Облачный парольный менеджер
или
Self-hosted парольный менеджер
 Публичный пост    21 июля 2021  1171

Я использую парольный менеджер Bitwarden на протяжении нескольких лет и всем доволен, за исключением себя — никак руки не доходили до этого момента настроить его self-hosted версию на своём сервере.

Сегодня я сделал это и моё новое сокровище скушало почти всю память на диске моей небольшой виртуальной машины: ужас! К сожалению, мне пришлось отказаться от этой затеи и вернуться к использованию облачного хранилища Bitwarden.

Bitwarden использует PBKDF2 + AES256-CBC для шифрования паролей и их расшифровки мастер-ключом на локальной машине. Когда я изучил инструкции Bitwarden и понял, что на его серверах всё равно хранятся исключительно зашифрованные пароли, мне подумалось, что нет никакого смысла грузить свою VPS несколькими докер-контейнерами, в которых живёт Bitwarden: зачем, если можно заплатить $10 и использовать премиум-версию со всеми наворотами и не беспокоиться о сохранности своих паролей?

А что думаете вы?

9 аргументов и 76 плюсиков
за «Облачный парольный менеджер»
10 аргументов и 46 плюсиков
за «Self-hosted парольный менеджер»
за «Облачный парольный менеджер»
Берёт геморрой на себя
Аватар Herman Lyakhovich Herman Lyakhovich

Раньше хранил пароли в текстовых файлах в контейнере TrueCrypt. Подписка на 1Password — одна из лучших покупок за всё время. Можно просто ни о чём не думать, пароли и карты мгновенно подтягиваются на всех девайсах, в том числе и в приложениях на iOS. Недавно ещё прикрутили Touch ID в Firefox, жить стало ещё лучше.

за «Облачный парольный менеджер»
Собственная виртуальная машина (особенно небольшая) подведёт в самый неподходящий момент
Аватар themylogin themylogin

Именно тогда, когда нужно будет максимально срочно вытянуть пароль от чего-нибудь, окажется, что с виртуальной машиной что-то случилось (особено если там 512MB RAM и Docker из установленной провайдером Ubuntu 16.04), а у тебя вокруг темонта, сильнейшая усталость, комары и два деления EDGE.

А облако разве не может отказать в неподходящий момент? так себе аргумент

  Развернуть 1 комментарий

@mkwardakov, в качественном облачном ПО дублированные сервера за балансером, репликация баз данных и прочее, наверняка ещё и человек круглосуточно сидит. На своей VM ничего такого нет. В итоге по моим наблюдениям событие "что-то упало в облаке" происходит раз в год от силы, и поднималось оно через несколько минут.

(У меня на личном сервере, может быть, тоже что-то падает раз в год, но я к этому шёл лет 10 ежемесячных скрюченных сидений за PuTTY с чужого залитого пивом компьютера в попытках выяснить что там опять упало)

  Развернуть 1 комментарий

@mkwardakov, Облачное решение кто-то починит через какое-то время и нужно будет только подождать, а свою виртуальную машину придется чинить самому. А со смартфона на ходу это не всегда удобно/возможно.

  Развернуть 1 комментарий

у bitwarden хранилище хранится локально натустройстве и лишь иногда синхронизируется по мере добавления новых паролей. Да и полагать что виртуалка помрет мне кажется слишком уж пессимистично, с моей за два года ничего не случилось ни разу

  Развернуть 1 комментарий

@Kirk, а как вы делаете бэкапы на виртуалке?

  Развернуть 1 комментарий

@podivilov, платной услугой у хостера, плюс раз в пару недель написал скриптик который все данные оттуда бекапит на малину, которая находится дома.

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Только ради парольного менеджера — не надо
Аватар Ilja Gubins Ilja Gubins

Ради одного парольного менеджера не стоит держать ни VPS, ни домашнего сервера. Но вот если есть идеи как это расширить, добавить туда всякие другие полезности и хостить какие-то сервисы (обязательный линк на awesome-selfhosted), то это очень даже того стоит. Уже больше года держу на домашнем сервер много всего, включая bitwarden, и всем доволен.

P.S. Насчет того чтобы хостить bitwarden - рекомендую vaultwarden (бывший bitwarden_rs). Тратит гораздо меньше ресурсов чем официальный сервер и открыты премиум фичи.

Круто, спасибо! О vaultwarden слышу впервые.

  Развернуть 1 комментарий

@podivilov, а сколько вообще оригинальный битварден кушает (не в плане тех данных, а на практике так сказать)? я вот все на малинке своей никак не дойду его поднять, а тут оказывается, что он требовательный к ресурсам... так может малинка его не тянет?

  Развернуть 1 комментарий

@vorant94, У меня есть VPS от Fornex на 2 гигабайта и 4 гигабайта свопа, битварден съел всю доступную память и залез в своп.

  Развернуть 1 комментарий

@vorant94, vaultwarden вообще почти ничего не жрет, на малине спокойно поднимется

  Развернуть 1 комментарий

а с учетом того, что он поднимается только одним контейнером и без всяких настроек почтового сервера и хелпер-скриптов, вообще цены ему нет! спасибо за наводку

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Потому что есть иллюзия контроля и повышенной безопасности
Аватар Artem Vereshchaka Artem Vereshchaka

Я использую KeePass для хранения всех паролей/секретов/токенов и прочего. На лептопе KeePassXC, на мобиле Keepass2Android.
Все опенсорс, что дает еще больше иллюзии (хоть и сам я не копался в исходниках).
ДБ храню... на Гугл Драйве, просто потому что так синхронизация удобнее.
Это не Self-Hosted по канонам, но и не прям облачный.
Все больше думаю перейти на Bitwarden ради лучшего экспириенса, хотя бы для паролей.

так bitwarden же – классический облачный сервис же, не?

  Развернуть 1 комментарий

@ReDetection, да, потому и хочу мигрировать. у Кипаса бывает что-то отваливается, надо то плагин передернуть в браузере, то сделать полную синхронизацию на сматрфоне. надоело немного :)

  Развернуть 1 комментарий

@ReDetection, У битвардена есть селф-хостед решение.

  Развернуть 1 комментарий

Использую много лет такой же сетап. KeePass и его база на любом облачном хранилище, очень удобно.

  Развернуть 1 комментарий
за «Облачный парольный менеджер»
Надежность и отказоустойчивость
Аватар Alexey Buravov Alexey Buravov

Чтобы на своей VPS добиться такого же уровня отказоустойчивости и настроить бэкапы как у облачного провайдера, нужно постараться. А также ежемесячно платить за VPS.

за «Облачный парольный менеджер»
Есть два стула…
Аватар Valeriy Georgiadi Valeriy Georgiadi

Это тот тип вопросов, что ты уже проиграл, если задумался над тем что лучше.

Все зависит от твоих задач, бизнес модели, кто вообще задаёт вопрос, и прочего. Даже если ты "просто человек" то ты делаешь это для "чего-то", выбираешь где и как хранить пароли.

При прочих равных, если ты "просто человек" то облачное хранилище удобнее, потому что у "просто человека" не будет навыков/времени поднимать своё.

UPD1:

И вообще, пароли - зашквар уже, надо, как минимум 2FA или в идеале passwordless MFA.

Microsoft качает за это c 2017 года, например.

https://www.microsoft.com/en-ww/security/business/identity-access-management/passwordless-authentication

UPD2:
В общем, даже если ты "просто человек " и у тебя есть облачное хранилище паролей и нет 2FA в виде какого-нибудь Google Authenticator, то у меня для тебя плохие новости.
.
И вообще, информационная безопасность это не про безопасность в чистом виде, а про риски, аппетиты рисков и их деверсификацию, и вот на какой стул сам сядешь, а на какой нет, это про риски и управление ими в первую очередь.

надо, как минимум 2FA

разве в 2FA первый фактор это не пароль?

  Развернуть 1 комментарий

@werth, не обязательно.

"which users provide two different authentication factors"

тоесть, идет разговор о "факторах" аутентификации, одним из которых может быть именно пароль.

