V minulom blogovom článku som ukázal ako si nainštalujeme webový manažér hesiel na vlastný hosting, ktorý je prístupný len v lokálnej sieti. Ako môžeme z vonka (WAN) bezpečne pristupovať do lokálnej siete sme si tiež ukázali. Ja zatiaľ používam manažér hesiel od spoločnosti google a postupne sa chcem zbaviť závislosti na tomto manažéri. Aj keď do teraz som nemal absolútne žiadny problém a google pass manager fungoval výborne, radšej si svoje heslá budem spravovať sám.
Obsah
- 2 Faktorová Autentifikácia (2FA)
- Webové rozšírenie
- Export a import
- Papa, google password manager
- Reálne použitie vaultwarden
- Zálohovanie a aktualizácia
- Záver
Kto si ešte vaulwarden nenainštaloval, tak tu je stručný návod s použitím dockera (resp. portainera). Predpokladám, že účet už máme vytvorený (so silným vstupným heslom) a môžeme sa pustiť do nastavovania.
2 Faktorová Autentifikácia (2FA)
Ihneď po prihlásení klikneme v hornej pravej časti na ikonu užívateľa a vyberieme Nastavenia účtu. V menu Zabezpečenie, prejdeme na kartu Dvojstupňové prihlásenie. Potom si vyberieme v čast Poskytovatelia Overovaciu aplikáciu a klikneme na Spravovať. Aplikácia nás požiada o zadanie hlavného hesla. Do mobilného telefónu stiahneme (ja konkrétne používam 2FAS) aplikaciu pre 2FA. Po nainštalovaní aplikácie do telefónu ťukneme v telefóne na + a naskenujeme QR kód z webu vaultwarden. Aplikácia v telefóne vygeneruje 6 miestny číselný kód, ktorý bude platný 30 sekúnd. Tento kód zadáme do vaultwarden webobej aplikácie. Ak overenie prebehne správne, tak vaultwarden oznámi, že overenie je Povolené a okno môžeme zavrieť. Potom klikneme na Zobraziť záchranný kód, kde znova zadáme hlavne heslo a bude nám vygenerovaný záchranný kód, ktorý vieme použiť ak by nám napr. zlyhala mobilná aplikácia, alebo by sme telefón stratili a pod. Tento kód si musíme zapísať a uložiť na bezpečné miesto.
2FA nie je povinná, ale zvyšuje bezpečnosť spôsobu prihlásenia. Ak nás 2FA obťažuje, jednoducho ju môžeme zrušiť tak, že vo vaulvarden klikneme na Spravovať Overovaciu aplikáciu (viď vyššie). Znova zadáme hlavné heslo a klikneme na vypnúť. Neodporúča sa však 2FA vypínať. Viac o zabezpečení účtu pomocou 2FA pozri tu.
Vo všeobecne je v nastaveniach účtu ku všetkým položkám výborný popis a môžeme si pozrieť, resp. nastaviť ďalšie možnosti ako núdzový prístup, predvoľby atď. Stačí len čítať a vyskúšať si ako čo funguje. Odporučil by som pozrieť aj dokumentáciu resp. wiki stránky Bitwarden. Je tam množstvo výbornej dokumentácie (vo všeobecnosti táto dokumentácia platí aj pre vaultwarden). Mám pocit, že pri tak kvalitne spracovanej dokumentácii je zbytočné opakovať sa v tomto návode a radšej sem nalinkujem odkazy ako som postupoval pri implementácii aplikácii.
Webové rozšírenie
Asi 95% prípadov, kde sa potrebujem autentifikovať tvoria webové služby. Na web používam takmer vždy webový prehliadač (v mojom prípade ide o Google Chrome). Čiže do webového prehliadača potrebujeme nainštalovať rozšírenie, ktoré nám uľahčí prihlasovanie a vytváranie nových účtov. Okrem rozšírení pre webove prehliadače je možné nainštalovať aj aplikácie pre desktopy, smartphony, príkazový riadok atď. Podporované sú najpoužívanejšie OS (MS windows, Linux, macOS). Viac info o rozšíreniach. Ja teda použijem plugin do webového prehliadača Google Chrome. Po pridaní rozšírenia si ho v prehliadači pripneme do panela rozšírení. Za ďalšie vypneme v prehliadači možnosť automatického prihlásenia a ponuku ukladania hesiel. To spravíme tak, že v prehliadači zadáme do url túto adresu
chrome://settings/passwordsa deaktivujeme položky, Ponúkať ukladanie hesiel a Automaticky prihlasovať. Viac sa dozvieme v tejto časti dokumentácie. Keďže náš trezor beží v self-hosting, tak webovému rozšíreniu musíme túto skutočnosť oznámiť (inak by sa pripájal na servery bitwarden). To spravíme týmto spôsobom. Cez webové rozšírenie sa môžeme do svojho trezoru prihlásiť, kde máme podobné možnosti ako vo webovej aplikácii (čiže v trezore).
Export a import
Teraz budeme exportovať heslá z prehliadača Google Chrome a importovať do vaultwarden trezora. Postupovať budeme podľa tohto návodu. Ako je jednoduché exportovať hesla (vo formáte csv) z google password managera, tak jednoduché je ich import do trezora vaultwarden.
