...tutorial para que siempre podamos seguir siendo los dueños de nuestras propias contraseñas, alojándolas en algún equipo que controlemos e impidiendo el paso a personas ajenas a él a la vez que habilitamos la posibilidad de acceder a ellas a través de internet tanto mediante un plugin en nuestro navegador como con una aplicación de móvil o escritorio. Para ello vamos a aprender a instalar en nuestro servidor tanto Bitwarden como Vaultwarden, que aunque están muy emparentados, la instalación de uno y otro es bastante diferente.
|
etiquetas: bitwarden , vaultwarden , tutorial , contraseñas , servidor , linux
Gracias #0
eso de dejarle tu archivo de contraseñas maestro a una empresa para que lo suba en su nube... ¿Qué podría salir mal?
Consume una mierda y los datos los tengo yo.
Mi voto por aquí para VaultWarden, sin duda.
De momento una gozada, las contraseñas se almacenan y recuperan con un clic y si no desbloqueas la BD de contraseñas no hay acceso.
Añado: la BD de KeePassXC la tengo en mi propia nube (nextcloud) y sincronizada en todos los dispostivos.
Si es así, no me acaban de convencer los gestores que van por web (aunque estén bajo tu control). El navegador es un punto muy vulnerable por su superficie de ataque. Misma razón por la que no uso las extensiones de rellenado de contraseñas y solo uso el cliente nativo.
Yo uso Keepass con la misma bd en todas partes compartida dentro de onedrive
Donde trabajo trabajamos con empresas externas para todo. Los datos alojados en la nube, la inteligencia de negocio la lleva otro, otro proveedor envía sms, otro proveedor tiene nuestros datos de ventas y de clientes, otro proveedor guarda y envía la mensajería interna, otro almacena nuestros documentos, otro nos permite enviar y recibir emails de usuarios y clientes, el código de las aplicaciones está subido en la nube de otro proveedor...
Tener las contraseñas guardadas en un proveedor es tan seguro y tan crítico como usar cualquier otro proveedor para cualquier otro servicio y es obligatorio hacerlo si no quieres invertir millones de euros adicionales en hacer lo que otros ya hacen estupendamente bien
Nada que envidiar a los mas populares en funcionalidad y moderna interfaz , fuerte cifrado de la base de datos y posibilidad de guardarla en tu nube preferida para sincronizar entre dispositivos (repito que si no te fías de la seguridad de la nube da igual, el archivo va cifrado). Actualizaciones a buen ritmo, generador de contraseñas... Buen soporte (cuando lo he precisado me han respondido rápido)
No es mas famoso porque no pagan a los blogs de tecnología.
E IMPORTANTISIMO: Pagas solo una vez, es decir, COMPRAS el software, no te vaa sacando el dinero cada puto mes como ahora es la moda en las aplicaciones, ya no venderse como tales, sino alquilarse.
safe-in-cloud.com
Keepass y tal me mola, pero les falla la interfaz y facilidad de uso.
La inmensa mayoría de soluciones no cuestan millones de euros.
¿alguna "ventaja" mas?, lo entrecomillo porque que esté en C++ realmente me da igual si no me aporta nada.
A parte hay una extensión para navegador que permite auto completar los campos de usuario y contraseña de los formularios web, en relación a lo que hayas guardado en tu base de datos KBDX (para ello es importante rellenar el campo 'Sitio web' de la entrada con la URL principal o dominio de primer nivel de la web en cuestión).
PD: Si tenéis una YubiKey o alguna llave criptográfica similar se puede usar para proteger la base de datos.
(1) www.keepassx.org/news/index.html
El único problema que le veo es que lo tienes que actualizar tu y es otro código menos auditado a priori. Que técnicamente puede ser fácil pero tienes que estar encima.
Si tienes que pagar algo por hosting aunque sean 5€ ya sale a cuenta pagar los 10€ al año que vale. Y tenerlo en casa aunque sea abriendo puertos y demás... no lo veo tan ideal, atraes gente a tu red y si filtras ya tienes más incomodidades si vas fuera y necesitas acceder.
Por cierto, en efecto puedes probarlo porque es compatible con las bases de datos de todos los demás.
Sí confió en el autoescalado de aws, ¿por qué no confiar las contraseñas de este a otro servicio?
Naturalmente, tu pones tu confianza donde deseas.
Yo confío más en un sistema que yo mantengo, que en un sistema que mantiene otro.
Luego cada uno usaba su usuario personal, pero la gente de seguridad tenía un listado de personas autorizadas a pedir las contraseñas de la caja en caso de necesidad.
Y esas pass no estaban en ningún keepass, syspass ni nada similar.
Por cierto, que es importante tener un histórico de las contraseñas anteriores, con fecha de cambio, por si recuperas un backup antiguo que no tiene la pass actual, que sepas cuál tenía en ese momento.
Para evitar accesos no deseados limité la conexión solo desde la ip publica de mi trabajo, y como se puede utilizar en offline no hay problema.
Los clientes para todas las plataformas permiten apuntar a otro servidor, en este caso el tuyo propio, y te evitas estar con rollos de keepass en la nube y clientes medio decentes