ich habe einen Linux Laptop und ein Pixel 7 mit GOS (normales Profil + geschäftliches Profil (immer per VPN zu Hause eingelogged) + vertrauliches Profil).
Nun überlege ich, wie ich am besten die Passwort-Verwaltung hinbekomme.
KeePass:
Um KeePass zu benutzen, muss ich sowohl auf dem Laptop, als auch auf allen drei Profilen auf dem Pixel einen Syncthing-Client laufen lassen, um die kdbx-Dateien überall aktuell zu halten, die auf meinem NAS liegt. Damit kann ich mich dann aber vom Laptop und aus allen GOS-Profilen an allen WebSeiten anmelden.
Für den Laptop gibt es ein Systempaket
Für GOS eine App im F-Droid.
Bitwarden:
Für Bitwarden habe ich auf meinem Proxmox einen Vaultwarden-LXC eingerichtet. Den kann ich vom Laptop (über VPN) und im Handy im geschäftlichen Profil (weil immer zu Hause im VPN eingelogged) erreichen und synchonisieren. Also fehlen mir im normalen Profil und auf dem vertraulichen Profil auf dem GOS die Logins.
Für Linux gibt es nur ein Flatpack
Für GOS gibt es aktuell nur eine Beta im F-Droid.
Bitwarden finde ich grundsätzlich etwas besser als KeePass, weil dort die 2FA mit OTP besser umgestzt ist, als in KeePass (zumindest für das Handy).
Mein längerfristiges Ziel soll auch sein, mich über PassKeys einzuloggen, was im Moment nur holprig im vertraulichen Profil mit nur dort installierten PlayServices und Bitwarden funktioniert (aber leider nicht für dieses Forum).
Nun meine Überlegungen nach einem BestCase-Szenario: Wie macht Ihr das?
Ist abzusehen, dass es für KeePassXC auch eine Implementierung von PassKeys gibt?
Ist abzuesehen, ob und wann GOS ohne PlayServices die PassKey-Nummer unterstützt?
Sollte ich mich sowieso nur über das VPN nach Hause im geschäftlichen Profil an Webseiten anmelden?
Ist eigentlich davon abzuraten, mich über Mullvad-VPN im vertraulichen Profil in Webseiten einzuloggen, obwohl es mit PassKey und der Bitwarden-App dort funktionieren würde?
Fragen über Fragen Aber vielleicht könnt Ihr meine Gedanken nachvollziehen…
Das hat nichts mit GOS zu tun. Es ist nur so, dass viele Apps einfach die Play Services dazu nutzen, da es sonst kaum Implementierungen gibt. Apps könnten das aber auch prinzipiell ohne Play Services tun.
Das reicht nicht. Du musst Probleme mit Pfadabhängigkeit der Synchronisierung verhindern.
Warum nicht Bitwardens Server verwenden oder es öffentlich hosten?
Warum? Da kannst du doch genauso dich per VPN nachhause verbinden, oder Lösungen wie Tailscale verwenden.
Bisher handhabe ich das so wie beschrieben und habe noch keine Pfad-Probleme feststellen können.
Die Frage ist berechtigt. Öffentlich hosten ist mir zu risikoreich - dafür bin ich zu wenig bewandert, als dass ich mir zutrauen würde, ein sicheres System hinzustellen.
Den Bitwarden-Server zu benutzen, fällt mir schwer. Ich hab’s halt lieber zu Hause - da kommt sicher niemand drauf. Ist der Bitwarden-Server denn „hinreichend sicher“? Würdest Du den benutzen?
Im normalen Profil läuft NetGuard als VPN, im geschäftlichen Profil das VPN nach Hause und im vertraulichen Profil läuft Mullvad-VPN. Da findet leider kein weiteres VPN Platz.
Zumindest für Browser wurde mir hier im Forum gesagt, ich solle keine Flatpacks benutzen. Ist das für Bitwaren problemlos?
Bisher habe ich versucht, mich nicht über „fremde“ VPNs irgendwo einzuloggen. Ob das gerechtfertigt ist oder nicht, durchschaue ich nicht ganz - Thema „Verbindung aufbrechen“? Verhält sich das mit PassKeys anders, weil ja keine Passwörter übergeben werden? Ich kann Dir nicht sagen, was das eine mit dem anderen zu tun hat. Hat sicher eher war mit meinem Bauchgefühl zu tun
Alles in allem heißt mein Ergebnis nach Deinen Antworten: Bitwarden-Server benutzen oder selber öffentlich hosten.
Ist nur eine Frage der Zeit. Mir wären meine Passwörter zu wichtig dafür.
Ja. Höchstwahrscheinlich sicherer, als wenn du selbst hostest. Zudem hast du immer noch die Ende-zu-Ende-Verschlüsselung als Absicherung.
Ja
Browser sind eine Sonderfall. Im Übrigen gibt es Bitwarden über alle möglichen Paketformate: https://bitwarden.com/download/#downloads-desktop . Zudem kann man auch alles über die Browserextension von Bitwarden machen.
Seit einigen Jahren sind doch sowieso (nahezu) alle Webseiten TLS verschlüssselt.
Kannst Du mir dazu noch einen Hinweis geben? Glaube mir - meine Passwörter sind mir heilig Was kann da passieren? Wie kann ich ein Problem proaktiv verhindern? Oder geht das gar nicht im meiner Konstellation?
Führt das nicht auch wieder dazu, dass man die Mullvad-Browser-Idee ad absurdum führt? Möglichst unverändert lassen, damit man in der Masse unter geht? Just a thought.
Man muss auf jedem Gerät zwei Kopien der Datenbank haben. Eine die man synchronisiert und eine mit der man arbeitet. Bei einer Änderung müssen beide gemerget werden. Vielleicht gibt es auch ein Plugin, dass das schon in einem Zug macht. Frage mich aber, warum man sich das antun sollte, wenn es PW-Manager gibt, die ein sicheres Syncen schon direkt eingebaut haben.
Nein. Nicht alle Extensions können auf FF-basierten Browsern gefingerprintet werden. Bei einem PW-Manager sehe ich keinen praktikablem Weg, zumindest nicht bei dem Aufwand den Tracking-Unternehmen betreiben. Bei State-Actorn sieht das vielleicht anders aus. MMn überwiegt der zusätzliche Fisching-Schutz die Risiken.
Aber vielleicht könnt Ihr meine Gedanken nachvollziehen…