Papa, google password manager
Ďalej potrebujeme z google password managera odstrániť všetky kontá cez ktoré sme boli zvyknutý prihlasovať sa do rôznych webových služieb. Prejdeme na túto stránku,
https://chrome.google.com/synckde klikneme na vymazať data. V inkriminovanej sekcii je tiež uvedené: Dáta v Chrome budú vymazané v účte google. Dáta vo Vaších zariadeniach zostanú nedotknuté. To znamená, že následne musíme prejsť na všetky zariadenia, ktoré sú synchronizované s naším účtom na google a heslá zmažeme na každom zariadení. Čiže prejdeme na túto adresu,
chrome://settings/clearBrowserData
kde si môžeme nastaviť, čo chceme vymazať. Tam prejdeme na kartu Rozšírené a zaškrtneme hlavne: Heslá a ďalšie prihlasovacie údaje, Dáta automatického dopĺňania formulárov (môžeme tiež zaškrtnúť, cookies a obrázky vo vyrovnávacej pamäti). Teraz máme všetky heslá (resp. účty) z google účtu a zariadení vymazané. Do google účtu sa môžeme prihlásiť a zapnúť synchronizáciu (viac info na google support).
Reálne použitie vaultwarden
Odporúčam Chrome reštartovať a následne sa prihlásime do webového rozšírenia bitwarden (toto heslo sa nikde neukladá, to si musíme pamätať). Keď chceme otestovať funkčnosť, tak sa skúsme prihlásiť napr. do domáceho wifi routera. Do url zadáme IP adresu routera a na ikone bitwarden (v panely rozšírení google chrome) by sme mali vidieť číslo koľko prihlasovacích údajov prislúcha pre túto IP adresu, resp. doménové meno.
Z obrázku je vidieť, že je tam číslo 1. Čiže ak v bitwarden rozšírení klikneme na tento účet, tak heslo by sa malo automaticky vyplniť a mi sa vieme prihlásiť do routera. Ak prihlásenie stále nefunguje, skúsme alternatívu ako je na obrázku (čiže cez pravý klik myšou).
Ak máme viac účtov napr. na google, tak na ikonke uvidíme číslo do koľkých účtov sa môžeme prihlásiť. Ak si všimneme následujúci obrázok, tak vidíme, že na ikone je číslo 9+. Čiže ak na jednej doméne bitwarden detekuje viac ako 9 účtov, tak ukáže max 9+ (ja ich mám zhodou okolnosti 29). Viac info v dokumentácii.
Počas testovania som zistil, že nie všetky údaje sa vyplnia automaticky. Tie ktoré sa nevyplnia, tak je potrebne zadať ručne. Zdá sa, že vaultwarden funguje celkom dobre a na pohodlie si treba zvyknúť.
Skúsil som aj aplikaciu pre Android, ale podľa dokumentácie je pre automatické vyplnenia potrebný min. Android 8. Z mojej strany som teda mohol vyskúšať ručné kopírovanie údajov priamo z trezora a to fungovalo dobre. Na Androide je možnosť prihlásiť sa do aplikácie pomocou biometrických údajov, čo značne zjednodušuje prihlásenie.
Ako som spomínal na začiatku, tak na manažovanie hesiel som vždy používal google password manager. Mal som tam uložené radovo stovky účtov a množstvo hesiel bolo veľmi slabých. Pri slabých heslách sa potenciálne zvyšuje riziko prelomenia hesla útočníkom. To znamená, že heslá je potrebné postupne (v slabo zabezpečenej službe) meniť. Ak v trezore prejdeme na reporty, tak zistíme ktoré hesla sú slabé, opakujúce sa atď. Tie heslá sa odporúča čím skôr zmeniť. Na diskusnom fóre je stručný návod ako postupovať pri zmene slabého hesla za silné heslo. Je to dosť pracne, ale za to si môžeme sami, že sme nepoužívali silnejšie hesla.
Zálohovanie a aktualizácia
Dôležité je nezabudnúť na zálohovanie . Podľa návodu je dôležité zálohovať sqlite3, config.json a rsa_key.pem (odporučil by som zálohovať celý dátový adresár). Konfiguračný json súbor a key.pem sú txt súbory a zálohu môžeme previesť akýmkoľvek spôsobom. Databázu zálohujeme takto:
sqlite3 data/db.sqlite3 ".backup '/path/to/backups/db-$(date '+%Y%m%d-%H%M').sqlite3'"
Keďže ja mám vyčlenený pre vaultwarden samostatný kontejner a celková veľkosť LXC je niečo cez 570 MB, tak som si zálohoval cely LXC. Pri mojom výpočtovom výkone bola záloha ukončená do 14 sekúnd.
Aktualizácia dockera je tiež pomerne jednoduchá. Aktuálne vydania vaultwarden nájdeme na githube. Akú ver. vaultwarden používame, nájdeme vo webovom trezore v pätičke stránky. Pridávam sem príkazy na aktualizáciu. Pozor na riadok 4. Parametre je potrebné nastaviť individuálne. Čiže ADMIN_TOKEN, dátový adresár a porty.
sudo docker pull vaultwarden/server:latest
sudo docker stop vaultwarden
sudo docker rm vaultwarden
sudo docker run -d --name vaultwarden --restart unless-stopped -e ADMIN_TOKEN=EIDH6BTm/wWrJQLNQ3**************************HOyGoXMQKygetWvjKhRM -v ~/vw-data/:/data/ -p 8022:80 vaultwarden/server:latest
Záver
To by bolo na úvod z mojej začiatočníckej práce s vaultwarden všetko. Vaultwarden má množstvo ďalších funkcií (manažovanie platobných kariet, vytváranie organizácii, zdieľanie účtov s inými užívateľmi, odosielanie šifrovaných súborov atď.), ktoré nevyužijem a o niektorých ani neviem. Zatiaľ som spokojný s hlavným účelom tejto aplikácie a to je manažovanie hesiel.