Ab wann ist ein KeePass 2 Passwort wirklich sicher?

[Masamune2]

Und dann klaut dir ein Trojaner beim Öffnen der Datenbank sowohl Passwort als auch KeyFile^^

Um deine Paranoia komplett zu machen: Du du uns ja jetzt verraten hast wie lang dein Passwort ist fallen beim Knacken sehr viele Kombinationen (alle unter 32 Zeichen) schon wieder raus

 

[ToniMacaroni]

2. Die Anzahl der Runden auf etwa 50.000 erhöhen

50.000? Ich habe 50.000.000 eingestellt, dauert nur ein paar sec. das zu öffnen.

 

[Thukydides]

Warum sollte man darüber nicht sinnvoll reden können? Was hat das mit Paranoia zu tun? Ich will einfach nur sichergehen das meine Datenbank nicht knackbar ist. Ist doch keine große Sache oder? 50.000 dauert 1 Sekunde. 50.000.000 würde dann fast 2 Minuten dauern, das fände ich ein bisschen viel.

Und keine Sorge, ich bekomme keine Trojaner ab

 

[setsunara]

Als Schlüsseldatei funktioniert jede Datei, es muss keine extra KeePass Datei sein. Kann auch ein Foto, Dokument, PDF, etc. sein.

Fällt halt nicht auf und funktioniert wunderbar

 

[brianmolko]

In Ordnung. Ja das mit dem sperren ist auf jedenfall ein wichtiger Punkt! Das habe ich auch manchmal vergessen wenn ich mal kurz aus dem Zimmer gegangen bin. Was ich jetzt verbessern werde:

1. Master Passwort auf 32 Stellen eröhen mit vollständig neuem Passwort
2. Die Anzahl der Runden auf etwa 50.000 erhöhen
3. Eine spezielle Key Datei erstellen
4. Alle Passwörter der verschiedenen Seiten/Programme einmal ändern

Das ist jetzt mein Plan. Dann werde ich das mal bald angehen

Das meine ich mit Paranoia.

 

[miac]

Bei der Schlüsseldatei aber bedenken, daß das Dokument oder Bild bzw. die Datei nicht mehr verändert werden darf.

 

[Thukydides]

Ich habe immer das Gefühl, dass wenn man über Sicherheit redet, jemand um die Ecke kommt und Paranoia schreit. Ziel von Sicherheits- und Kryptographietechnik ist es eben, es sicher zu machen. Früher hat wohl auch jeder gesagt, dass es Paranoia ist wenn man die NSA beschuldigt die Kryptographie unsicher zu machen oder das sie alles daran setzten das Internet zu entschlüsseln.

Ziel ist es die Dinge sicher zu halten, und wenn die Nachteile nur geringfügig sind, warum dann nicht 50.000 Versuche einstellen, wenn ich dafür 1 Sekunde warten muss? Ist doch kein Drama.

 

[ToniMacaroni]

Wie kannst du für 50.000 Runden eine Sek. brauchen? Was wird dir angezeigt, wenn du die Zahl der Runden für 1 sec. berechnen lässt? Wie kann es bei mir 50.000.000 Runden in 3 sec. geben? Dem solltest du mal nachgehen.

 

[Thukydides]

Denke mal das hängt mit der Geschwindigkeit des PCs zuammen. An meinem Notebook habe ich jetzt z.B. 3 Mio Runden. Verdammt ist mein Stand PC so langsam :-D

Vielleicht habe ich mich auch verguckt. Denke mal dein PC ist einfach deutlich potenter als meiner. Habe auch keine AES Verschlüsslung in Hardware. Möglicherweise beschleunigt das den Vorgang drastisch.

 

[ToniMacaroni]

Auf einem steinalten Core 2 Duo mit 3,16 Ghz brauche ich 5-6 sec. um das Ding zu öffnen, 50.000.000 Runden.

 

[Thukydides]

Mhm... :-D

 

[engine]

Ein Passwort ist ein zentraler Punkt für die Sicherheit (Länge und Zeichen wurden ja schon erwähnt), aber dem PW wird zu viel Bedeutung gewidmet und andere Punkte ignoriert oder ganz vernachlässigt.

z.B.
- wie wichtig ist man denn?
- beim öffnen der DB stehen dem Verbrecher alle PWs zur Verfügung (ist ein Keylogger oder Malware auf dem PC?).
- Wie lange ist die DB offen und wie sind die sicherheitsrelevanten Einstellungen in Keepass2 gewählt?
- Wird eine Funktastatur verwendet?
- exportiert und/oder druckt man PWs aus, wo (daheim?), wohin (Drucker, PDF ?) und wie (WLan oder Lan, mit SSL oder einfach so)?
- wie wird denn die Schlüsseldatei richtig verwendet in KeePass2?
- ...

Verbrecher wählen den einfachsten Weg, sicher nicht eine KeePass2 DB cracken.

 

[smuper]

Ich habe immer das Gefühl, dass wenn man über Sicherheit redet, jemand um die Ecke kommt und Paranoia schreit. Ziel von Sicherheits- und Kryptographietechnik ist es eben, es sicher zu machen.

Es ist ein Unterschied, ob man eine effektive Sicherheit anstrebt, oder aus Langeweile eine im Alltag maßlos übertriebene Sicherheit.
Was schützt du in der Datenbank? Wen siehst du als potentiellen Angreifer?

Und keine Sorge, ich bekomme keine Trojaner ab

Hmm, die Wahrscheinlichkeit ist sicherlich höher, als dass sich jemand die Mühe macht eine Keepass DB mit Brute Force zu knacken.

Jeder der hier eine Anzahl an Zeichen schreibt hat das Prinzip leider nicht verstanden.

Daumen hoch. Anderer Ansatz: Ist eine Sperre nach begrenzten Versuchen - wie z.B. bei Banken üblich - können die Stellen sehr weit minimiert werden.

 

[xammu]

Die LinkedIn und Co Passwörter wurde nicht wirklich per Brute Force geknackt. Die Mehrzahl waren schwache Passwörter, die per Wörterbuch gefunden wurden. Ein Teil solche hoch komplexen Sachen wie L1nk3d1n17. Heutige Passwortknacker finden sowas ohne Probleme. Ein Keepass Passwort aus 32 relativ zufälligen Zeichen ist definitiv sicher.

Siehe unter anderem http://m.heise.de/ct/ausgabe/2013-3-Ein-Blick-hinter-die-Kulissen-der-Cracker-2330601.html Abschnitt "Die Macht des Wortes"
Oder: http://m.heise.de/ct/ausgabe/2013-3-Die-Tools-und-Techniken-der-Passwortknacker-2330451.html

 

[M@rsupil@mi]

Schwache PWs sind aber auch nur ein Teil des Problems gewesen. LinkedIn hatte nix gemacht, damit es Angreifern beim Knacken schwer haben.

Die Betreiber der Business-Kontakt-Plattform hatten bis dahin die Passwörter ihrer Nutzer als ungesalzene SHA1-Hashes gespeichert – ein fataler Fehler, denn SHA1-Hashes lassen sich sehr schnell und in großer Menge erzeugen. Somit können Cracker riesige Mengen an Passwörtern durchprobieren.

http://www.heise.de/security/meldun...der-Passwoerter-bereits-geknackt-3212075.html

 

[chrigu]

naja, wenn keepass2 geknackt wird oder eine sicherheitslücke hat, kannst du ein 154 stelliges passwort benutzen... bringt nichts.

 

[ToniMacaroni]

Keepass nutzt AES als Verschlüsselung. Da müsste schon AES selbst geknackt werden. Aber selbst wenn das passiert, muss der Angreifer auch erst mal Zugriff auf die Datenbankdatei haben. Die hat er nicht selbstverständlich zu jeder Zeit, es sei denn, man lädt die Datei öffentlich zugänglich hoch.
Das sollte auch nur ein kurzes Fenster sein, bis die News dazu die Runde macht und es einen fix gibt.

 

[M@C]

@Toni, das ist etwas zu kurz gedacht.
Keypass gibt an AES (das ist ein Algorithmus, keine Implementierung) zu implementieren, hierbei kann den Programmierern sehr wohl ein Fehler unterlaufen sein, der die Sicherheit verringert. Es muss also nicht zwangslaeufig AES geknackt werden um eine Schwachstelle in Keypass zu finden.
Da der Code aber mittlerweile sicher etliche Male auch von Aussenstehenden kontrolliert wurde ist das aber natuerlich sehr unwahrscheinlich.

Der Algorithmus AES an sich gilt aber noch als sicher, da hast du recht. Sprich das Design und die mathematischen Primitiven dahinter werden als sicher eingestuft. Auch hier wurde bereits sehr viel Energie reingesteckt, so dass man auch hier mit hoher Wahrscheinlichkeit annehmen kann, dass AES sicher ist.

 

[Yuuri]

Da der Code aber mittlerweile sicher etliche Male auch von Aussenstehenden kontrolliert wurde ist das aber natuerlich sehr unwahrscheinlich.

Ist er das? Oder warum soll jetzt von der EU aus ein Audit gemacht werden? http://www.golem.de/news/pilotprojekt-eu-will-open-source-sicherer-machen-1607-122323.html

 

[M@C]

Ist er das? Oder warum soll jetzt von der EU aus ein Audit gemacht werden? http://www.golem.de/news/pilotprojekt-eu-will-open-source-sicherer-machen-1607-122323.html

Der Artikel stellt ja bereits selbst die Firma die mit dem Audit beauftragt wurde im Frage.
Was meinst du denn, wer in der EU über sowas entscheidet? Das ist doch alles 'Neuland'.

Zudem wurden die Projekte per Umfrage ausgewählt und keinesfalls basierend darauf, welche Software bereits hinreichend untersucht wurde.

Es gibt durchaus Literatur, die sich mit Keepass beschäftigt, siehe https://scholar.google.ch/scholar?hl=de&q=keepass&btnG=&lr=.
Ich muss allerdings zugeben, dass ich mir diese nicht genauer angeschaut habe, unter anderem weil ich selbst Keepass gar nicht benutze.