Topic: Privatsphäre und IT-Sicherheit - page 2. (Read 850 times)

Danke für die Einordnung!

Bedeutet für mich:
- Yubikey würde bei Keepass im "statischen" Passwortmodus laufen, d.h. die "Eingaben" könnten von einem Software Keylogger mitgeplottet werden.
-Der Ledger als Security Key wird statische Passworteingaben wohl gar nicht erst unterstützen, fällt also raus.
-Und die USB-Armory als GoKey scheint ähnlich wie Yubikey sowohl statische als auch dynamische Passwörter unterstützen, stünde aber bei "eintippen" vor dem selben Problem.

Welche alternativen gibt es? Verschlüsselte Datei öffnen in der das Passwort steht und dann Copy+Paste?  Wenn man Keepass ohnehin in der mobilen Version auf einem USB Stick hat wäre das ja vielleicht eine Alternative. Dann wird der USB-Stick verschlüsselt, das statische Passwort zum Entschlüsseln mittels HID eingegeben (oder die Schlüsseldatei von VeraCrypt auf dem YubiKey gespeichert), aber das eigentliche Passwort für Keepass liegt in einer Datei auf dem Stick und wird dann kopiert und nicht getippt.
Trotz Keylogger bräuchte man dann immer noch physischen Zugriff, oder?

Oder ist das aus anderen Gründen wieder eine ganz dumme Idee?   

Ich selbst habe (noch) keinen Yubikey, habe mich mit den Dingern aber ein wenig beschäftigt. Yubikey ist nicht nur 2FA, sondern unterstützt mehrere Authentifizierungsprotokolle und -applikationen. Das technische Manual ist mitunter ziemlich technisch und weniger für Laien geschrieben.

Üblicherweise kann ein Yubikey folgende Authentifizierungsverfahren unterstützen:

• FIDO2
• FIDO U2F
• OATH
• OpenPGP
• OTP
• Smart Card (PIV Compatible)
• YubiHSM Auth

Ich kann nicht sagen, daß ich alle Verfahren so gut verstehe, daß ich die locker erklären könnte. Da könntest du selbst recherchieren oder jemand anderes macht besser den Erklärbär. HOTP (zähler-basiert) und TOTP (zeit-basiert) als 2FA kann ich gut genug. Aber Details sind jetzt vielleicht nicht so wichtig. Entscheidend ist, daß ein Yubikey (und andere ähnliche Produkte) verschiedene Verfahren unterstützen.

Beim statischen Passwort kann der Yubikey ein komplexes Passwort "tippen", wobei er sich als HID-Tastatur am USB-Port ausgibt. Das hast du ja schon selbst erwähnt. Sehr praktisch z.B. als "Masterpasswort" für andere Passwort-Manager, die durch einen Yubikey "aufgeschlossen" werden.

Bei HMAC-SHA1 Challenge-Response liefert eine Applikation dem Yubikey eine Challenge und erwartet vom Yubikey eine daraus deterministisch verarbeitete Antwort, die auf kryptografischen Verfahren beruht. Die Applikation kennt natürlich die erwartete Antwort auf eine Challenge, in deren deterministischer Verarbeitung letztlich ein gemeinsames Geheimnis steckt. Der Yubikey verwahrt hier sicher das Geheimnis und stellt damit eine Authentifizierung durch Besitz des verarbeitenden Yubikeys her.

Einige andere Verfahren sind auch sehr spannend, weil es im Grunde Richtung passwortlose Anmeldung geht, aber da habe ich noch zuviel Halbwissen und möchte mich da nicht mit falschen Federn schmücken. Ich lass' das mal so stehen, weil es sonst auszuufern droht.
 

Ich hätte da mal wieder ein paar Fachfragen an die Technik-Experten unter euch:

Heute geht es um Hardware Security Keys wie z.B. den YubiKey.

YubiKey selbst kannte ich bisher als zweiten Faktor beim 2FA.
In Verbindung mit KeePass habe ich hier gelesen, dass der ein USB Keyboard (HID) simuliert und dann ein sehr starkes (statisches) Masterpasswort (bei Keepass) eingibt. Ich dachte normalerweise sind beim 2FA eher dynamische Passwörter die Regel, die alle 60 Sekunden wechseln, das scheint zumindest auch beim Yubikey bei anderen Anwendungsfällen so zu sein.
Ich bin ein wenig irritiert und habe mich einerseits gefragt ob man dann auch andere HID USB Geräte nutzen kann und andererseits ob solche "Eingaben" theoretisch dann auch mittels (Software-)Keyloggern abgefangen werden können.

Außerdem bin ich hier im Forum auf den Faden [Howto] Use Ledger Nano as Security Key gestoßen. Da ich mir schwer vorstellen kann, dass ein Ledger als USB Tastatur fungiert, frage ich mich ob hier ein grundsätzlich anderes Verfahren für die Authentifizierung vorliegt. Wenn der Seed quasi das "Passwort" ist und niemals den Chip vom den Ledger verlässt (ok, gut, vielleicht ist ledger da ein schlechtes Beispiel), dann dürfte dieser Weg ja unanfällig gegenüber Keyloggern sein, oder?

Um die Verwirrung perfekt zu machen bin ich schließlich auf ein Projekt in Verbindung mit der USB Armory gestoßen, die ja auch als HID-Gerät genutzt werden kann. Das Projekt GoKey scheint auch sowas wie ein super sicherer Hardware Security Keys bzw. USB Smartcard zu sein, allerdings war das alles so technisch, dass ich da gar nichts mehr gerafft habe und auch nicht verstanden habe welche Unterschiede das so sicher machen sollen.

Ich würde mich freuen, wenn ich hier wieder etwas Schwarmwissen abzapfen dürfte und mich jemand erleuchtet.
 

So, nochmal ein kurzes Update:

Mullvad VPN bzw. den Browser hab ich in Tails OS nicht zum laufen bekommen, falls da noch jemand Tipps und/oder Hinweise hat, habe ich dafür einen separaten Hilfe Faden:
https://bitcointalksearch.org/topic/m.62818155

---

Tails selber habe ich dann auf mittels USB-Adapter auf eine Micro-SD geklont, das hat auch wunderbar funktionier. Ich persönlich mag SD karten lieber verwalten als USB Sticks, weil es dafür wieder so schöne Etuis im Kreditkartenformat gibt (z.B. mit Steckplätzen für 10 Micro-SD).

---

Um mein kleines Experiment fortzuführen habe ich wieder zurück auf Windows gewechselt.
- Mullvad VPN + Browser ließ sich sehr einfach installieren und bedienen und so auf Seiten zugreifen, die vorher bei Tor blockiert waren
- Kraken z.b. habe ich einen Non-KYC account erstellt mit dem man zumindest crypto-crypto hätte traden können
- die Joker Mastercard hat sich als KYC-Prepaid-Kreditkarte herausgestellt, man konnte sich zwar mit fiktiven Daten registrieren, freigeschaltet würde sie aber erst nach Video-Ident, was ich dann nicht mehr gemacht habe
-dementsprechend haben sich auch die Versuche bei Tradingview und Paypal erübrigt, weil man dafür die Kreditkartendaten gebraucht hätte 
- hinsichtlich der Sim frage ich mich immernoch, ob man da ggf. ein Smartphone durch einen Surfstick ersetzen kann und wie es sich dann mit der IMEI verhält (zieht der Mobilfunkanbieter die Meta-Daten vom Surfstick oder vom Rechner?)

Insgesamt endlich mal bissl mit Tails rumgespielt und einiges auprobiert. Auch wenn die Ergebnisbilanz eher durchwachsen ist, findet der ein oder Andere ja vielleicht dennoch hilfreiche Ansätze.

Können wir vielleicht mal kurz die Vor- und Nachteile von echter Sim vs. virtueller Sim abwägen, weil ich mir da gerade echt unschlüssig bin....

- virtuelle Sim ist leichter zu beschaffen als ne Non-KYC Sim in Deutschland
- außerdem braucht man keine Hardware, kann also alles über den Rechner laufen lassen und braucht nur die IP schützen (was man ja ohnehin machen müsste)
- echte Sim ist dafür wahrscheinlich langlebiger und nicht von so "temporärem" Charakter
- echte Sim wäre theoretisch über das Mobilfunknetz (grob) zu orten, solange das Handy nicht aus oder im Flugmodus ist
- wenn man das Handy vorher schonmal mit einer KYC-Sim genutzt hat sind die Daten über die IMEI auch der Non-KYC Sim zuzuordnen, man braucht also auch ein Non-NYC Handy
- bei Mobilfunkanbietern hätte ich irgendwie das Gefühl, dass die "seriöser" sind als Anbieter von Wegwerf SMS Nummern, theoretisch könnten aber beide Drittdienste die Telefonnummer missbrauchen um Zugriff auf die damit verbundenen Accounts zu bekommen, oder? (das schreckt mich bei virtuellen Sim irgendwie am meisten ab)  

Welche Argumente hab ich bei der Abwägungen hier noch vergessen?
Edit: kann man die wesentliche Vorteile beider Varianten ggf. durch Verwendung eines Surfsticks bekommen?

Für Neulinge was Tails angeht hab ich heute übrigens eine sehr anfängerfreundliche Anleitung für Journalisten = Nicht-ITler gefunden (allerdings nur auf englisch):
https://www.youtube.com/watch?v=-f6cgUKBUXg

Daneben gibts auch Crashkurse für Harware Verschlüsselung und Mail Verschlüsselung mit PGP, die schaue ich mir dann im anschluss gleich an...

Meine ersten Versuche mit Linux waren mit Sicherheit holpriger. Da gab es noch 5-6 CD´s und die Partitionierung war schon eine Herausforderung.
Kein Vergleich zu heute wo es au mas Anleitungen im Netz gibt oder gleich fertige Appliance / Vorlagen.

Also Kopf hoch das wird schon 

Ich habe TailsOS ehrlich gesagt noch nie verwendet, da es aber auf Debian basiert sollte man die Pakete "ganz normal" installieren können. Mullvad bietet dazu auch eine eigene Applikation an, die Anleitung, wie man das Ganze installiert, findest du hier: https://mullvad.net/de/help/install-mullvad-app-linux/
Sieht jetzt auf den ersten Blick doch recht einfach zu bedienen aus!

---

Ich hatte damals mehrere Telegram-Accounts und diese auch mit echten Rufnummern hinterlegt. Habe mir dazu "Wegwerfrufnummern" gekauft die im Prinzip über eine Webseite nur die eingehenden SMS auflisten. Das hat für die Verifizierung der Telegram-Registrierung vollkommen ausgereicht. Ein mir bekannter Anbieter ist bspw. https://onlinesim.io/, ob die aber noch mit Telegram und co. funktionieren weiß ich ehrlich gesagt nicht!

Mein TAILS-Stick habe ich beim Einrichten schon mit persistentem Speicher konfiguriert, eine eigene und sinnvollerweise auch verschlüsselte und mit Passphrase gesicherte Partition auf dem Stick. Auf diese persistente Partition habe ich z.B. ein aktuelles Electrum als AppImage drauf, was sehr praktisch ist, da AppImage-Applikationen alles mitbringen, was sie zur Laufzeit benötigen.

Auf der persistenten Partition kann und muss man dann alles unterbringen, was einen Reboot überstehen soll, ansonsten vergisst ja TAILS bewusst alles, was ja auch eine gewollte Eigenschaft von TAILS ist.

Danke für die Rückmeldungen, dann werde ich mich wohl mal damit befassen wie ich den persistenten Speicher einrichte und die Pakete von Bisq und dem Mullvad Browser installiert bekomme.
Also wenn ich für Mullvad auch noch ne gute Anleitung parat habt (möglichst anfängertauglich) dann immer her damit.

Kurze Rückfrage zu lnvpn:
So wie ich das verstehe läuft das so ab:
Ich gebe Land+Service an, bezahle (wobei ich jetzt noch keine Ahnung habe wie das mit Lightning gehen würde) und die generieren dann eine Nummer. Die Nummer gebe ich dann beim Dienst (z.B. Telegram) ein und lass mir den Freigabecode schicken. Der kommt dann an die Nummer auf die nur lnvpn zugriff hat und die zeigen mir den Code dann wiederum an.