  Развернуть 1 комментарий

@MrBlack, в теории да, на практике я ни разу не видел, чтобы одним из факторов был не пароль.

  Развернуть 1 комментарий

@werth, соглашусь, такого реально мало, пока еще очень мало.
Но лично использовал 3FA - ID карта + отпечаток + лицо. Мне понравилось.
Карту приложил, палец ткнул, в камеру посмотрел.

  Развернуть 1 комментарий

@werth, попалось интересное.
Это курс CISSP, 5 Домен - Управление доступами.

  Развернуть 1 комментарий

@MrBlack, Если везде как первый фактор до сих пор используются именно пароли, то почему

пароли - зашквар уже

  Развернуть 1 комментарий

@Mykola, как минимум потому, что везде есть клавиатура и далеко не везде есть остальные считывающие устройства. Мы ещё придем к этому. Раньше чем кажется.

Та же технология видеонаблюдения от "илитной" до "есть в каждой дырке" прошла путь меньше чем лет за 20.

Те же смартфоны, там уже давно лицо/отпечаток/графический ключ.

Тот же Windows Hello на ноутбуках, при наличии камеры и сканера отпечатков, уже позволяет без пароля обходится.

  Развернуть 1 комментарий

во, мемас попался даже.

  Развернуть 1 комментарий

Ооо, как же я люблю, когда спрашиваешь как хранить пароли, а тебе в ответ говорят, что пароли — зашквар. Напоминает "вы сюда яблоки жрать приехали?"

  Развернуть 1 комментарий

@themylogin, ну у нас же тут как раз баттл же - не? Я конечно отклонился от темы и расширил ее. Я инфу предоставил, а что с ней сделать, уже каждый сам решит. Возможно, я просто очередной душнила из инторнетов, не более.

  Развернуть 1 комментарий

Насчет 2FA и отказа от паролей - эта политика у меня вызывает стойкое неприятие с самого ее появления.

Безопасность это прекрасно, но что если я вдруг оказался в другой стране/районе/у чужого компьютера в избушке в тайге, который выключится через 10 минут/утопил свой распрекрасный телефон/токен, а мне нужно срочно авторизоваться и что-то сделать?

У меня был случай, когда понадобилось срочно перевести деньги, а интернет-банкинг моего банка с обязательной 2FA по SMS не пускал меня, т.к. смски не приходили на номер в роуминге вообще. Тогда как-то смог решить через поддержку банка, которые перепривязали вместо моего номера номер друга, но минуты были очень напряжные. Спасибо, больше такого не надо.

Лучше уж старые добрые пароль и логин, которые всегда можно запомнить или записать и авторизоваться откуда угодно (еще бы прекратили слать эти клятые запросы "ВЫ ТОЛЬКО ЧТО ЗАХОДИЛИ ИЗ НЕЗНАКОМОГО МЕСТА, АЛАААРМ!!!").
Ну а если поставил пароль 123456 на банковский аккаунт, то сам дурак.

  Развернуть 1 комментарий

@nightlord189, вот СМС, как фактор в 2FA - уже тоже зло, эдакий lawful evil. Ибо есть "sim swap" атака, когда твоя симка, пока ты спишь, на несколько секунд становится не твоей, на уровне оператора и СМС приходит куда приходит, а ты спишь.

Ну и вот эти вот роуминги-хуеминги, да, сам так попадал с СМС в другой стране. Благо вменяемые банки теперь уходят от СМС и либо push присылают в свое же приложение, либо 2FA через токен-приложение.

Лучше уж старые добрые пароль и логин, которые всегда можно запомнить или записать и авторизоваться откуда угодно

Тогда уж вот так

How to remember huge passwords and The "2FA with my head".
https://kaizoku.dev/double-blind-passwords-aka-horcruxing

Как я уже выше написал 2FA это не обязательно про пароли, а про факторы, и эти факторы можно самому себе придумывать.

"ВЫ ТОЛЬКО ЧТО ЗАХОДИЛИ ИЗ НЕЗНАКОМОГО МЕСТА, АЛАААРМ!!!"

И вот это вот не про безопасность, а про долбоебов, которые типа пытаются через поведенческие шаблоны пользователя его идентифицировать. Это все имеет место быть, только в данном случае делать это только по одному «ойпи» - долбоебизм чистой воды, там надо собирать очень большой массив данных и по нему делать «слепок» пользователя, а не вот это вот всё.

  Развернуть 1 комментарий

@MrBlack, да, с разделением пароля интересная идея, спасибо.

  Развернуть 1 комментарий

@nightlord189,

Ну а если поставил пароль 123456 на банковский аккаунт, то сам дурак

Не обязательно, ведь маловероятно что его с третьего раза угадают, а уже после третьей попытки нормальный банк заблокирует аккаунт и будет спрашивать секретный вопрос или что-то еще в дополнение к паролю.

  Развернуть 1 комментарий

@MrBlack, а мне SMS все еще кажутся +- адекватным вариантом. Если сим-карта подвязана к паспорту, запрещен удаленный перевыпуск и есть пин-код на неё (а не как у большинства - анонимный pre-paid с супермаркета).
Знакомый использовал Google Authenticator на смартфоне вместо SMS. А дело было такое, что боевики у него отняли телефон, а сам знакомый был вынужден бежать на неокупированные территории.
Его аккаунты спасло только то, что он успел прихватить тетрадку с кодами восстановления.
Можно представить и другой вариант, когда телефон просто ломается или теряется/крадется. Тогда только остаются коды восстановления где-то на бумажке под матрасом. Ну такое.
Мне кажется шансы на много больше того, что ты посеешь коды восстановления, нежели кто-то ночью решит перехватывать твои SMS, узная до этого твой пароль. Уж совсем конспирология.
Или я в чем-то не прав?
Спасибо

  Развернуть 1 комментарий

@Archivarius, Вы правы абсолютно и во всём, но только если живёте не в России.

  Развернуть 1 комментарий

@podivilov, @Archivarius, вот да, нечего добавить. Ибо чтобы сделать "sim swap" надо иметь доступ к оператору, такие дела.

  Развернуть 1 комментарий

@MrBlack, у кого есть деньги, у того есть доступ к оператору.

  Развернуть 1 комментарий

@podivilov, все всё понимают, ага.

  Развернуть 1 комментарий
  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Облака не прозначны
Аватар Sergey Shmelev Sergey Shmelev

Я пользуюсь Joplin (это обычный open-source "блокнот"), который шифрует всё и закидывает в DropBox. А с DropBox уже синхронизируются другие устройства.

Я понимаю, что это не совсем Self-Hosted, но я вижу свои файлы в DropBox и вижу что они действительно зашифрованы, т.е. имею контроль над ситуацией.

Что там под капотом у облачных парольных менеджеров - неизвестно.

  Развернуть 1 комментарий

А joplin в свою очередь все равно видит все, что вы пытаетесь зашифровать?

  Развернуть 1 комментарий
за «Облачный парольный менеджер»
Кросс-девайсность и удобство
Аватар Богдан Бакалов Богдан Бакалов

Использую LastPass более 4 лет. За всё время не было никаких проблем.
Удобно что есть плагины для браузеров который подставляет сохраненный пароль и возможность генерации сложных паролей. Что позволяет иметь на всех сервисах разные пароли и в случае утечки. Даже если начнут брутфорсить один пароль по всем сайтам, то я успею это заметить и вовремя сменить пароль.
Осознаю что "все яйца в одной корзине", но за удобство всегда необходимо платить.

Это плохой довод. Селф-хостед битварден умеет это же все + чуть больше уверенности что все твои данные хранятся у тебя же на машине.

  Развернуть 1 комментарий

@diachenko, а какая разница, где храниться зашифрованным данным? Без мастер-ключа это всё равно просто цифровая каша.

  Развернуть 1 комментарий

@diachenko, тут признаю то что не в курсе о возможностях Bitwarden
Углубляюсь по лучше

  Развернуть 1 комментарий

Тоже когда-то начинал с него, но у LastPass вроде были утечки 3 раза, если не ошибаюсь?

Плюс исходники закрыты, так что в конце концов перешел на Bitwarden.

  Развернуть 1 комментарий

@nightlord189, опа. Почитаю инфу. Спс

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Уязвимости и утечки — не то, что я хочу со своими паролями
Аватар ReDetection ReDetection

В идеале вообще файлик хранить у себя локально, копировать его руками по необходимости на разные девайсы. Ничего торчащего во вражеский интернет!

за «Облачный парольный менеджер»

Хочешь — в облаке хранишь, хочешь — локально и, например, синхронизируешь через сервис по вкусу (хоть собственный Nextcloud)

за «Self-hosted парольный менеджер»
Можно синхронизировать его другими способами
Аватар Rail Hamdeew Rail Hamdeew

Я использую KeepassX, но храню его базу в encfs разделе который синхронизируется с Dropbox.
В итоге в облаке есть бэкап базы паролей и он хранится не в открытом виде.

за «Self-hosted парольный менеджер»
keepass + dropbox = profit
Аватар Ivan Agarkov Ivan Agarkov
  1. Удобно
  2. Я точно контролирую свои пароли
  3. Ключ шифрования точно никогда не покидает мою машину
  4. Бесплатно для любых количеств паролей
  5. Можно шарить избранные пароли с тем, кому надо.
за «Self-hosted парольный менеджер»
Я пока в облаке, но только потому, что до selfhosted руки не дошли. Но хочу попробовать.
Аватар Андрей Мартьянов Андрей Мартьянов

Вопрос к пробовавшим оба варианта битвардена.
Поделитесь рецептами, плес.

Есть ли удобный способ переезда из облака и обратно? В идеале было бы иметь 2 разных ремоут ветки как в гите, и иметь возможность переключаться между серверами, синхронизируясь то с одним, то с другим, то с двумя сразу.

Или организовать переодические синки между серверами, чтобы из облака дампалось в мой приватный инстанс.

Или хотя бы автоматизированные выгрузки шифрованного текстового дампа на третий файловый сервер, чтобы оттуда забрать в случае факапа основного.

Предствим ситуацию: перестанут завтра все сервера битвардена отвечать (третья мировая, чебурнет, сотрудник-импостор, админ пролил пиво в сервер, whatever).
Что делать будем? Письма в спортлото писать? Застрелимся?
Нипанятна.

"Андрей, ты параноик" - скажете вы. Окей, возможно. Но мне чёт неуютно от такой перспективы.

Для понимания чем продиктован вопрос:

  • майкрософт апдейтом винды вайпал локальные юзерские папки,
  • адоб похерил многолетние бережно собираемые коллекции картинок у дизайнеров в своём облаке, сказал "ой" и ничего восстанавливать не стал,
  • у гитлаба админ не ту базу дропнул, чуть не убили безвовратно кучу юзерских проектов. Спасло то, что по случайности (распиздяйству) рядом в папке лежал относительно свежий забытый дамп.

Список можно и дальше продолжать, мораль, думаю, ясна, все мы люди, все ошибаемся.

@podivilov, спасибо за трэд, меня тоже мучала эта диллема, тут спросить не догадался сам)

@lay, спасибо за наводку на vaultwarden, обязательно буду тестить.

за «Облачный парольный менеджер»
А где вариант просто хранить бекап базы везде?
Аватар Дмитрий Мананников Дмитрий Мананников

Ведь раньше был нормально работающий 1password.

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Не одним парольным менеджером едины
Аватар Kamil Iksanov Kamil Iksanov

На самом деле, self-hosted решение идеальный вариант, потому что вы контролируете это всё у себя на машине, можете закрыть её под vpn и никто не узнает о её существовании. Наверняка после захочется захостить уже что-то другое, свой pet проект или сокращатель ссылок или что-то другое.

Все аргументы, что упадёт и придётся самому поднять это в современном мире ни о чём, мы так-же можем просто развернуть это всё в Docker контейнере и дата центры tier-3 класса позволяют не беспокоится о том, что что-то пойдет не так. Self-hosted бывает разный и всё зависит полностью от вас. Полный контроль над ситуацией.

По состоянию на лето 2021 года последняя версия Docker (19.03.15) всё ещё может, например, считать запущенным контейнер, у которого умер процесс, не перезапускать его самостоятельно и не давать этого сделать через API. Вероятность подобного увеличивается тем больше, чем больше разнородного ПО напихано на один хост. А даже если у вас каким-то чудом всё уже три года работает, на четвёртый непременно и ВНЕЗАПНО обнаружится что-то типа https://github.com/docker/for-linux/issues/1126. Нет уж, пусть лучше этим занимаются профессионалы в своё рабочее время, чем я в своё личное.

  Развернуть 1 комментарий

@themylogin, Поддерживаю.

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Мигрировал с Dashlane в Bitwarden
Аватар Nick Chursin Nick Chursin

Чисто потому, что надоело продлевать премиум. А в selfhosted это и так все есть.

за «Облачный парольный менеджер»
Нормальный self-host выглядит дорого
Аватар Станислав Богацкий aka sbkubric Станислав Богацкий aka sbkubric

Если сравнивать cloud bitwarden и self-hosted аналог, то чтобы добиться аналогичного уровня безопасности, нужно потратить сильно больше деняк.

Достаточно мощный vps стоит дороже, чем годовая подписка. Варианты хостить на своей машине я вообще рассматривать не буду, они совсем ненадежные.

Тратить столько на риски, вероятность которых даже толком оценить нельзя, кажется мне неправильным.

Правда, если пользователей много (больше 6), то вариант с self-hosted
уже выглядит довольно привлекательно, так как затраты уравниваются. Но это совсем не мой случай.

Если использовать не оригинальный образ bitwarden, то достаточно самой дешевой VPS.

Вот альтернатива, которая не требует мейнфрейма для запуска: https://github.com/dani-garcia/vaultwarden

  Развернуть 1 комментарий

@Kirk, Два чая этому господину!

Правда, самый дешевый VPS c репликацией всё ещё дороже, чем annual subscription для одного человека.

Но как семейный вариант уже вполне приемлемо, тк затраты вроде около 40$ в год и на то, и на то.

  Развернуть 1 комментарий

@sbkubric, в чём профит платить $40 за сервер, когда за $40 можно купить семейную подписку Bitwarden?

  Развернуть 1 комментарий

@podivilov, для меня это больше контроля в моих руках. Вдруг они что-то проебут. А так я сам ответственный за свои данные, могу зарезервировать столько сколько захочу

  Развернуть 1 комментарий

@podivilov, особенной разницы я не вижу. Играет роль только количество пользователей, если в "семью" входит больше 6ти человек, то это имеет смысл.

Ну и психологический комфорт тоже стоит учитывать, всё-таки с VPS ты больше контролируешь, для кого-то это определяющий фактор.

  Развернуть 1 комментарий

@Kirk, больше контроля чего? Это мнимое ощущение контроля, вы же сами в любом случае аудит Битвардена не проводили и не можете дать реальную оценку его безопасности. Всё держится на доверии и вере. Это уже даже больше похоже на какую-то религию в духе «свидетели селфхоста».

Тем более что на серверах Битвардена пароли хранятся в зашифрованном виде и даже если сервера скомпрометируют, это будет всего лишь цифровая каша.

Точно так же ваш сервер могут взломать и базу, соответственно, украсть. Думаю, у Битвардена сервера более защищены и за ними постоянно следят специалисты, тратя на обеспечение безопасности своё рабочее время, а не ваше личное. Ну и в случае утечки будет к кому предъявить, а так — не к кому.

  Развернуть 1 комментарий

@Kirk, а в итоге VPS только под vaultwarden, или же на нем ещё что-то крутится?

  Развернуть 1 комментарий

@podivilov, больше контроля за тем как это хостится и насколько надежно бекапится. Вот именно, я не проводил аудит битвардена, я не могу быть уверенным, что там они действительно хорошо следят за своей инфраструктурой. Скорее всего все хорошо, но даже так постоянно известны случаи, как большие компании что-то где-то теряли.

По поводу взломать -- никто и не будет взламывать лично меня. Потому что помимо того чтобы знать ГДЕ взламывать, нужно понимать ЗАЧЕМ меня взламывать. Если в случае битвардена прикольно будет его взломать потому что там очень много данных, то в моем случае хакеру незачем даже трогать меня.

Если с ними что-то случится, то я уверен на 100%, что никакой компенсации не будет и никто время вспять не вернет :)

  Развернуть 1 комментарий

@sbkubric, у меня не самый дешевый (2 ядра, 4 гига), но крутится у меня много что. Vaultwarden даже не топ 5 потребителей

  Развернуть 1 комментарий

@Kirk, бэкапить зашифрованные пароли в JSON можно хоть на флэшку, хоть в Гугль Диск. Зачем бэкапить весь Битварден?

  Развернуть 1 комментарий

@podivilov, так я бекаплю базу битвардена, она весит пару сотен килобайт

  Развернуть 1 комментарий

@Kirk, нет, я имею в виду, вы предлагаете селфхостить Битварден (с целью контроля бэкапов) только для этого?

  Развернуть 1 комментарий

@Kirk, Понятно, спасибо)

  Развернуть 1 комментарий

@podivilov, с целью контроля бекапов и с целью того чтобы все яйца (пароли пользователей битвардена) не лежали в одной корзине (в инфраструктуре битвардена).

Если завтра хакнут битварден я просто отключу свой, потому что сканированием интернета его так просто не найти, дождусь патча какого-нибудь или чет тип того, включу обратно.

  Развернуть 1 комментарий

@podivilov, справедливости ради, бэкап docker-image self-hosted при нескольких пользователях быстрее и проще, чем бэкап с флешкой. Там же для каждого юзера отдельно придется выгружать базу, ЕМНИП?

  Развернуть 1 комментарий

@sbkubric, да, так действительно быстрее и проще, но насчёт надёжности — без понятия.

  Развернуть 1 комментарий
за «Облачный парольный менеджер»
Селф-хостед избыточен в этом случае
Аватар Владислав _AMD_ Андреев Владислав _AMD_ Андреев

Можно хостить хоть все у себя на сервере с желанием достичь полного контроля над ситуацией и безопасности, но каждая вещь, которую вы пытаетесь контроллировать сами загружает оперативную память вашего мозга и в итоге не решает главную проблему - окей, пароли 100% у вас. А у вас точно безопаснее?

Допустим. Но ваша ОЗУ, где все эти пароли в неизвестном виде, точно не контроллируется никаким процессом? Доверяете KeePass? Но даже он в свое время имел такую уязвимость

Логика очень простая: периметр локальной машины контролируется легче, чем неизвестный периметр облака. Про KeePass, кстати, слово "хостить" не совсем верное, да и держать приложение в памяти всё время не нужно.

  Развернуть 1 комментарий
за «Self-hosted парольный менеджер»
Только отдельное приложение, только контролируемый периметр.
Аватар Nikolai Tulenin Nikolai Tulenin

С чего начинается Родина? То есть, с чего начинается ИБ? С определение защищаемого периметра, у облака его нет, значит и ИБ нормально не выстроить. Но и идея "self-hosted" мне не нравится, потому что оно торчит где-то во вне, так что просто локальное приложение с базой на зашифрованном диске, запускаемое по мере необходимости.

P.S. И да, я из тех людей, кто не синхронизирует свои фотографии через облако.

Этикет батлов:
  • 💣 Батл — это схватка двух крайностей. Мы пытаемся выделить аргументы каждой из сторон чтобы потом по ним составить свою картину мира. Рекомендуется избегать аргументов типа «каждый хорош для своего».
  • ☝️ Один аргумент — один комментарий. Не делайте списков, так сложнее вести дискуссию и подсчитывать статистику.
  • 😎 Можно топить как за одну, так и за обе стороны сразу. Просто выберите за кого вы при постинге.
  • 💬 На аргументы можно отвечать. Реплаи никуда не засчитываются и нужны только для срача.
  • 👮‍♀️ Авторам батлов нужно удалять повторы и комментарии не по формату.

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб