Strategie für Passwörter

DrSnuggles

Bekanntes Mitglied
Ja, du brauchst eine öffentlich erreichbare Domain (Dyndns) für Letsencrypt.
Der Sinn der Sache ist ja, dass du mit dem Handy drauf zugreifen kannst.
 
Zuletzt bearbeitet:

DrSnuggles

Bekanntes Mitglied
Was für eine Domain du hast ist egal.
Dyndns-Service ist hilfreich: duckdns.org ist schon ok

Du musst halt ein Portforwarding einstellen, dass Bitwarden im Internet erreichbar ist (Port 80 & 443 TCP)
 

adhome

Bekanntes Mitglied
Naja.. das ist der Kern des Problems.
LetsEncrypt braucht für die Chalange ein Öffenlichen Server. Aber man will Bitwarden intern betreiben.
Wenn du aber für Handy und andere Orten ein übers Internet zugänglichen Server haben willst, ist alles möglich. Dann passt dein Wundertech Anleitung.

Dann musst du eine DynDNS Subdomain anlegen bei All-Inkl. Dein Router trägt bei All-inkl die DynDNS IP immer ein.
Damit ist also dein Internes Netz immer über diese Domain erreichbar. Nur haste dann Port 80 belegt fürs Bitwarden. Will man vielleicht nicht haben und mal was anderes hosten.
IPv6 könnte dann eine Lösung sein.

PS: Falls du unbedingt willst, dass der Server nicht vom Internet erreichbar ist, hab ich ne Lösung.
 

omycron

Aktiver Silent Reader
Wenn ich es richtig verstanden habe, kann man doch über einen reverse proxy den bitwarden-dienst intern auf einem anderen Port betreiben als nach extern sichtbar und erhöht damit ein wenig die sicherheit. Als Ports lassen sich ja beliebige auswählen. Beim Beantragen des Zertifikats muss man dann nur den Port noch mit angeben. Korrigiert mich gerne, wenn ich das nicht richtig verstanden haben sollte.
 

DrSnuggles

Bekanntes Mitglied
@omycron:

Port ändern ist so gut wie nutzlos. Das gesamte IPv4-Internet wird auf allen Ports regelmäßig komplett gescannt.
Mit Zmap dauert ein Single Port Scan über das gesamte Internet 44 Minuten.
 

tomcat

Bekanntes Mitglied
Du könntest mal über eine Fido2 Key nachdenken...
Ja, habe ich sogar schon mal, aber das ist dann doch erst mal "nur" eine Zusatzoption zur sicheren Authentifizierung, oder? Eine gemeinsame Datenbasis und entsprechtende Client-Software oder Apps benötige ich davon unabhängig als Grundlage.

Ich benutze Fido2 selber nicht, aber die YubiKeys können mehr als kryptographische Verfahren, also auch Passwort Management. Zumindest habe ich das so verstanden. Ich überlege selber schon länger mal darauf umzusteigen. Da das alles offene Schnittstellen sind und die auch Software für alle von Dir aufgeführten OS haben, dachte ich das das was sein könnte.
@Brian
nein. Passwortmanagment können die Yubikeys nicht. Das hast Du falsch verstanden. Du kannst mehrere (auch alte abgelaufene, in extra Slots) x509 Zertifikate und pgp Schlüssel auf den Yubikey packen. Aber das ist ein Token, Du bekommst keinen der Schlüssel/Zertifikate da wieder runter.

Aber Du kannst z.B. ein Challenge-Response und/oder EIN Passwort auf dem Yubikey hinterlegen und dieses dann als Ergänzung deines Passwortmanagers nutzen.

Weiterhin kannst Du bis zu 32 (meine ich) Schlüssel für OTP auf dem Yubikey hinterlegen und die OTP dann über https://www.yubico.com/products/yubico-authenticator/ abrufen.
Das mache ich am Handy (es ist für die Kommunikation mit dem Yubikey ein 32Zeichen langer Schlüssel (damit nicht jeder die OTP abrufen kann) in der Handy App gespeichert) mittels NFC.
Funktioniert gut.

Mittels Challenge-Response ist auch meine KeepassXC Datenbank gesichert. Challenge Response aus dem Grund, ich frage auch dafür den Yubikey per NFC ab und möchte nicht dass ein Passwort/Schlüssel unverschlüsselt übertragen wird...

die fido2 bzw u2f Funktion der Yubikey nutze ich auch...
 
Zuletzt bearbeitet:

tomcat

Bekanntes Mitglied
Danke für die Info. Es macht also keinen Unterschied, ob ich einen Reverse Proxy nutze oder nicht?
Die Antwort ist nicht so einfach. :icon_easter::D. Um den Port umzubiegen nicht. Das ist wie doc schon schrieb, Quatsch. Trotzdem kann ein Reverseproxy in bestimmten Situationen die Sicherheit von Anwendungen erhöhen. Aber einfach einen nginx vor einen nginx oder Apache packen, den Port umbiegen und hoffen, dass es sicher ist, funktioniert nicht
 
Oben Unten