Euer Passwort Manager?

tomNeugier

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
97
Punkte für Reaktionen
9
Punkte
8
@tomNeugier Was genau willst du denn realisieren?

Habe deine Nachfrage heute erst gesehen.
Ein automatische, regelmäßige, zeitgesteuerte Sicherung meiner (verschlüsselten) Bitwarden Tresordaten in der Cloud.

Momentan sichere ich die Tresordaten (1.) per Hyper Backup intern auf einem zweiten NAS (täglich) und (2.) auf einer externen Festplatte monatlich. Ich möchte aber auch eine (3.) Sicherung außerhalb meiner Räume.
Das realisiere ich aktuell wöchentlich MANUELL durch Export der Tresordatei (.jason encrypted) auf einem (nochmals) verschlüsselten HiDrive Ordner (Strato). Das würde ich gern automatisieren.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das habe ich noch nicht probiert. Aber da bitwarden eine API hat, dürfte das nicht kompliziert sein. Ich probiers mal die Tage wenn ich Zeit habe.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das habe ich auch noch nicht versucht. Zumindest in der offiziellen API-Dokumentation (https://bitwarden.com/help/bitwarden-apis/) und bei einer Suche hab ich dazu nix gefunden. Hier (https://bitwarden.com/help/backup-on-premise/) steht aber, dass eine Sicherung der Verzeichnisse ausreicht.
Ich habe meinen Vaultwarden Container so aufgesetzt, dass er in eine MariaDB schreibt und von dieser Datenbank fahre ich automatisierte SQL-Dumps.
 

tomNeugier

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
97
Punkte für Reaktionen
9
Punkte
8
Ich finde hier unter "Vault contents you cannot export" -> "Three different export methods" -> "Password-encrypted export"
einen Hinweis, dazu das Bitwarden command-line interface (CLI) zu nutzen ... :unsure:

Nutzt das hier jemand?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Davon hab ich tatsächlich noch nicht gehört. Interessant. Vielleicht schaue ich mir das mal an. Hab mir gleich mal die Linux CLI auf den Server gelegt.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ich hab mir eben mal die CLI runtergeladen. Hast du Attachments im Tresor? Es werden nämlich keine Anhänge mit exportiert.
Wenn du dir ein Script schreiben willst dann guck dir das mal an https://github.com/ckabalan/bitwarden-attachment-exporter/blob/master/bw-export.sh
Ohne Anhänge nur bis Zeile 15 relevant. Wenn du Anhänge hast dann alles.....
Du musst nur vorher
Bash:
bw config server <server-url>
ausführen, damit deine Instanz verwendet wird und nicht Bitwarden.
Und dann noch anmelden:
Code:
bw login
Jetzt kannst du mit bw lock bzw. bw unlock den Tresor sperren oder entsperren.
Alles andere relevante kannst du im Script oben entnehmen.
Ist eigentlich ziemlich simpel das als automatisches Script laufen zu lassen.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Dass da keine Attachments exportiert werden, hatte ich gelesen. Ich hab aber auch keine :)
Ja genau das mit config und login hatte ich überflogen. Alles Weitere aber noch nicht. Wär aber schon cool, noch nen Export zu automatisieren. Wenn auch nur als zusätzliche Sicherheitssschicht. Ich hab schon geplant, die Tage mal drüberzuschauen
 

tomNeugier

Benutzer
Mitglied seit
16. Feb 2019
Beiträge
97
Punkte für Reaktionen
9
Punkte
8

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das würde dann ja so in etwa reichen:
Code:
 export BW_SESSION=$(bw unlock --raw)
 bw sync --session $BW_SESSION
 bw export --output ./export.json --format encrypted_json --session $BW_SESSION --password $(curl <keyfile-url>)

Das würde folgendes machen:
1. Tresor entsperren und sich die Session ID speichern
2. Tresor nochmal synchronisieren
3. Ein JSON Export erstellen das mit einem PW geschützt ist. Damit das Passwort nicht hard gecoded im Script, würde ich es auslagern auf etwas, was nur intern per HTTP erreichbar ist. Dann kann niemand was mit dem JSON Anfangen und das Passwort ist nicht ersichtlich. Wenn man das --password weg lässt, dann werden die Einträge mit dem Encryption Key vom User verschlüsselt. Nachteil: Du kannst es bei keinem anderen Account (z.B. neu aufsetzen) importieren. Bei der Variante fragt er nach einem Passwort und es kann bei jedem User importiert werden. Es gibt noch als --format die Möglichkeit json oder CSV zu nutzen, aber das ist dann Klartext. Ob man das so sichern will, weiß ich nicht.....
Danach müsste man die Datei ja nur normal Backupen womit man seine Backups halt macht....
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das das Passwort für die exportierte Datei nicht im Script steht, ist mit Sicherheit sinnvoll, aber bei "bwlogin" steht ja das Master-Passwort drinne oder machst du das mit einem API-Key?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
--session $BW_SESSION
Aber im Script steht doch als Kommentar, dass das hier nicht geht: # bw export does not seem to accept the --session parameter, so you have to enter your password here again
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Hmm ja ansonsten per API Key einloggen und danach wieder ausloggen. API Key kann man ja auch wieder holen.
Ich musste das Passwort nicht noch mal eintippen. Das ging bei mir durch. Aber ich habe das nur direkt auf der Shell probiert.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Wegen dem Unlock:
Ich hab gerade das hier gelesen: https://bitwarden.com/help/cli/#unlock
Code:
bw unlock --passwordenv BW_PASSWORD
bw unlock --passwordfile ~/Users/Me/Documents/mp.txt
Man kann also das PW in einer ENV Variable setzen oder in eine Datei schreiben.
Man kann wohl auch EVNs setzen für die API Logins. Dann hat man immerhin nicht das Passwort da liegen. Aber leider geht laut https://bitwarden.com/help/personal-api-key/ nicht, dass man die Daten auslagert.....

Ich glaube ich befasse mich damit nicht weiter, weil ich sichere eh Vaultwarden stündlich auf eine andere Instanz + es wird auch ein DB Dump erstellt und es wird auch täglich gebackupt.... Das sollte reichen :)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja, reichen wird es. So mache ich das ja auch. Einfach, weil es mich interessiert, werde ich mich dennoch damit befassen :)
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.348
Punkte für Reaktionen
571
Punkte
184
Vollzug kann gemeldet werden.
Meine beiden LastPass Vaults/Accounts (einmal der mobile Geräte und PC der andere) sind gelöscht. Dazu jeweils eingeloggt und jeden Eintrag einzeln gelöscht, das auch nix übrig bleibt. Kontaktdaten, sofern drin, ebenfalls raus/gelöscht, sofern machbar.
Am Ende mit doppelter Abfrage und 3facher Eingabe des Masterpasses Account gelöscht. umgehend Mail erhalten das "Lastpass Account deleted".
Isch haben fertisch:)
 
  • Like
Reaktionen: Kachelkaiser


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat