@mkwardakov, в качественном облачном ПО дублированные сервера за балансером, репликация баз данных и прочее, наверняка ещё и человек круглосуточно сидит. На своей VM ничего такого нет. В итоге по моим наблюдениям событие "что-то упало в облаке" происходит раз в год от силы, и поднималось оно через несколько минут.

(У меня на личном сервере, может быть, тоже что-то падает раз в год, но я к этому шёл лет 10 ежемесячных скрюченных сидений за PuTTY с чужого залитого пивом компьютера в попытках выяснить что там опять упало)

@mkwardakov, Облачное решение кто-то починит через какое-то время и нужно будет только подождать, а свою виртуальную машину придется чинить самому. А со смартфона на ходу это не всегда удобно/возможно.

@Kirk, а как вы делаете бэкапы на виртуалке?

@OwX6Q1Fefan4Wnbe, платной услугой у хостера, плюс раз в пару недель написал скриптик который все данные оттуда бекапит на малину, которая находится дома.

@OwX6Q1Fefan4Wnbe, а сколько вообще оригинальный битварден кушает (не в плане тех данных, а на практике так сказать)? я вот все на малинке своей никак не дойду его поднять, а тут оказывается, что он требовательный к ресурсам... так может малинка его не тянет?

@vorant94, У меня есть VPS от Fornex на 2 гигабайта и 4 гигабайта свопа, битварден съел всю доступную память и залез в своп.

@vorant94, vaultwarden вообще почти ничего не жрет, на малине спокойно поднимется

@ReDetection, да, потому и хочу мигрировать. у Кипаса бывает что-то отваливается, надо то плагин передернуть в браузере, то сделать полную синхронизацию на сматрфоне. надоело немного :)

@ReDetection, У битвардена есть селф-хостед решение.

@werth, не обязательно.

"which users provide two different authentication factors"

тоесть, идет разговор о "факторах" аутентификации, одним из которых может быть именно пароль.

@MrBlack, в теории да, на практике я ни разу не видел, чтобы одним из факторов был не пароль.

@werth, соглашусь, такого реально мало, пока еще очень мало.
Но лично использовал 3FA - ID карта + отпечаток + лицо. Мне понравилось.
Карту приложил, палец ткнул, в камеру посмотрел.

@werth, попалось интересное.
Это курс CISSP, 5 Домен - Управление доступами.

@MrBlack, Если везде как первый фактор до сих пор используются именно пароли, то почему

пароли - зашквар уже

@Mykola, как минимум потому, что везде есть клавиатура и далеко не везде есть остальные считывающие устройства. Мы ещё придем к этому. Раньше чем кажется.

Та же технология видеонаблюдения от "илитной" до "есть в каждой дырке" прошла путь меньше чем лет за 20.

Те же смартфоны, там уже давно лицо/отпечаток/графический ключ.

Тот же Windows Hello на ноутбуках, при наличии камеры и сканера отпечатков, уже позволяет без пароля обходится.

во, мемас попался даже.

@themylogin, ну у нас же тут как раз баттл же - не? Я конечно отклонился от темы и расширил ее. Я инфу предоставил, а что с ней сделать, уже каждый сам решит. Возможно, я просто очередной душнила из инторнетов, не более.

@nightlord189, вот СМС, как фактор в 2FA - уже тоже зло, эдакий lawful evil. Ибо есть "sim swap" атака, когда твоя симка, пока ты спишь, на несколько секунд становится не твоей, на уровне оператора и СМС приходит куда приходит, а ты спишь.

Ну и вот эти вот роуминги-хуеминги, да, сам так попадал с СМС в другой стране. Благо вменяемые банки теперь уходят от СМС и либо push присылают в свое же приложение, либо 2FA через токен-приложение.

Лучше уж старые добрые пароль и логин, которые всегда можно запомнить или записать и авторизоваться откуда угодно

Тогда уж вот так

How to remember huge passwords and The "2FA with my head".
https://kaizoku.dev/double-blind-passwords-aka-horcruxing

Как я уже выше написал 2FA это не обязательно про пароли, а про факторы, и эти факторы можно самому себе придумывать.

"ВЫ ТОЛЬКО ЧТО ЗАХОДИЛИ ИЗ НЕЗНАКОМОГО МЕСТА, АЛАААРМ!!!"

И вот это вот не про безопасность, а про долбоебов, которые типа пытаются через поведенческие шаблоны пользователя его идентифицировать. Это все имеет место быть, только в данном случае делать это только по одному «ойпи» - долбоебизм чистой воды, там надо собирать очень большой массив данных и по нему делать «слепок» пользователя, а не вот это вот всё.

@MrBlack, да, с разделением пароля интересная идея, спасибо.

@nightlord189,

Ну а если поставил пароль 123456 на банковский аккаунт, то сам дурак

Не обязательно, ведь маловероятно что его с третьего раза угадают, а уже после третьей попытки нормальный банк заблокирует аккаунт и будет спрашивать секретный вопрос или что-то еще в дополнение к паролю.

@MrBlack, а мне SMS все еще кажутся +- адекватным вариантом. Если сим-карта подвязана к паспорту, запрещен удаленный перевыпуск и есть пин-код на неё (а не как у большинства - анонимный pre-paid с супермаркета).
Знакомый использовал Google Authenticator на смартфоне вместо SMS. А дело было такое, что боевики у него отняли телефон, а сам знакомый был вынужден бежать на неокупированные территории.
Его аккаунты спасло только то, что он успел прихватить тетрадку с кодами восстановления.
Можно представить и другой вариант, когда телефон просто ломается или теряется/крадется. Тогда только остаются коды восстановления где-то на бумажке под матрасом. Ну такое.
Мне кажется шансы на много больше того, что ты посеешь коды восстановления, нежели кто-то ночью решит перехватывать твои SMS, узная до этого твой пароль. Уж совсем конспирология.
Или я в чем-то не прав?
Спасибо

@Archivarius, Вы правы абсолютно и во всём, но только если живёте не в России.

@OwX6Q1Fefan4Wnbe, @Archivarius, вот да, нечего добавить. Ибо чтобы сделать "sim swap" надо иметь доступ к оператору, такие дела.

@MrBlack, у кого есть деньги, у того есть доступ к оператору.

@OwX6Q1Fefan4Wnbe, все всё понимают, ага.

@nightlord189,

@diachenko, а какая разница, где храниться зашифрованным данным? Без мастер-ключа это всё равно просто цифровая каша.

@diachenko, тут признаю то что не в курсе о возможностях Bitwarden
Углубляюсь по лучше

@nightlord189, опа. Почитаю инфу. Спс

@themylogin, Поддерживаю.

@Kirk, Два чая этому господину!

Правда, самый дешевый VPS c репликацией всё ещё дороже, чем annual subscription для одного человека.

Но как семейный вариант уже вполне приемлемо, тк затраты вроде около 40$ в год и на то, и на то.

@sbkubric, в чём профит платить $40 за сервер, когда за $40 можно купить семейную подписку Bitwarden?

@OwX6Q1Fefan4Wnbe, для меня это больше контроля в моих руках. Вдруг они что-то проебут. А так я сам ответственный за свои данные, могу зарезервировать столько сколько захочу

@OwX6Q1Fefan4Wnbe, особенной разницы я не вижу. Играет роль только количество пользователей, если в "семью" входит больше 6ти человек, то это имеет смысл.

Ну и психологический комфорт тоже стоит учитывать, всё-таки с VPS ты больше контролируешь, для кого-то это определяющий фактор.

@Kirk, больше контроля чего? Это мнимое ощущение контроля, вы же сами в любом случае аудит Битвардена не проводили и не можете дать реальную оценку его безопасности. Всё держится на доверии и вере. Это уже даже больше похоже на какую-то религию в духе «свидетели селфхоста».

Тем более что на серверах Битвардена пароли хранятся в зашифрованном виде и даже если сервера скомпрометируют, это будет всего лишь цифровая каша.

Точно так же ваш сервер могут взломать и базу, соответственно, украсть. Думаю, у Битвардена сервера более защищены и за ними постоянно следят специалисты, тратя на обеспечение безопасности своё рабочее время, а не ваше личное. Ну и в случае утечки будет к кому предъявить, а так — не к кому.

@Kirk, а в итоге VPS только под vaultwarden, или же на нем ещё что-то крутится?

@OwX6Q1Fefan4Wnbe, больше контроля за тем как это хостится и насколько надежно бекапится. Вот именно, я не проводил аудит битвардена, я не могу быть уверенным, что там они действительно хорошо следят за своей инфраструктурой. Скорее всего все хорошо, но даже так постоянно известны случаи, как большие компании что-то где-то теряли.

По поводу взломать -- никто и не будет взламывать лично меня. Потому что помимо того чтобы знать ГДЕ взламывать, нужно понимать ЗАЧЕМ меня взламывать. Если в случае битвардена прикольно будет его взломать потому что там очень много данных, то в моем случае хакеру незачем даже трогать меня.

Если с ними что-то случится, то я уверен на 100%, что никакой компенсации не будет и никто время вспять не вернет :)

@sbkubric, у меня не самый дешевый (2 ядра, 4 гига), но крутится у меня много что. Vaultwarden даже не топ 5 потребителей

@Kirk, бэкапить зашифрованные пароли в JSON можно хоть на флэшку, хоть в Гугль Диск. Зачем бэкапить весь Битварден?

@OwX6Q1Fefan4Wnbe, так я бекаплю базу битвардена, она весит пару сотен килобайт

@Kirk, нет, я имею в виду, вы предлагаете селфхостить Битварден (с целью контроля бэкапов) только для этого?

@Kirk, Понятно, спасибо)

@OwX6Q1Fefan4Wnbe, с целью контроля бекапов и с целью того чтобы все яйца (пароли пользователей битвардена) не лежали в одной корзине (в инфраструктуре битвардена).

Если завтра хакнут битварден я просто отключу свой, потому что сканированием интернета его так просто не найти, дождусь патча какого-нибудь или чет тип того, включу обратно.

@OwX6Q1Fefan4Wnbe, справедливости ради, бэкап docker-image self-hosted при нескольких пользователях быстрее и проще, чем бэкап с флешкой. Там же для каждого юзера отдельно придется выгружать базу, ЕМНИП?

@sbkubric, да, так действительно быстрее и проще, но насчёт надёжности — без понятия.