Klingt für mich schnell und komfortabel, aber was ist bei diensten die nicht in der Liste stehen? Da brauche ich ja dann trotzdem noch eine andere Lösung. Und was ist mit Nummern die ich länger brauche, bleiben die erhalten (z.B. jedesmal beim Verbinden mit Telegram Web)?  
Wäre lnvpn dann eigentlich ein "man in the middle" (was ja auch nicht überall unkritisch wäre)?!

Tja, da hab ich mich wohl als absoluter Linux-Anfänger geouted.
Deswegen würde ich wohl auch noch ne ganze Weile brauchen, ehe ich sowas mal auf die Beine bekäme:

Zur non-KYC Sim wäre vllt ne "one-time-wegwerf-Nummer" ne Alternative,
is vermutlich ein wenig teurer, aber man brauch nichmal ein Handy.
Gibts zB hier für $0.77, zahlbar in LN-Sats.
Hab ich zwar nochnich ausprobiert, aber sowohl Germany alsauch Telegram stehen in der Liste, könnte also funktionieren.


Bei Mullvad könnte man noch den Router/die FW direkt konfigurieren, geht natürlich nur daheim, wo man das auch kann und is unterwegs keine Option.
Da wird man um persistenten Speicher auf dem Tails-Stick wohl nicht herumkommen, um da dann entweder die App, oder den Mullvad Browser zu installieren (oder beides, wenn man besonders paranoid is).

Tails ist Debian.

Mach mal n Terminal auf und schreib
dann siehstes selbst. 

Hallo Turbartuluk,
vielen Dank für Deinen Exkurs zum Thema Privatsphäre  
Was die Installation von Paketen in TailsOS angeht wirst Du wohl um persistenten Speicher nicht rund rum kommen.
Auf folgender Website findest Du eine Anleitung für Bisq.

https://bisq.wiki/Running_Bisq_on_Tails

Ich glaube sowas wäre auch mal ein Projekt für mich.
Ich hatte vor einiger Zeit mal einen Pentest Stick/Platte mit Kali und LUK´s verschlüsseltem persistenten Speicher gebastelt.

Zum Zwecke der persönlichen Weiterbildung habe ich die letzten Tage mal ein kleines Privatsphäre-Experiment gestartet.

Beim letzten mal hatte ich mich mittels Non-NYC Sim von Blau und einem gebraucht gekauften Samsung Galaxy S4 testweise bei diversen Diensten und Messengern angemeldet. Darauf wollte ich aufbauen.

Diesmal wollte ich noch einen Schritt weiter gehen und dabei so viele verschiedene Services mit Kryptobezug ausprobieren wie möglich, alle Onlinedienste sollten dabei Non-KYC genutzt werden, was folgende Voraussetzungen erforderte

1. Alles sollte über TailsOS laufen um auf dem Laptop / der Festplatte keine Spuren zu hinterlassen
2. Mail musste anonym sein (war das kleinste Problem)
3. Telefonnummer sollte Non-KYC sein, also weder über die Sim noch das Handy (Stichwort: IMEI) mit der Identität verknüpft werden können
4. Kostenpflichtige Onlinedienste sollte mit Monero oder Prepaid Kreditkarte bezahlt werden
5. Sofern Online-Services über Tor blockiert werden sollten diese zumindest über VPN laufen, um die eigenen IP nicht preiszugeben

Zur Vorbereitung hab ich mir dazu folgende Utensilien beschafft:

Wegwerf-Handy für 20€ ausm MediaMarkt
Blau Sim für 10€ und Joker Mastercard für 7€ vom roten Netto.
64GB USB Stick ~3€ (und optional Simmelalbum je 10€) von Amazon.  

Los geht's:
- den USB Stick hab ich vorab schonmal mit TailsOS vorbereitet: https://tails.net/index.de.html
- TailsOS gestartet, WLAN verbunden, Tor gestartet, lief alles problemlos  
- als nächstes ProtonMail-Adresse eingerichtet, Telefonnummer zur Wiederherstellung hinterlegt
- Wiederherstellung getestet und siehe da, die Blau Sim von Netto muss vor Nutzung erstmal mit KCY registriert werden, ist also scheinbar konform mit deutschen Regularien... hier musste ich also leider auf die Blau Sim vom Handybasar zurückgreifen die ich noch hatte... schade, sich beim Netto Nachschub besorgen zu können hätte einen gewissen charme gehabt!
- Nächste Enttäuschung kam promt beim Versuch sich bei Telegram anzumelden: um Telegram web über den Rechner nutzen zu können muss zunächst der Code an die TelegramApp auf dem Handy geschickt werden, doof wenn das dafür nicht geeignet ist... In Sachen Handy+Telefonnummer war das Experiment also schonmal ein Fehlschlag, hier musste die alte Lösung mit dem gebrauchten Galaxy S4 und der Blau Sim vom Handybasar herhalten.
- nächstes Thema war bezahlen mit XMR, mit der Mail habe ich einen neuen Alias bei LocalMonero angelegt. Zum Aufladen sollte bei Tails eine XMR Wallet erstellt werden über welche die XMR Transaktion laufen sollte. Aber siehe da, offenbar hat Tails gar keine XMR wallet mehr vorinstalliert, ich hab jedenfalls nur die Elektrum BTC Wallet gefunden. Naja sei es drum, dann musste localMonero halt als wallet herhalten. Da die Coins später eh nicht wieder zurück geschickt werden, wurden diese direkt von der KCY-Börse überwiesen.
- Auf der Liste standen noch Kraken, Tradingview, Paypal und für letzteres die Joker Mastercard als Bezahloption-> da die alle bei Tor Probleme machen musste als nächstes eine VPN her -> kurzerhand 1 Monat Mullvad VPN geordert und per XMR bezahlt, aber wie bringe ich das jetzt bitte in Tails zum laufen?!
-> kann man in tails irgendwie unkompliziert VPN über den TorBrowser einstellen oder muss man mullvad installieren? Für zusätzliche Installationen ist Tails ja nicht unbedingt gedacht, und die Linux installer sind für ubuntu, debian oder fedora, weshalb ich mich frage ob ich hier auf dem Irrweg bin?!
- dann wollte ich noch Bisq ausprobieren, aber hier stellt sich das gleiche Problem einer offenbar notwendigen Installation

Aktuell ist mein kleines Experiment also etwas ins stocken geraten, weshalb ich wieder die Schwarmintelligenz anzapfen und die kluge Community um Unterstützung bitten möchte.

Bitte teilt euer Wissen mit mir.
Für jede Form der Vereinfachung / Verbesserung oder auch alternative Wege die Privatsphäre besser zu schützen bin ich dankbar.
Und seid gnädig mit mir, wir sind hier schließlich im Bereich Anfänger und Hilfe...  

Ich finde empfindliche Strafen für Datenschutz-Verstöße besonders der schlimmen Sorten gut. Auch wenn das Konzept diskussionswürdig sein mag, Fortschritt durch Strafe zu erzielen. Es funktioniert bei kommerziellen Firmen offenbar meist nicht anders.

Stand der Technik ist, niemals Passwörter für Authorisierung im Klartext zu speichern, weil dies nicht notwendig ist und komplett falsch wäre. Wir sollten das wissen und Firmen, die Irgendetwas anbieten, sollten es auch und vorallem auch entsprechend umsetzen. Man kann dann immer noch zu schwache Hash-Algorithmen nehmen oder ohne "Salt" arbeiten.

Einen Anbieter, der heute noch solche elementaren Fehler macht, sollte und muss man zurücklassen, wirklich konsequent weg von sowas. Vielleicht sollte man auch mit der Auswahl von Anbietern für bestimmte Services sorgfältiger sein. Es gibt ja Mail-Anbieter, z.B. Proton Mail u.a., die sich viel Gedanken um ein sicheres Setup und Datenschutz machen. Hier muss ich als Endanwender der Firma auch einen Vertrauensvorschuss geben, da man in der Regel nicht alles selbst prüfen kann. Aber solche Firmen verkaufen und haben dann eine Reputation, die sie nicht verlieren wollen. Sowas kostet dann auch mal etwas.

Da hast Du natürlich Recht. Aber um die Fälle geht es mir auch nicht, vielleicht muss ich meinen Satz da erheblich präzisieren. Du sagst es ja eigentlich auch selber schon: es gibt Orte, wo man nicht Herr der eigenen Sicherheit ist. Für mich stellt dieser Ort mein privater Mailaccount dar, den ich für manche schützenswerte Dienste bzw. Korrespondenz nutze. Hast Du 2FA, genügt das allenfalls auch. Wenn aber nicht, dann würde ich einen PW Wechsel ab und zu anraten (oder allenfalls zu einem Anbieter wechseln, der 2FA anbietet). Ich halte Dir da wiederum entgegen, dass ich in dem Falle ein wechselndes PW für wichtiger erachte als die Komplexität. Es kommen leider immer wieder Fälle zu Tage, wo Daten gestohlen wurden mit PW's in Klartext - manchmal liegt das Jahre zurück. Ein Mitarbeiter von mir hat das erlebt. Da spielt die Komplexität keine Rolle mehr. Das ist der Grund, warum ich gerade dieses PW regelmässig (z.B. jedes Jahr mal) ändere. Bei Logins auf Geräte oder ähnlichem werden keine Passwörter in Klartext gespeichert, soviel Vertrauen habe ich dann auch noch. Für die Fälle reicht es aus, eine gewisse Komplexität einzuhalten.

Trotzdem auf ausreichend lange und "gute" Passwörter achten, besonders bei denen, die man noch braucht, bevor ein Passwort-Manager aktiv ist bzw. assistieren kann. 12 Zeichen, besser ab 14 sollten mittlerweile das untere Minimum sein.

Ansonsten möchte ich dir aus eigener Erfahrung beim Thema "Passwörter regelmäßig ändern" gerne widersprechen. Gute und lange Passwörter braucht man eigentlich nicht zu ändern, außer man muss sie in Umgebungen einsetzen, deren Sicherheit man nicht kontrollieren kann. Ich habe jahrelang unter so 'nem Firmen-Schwachsinn wie erzwungene Passwortwechsel alle 60 oder 90 Tage gelitten. In vermutlich 99% der Fälle führt das zu unsichereren Passwörtern, weil Fragmente des Passworts konstant bleiben und nur noch eine Zahlenkombi hochgezählt wird, außer die Admins sind besonders sadistisch und erzwingen weitreichendere notwendige Änderungen von alt zu neu.

So'n Blödsinn empfiehlt auch nicht mal mehr das BSI, auf das ich aber auch eh nicht soviel geben würde. Nur meine unmaßgebliche Meinung aus der IT-Praxis.

Sehr viele Inputs sind bereits eingeflossen, trotzdem noch ein paar Ansätze von mir - ich hoffe, keine Doppelposts.

• Es gibt Umstände, wo man trotz allem mehrere Logins offline braucht (z.B. Logins in Passwortmanager, Logins in PC's): eventuell mag eine Passwortregel helfen
• Passwörter regelmässig ändern, bzw. nicht verwendete Konten löschen (ist aber nicht immer klar, ob zweiteres was bringt)
• Aus meiner Sicht zentral: Private Mailaccounts regelmässig prüfen. Auch wenn man ihnen vertraut: Firmen werden regelmässig gehackt und das ganze kann im dümmsten Fall zu Identitätsdiebstahl führen. Bei Unregelmässigkeiten PW sofort ändern.
• Wichtige Dinge nicht irgendwo machen. (das muss ich mir selber auf die Fahne schreiben)
• auf unnötige Handyapps verzichten. Das Beispiel sagt eigentlich alles: Manche - wenn nicht alle - Bank- und Kreditkartenapps müssen auf Android immer noch via "Playstore" runtergeladen werden.   Auch da gilt: Nicht alles muss überall gemacht werden können.
• aus eigener Erfahrung: Bekannte Links nicht in Suchmaschinen suchen, sondern speichern und darüber aufrufen. Suchmaschinen nehmen sehr gerne auch Scamseiten auf und zeigen sie an der Stelle an, wo davor die wirkliche Seite war.
• Mein Liebling: Bargeld statt Karte.

Grundsätzlich: Betriebssysteme sind Feindesland. Tönt nach Aluhut. Damit ist aber nur gemeint, dass man sich wirklich schützen sollte. Die meisten Betriebssysteme kommen aus Ländern, die die Privatsphäre mit Füssen treten.

KeePass - https://keepass.info/ - ist für mich irgendwie das Original und kenne es auch nur für Windows (läuft auch unter Wine), etwas altbackene Oberfläche, dafür aber funktional und verständlich. Ich brauche da kein Chichi.

KeePassX - https://www.keepassx.org/ - habe ich mir nie wirklich angesehen, da es seit längerer Zeit nicht weiter entwickelt wird. War mal ein Port auf unixoide Systeme, hieß wohl früher KeePass/L (für Linux), wurde dann aber zu KeePassX umbenannt, nachdem es "cross-platform" wurde.

Die Weiterentwicklung von KeePassX ist dann KeePassXC - https://keepassxc.org/ - das du auf Windows, Linux und macOS benutzen kannst.

Inwiefern z.B. die Datenbanken von KeePass und KeePassXC zueinander kompatibel sind, muss ich auch erst noch im Detail herausfinden. Auf meinem Android habe ich Keepass2Android, das zumindest bisher keine Schwierigkeiten hatte, KBDX Dateien von KeePass zu lesen und zu verwenden.

Ich möchte aber eigentlich vermeiden, daß die Versionen auf Desktops von den Versionen für Mobilgeräte zu sehr divergieren. Im Idealfall läuft die Entwicklung parallel und alles ist kompatibel zueinander.

Auch sehr interessant, aber nicht kostenlos, ist Enpass - https://www.enpass.io - das es für alle Plattformen gibt, also iOS, Android, Linux, macOS, Windows. Abomodelle kämen für mich nicht infrage, Enpass hat aber auch eine Lebenszeit-Lizenz für 'nen fairen Taler. Könnte mein Favorit werden, was ich bisher dazu gesehen habe.

Wenn du für dich eine Lösung gefunden hast dann berichte gerne darüber. Die RasPi Bitwarden Lösung würde mich auch mal interessieren.

In der Zwischenzeit hätte ich mal eine Frage an alle, die sich in der Materie auskennen:
Was ist der Unterschied zwischen KeePass, KeePassX und KeePassXC und welche Version meint Ihr, wenn ich von keepass redet?!

Ich habe ein Dual-SIM-Smartphone, was dann ganz praktisch aber nicht unbedingt notwendig ist. Keine meiner beiden SIM-Karten ist allerdings KYC-frei, also mein Prepaid-SIM-Kartenanbieter kennt mich mit Namen und Adresse.

Wenn ich mich nicht falsch erinnere, habe ich der Veröffentlichung meiner Nummern und Namen in öffentlichen Rufnummernverzeichnissen widersprochen. Für Anmeldungen, die die Angabe einer Mobilnr. für SMS oder sonstwas benötigen und wo ich mir etwas Sorgen um meine Privatsphäre mache, verwende ich in der Regel nicht meine Hauptnummer, mit der ich normalerweise telefoniere, simse und Messenger wie Signal usw. nutze. Die Nebenkarte benutze ich fast ausschließlich für den Empfang von Irgendetwas oder für seltene Telefonate mit Kontakten, die ich vermutlich nur einmalig oder höchst selten anrufen werde und bei denen es mir ganz recht wäre, wenn die nicht meine Hauptnummer zu sehen bekämen. Diese Nummer schreibe ich auch nicht in der Öffentlichkeit z.B. in Signaturen oder so.

Das ist jetzt bestimmt kein besonders schlaues Schema. Ich finde es ganz angenehm, eine gewisse Trennung haben zu können zwischen meiner doch mehr privaten Hauptnummer und einer Mobilnr. für Anmeldungen und Nicht-Gesprächs-Zeugs.

Ne du irrst nicht, grundsätzlich ist das schon so. Aber das setzt auch jeder Anbieter unterschiedlich "professionell" um. Der Anbieter den ich dafür genutzt hatte, der fordert Kunden per SMS auf, auf die Website des Anbieters zu gehen, um sich dort zu identifizieren.
SMS-Empfang und mobile Daten sind also vorher schon aktiv und bleiben es auch, selbst wenn man sich nicht identifiziert. SMS empfangen konnte ich auch noch lange nachdem mein Guthaben schon aufgebraucht war.
Ob der Anbieter da gesetzeskonform agiert kann ich aber nicht sagen, interessiert mich aber eigentlich auch nicht.