Keepass 2.49 - Generator

[Nicht die Mama]

Hallo.

Ich habe mir gerade von https://keepass.info/download.html die Version 2.49 von dem Tool "KeePass" heruntergeladen. Da ich so ein Tool noch nie zuvor genutzt habe wollte ich hier erstens fragen ob KeePass soweit sicher ist bzw. empfohlen werden kann und zweitens ob die Passwörter aus dem dortigen Generator in Ordnung sind (also komplex genug und lang). Ich meine das als Beispiel was mir das Tool eben ausspuckte (mehr als 20 Zeichen kann man leider oft nicht verwenden bei manchen Diensten):

]g&\^}hMa$6cZ*oY~nE)

Gruß.

 

[smuper]

Ja.

 

[BeBur]

Ja, KeePass2 wird seit Jahren weltweit eingesetzt und kann guten Gewissens benutzt werden.

 

[Dark_Paladin]

Keepass ist grundsätzlich sichee, ich jedenfalls benutze Keepass seit Jahren und hatte nie Probleme.

Dank diversere Plugins auch sehr flexibel.

Denk aber daran regelmäßige Backups deiner lokalen Keepass-DB zu machen.

Und ist das Kennwort sicher? Ja ist es, wobei ich aber meine eigenen Einstellungen für die Standardrichtlinie habe.

 

[Nilson]

Keepass ist der Quasi-Standard unter den Passwortmanager. Viel besser geht es fast nicht mehr, wenn es um den Punkt Sicherheit geht (wichtig gutes (langes) Passwort und ggf. Keyfile für die Datenbank benutzen).
Im Generator kannst du einstellen, ob Sonderzeichen enthalten sein sollen oder nicht, wenn die Seite keine Sonderzeichen schluckt. Im Zweifel: Ein langes nur aus Buchstaben ist sicherer als ein kurzes mit Sonderzeichen.
Im Generator kannst du dir die Stärke des Passworts in Bits anzeigen lassen. Je mehr Bits, desto besser. Jedes Bit mehr verdoppelt theoretisch die Zeit zum knacken des Passworts.

https://xkcd.com/936/

 

[puri]

Die sichersten Kennwörter sind die, die man sich merken kann. Einem BruteForce-Tool ist es egal ob da "HkgaidwWh-987" (Anfangsbuchstaben von "Hänschen klein"), oder dieser Zeichensalat des Generators steht, aber was kann sich der Mensch besser merken?

 

[Dark_Paladin]

@puri
Grundsätzlich stimme ich dir zu, ein "einfaches" aber langes Passwort was man sich merken kann ist besser als ein überkomplexes kurzes passwort. Aber was für einen Zeichensalalt da generiert wird kann ja egal sein, denn dafür hat man den Manager.
Ich kenne nur ca. 10 kritische Passwörter, der rest ist alles im Keepass. (ca. 200 einzigartige Passwörter)

 

[Nilson]

einzigartige Passwörter

Das ist die zweite wichtige Sache. Die meisten Passwörter werden nicht per Brutforce geknackt, sondern werden bekannt wenn mal wieder ein Seitenbetreiber Mist gebaut hat. Dann ist es wichtig, dass das Passwort nicht noch an andere Stelle verwendet wird.

 

[Nixdorf]

ob KeePass soweit sicher ist bzw. empfohlen werden kann

Uneingeschränktes Ja.

Die Sicherheit wurde auch im Rahmen von Audits bestätigt. Der Quelltext ist Open Source. Das Datenbankformat ist ein Standard für eine ganze Infrastruktur an Software. Zum Beispiel kann man mit Keepass2Android die gleiche Datenbank auch auf mobilen Geräten nutzen.

Im Gegensatz zu vielen Online-Passwortmanagern behält man die volle Kontrolle über die Datenbank, und das AutoType-Feature ermöglicht die Nutzung auch außerhalb des Browsers in beliebigen Fenstern, wo nach Zugangsdaten gefragt wird (z.B. Steam-Login, Anmeldedialoge von Windows selbst, Windows-Login bei Remote-Verbindungen zu anderen Rechnern, etc.). Inzwischen kann KeePass übrigens auch die Einmalpasswörter (TOTP) bereitstellen, die man bei verschiedenen Anbietern für 2FA benötigt.

ob die Passwörter aus dem dortigen Generator in Ordnung sind (also komplex genug und lang)

Der Generator ist konfigurierbar. Ob die generierten Passwörter sicher sind, hängt von den Einstellungen ab. Wenn ein Passwort irgendwo nicht funktioniert, kann eine andere Generator-Regel verwendet werden.

Dann ist es wichtig, dass das Passwort nicht noch an andere Stelle verwendet wird.

Dies. Ein Passwort-Manager hilft dabei, konsequent für jeden Zugang ein unterschiedliches Passwort zu nutzen. Und dann ist es eher sinnlos, sich die alle merken zu wollen.

Die Hinweise, wie man sich ein sicheres und gut zu merkendes Passwort erstellen kann, sind dennoch nicht falsch. Man sollte diese für das Master-Passwort der KeePass-Datenbank nutzen. Das ist nämlich dann so ziemlich das einzige Passwort überhaupt, das man sich noch merken muss.

 

[JAIRBS]

Gibt's eigentlich sicherheitstechnisch einen Unterschied zwischen KeePass und KeePassXC?

Mein Datenbankformat in KeePass war die ganze Zeit v3.1, während KeePassXC auf v4.0 läuft und laut Dokumentation "sicherer" sein soll. Mal ganz abgesehen davon, dass die Optik von KeePassXC deutlich moderner ist.

https://keepassxc.org/

 

[Nixdorf]

KeePass unterstützt ebenfalls die neueren Formate, auch KDBX 4.1. Das Programm geht aber so vor, dass das älteste mögliche Format verwendet wird, welches von aller gängigen Software unterstützt wird, die das KDBX-Format nutzt. Das stellt die größtmögliche Kompatibilität sicher.

Sobald man ein Feature nutzt, welches ein neues Format erzwingt (z.B. Argon2 als Schlüsselableitungsfunktion), dann wird automatisch in 4.0 oder neuer gespeichert.

 

[Schnuecks]

Ein schöner Tipp den ich Mal irgendwo gelesen habe. Salze dein Passwort, heißt speichere z. B. Gzuhggf im Manager und hänge dann irgendwas dran, was Du möchtest z. B. 64, das aber nicht im Manager speichern. Somit kannst du auch einen eventuellen Verlust der Datenbank verschmerzen, da man mit dem Passwörtern eh nix anfangen kann.

 

[Oli_P]

Aber dann funktioniert doch das wunderbare Feature Autotype nicht mehr?

 

[Nilson]

Ich hab es auch so ähnlich wie @Schnuecks. Deshalb hab ich auch keine Sorgen mit Bitwarden einen Cloud-Anbieter zu nutzen. Klar kostet das etwas Komfort, wenn man noch ein paar Zeichen extra eintippen muss, aber das merkt man schnell nicht mehr. Sooo oft Meldet man sich ja auch nicht an. Und schneller als ganz ohne ist es weiterhin.

 

[Oli_P]

Wie meldest du dich denn an z.B. hier im Forum? Du kopierst das Passwort aus der Datenbank, fügst es ein und hängst dann noch irgendwas dahinter? Okay, man kann sich an alles gewöhnen

 

[Nilson]

Bitwarden füllt nur die Felder. Heißt der Kurser bleibt im Passwortfeld stehen. Dann geht es schnell noch ein paar Zeichen extra einzutragen bevor man den Login per "enter" ausführt. Bei Keepass sollte das auch möglich sein denke ich.

 

[Oli_P]

Achso, Autofill... Ist bei Keepass möglich mit speziellem Plugin. Aber beim Autotype von Keepass würde deine Vorgehensweise nicht funktionieren. Vorteil ist halt, dass man dafür nicht noch ein Plugin und eine Browser-Erweiterung braucht.
edit: Okay, würde auch mit Autotype funktionieren. Muss man halt eine benutzerdefinierte Autotype-Sequenz erstellen.
Aber ist gar keine so blöde Idee wie du das anstellst

Ich würde alternative vorschlagen für Keepass ein Keyfile zu erstellen. Diese sollte auf einem anderen Datenträger liegen als die Datenbank (z.B. auf einem USB-Stick). Nur dieses Keyfile sollte man dann nicht verlieren bzw. ein Backup davon haben an sicherer Stelle.

 

[Nicht die Mama]

Danke euch für eure Antworten! Da habe ich ausführlich viel zu lesen.

Die Frage mit KeePass hatte ich schon eine Weile hier auf dem Zettel liegen und diese beruht auf Informationen von Google. Leider finde ich nun den Link nicht mehr dazu da es scheinbar inzwischen entfernt wurde. Ihr kennt es doch wenn ihr bei Google etwas sucht und dann dazu unter dem Reiter "Ähnliche Fragen" Fragen und Antworten auftauchen. Da hatte ich etwas in Verbindung mit KeePass und KeeFarce gelesen (war wohl mal ein Tool was die Datenbanken ohne weiteres auslesen konnte). Das hatte mich nicht losgelassen - scheint aber eh nicht mehr aktuell zu sein.

Überhaupt wird es bei Google irgendwie immer schlimmer. Kennt ihr das wenn ihr nach irgendeinem Thema sucht (z.B. einfach nach einer Anleitung für ein PC-Spiel - Fallout 4 / Skyrim) und dann diverse dubiose Seiten zuerst bei Google aufgelistet werden und diese dann mit genau den gesuchten Informationen locken (wo dann die Infos scheinbar von anderen Seiten auf ihre eigene kopiert wurde nur um User darüber anzulocken). Das nervt irgendwie regelrecht in letzter Zeit.

Zu KeePass: Autovervollständigung oder ähnliches bzw. Clout nutze ich nicht. Ich habe die Sachen auch lieber lokal bei mir liegen und fülle meine Pass-Felder in Foren etc. immer selber aus. Die Mühe mache ich mir dann gerne lieber. Auch nutze ich gerne Passwörter mit mehr als 20 Buchstaben aber leider scheinen das einige Dienste ja nicht zu wollen. Als ich zuletzt mein Passwort bei PayPal mal geändert hatte wurde ich plötzlich auf 20 Zeichen begrenzt (hatte zuvor eines mit weit mehr Zeichen) und die angenommenen Sonderzeichen waren auch stark begrenzt.

In jedem Fall habt Dank für die Infos + den netten Comic-Strip.

 

[Oli_P]

Keepass nutzt du gewöhnlich offline. Du kannst natürlich auch deine Datenbanken in eine Cloud speichern (z.B. Dropbox) und mit Keepass drauf zugreifen. Das machen auch manche.
Aber probier doch mal Autotype. Keepass erkennt, wenn ein Login-Fenster aktiv ist und du kannst mit der Tasten-Kombo STRG-ALT-A die Anmeldedaten ausfüllen (das funktioniert nicht nur im Browser). Das ist sehr bequem; wenn du denn deine Lieblings-Seiten richtig eingerichtet hast in Keepass.
Ich habe an meiner Tastatur ein paar Sonder-Tasten zur freien Konfiguration. Auf einer hab ich ein Makro aufgezeichnet, welches die Tasten-Kombo STRG-ALT-A abspielt. So melde ich mich an. Keepass läuft dabei nur im Hintergrund (wird automatisch mit Windows gestartet, in die Systray minimiert und wartet auf den Autotype-Befehl).

 

[Piktogramm]

@Nicht die Mama
Autofill über ein Browserplugin ist tendenziell sicherer, als Copy&Paste. Bei Autofill wird versucht[1] die Verbindung zwischen Passwortmanager und Browserplugin abzusichern. Wenn du die Zwischenablage nutzt sind die Passwörter jedoch prinzipiell allen Programmen zugänglich, die die Zwischenablage überwachen können.
Zudem sollte Autofill nur funktionieren, wenn die URL der besuchten Seite zur im PW-Manager hinterlegten URL passt. Damit sollte Autofill bei Phishingversuchen stolpern und dir als Nutzer die Chance geben stutzig zu werden. Das ist allemal besser, als wenn du dir den Copy&Paste Automatismus antrainierst und die URLs nicht kontrollierst.

[1] Soweit es möglich ist, auf einem kompromittiertem Computer gibt es da immer Grenzen

Die sichersten Kennwörter sind die, die man sich merken kann. Einem BruteForce-Tool ist es egal ob da "HkgaidwWh-987" (Anfangsbuchstaben von "Hänschen klein"), oder dieser Zeichensalat des Generators steht, aber was kann sich der Mensch besser merken?

Passwörter die sich Menschen merken können, sind überwiegend in den großen Wortlisten drinnen bzw. per Permutation dieser erreichbar. Wenn du "PersonWomenManCameraTV" als Passwort nutzt ist das 24 Stellen lang und Leute ohne Ahnung würden sagen, dass das eine Komplexität von 52^24 wäre (englisches Alphabet mit Groß-/Kleinschreibung und 24Stellen). Realistisch ist aber, dass 5 Wörter aus dem Standardwortschatz sind und damit eine Komplexität aus 5000^5 (5000 entspricht einem eher größerem Standardwortschatz).
Die Differenz für die Komplexität ist enorm und selbst mit zusätzlichen Sonderzeichen wird es kaum besser.

Wie meldest du dich denn an z.B. hier im Forum? Du kopierst das Passwort aus der Datenbank, fügst es ein und hängst dann noch irgendwas dahinter? Okay, man kann sich an alles gewöhnen

Die Datenbank sollte ein sicheres Passwort haben und im besten Fall einen zweiten Faktor nutzen (zum Beispiel ein Yubikey, Nitrokey oder Solokey). Wenn das Passwortfile wegkommt, ist das entsprechend egal. Problematisch wäre nur, wenn jemand auf die entschlüsselte Datenbank Zugriff hat. In dem Fall ist der Rechner jedoch sowieso kompromittiert und die Maßnahme ist bedeutungslos.