Welke paswoord manager offline?

Keepass heb ik jaren gebruikt, wordt ook veel toegepast in zakelijke omgevingen is mijn ervaring.

Ik ben juist naar bitwarden gegaan om het overal beschikbaar te zetten (en een betere UI)

Als je er een apparaatje voor hebt (een NAS ofzo of een Rpi) kun je Bitwarden ook lokaal (iig binnen je eigen netwerk) hosten voor jezelf, dan kan je het meeste gewoon bij het oude houden en sla je niks meer op bij een ander. Ik heb zelf een fork ervan in een containertje op zolder: download: Vaultwarden 1.32.5 waar bestaande clients gewoon mee werken.

Voordeel van een 'cloud oplossing': de leverancier regelt veel en zal meer expertise hebben. Men kan niet offline de kluis proberen te kraken. Nadeel: je moet vertrouwen op de expertise en de eerlijkheid van de leverancier.

Voordeel van zelf hosten, of op de eigen PC of foon zetten: je kunt alles beveiligen en regelen, je hebt alles zelf in de hand. Nadelen: je moet alles regelen en dus ook alle kennis van zaken hebben dat veilig te doen. (Incl toegang beperken, backups, altijd alles updaten, etc). En: als men eenmaal het bestand heeft kan men offline proberen te kraken zolang als men wil. Als je het lokaal doet: zet er een lange wachtwoordzin op (bij wijze van spreken "Dit is mijn geheime kluis ^ dus blijf er van af"), alles is te kraken maar dan is het waarschijnlijk de moeite niet voor de 'hackers' die toch niet specifiek jou willen hebben maar enig laaghangend fruit.

Hier ook een jarenlange Keepass-gebruiker, zowel prive als zakelijk.

[ Voor 3% gewijzigd door F_J_K op 06-12-2024 12:38 ]

c4coupe schreef op vrijdag 6 december 2024 @ 12:16:
[...]


Ik heb een synology ja. Deze draait wel niet 24/7

Ik zet deze elke nacht uit. Dus dan gok ik, ook geen paswoorden laten zien.

Nu, als ik die encrypted file op men nas zet. Is dit in mijn ogen toch hetzelfde dan als ik deze bij bv dropbox zet?

Mijn synology kan evengoed gehackt worden dan dropbox denk ik dan.

Plus, het bestand is toch versleuteld. Als ik zo'n bestand open met bv kladblok, kan ik er niks van maken. Daar dienen bitwarden en of Enpass toch voor? Of zijn deze encrypted files easy te hacken voor hackers? Dat gaan mijn verstand te buiten die dingen. 🙈

Ik weet niet precies hoe je netwerksituatie is maar met een beetje gezond verstand is er niet zoveel risico. Als de Nas niet bereikbaar is vanaf internet, dan kan er niet zomaar een hacker bij.

KeePass met een bestandje op de Nas kan natuurlijk ook, dan moet je overstappen op andere software.

Je moet wel zelf denken aan backups. Een HDD in een Nas kan kapot gaan maar een KeePass-file kan ook per ongeluk weggegooid worden.

Ik heb er persoonlijk geen moeite mee om mijn data end-to-end versleuteld op de Europese 1Password servers op te slaan: https://support.1password.com/1password-security/ Ik snap niet waarom dit niet zou kunnen maar handmatig met een dropbox syncen wel.

Intressante casus, met meerdere punten waar ik op wil inhaken. Beginnend met de reden van je topic.
Vaker genoemd: Keepass (of de fork KeepassXC):

• De database sla je lokaal op (kan ook op een cloud a la dropbox opgeslagen worden), zo lang je maar de Keepass cliënt hebt kun je erbij. Of er een mobiele variant van is durf ik niet te zeggen, zelf nooit de noodzaak voor gehad.
• Afhankelijk van de gekozen encryptiemethode en de complexiteit van het master-password is kraken een hele uitdaging. Niet is onmogelijk, maar met voldoende complexiteit kan dit jaren of zelfs decenia duren. Dan moeten de accounts heel gewild zijn voor aanvallers om deze tijd te nemen
• De veiligheid van het bestand zelf is ook afhankelijk van de beveiliging van diens Dropbox, zit daar een simpel wachtwoord en/of geen MFA op dan heb je daar een risico op verlies van het bestand.

Mijn optiek kun je dan beter opteren voor een goede online kluis, Proton kan ik je ook nog adviseren daarvoor. Hoewel hun wel meer als enkel een wachtwoordkluis aanbieden. Bij een online kluis is nagedacht over de veiligheid en worden bepaalde zaken afgedwongen (sterk master-password, MFA e.d.) die je bij een Keepass i.c.m. Dropbox gaat missen. Bij veel van die firma's kun je op hun website zelfs lezen wat ze doen om jouw gegevens veilig te houden en hoe ze dat doen.


