|
Onaj prvi port fw prema NAS-u koji si napravio (#156) si na kraju obrisao ili je i dalje aktivan? Zasto njega samo ne usmjeris na IP tog novog servera umjesto prema NAS-u?
|
Napravio sam tako
|
Podesio sam Vaultwarden i stvar radi ok.
Jednu stvar bi još trebao napraviti, a ne znam od kud da krenem... Trebalo bi zabraniti pristup admin panelu izvan LANa |
Afaik, možeš ga ili upaliti ili ugasiti, barem sa strane vaultwardena. Nema puno opcija, ali jednom kad si sve složio možeš ga i ugasiti.
https://github.com/dani-garcia/vault...ing-admin-page Ja ga držim upaljenim. Domenu "vaultwarden.domena.com" držim normalno podešenu, a unutar nginx proxy managera (ne koristim caddy) imam opciju dodati custom lokaciju na istoj domeni. Tako sam dodao "/admin" lokaciju i usmjerio je prema nepostojećoj adresi u mreži pa baca error. https://i.ibb.co/4t9yLv6/11.png https://i.ibb.co/WcByBtG/22.png |
Može pls neki link po kojem si složio vaultwarden i NMP.
Pretpostavljam da treba nešto i za skinuti/obnoviti certifikate. Ne kužim ovaj caddy baš. Nije da sve ne radi, ali sigurnost na prvom mjestu EDIT: Uspio sam složiti vaultwarden i NPM i sve radi do trenutka kad pokušam blokirati u NPMu u Custom locations admin stranicu za pristup preko weba. Server ode offline i proradi tek kad obrišem postavke u Custom locations. |
Problem je sa zadnjom verzijom NPMa.
Instalirao sam verziju 2.10.4 i sad sve radi kako treba |
Pustio sam da dodjem doma i odgovorim ti na miru, a ti se vec snasao. Kod mene je v2.10.4. Kada radis te promjene, probaj koristiti force refresh na sajtu sa ctrl+f5.
Sad kad lijepo imas NPM, proguglaj si kako upaliti live-sync/websocket podrsku. U NPM-u to nije tesko za izvesti :) https://bitwarden.com/blog/live-sync/ EDIT: Sheram ti svoj compose fajl pa ga usporedi i poigraj se ako ti šta fali, ima jedan dio koji pali websocket podršku: https://pastebin.com/dg6cAJ8e U NPM-u otvori proxy host, pod details upali websocket support kvačicu. Odi na zadnji tab advanced i upiši sljedeće, pazi na razmake i sve to: Code:
location /notifications/hub {Port 3012 je websocket port i taj si vjerojatno pustio koji je. Promjeni ako si ga dirao. Save and close. Otvori VW sajt i logiraj se. Otvori developer konzolu (F12), klik na console tab i tamo bi trebao imati jednu liniju koja kaže: "Information: WebSocket connected to wss://tvoja.domena/notifications/hub?access_token=eyJ0eXAiOiJKV1QiL........." Bit će i nekih crvenih errora ali oni nisu bitni za ovo. Ovo će ti omogućiti push sinkronizaciju između web sajta, browser extenzija i desktop aplikacije. Tipa, kreiraš novi login i sejvaš, on je odmah vidljiv na web sajtu i u ostalim browserima. Nažalost live sync još ne radi na Androidima, ali tamo možeš podesiti da se refresha vault pri pokretanju aplikacije. Ono što slijedi nakon toga je push notifikacije - e to radi na mobilnim aplikacijama. To me još uvijek čeka da isprobam, nikako da se uhvatim toga: https://github.com/dani-garcia/vaultwarden/pull/3304 Ovo je jedan dobar izvor koji se redovito updejta, nema veze što je pisam za Synology, vrijedi pogledati tutorial i updejtove. Tu sam našao dosta info kako podesiti mail notifikacije i svašta nešto: https://www.synoforum.com/resources/...erver-image.3/ https://www.synoforum.com/resources/...mage.3/updates |
tnx
Sad sam skužio osnovno pa malo obratim pažnju na ovo što si napisao za fino podešavanje :respekt: |
Citiraj:
|
Koristi li netko Bitwarden u poslovne svrhe? Imam sljedeću situaciju:
- 2 organizacije - useri 1, 2, 3, 4 su dodani u organization 1, koriste teams plan - user 5 je dodan u organization 2, koristi teams plan - trebam nekakav sharing tako da useri 1, 2, 3, 4 vide sve u organization 2, ali da se ne plaća dupli seat u organization 2 za sve njih Ja ne vidim načina kako to izvesti, a kasnije ću trebati dodati još jednu organizaciju. |
mi ga koristimo poslovno al kao single organization. brzinskim guglanjem mi izbacilo da useri mogu bit u vise organizacija dodani. mozda mozes pozvat ovu prvu grupu usera u organization 2 i onda im sherat sve?
|
Ne mogu, odmah traži da platim dodatne seats, a oni već plaćaju u organization 1.
EDIT: Support odgovorio da to nije moguće i neka pošaljem feature request pa ako bude dovoljno zainteresiranih, implementirat će. Crkni, magarče, dok trava naraste. |
Passkeys su koliko dugo s nama?
Citiraj:
I moram se složiti s tom konstatacijom. Broj siteova koji ga podržavaju je mizeran i tamo gdje mi baš treba, ne radi s Bitwardenom. Znači Microsoft, Google, Kucoin, LinkedIn,... banana. Radi samo Crypto.com i GitHub i to polovično. |
Passkey za Bitwarden i par bitnih accounta tipa Google, posao... A sve ostalo lagano u Bitwardenu pass+TOTP
Mene tek ceka taj seks, cekam hw keyeve pa da vidimo koliko cu si zagorcati zivot. |
Imaš YubiKey ili kako? Jer ne znam kako drugačije složiti passkey za Bitwarden, neće ni preko drugog accounta, tipa da se u službeni prijavim s passkeyem u privatnom.
|
Updejtao post, sorry
Edit: ugl plan je 2 keya (Token2) i dva passkeya za Bitwarden i Google na njih. Edit2: sad sam procitao post sa linka, otprilike planiram koristiti kljuc kako je i ovaj predlozio u zskljucku. Ajd drago mi je da sam pohvatao teoriju |
Citiraj:
Mene je kod Passkeysa u startu odbila njihova upitna sigurnost. Kada imaš privatni key u sigurnosnoj enklavi to od tamo ne ide nikamo. But for the user convenience to mora raditi na svim uređajima i mora imati nekakav recovery. I tu dolazimo do problema... to ne može tako raditi jer tehnički moraš imati backdoor koji je naravno manje siguran. Security i covenience su dijametralne suprotnosti. Uz to sama činjenica da si ja ne mogu kod sebe fizički backupirati keychain na svoj medij ili neki drive me dovoljno odbija od korištenja. |
Taj dio i mene brine - recoverability ako dodje do apsolutnog krša.
Kod klasicnog 2FA logina s TOTP kodovima maltene je pravilo da imas neki recovery key ili kodove koje mozes pospremiti na sigurno mjesto. Trenutno imam pwd manager (Bitwarden) i TOTP-ove (Aegis). Nisam jos objedinio TOTP u Bitwarden jer me malo frka sva jaja staviti u jedan kos. Mozda i grijesim... Oba servisa mogu backupirati i to napravim ajmo reci jednom u mjesec-dva (zbilja rijetko nesto mijenjam na postojecim passwordima, a nove dosta rijetko dodajem). TOTP-ove jos rijedje diram. Backup radim na NAS, cloud i USB stick na drugoj lokaciji. Svako mjesec-dva updejtam sadrzaj USB sticka i kad odem kod matere samo zamjenim stick s novim. Nekakav worst case scenario - izgubim pristup TOTP-u i pwd manageru, sve mi doma izgori i zavrsim s novim mobom i kompom. Ako ne znam password od Bitwardena - nema mi spasa, been there, izgubljeno je sve. Ok, password pamtim, ali onda mi treba TOTP za uci. Bitwarden recovery key cuvam na dva mjesta - doma i kod roditelja. Ako oba mjesta izgore znaci da je izmedju nas nastala vatrena kugla promjera 15km i da smo svi mrtvi :D Jednom kad udjem u Bitwarden trebalo bi biti lako. Imam login na S3 cloud gdje mi je TOTP baza i mogu je importati u nove uredjaje. Imam passworde i TOTP u nekoliko koraka na novim uredjajima i vratio sam si digitalni zivot nazad. Ovaj tjedan bi trebao dobiti kljuceve i najvise od svega me zanima kako funkcionira recovery proces s njima i passkeyevima. Planiram na keyu imati samo passkey od Bitwardena i Googlea (i tako puta 2 za backup key), a dalje sve loginove hendlati kroz Bitwarden kao i do sada - bilo pwd+TOTP ili mozda preci na passkey gdje je podrzano, to jos nisam odlucio. Takodjer mislim da cu kompletno integrirati TOTP u Bitwarden, ali to ce biti druga etapa. Ako se scenario s kljucevima pokaze okej. Stavljanje samo ta dva passkeya na kljuc mi olaksava (odnosno eliminira) potrebu za daljnim odrzavanjem kljuceva i updejtanjem passkeyeva jer bi sve islo kroz Bitwarden. Jako puno sam razmisljao o tome i kako i sta i cijelo vrijeme imam filing da nesto propustam i da ce se pokazati kao flop. Tamo neka treca faza, ako se sve pokaze kao prakticno i korisno uzmem jos jedan key za zenu i posluzimo si kao medjusobni backup ako zatreba. Ona vjerojatno nece preci na to, tko zna, low hopes. |
Citiraj:
https://www.reddit.com/r/1Password/c...port_passkeys/ |
Pa Bitwarden je tu da omogući prenošenje na drugi uređaj i taj dio radi normalno, isprobao sam. Problem je što je za punu podršku potreban Android 14. Znači da ga mobitel kuži kao passkey providera. Kako sam ja na Android 10, taj dio otpada.
https://bitwarden.com/blog/bitwarden-passkeys-mobile/ Nadalje je problem što skoro nigdje nije podržan i što sam jako skeptičan oko sigurnosti, kako Medo kaže. Ne vidim kako za naprednog korisnika može biti sigurniji od kompliciranog passworda kad ti i dalje moraš imati password? To je više za ove koji lako nasjednu na phishing siteove odnosno ne gledaju gdje tipkaju credentiale. Nije da možeš reći e hoću isključivo passkey prijavu bez passworda, kao što možeš kod SSH-a. Passkey je samo alternativan način prijave. Ne znam, neka me netko razuvjeri, ali meni se čini nepotrebno i prekomplicirano za setup. Microsoft ne mogu nikako namjestiti jer ne podržava user passkey nego samo hardware key pa Bitwarden otpada. ZeroTier kao ima, ali ne radi, Github radi, ali nešto dugo traje login, Crypto.com se veže uz Google passkey i radi samo za app, ne i za CEX, opet otpada Bitwarden. Isprobat ću još kako radi KeePass, od prošle godine imaju podršku za passkey, rade i s hardware keyevima i navodno se sve može exportati. |
Može li brzinsko laičko objašnjenje šta je taj passkey ?
|
Ja sam na nekoj akciji bio piknuo 4 Yubikeya (2x USB-A i 2xUSB-C, svi sa NFC-om) i nadobudno složio USB-A (stoji piknut u komp) i USB-C koji mi je na privjesku za ključeve. Drugi par je u ladici podešen i kao eto, backup nekakav ako ovi riknu.
However, praksa je pokazala da kad se idem logirati u Google npr., i kad me traži da dodirnem key (koji mi je onako, ispod stola jer je tamo PC), radije odaberem opciju da mi pošalje potvrdu na mobitel i tamo se autoriziram. Isto tako, na Androidu (14) mi recimo ne radi generiranje passkeya u WhatsAppu sa BitWardenom - nisam istraživao detaljnije što i zašto, ali neće. Za sad - moj dojam je baš ovo navedeno u topicu - možda je na nekoj razini passkey dosta sigurnija stvar, ali dobra stara kombinacija sa password managerom, dobrim passwordima + TOTP radi 100% i nije *toliko* komplicirana da bi jedan fizički (ili mobilni) device toliko olakšao to. Plus naravno, dobra "higijena" i ponašnje na internetu - i ne bi smjelo biti problema :) |
Citiraj:
Tu sad imaš ili mobile varijantu - dakle, "nešto" se spremi na tvoj mobitel u security enklavu (specijalan čip eto dediciran za to) i onda kod sljedećeg logina u Google samo kažeš username, a sadržaj te enklave otključaš biometrijom (faceID, otisak prsta). Tu se izvrti neka matematika i puf - ulogiran si i Google je siguran da si to ti. Imaš i fizičke keyeve (yubico) koji se na isti način mogu aktivirati i služiti tome. Ako sam nešto krivo rekao - nek me ispravi netko :D |
I šta ako se sjebe nešto sa tim passkeyem, onda trebaju recovery keys?
|
Ako si vezao passkey za mob. a mob krepa, ostajes bez tog passkeya, ali ti ostaju backup opcije za login (ovisno o servisu): backup kodovi, backup hardverski key na sigurnom mjestu kojeg si prethodno slozio, vjerojatno ako imas slozen 2FA mozes i njega nastaviti koristiti.
Koliko sam shvatio, passkey nije forsiran kao jedini nacin logina, barem ne na servisima koji su meni od interesa. |
Kupio sam novi iPhone prije pola godine. Prilikom transfera podataka na novi telefon kod prijave novog telefona na Apple ID tražio me da prislonim svoj Yubikey na NFC prije nego prijavi novi uređaj i da utipkam PIN.
Drugim riječima bez hw ključa bad actor ne može ništa. Isto tako za FB, Google, LinkedIn, KeePass… Uvijek postoji mogućnost da izgubiš sve ključeve i zaključaš se zauvijek. Zato imaš najmanje dva ključa. iPhone baš zahtjeva da imaš dva ključa. Osim toga ključ koji ostaviš npr. starcima ili nekome također može koristiti taj netko za sebe. Bez tvog passworda ne može ništa. |
Meni se do sada za bitne stvari najbolja pokazala MFA, negdje znam lozinke pa samo generiram kod, a one koje ne znam (more poslovnih kobasica) uglavnom imam u nekom Pass Manageru, iako mi to zna napravit problem pošto je baza lokalna, a tu i tamo se nađem na drugom računalu i onda sam slijep i gluh... A nekako me strah držat bazu nekom cloudu ili nečem sličnom...
Ne znam samo ima li nekakva sinkronizacija baze BitWardena između tipa više računala ili mobitela pa da mi lozinke uvijek budu tamo gdje sam ja:D |
Vecina (ukljucujuci i Bitwarden) funkcionira kao cloud za passworde, a ti dodajes klijent appove gdje god zelis (browseri, uredjaji...). Caka je kod Bitwardena da ga mozes hostati i na svom hardveru tako da nemas veze s cloudom, ali sam odgovaras za sebe, nemas vise nikakve veze s Bitwardenom. Znaci trebas fully qualified domenu + certifikat (bez toga uopce ne radi), pa neki hardver, sve to jos jednom zastititi od zlih ociju i backupirati.
|
KeePass drži sve u jednom fileu kojeg može otvoriti više klijenata odjednom. Taj file može biti bilo gdje.
Postoje browser pluginovi za auto fill. Postoji SSH Pageant plugin za public key login… postoji hrpetina pluginova. |
tako koristim keepassxc. bazu sinkam skriptom na vise cloudova just in case. uz ovo sto je Medo nabrojao, radi i 2FA
|
Citiraj:
Citiraj:
|
Syncthing za sinkronizaciju KeePass baze na više uređaja i voljno.:)
|
Na kraju opet zavrsis sa par ekstra stvari za odrzavanje da bi imao "cloud" feeling, hmm...
Btw stigli keyevi, slazem pomalo sve od nule i seksam se s passkeyevima. Odustao sam iz prakticnih razloga od selfhostanja Bitwardena. Paralelno usporedio 1password i BW i na kraju ipak ostajem vjeran BW-u. https://i.imgur.com/a2DaI8J.jpeg Long story short, ovaj key ima PIN kojeg neki sajtovi traze, a neki ne. Evo primjera kako izgleda login proces na Google: Upisi usera, upisi pass, udaberi logiranje hardverskim keyem, ubaci kljuc u usb, upisi pin kljuca, takni kljuc, logiran si. Slicno je i na Androidu, dok dodjes do opcije NFC kljuca treba malo kliktati. Malo mixed feelings... Nije bas super prakticno to raditi svaki dan par puta dnevno. Na Androidu najbolje radi softverski passkey generiran od strane moba. Samo fingerprint i vozi dalje. Ukratko, hw key ce biti za emergency pristup core servisima na novim/nepoznatim uredjajima. Kroz Bitwarden cu podesiti sw passkeyeve ako su prakticno implementirani na tom sajtu. U suprotnom klasika, pwd+TOTP i cao. |
Citiraj:
|
Citiraj:
Sejvaš file na jednom kompu a ostali odmah dobiju obavijest da se baza promijenila čim KeePass prozor dobije fokus. Ako je drugi komp napravio neku promjenu ponudit će ti da merge-aš svoje s onim što je dodano. Koristimo to tako već godinama bez ikakvih skripti, syncova i nismo izgubili niti jedan pass. |
Kad su to implementirali? KeePass, KeePassDX i KeePassXC to nisu imali dok sam ih koristio do prije dvije godine. Događalo mi se već da skoro u istom trenutku napravim promjene na dva devicea i onda se nešto prepiše jer sync software ne zna što raditi u tom slučaju pa stariju verziju prepiše novijom, a zapravo su obje nove.
|
Citiraj:
Citiraj:
Znam da toga nije bilo davno kad sam gledao ili je možda bilo, ali mi je prošlo ispod radara... |
Ne vidim da se spominjao, već godinu dana koristim NordPass...
evo što za njega kaže AI :) NordPass is known for its strong security measures and has never been hacked1 . It uses xChaCha20 encryption and operates on a zero-knowledge architecture, meaning only you can access your data . Additionally, it has features like password health reports, secure password sharing, and email masking to enhance your security |
| Sva vremena su GMT +2. Sada je 13:14. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger