ComputerBase Menü
Aktuelles

KeePass 2.x - Wohin mit der Datenbank ? FTP oder SMB Freigabe über VPN ?

morduk

morduk

Ensign
Registriert
Aug. 2009
Beiträge
171
Guten Abend zusammen,

ich organisiere derzeit meine kryptischen Passwörter (25+ Stellen; generiert per Passwortgenerator) mittels KeePass 2.30 mit der DB auf einem USB Stick. Es funktioniert, hat jedoch seine Nachteile wie Stick verloren, vergessen, defekt ... Es gibt 2 Standorte, wo diese Datenbank benötigt wird (Wochenpendler). Android soll zukünftig mittels App ebenfalls mit dabei sein.

Ziel ist es die *.kdbx-Datei zentral zur Verfügung zu stellen für - 1xPC Win 7 Pro, 1xPC Win 10 Pro, 1xAndroid Moto G '14 5.0.2 - Masterpasswort hat 20 Stellen, GROSS/klein/1234/!?*-

Wo ist es sinnvoll die Datenbank zu speichern ? In Bezug auf Verfügbarkeit, Bedienbarkeit und Sicherheit ?


Möglichkeiten:

1.) Webspace/FTP - SSL Proxy und htaccess
Hier sehe ich den Vorteil, dass es definitiv überall verfügbar ist und mittel CronJobs gesichert werden kann. Nachteil, es liegt auf einem shared Server im Internet beim Webspace Anbieter.

2.) Sambafreigabe - erreichbar per OpenVPN auf dem heimischen IPFire-Server (Linux Firewall) - Freigabe extra nur dafür möglich
Vorteil: es liegt bei mir. Zugriffssteuerung & Zertifikatsverwaltung. Nachteil: jedes mal eine OpenVPN Verbindung aufmachen & offen lassen für die Verbindung zur Datenbank. VPN Verbindung würde auf allen Geräten funktionieren (getestet). Sicherung derzeit noch manuell.

Hat irgendwer ein paar Denkansätze oder selbst Erfahrungen ?

Vielen Dank,
morduk

€dit: Firewall & Fileserver werden demnächst in 2 unterschiedliche Geräte getrennt - Übergangslösung
 
Zuletzt bearbeitet: (Absätze, €dit)
Wo ist das Problem bei 1.)?

Bei mir liegt die Datei auf meinem Seafile Server zu hause.
 
Hallo,

ich habe bei mir eine ähnliche Lösung wie 2) mit einem Synology NAS realisiert. Der einzige Nachteil ist halt das downloaden der Datenbank (bei mir via DS File). Dabei weiß ich jetzt auch nicht, ob eine lokale Version auf dem Handy verbleibt, was dann wiederum ein Sicherheitsproblem darstellen kann.
 
Ich hab meine Datenbank in meiner Dropbox liegen. Funktioniert schon seit Jahren perfekt, auch unter Android.
 
Den Nachteil von 2.) könntest du eventuell auch dadurch ausgleichen, dass du die Datenbank lokal vorhälst und nur dann neu lädst, wenn du einen neuen Eintrag hinzufügen willst / einen neuen Eintrag verwenden willst. Wenn man erstmal eine halbwegs umfangreiche Datenbank aufgebaut hat, kommen neue Passwörter ja nicht mehr täglich hinzu typischerweise.

Kleiner Offtopic am Rande: Wenn dein Masterpasswort 20 Stellen hat, müssen deine generierten Passwörter eigentlich auch nicht länger sein. Deren Sicherheit ist nach oben durch die Datenbank begrenzt ;). Und immer dran denken, dass man KeePass nicht auf einem verschlüsselten Laufwerk hat, dessen Schlüssel man in KeePass speichert (das habe ich selbst schon geschafft).
 
tiash schrieb:
Kleiner Offtopic am Rande: Wenn dein Masterpasswort 20 Stellen hat, müssen deine generierten Passwörter eigentlich auch nicht länger sein. Deren Sicherheit ist nach oben durch die Datenbank begrenzt ;).
Zum Vergrößern anklicken....
Außer, dass die Vergangenheit zeigt, dass Brute Force Attacken auf die Passworthashes vieler Seitenbetreiber wohl wahrscheinlicher sind, als das jemand dein Passwortfile vom FTP Speicher klaut.

Aber bei 20 Zeichen ist eh jede Attacke sinnlos, solange das Passwort nicht "passwortpasswortpasswort" ist.
 
Das ist mir auch klar, deshalb ja auch der ;), um der Aussage ein bisschen an Ernsthaftigkeit zu nehmen.
Was bleibt, ist der Pfad des geringsten Widerstandes und informationstheoretisch ist ein Passwort nunmal nur so sicher, wie die einfachste Möglichkeit, es zu erhalten. (Gerade mal nachgezählt, mein aktuelles Masterpasswort hat ebenfalls weniger Stellen als meine automatisch generierten:) )
 
Nabend zusammen & danke für die Ideen!

Nach reichlicher Überlegung & euren Tipps werde ich es wie folgt halten: Datenbank auf den FTP + Keyfile lokal (beruhigt mein Gewissen). Ein Keyfile dann nur lokal gespeichert bzw. auf SD, die nicht immer drin ist.

Aber bei 20 Zeichen ist eh jede Attacke sinnlos, solange das Passwort nicht "passwortpasswortpasswort" ist.
Zum Vergrößern anklicken....
Nein, das Passwort ist eher aus den Anfangsbuchstaben eines sinnlosen Satzes generiert: GrünistdieWieseblaudasMeer.GernwäricheinElenfantoderBär2014$%& (fiktiv!)
Nochmals vielen Dank, es scheint ja doch andere User zu geben, die es ähnlich handhaben wie ich es vorhabe.

ciao,
morduk
 
Was ich als gern noch als Tipp zur Keyfile gebe:
Diese muss nicht zwingend in Keepass erzeugt werden, das kann auch eine andere Datei sein!
Man kann z.B. ein jpg Bild nehmen, das hat den Vorteil das jemand anderes diese Datei nicht als Schlüsseldatei identifizieren kann da es ja einfach ein Bild ist.
Habe ich eine Datei mit kryptischem Inhalt dann kommt man schon eher auf die Idee, dass das eine Keyfile sein könnte.
Gerade auf dem Handy hat man ja einige Bilder von denen man eines dafür nehmen kann.
 
Auch interessant für das Gewissen :) Wie erzeugt man solch ein JPEG ?

Danke!
 
Wie meinst? Das ist es ja genau, du kannst irgend ein Bild nehmen das du schon hast, z.B. eines von deinem Haustier oder was auch immer.
 
Ah ok. War der Meinung das man es noch irgendwie anpassen müsste ála (Bsp.)

Wenn es so einfach ist, dann kann man ja tatsächlich einfach ein Bild von nem Hund oÄ. nehmen.

Danke für den Tip!

Alex
 
Jemand der in der Lage ist ein 20 Stellen PW zu knacken ist im Zweifel auch in der Lage das richtige jpeg zu finden.

Nur mal als Überlegung 😉
 
Security by Obscurity ist nie eine gute Idee. Wer weiß, dass ein Keyfile verwendet wurde probiert dann halt einmal alle Dateien durch, die in Frage kommen. Der Schlüsselraum wird immernoch kleiner sein, als der von einem vernünftig gewählten Passwort.
Wie viele Dateien hat man auf einem durchschnittlichen Rechner? Selbst wenn wir mal von 1Mrd ausgehen, liegt die Komplexität, die alle auszuprobieren irgendwo in der Nähe von einem sechsstelligen Passwort.
Die Idee, das Keyfile nicht immer im Rechner zu haben ist dagegen schon besser (wenn es die Räumlichkeiten hergeben, kann man das Keyfile in Abwesenheit z.B. auch in einem Safe oder an einem anderen sicheren Ort lagern).
 
Du musst aber bedenken, dass es eine Zwei-Faktor-Authentifizierung ist!
Dein lapidarer Satz "probiert dann halt einmal alle Dateien durch" führt in der Realität dazu, dass du jede Kombination von Passwort zu jeder Datei auf dem System die als Schlüssel dienen kann durchprobieren musst!
Das erhöht die Komplexität um ein vielfaches!
Und wenn ich da von Anfang an ein oder zwei Dateien finde die sehr nach einem Key aussehen, dann probier ich natürlich erst mal diese.

Es ist schon schwer genug ein gutes Kennwort mit 20 Stellen zu knacken, aber jetzt prüfe mal alle möglichen Kennwörter gegen 60.000 verschiedene Dateien.
 
Zuletzt bearbeitet:
Ich nutze auch Keepass für all meine Daten, inkl. Bankkarten - PINs.
Ich habe auch synchron Zugriff auf mehreren PCs und Mobilgeräten.

Meine Datenbank liegt in der Dropbox ab, und ich habe da auch kein Problem damit. So haben alle Geräte immer die gleichen Daten zur Verfügung.
Die Keyfile hingegen habe ich nur lokal und "gut getarnt", wie gesagt, du kannst da auch eine JPG pimpen.

Ich halte mich an den Grundsatz, dass die Datenbank gerne (semi-)öffentlich liegen darf, die Keyfile hingegen nicht.
Davon mal abgesehen: Ich traue der Dropbox auch nicht über den Weg in Sachen Datensicherheit. Aber es ist nun auch nicht so, dass dort jeder Pseudo - Internet - Bösewicht Zugriff hätte.
Wenn überhaupt, dann würde es dort nur aus 2 Richtungen Zugriff geben:
- Für kommerzielle Zwecke, um wieder etwas mehr Daten dem persönlichen Nutzerprofil zuordnen zu können. Bei diesem Punkt halte ich aber den Schutz den die Verschlüsselung und das fehlen der Keyfile mit sich bringt als ausreichend.
- Durch offizielle Stellen. Wobei die sicherlich nicht an meine Datenbank müssen um Wissen zu erlangen, die können sicherlich auch direkt beim jeweiligen Betreiber nachfragen, wenn sie nicht eh schon drinne sind.
 
Fr4g3r schrieb:
führt in der Realität dazu, dass du jede Kombination von Passwort zu jeder Datei auf dem System die als Schlüssel dienen kann durchprobieren musst!

(...)

Es ist schon schwer genug ein gutes Kennwort mit 20 Stellen zu knacken, aber jetzt prüfe mal alle möglichen Kennwörter gegen 60.000 verschiedene Dateien.
Zum Vergrößern anklicken....

Du hast natürlich recht damit, dass 2-Faktor-Authentifizierung nur ein zusätzlicher Schutz ist.
In der Regel stellt er aber eine Barriere dar für Fälle, in denen ein Angreifer bereits sicher das Passwort weiß, nicht für Fälle, in denen noch geraten wird. Ein 20 stelliges Passwort (bei einem durchschnittlichen Kriminellen heutzutage auch noch ein nur 10 stelliges) reicht für sich allein genommen völlig aus, um böswillige Anmeldeversuche auszusperren. 2-Faktor-Auth hilft dann zusätzlich in Fällen, in denen das Passwort z.B. wiederverwendet, über eine unsichere Verbindung abgehört, am Monitor angeklebt wurde... In so einem Fall ist der zweite Faktor das entscheidende Merkmal, das davor schützt, kompromittiert zu werden.
Etwas was man weiß (Passwort) plus etwas was man hat (zweiter Faktor) funktioniert nur dann so, wie es erdacht wurde, wenn der Angreifer den zweiten Faktor nicht auch hat.

Ich will gar nicht bestreiten, dass eure Methode eine erhöhte Sicherheit bietet. Dem oben genannten durchschnittlichen Angreifer wird es vermutlich zu mühsam sein, alle Dateien durchzuprobieren, nachdem er merkt, dass er mit dem Passwort allein nicht weiter kommt. Ich möchte nur die grundsätzliche Schwäche von Security by Obscurity aufzeigen, die vielen Leuten nicht richtig bewusst ist.
 
Servus zusammen,


kurzes Update - aktueller Stand bis auf Weiteres:

  • DB auf Webspace
  • .htaccess mit deny from all
  • FTP Rechte auf 700 - nur Besitzer
  • Zugriff nur per FTP mit 25 stelligem PW
  • Lokaler Key auf SD Karte
  • Batch Script mit Download der DB per FTP jeden Sa früh zum Sichern auf USB Stick oder CD (auf USB Stick)
  • 2x PC und 1x Android ohne Probleme
Funktioniert soweit ohne Probleme und ist ein Kompromiss zwischen Usability & Sicherheit. Ich denke, damit fahre ich ganz gut.

Danke nochmals für die Tipps, Anregungen und Diskussionen. Ich bin mal wieder Aluhüte falten ... :freak:

ciao,
morduk
 
Zuletzt bearbeitet: (Rechtschreibung)
Wenn du deinen Aluhut fertig gefaltet hast, dann kannst du ja mal über FTPES nachdenken :P
 
Eigentlich hoffe ich, dass er das gemeint hat. Ansonsten ist das ganze Setup ja hinfällig...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz