Cloud Password Manager

Also es scheint in dem bereich zwei (mehr oder weniger) frei lizensierte produkte zu geben https://www.passbolt.com/ (PHP, AGPLv3) und https://bitwarden.com/ (C#, AGPLv3).

Beide haben so “premium” features bei denen nicht ganz klar is wie die sich das vorstellen wenn das zeug ja GPLv3 lizensiert is. Da gibts dann diesen netten paragraphen in der lizenz:

  1. Protecting Users’ Legal Rights From Anti-Circumvention Law.

No covered work shall be deemed part of an effective technological measure under any applicable law fulfilling obligations under article 11 of the WIPO copyright treaty adopted on 20 December 1996, or similar laws prohibiting or restricting circumvention of such measures.

[…]

vl. gehts halt wirklich nur darum die user ins zahlen zu nudgen, das wär ja soweit ok *shrug*

Zu bitwarden:

Laut install guide phone’t das ding ziemlich home, nicht sicher ob man das will:

Installation Id/Key

Each Bitwarden installation requires a unique installation id and installation key. The installation id and key is used to:

  1. Register your installation and contact email so that we can contact you in case of important security updates.
  2. Validate licensing of paid features.
  3. Authenticate to push relay servers for push notifications to Bitwarden client applications.

siehe auch https://help.bitwarden.com/article/licensing-on-premise/ wegen dem licensing zeug.

Z.b. hab ich das im server code gefunden:

https://github.com/bitwarden/server/blob/4a38713c4b82cca63e0f1e2b617193675150b8b6/src/Core/Models/TwoFactorProvider.cs#L44

        public static bool RequiresPremium(TwoFactorProviderType type)
        {
            switch(type)
            {
                case TwoFactorProviderType.Duo:
                case TwoFactorProviderType.YubiKey:
                case TwoFactorProviderType.U2f:
                    return true;
                default:
                    return false;
            }
        }

Also schaut irgendwie so aus als könnte man da dann theoretisch einfach die restriktionen rauspatchen :wink: Aber es kann auch sein dass du mit dem premium zeug noch irgendwleche API keys bekommst die die codebase dann irgendwo braucht. Müsste man einfach mal ausprobieren.

Zu passbolt

Die haben zumindest einen self-hosted paid-plan wo du zwar pro-monat zahlst und support bekommst aber trozdem die software anscheinend unter AGPLv3 is. Das fänd ich jetzt eigendlich ganz ok. Is halt in PHP geschreiben :roll_eyes:

Wenn ich das richtig seh haben sie zwei repos einmal passbolt_api und passbolt_pro_api (auf bitbucket statt github, wiso auch immer) letzteres is halt das was installiert wird wenn du ihren self-hosted install guides folgst:

Die history schaut ziemlich divergent aus aber im prinzip scheint das pro ding nur nen haufen plugins dazu zu hauen. Lizenz is bei beiden gleich AGPLv3 auch beim pro Bitbucket.

Im pro repo findet man einen pgp-pubkey mit dem sie den subscription key verifizieren:

https://bitbucket.org/passbolt_pro/passbolt_pro_api/src/master/plugins/Passbolt/License/config/license_public.key

Code dazu is im Bitbucket

Ich seh jetzt nicht was mich davon abhält den PGP signatur check einfach zu ignorieren, vorallem nicht die lizenz eben.

Ist Teampass (https://github.com/nilsteampassnet/TeamPass) bekannt/eine Möglichkeit?

thal

Haha, das war ja heut grad auf HN. Ich habs bis dahin noch nie gesehen und erlich gesagt mag ich mich jetzt grad ned durch noch ne PHP codebase graben :wink: aber wir könnens schon in die auswahl reinnehmen.

Ich nehme Bitwarden sein ein paar Jahren sehr erfolgreich her und hab’ auch schon an ein paar unserer Usern empfohlen. Die Firefox-Intergration funktioniert, es gibt eine Electron App und einen CLI Client.

Meine Erfahrung nach fast 2 Jahren: Das Ding tut ganz gut.

Vor der Evaluation möglicher Lösungen sollte die Anforderungsanalyse stehen. Aktuell haben wir ein geteiltes Passwortfile und einige Leute haben Passworte persönlich verwahrt. Ich sehe zwei Vorteile einer neuen Lösung:

  1. Bessere Gruppenfunktionalität. Das aktuelle Passwortfile ist “all or nothing”. Im einfachsten Fall könnte man das durch mehrere Passwortfiles lösen.
  2. Access logging. Es wird nachvollziehbar wem ein Passwort bekannt war. Wirklich sinnvoll wird das aber erst, wenn wir regelmäßig die Passworte ändern.
  3. Usability. Repo pullen, keepass starten, master-pw suchen, gewünschtes pw raussuchen, pw in den browser kopieren - ist noch nicht die perfekte UX. Je nerviger das ist, umso weniger werden Leute sich über Passwortänderungen freuen.

Wenn es nur um (1) geht, ist auch pass eine Option. Das kann verschiedene “Ordner” in einem Passwordfile für verschiedene User (openPGP-keys) zugänglich machen. Wenn man da Logging haben will, müsste man die File auf einen eigenen Host mit audit logs legen. Das macht die Nutzung aber etwas unpraktisch.

Ansonsten gibt’s da noch

  • KeeWeb - web GUI für KeePass files. Löst soweit ich weiß weder (1) noch (2).
  • Psono - wirbt mit “Team Support”, nicht getestet
  • Padloc - Hauptsache nicht php? :smiley:
  • Passman - Nextcloud plugin. Laut Thread-titel suchen wir eine “cloud” lösung. :wink:

Davon gibts auch eine Neuimplementierung in Rust:


(Original bitwarden ist c# - zumindest der server)
2 Likes

Hmm, zu neu für den rustc von einem Ubuntu1804 (1.36) - damit baut es nicht :frowning_face:

1 Like

Wäre nicht pass am besten? Sollte in Verbindung mit git am besten gehn weil für jeden Entry eine eigene Datei erstellt wird.

Edit: multi-pass gibts auch

Edit: multi-pass in go