenrs/server:latest   "/usr/bin/dumb-init …"   5 minutes ago       Up 5 minutes (healthy)   3012/tcp, 0.0.0.0:443->80/tcp   bitwarden

 

[Joshua]

@ibinsfei
Ah, super, bei mir hat es nun auch geklappt. Ich bin auf dem Web-Login des Bitwarden-Server. Das mit Verzeichnissen für die Zertifikate und die DB werde ich noch nachsteuern. Wenn ich es richtig verstehe, dann muss ich auf den Endgeräten noch das Stammzertifikat einbinden. Ist das die Datei "myCA.crt"? Die muss ich dann im Betriebssystem und/oder Browser importieren? In Firefox habe ich die Datei in der Zertifikatseinstellung unter Zertifizierungsstellen mal importiert, aber FF vertraut dem Raspi bzw. dem Bitwarden-Server nicht und ich komme nur mit einer Ausnahme über https auf das Login. Was mache ich da falsch?

 

[Brian]

Get Firefox to trust your self signed certificates

How to get Firefox to trust all self signed certificates you use locally to serve your development sites over https and not complain about them.

(https://javorszky.co.uk/2019/11/06/get-firefox-to-trust-your-self-signed-certificates/)

 

[Brian]

Was ich selber im privaten Bereich nutze sind kostenlose Zertifikate von Let's Encrypt

Die werden von jedem Browser akzeptiert.

 

[F2B]

Da hier doch einige LastPass verwenden kurz zur Info: https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/

 

[Joshua]

Was ich selber im privaten Bereich nutze sind kostenlose Zertifikate von Let's Encrypt

Die werden von jedem Browser akzeptiert.

Das klingt sinnig, auf dem zentralen Server Zertifikate zu installieren, die allgemein von Browsern und Endgeräten (z. B. iOS) anerkannt werden, statt umgekehrt die selbsterstellten Zertifikate überall einzubinden. Das stellt mich aber vor die nächste Herausforderung, wie mache ich das hier? Ich habe mir mal Certbot von Let’s Encrypt angesehen. Das erschließt sich mir leider auch nicht von selbst.

BTW, das Thema "Bitwarden auf Raspberry Pi" nimmt hier doch starke Ausmaße außerhalb des Thread-Titels an. Vielleicht kann das vom CC-CB-Team mal jemand in einen extra Thread trennen. Das wäre lieb :-)

 

[adhome]

Da hier doch einige LastPass verwenden kurz zur Info: https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/

Danke. Bin auf Bitwarden umgestiegen.
Selber hosten würde ich dort nur in Angriff nehmen, wenn die Zusatzfunktionen dann gehen. Aber so ist es nicht.

PS: Let’s Encrypt für ein internen Server ist gruselig wegen der Auth. Höre aber gerne zu.. (;

 

[schwaller]

und nur nochmal so zur info und erinnerung:
sowas wie passwordcard ist, richtig angewedet, eine gute Lösung

keepass nutze ich auch, aber ja, da die einzelnen os-varianten und geräte synchron zu halten ist schon echt aufwand.
zumal nicht alle keepasvarianten wirklich zu 100% kompatibel sind, wie ich einmal schmerzlich feststellen durfte ;(

 

[adhome]

Ich hab 1x ein Fehler gemacht und ein starkes Passwort bei Amazon verwendet.
NIE WIEDER!!!!
3x eingeben bei Firetv und Android fimmel Tastatur und du schmeist die Fernbedienung an die Wand.

 

[Joshua]

PS: Let’s Encrypt für ein internen Server ist gruselig wegen der Auth. Höre aber gerne zu.. (;

Unbedarft und experimentierfreudig wie ich bei diesem Thema bin, habe ich nach eine Anleitung für "Bitwarden Raspberry Pi Let's Encrypt" gesucht und bin auf diese gestoßen:

How to Self-host Bitwarden on a Raspberry Pi - WunderTech

This tutorial will show you how to self-host the password manager Bitwarden on a Raspberry Pi! Full written instructions!

(https://www.wundertech.net/how-to-self-host-bitwarden-on-a-raspberry-pi/)

Jetzt bin ich bei 2. Reverse Proxy Setup und weiß nicht, was ich da für eine Domain eintragen kann:

Im nächsten Schritt könnte man dann ein Zertifikat von Let's Encrypt anfordern:

Ich habe verschiedenes probiert, bekomme da aber beim speichern immer ein "internal error". Brauche ich da eine öffentliche Domain im Internet? Ich habe zwar ein Web-Hosting-Paket bei all-inkl.com, aber eigentlich wollte ich in der Tat mit dem Bitwarden-Server intern meinem Netz bleiben.