Dan even off-topic gaan: je geeft aan dat je NAS aan het internet hangt maar je geen idee hebt van hoe, wat, waar en waarom (even resumerend): Major red-flag, de meeste threat actors scannen gewoon compelete lijsten aan IP adressen af met een tooltje op openstaande poorten en als ze een hit krijgen is het een kwestie van bannergrabbing om te achterhalen dat je een Synology hebt draaien, automatisch scriptje er tegen aan om te kijken hoe ze het kunnen uitbuiten en als jij je beveiliging niet op orde hebt zitten ze binnen. Met alle gevolgen van dien (botnet, ransomware, lekken van gegevens etc. etc.). Wellicht handig om daar eens onderzoek naar te gaan doen, zeker als je poort 5000 zo direct naar het gehele WWW forward, dan mis je encryptie en een secure-layer en ben je gewoon via een plain-text protocol met je Synology aan het praten over het internet. Forward je 5001 dan hoop ik dat je er een TLS-certificaat aan hebt hangen anders is je beveiliging nog niet op orde (deur 'op slot doen' met een stukje plakband over de klink).

Mijn eisen waren multiplatform (Win, Mac, Linux, mobiel) en geen vendor lock-in. Ik gebruik al jaren KeepassXC (Win, Mac, Linux) + Strongbox (iPhone en iPad) met de database file gesynced via Dropbox en ben zeer tevreden. KeepassXC en Strongbox ondersteunen Yubikeys, TOTP, en passkeys. KeepassXC fungeert ook als SSH agent, als je dat interesseert.

Sterkte van het wachtwoord op je kluis en op je Dropbox (2FA!) heb je natuurlijk zelf in de hand. Backupstrategie is eens in de zoveel tijd een kopietje naar mijn NAS. Ik ben er niet zo bang voor dat mijn kluis via Dropbox gejat wordt, eerder dat Dropbox of ikzelf mijn bestand per ongeluk (of expres) verwijdert. Synchroniseren via Dropbox werkt ook perfect, soms is er een conflict bij het samenvoegen van wijzigingen maar die lossen de apps altijd zelf op zonder problemen.

c4coupe schreef op vrijdag 6 december 2024 @ 15:55:
Echt geen flauw idee van die poorten.

Ik gebruik op men gsm de apps get file (bestandsbeheer van synology) waarmee ik op onze gedeelde map kan en mijn map. Die van men vrouw staat hier niet in.

En ds photo. Dit om men photos te kunnen uploaden etc.

Dit zijn standaard apps van hun. Dan ga ik ervan uit dat dit goed is.

Niet zomaar vertrouwen leggen, want een deel van de configuratie zit aan je eigen zijde en aan de input die jij er aan geeft. Je kunt met nmap/zenmap eens een scan doen naar je publieke IP adres dan ben je er zo achter.

Als je geen gebruik maakt van de encrypties kan ik je alleen maar adviseren om daar iets aan te doen.
Het hele internet hangt niet voor niets op HTTPS tegenwoordig met alarmbellen in alle gangbare browsers erbij op het moment dat je via HTTP wil verbinden

F_J_K schreef op vrijdag 6 december 2024 @ 12:35:
Voordeel van een 'cloud oplossing': de leverancier regelt veel en zal meer expertise hebben. Men kan niet offline de kluis proberen te kraken. Nadeel: je moet vertrouwen op de expertise en de eerlijkheid van de leverancier.

Voordeel van zelf hosten, of op de eigen PC of foon zetten: je kunt alles beveiligen en regelen, je hebt alles zelf in de hand. Nadelen: je moet alles regelen en dus ook alle kennis van zaken hebben dat veilig te doen. (Incl toegang beperken, backups, altijd alles updaten, etc). En: als men eenmaal het bestand heeft kan men offline proberen te kraken zolang als men wil. Als je het lokaal doet: zet er een lange wachtwoordzin op (bij wijze van spreken "Dit is mijn geheime kluis ^ dus blijf er van af"), alles is te kraken maar dan is het waarschijnlijk de moeite niet voor de 'hackers' die toch niet specifiek jou willen hebben maar enig laaghangend fruit.

Hier ook een jarenlange Keepass-gebruiker, zowel prive als zakelijk.

Backups moet je ook bij gebruik van een "cloud oplossing" zelf regelen. Nooit vertrouwen op dat die voor je gemaakt worden of bruikbaar zijn, en al helemaal niet dat je er altijd toegang toe blijft hebben. Zat verhalen ondertussen van verschillende grote partijen (Microsoft bijv.) waar toegang verloren is door een al dan niet terechte flag. Daarnaast kunnen er tig andere redenen zijn waardoor je toegang verliest. Ik zie niet waarom dat niet bij willekeurig welke online partij kan gebeuren. Oja, en als je om wat voor reden dan ook offline bent (storing oid) heb je ook geen toegang dus.

Daarom hier ook Keepass. Sync doe ik met m'n thuis-server via SSH dus ik heb op al mijn devices gewoon toegang en de boel is met een paar seconden up-to-date als dat niet al automatisch gebeurd was.