ComputerBase Menü
Aktuelles

KeePass - nur Passwort oder auch Schlüsseldatei?

G

Geeky26

Commander
Registriert
Jan. 2015
Beiträge
2.095
Ich habe vor einiger Zeit KeePass konfiguriert. Die Datenbank ist randvoll, schön sortiert, alles gut benannt.
Ich greife von mehreren Handys und mehreren PCs auf dieselbe Datenbank zu - alles über sftp. Gespeichert ist die auf meinem Webserver außerhalb bei einem großen Anbieter und dann noch außerhalb des htdocs-Verzeichnisses.

Die Datenbank ist nur durch ein sehr langes Passwort gesichert. Was spricht für und was gegen eine zusätzliche Schlüsseldatei? Falls zusätzlich eine Schlüsseldatei, wo speichert man die am besten: nur lokal auf den Geräten (Sicherung a uf dem Webserver, klar) oder nur auf dem Webserver, sodass sich KeePass die Datei online erst runterlädt?
 
wenn die Sclüsseldatei auf dem selben Server daneben liegt, ist sie ja nutzlos, außer sie ist irgendwie nicht erkennbar als das.
Aber natürlich geht das mit KeePass, dann hat man Passwort und Schlüssel.
 
Ich hatte mich gegen eine Schlüsseldatei entschlossen. Ein sehr langes Passwort ist mir Sicherheit genug, dass ich mich mit dem zusätzlichen Aufwand (und am Smartphone ggf Kompatibilitätsproblemen) nicht rumschlagen möchte.

Falls ich die doch mal implementieren würde, würde ich die über einen anderen Cloud-Dienst als die Keepass-Datenbank synchronisiert halten.
Die Keepass Datenbank habe ich aktuell auf OneDrive, die Schlüsseldatei würde dann wohl auf meiner Nextcloud landen.
 
Ich würde mich hier mal frech dranhängen und eine Frage zur Schlüsseldatei stellen:

Ist es nicht gar nicht mal so unwahrscheinlich, dass die Schlüsseldatei durch einen Bitflip o.Ä. verändert wird und dadurch unbrauchbar wird?
 
Kann passieren, ich würde die Chancen aber für sehr gering halten. Wenn Bitflips so häufig wären, würde die moderne Technik mit ihrer Datenflut in sich zusammenbrechen.

Aber trotzdem macht man ein (mehrere) Backup(s) von der Datei, dann passt das.
 
Wie o. g. würde ich die Schlüsseldatei auf keinen Fall an den gleichen Ort der Datenbank ablegen.

Der Gedanke wäre ja folgender:

Jemand gelangt an deine Datenbank, die auf deinem Webserver liegt und knackt dein MP. Je nachdem wie dein MP aufgebaut ist, ist das realistisch oder auch nicht. Das .keyx File wäre ein weiterer Sicherheitsaspekt, der hinzukommen würde. D. h., wenn jemand das MP knackt und das .keyx File nicht hat, dann kommt er auch kaum an deine PW.

Du kannst aber auch auf das MP verzichten und das .keyx File auf einen USB Stick hinterlegen, sodass du dir das eintippen sparst. Der Stick wäre dann eine Art Schlüssel.

@|Moppel|

Mir ist ein derartiges Verhalten in all der Zeit nicht untergekommen. Was hindert dich denn daran, die Datei anderswo zu sichern, damit du sie, fall o. g. eintrifft, ersetzen kannst.
 
Rickmer schrieb:
Wenn Bitflips so häufig wären, würde die moderne Technik mit ihrer Datenflut in sich zusammenbrechen.
Zum Vergrößern anklicken....

Dachte das wird durch Fehlerkorrektur Mechanismen kompensiert und nicht, weil es so unfassbar selten ist.

So lese ich es auch aus dem Wikipedia Artikel.

However, as discussed in the article on ECC memory, errors, while not everyday events, are not negligibly infrequent. Even in the absence of manufacturing defects, naturally occurring radiation causes random errors; tests on Google's many servers found that memory errors were not rare events, and that the incidence of memory errors and the range of error rates across different DIMMs were much higher than previously reported.
Zum Vergrößern anklicken....


Eletron schrieb:
Was hindert dich denn daran, die Datei anderswo zu sichern, damit du sie, fall o. g. eintrifft, ersetzen kannst.
Zum Vergrößern anklicken....

Klar das geht, wollte nur mal generell zu dem Thema fragen.
 
Ich nutze keine Schlüsseldatei. Was man noch empfehlen kann: In den Database Settings "Chacha20" und "Argon2d" verwenden und im Anschluss ganz unten auf den "1 sec Delay" Knopf drücken.
 
|Moppel| schrieb:
Dachte das wird durch Fehlerkorrektur Mechanismen kompensiert und nicht, weil es so unfassbar selten ist.
Zum Vergrößern anklicken....
Das ist selten, aber auf der Skala von den großen Cloud-Anbietern können auch extrem unwahrscheinliche Sachen stündlich auftreten.

ECC hilft dagegen natürlich, aber nur wo es genutzt wird.

der8auer war neulich bei Hetzner zu Besuch und da stehen hundert tausende Server mit Consumer-Hardware (also ohne ECC) rum und die laufen auch:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Einer der bekannteren Bitflips dagegen:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Es gab mWn auch schon Fälle in denen Leute auf einmal mehr (oder weniger) Geld auf dem Konto hatten - dank einem Bitflip auf irgendeinem Server der Bank. Sowas fällt spätestens auf, wenn ein System guckt warum der Ist-Betrag nicht mehr mit der Transaktionshistorie übereinstimmt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: |Moppel|
@|Moppel|

"Sag niemals nie", so sagt man ja :) Dein Ansatz ist somit alles andere als verkehrt.

Deshalb predigen wir auch alle: "Mache regelmäßig Deine Backups!" :D
 
  • Gefällt mir
Reaktionen: |Moppel|
Du kannst die Schlüsseldatei auf einen USB-Stick ablegen (dann aber nicht gleichzeitig auch die Datenbank, die muss woanders abgelegt sein!) und damit die Datenbank entsperren. Dann hast du einen Schlüssel für Keepass. Auf jeden Fall Sicherungskopie der Schlüsseldatei an sicherem Ort aufbewahren (wie du auch ein Duplikat von einem richtigen Schlüssel haben kannst). Natürlich kannst du dann zusätzlich noch ein Master-Passwort setzen.
 
Zuletzt bearbeitet:
USB-Stick mit Schlüsseldatei ist eine gute Idee für den PC, aber wie regle ich das dann mit den Android-Geräten am besten?

Ist bei den Android-Geräten die Datenbank auch auf dem Handy irgendwo gespeichert, wenn KeePass sich die Daten vom Server holt oder sind die nur im Schwebezustand und im RAM?

Am PC habe ich eine eigene kdbx-Datei. Beim Speichern von Änderungen, werden diese an den Server geschickt und zusammengefügt.
 
Geeky26 schrieb:
Ist bei den Android-Geräten die Datenbank auch auf dem Handy irgendwo gespeichert, wenn KeePass sich die Daten vom Server holt oder sind die nur im Schwebezustand und im RAM?
Zum Vergrößern anklicken....
Welcher Server?
Du hostest die Datenbank selber

Geeky26 schrieb:
Am PC habe ich eine eigene kdbx-Datei. Beim Speichern von Änderungen, werden diese an den Server geschickt und zusammengefügt.
Zum Vergrößern anklicken....
Nein, die werden in der kdbx-Datei gespeichert.
kdbx = Keepass DataBase X (keine Ahnung, irgendwas der Art)
 
Rickmer schrieb:
Welcher Server?
Du hostest die Datenbank selber
Zum Vergrößern anklicken....
Genau, bei netcup. Da liegt die kdbx-Datei, in die alle Geräte schreiben und von lesen können.

Wäre ein Yubico-Stick eine Alternative? Am PC kann ich den einfach einstecken und ans Handy einfach dranhalten (NFC). Funktioniert das wirklich so einfach?
 
Zuletzt bearbeitet:
So einen Yubikey hatt ich auch schonmal im Visier. Wie das aber am Handy funktioniert, keine Ahnung. Da bei mir aber demnächst mal ein neues Handy ansteht, würde mich interessieren ob NFC auch für solche Zwecke gebraucht werden kann. Das Problem, welches ich mit Yubikeys habe ist, dass die Soft- und Hardware nicht quelloffen sind. Man vertraut das wichtigste überhaupt, seinen Datenbank-Schlüssel zu Keepass, irgendjemanden an. Ist für mich ein Widerspruch und dann schlägt Vorsicht die Bequemlichkeit. Denn praktisch ist so ein Key sicherlich. Somit bleib ich erstsmal bei meiner USB-Stick-Lösung für den PC und simples Master-Passwort fürs Handy. Da mir das aber auch sehr heikel ist mit dem Handy, hab ich dort eine speziell angepasste Keepass-Datenbank. Sprich, da ist lang nicht alles drauf. Wenn mir jemand das Handy klaut, dann änder ich ein paar weniger kritische Passwörter danach (statt alle ;) ).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?
2
Antworten
31
Aufrufe
5.950
Geeky26
G
A
Keepass Passwortdatenbank mit Google Drive synchronisieren
2 3
Antworten
41
Aufrufe
11.098
AlfRein
A
Iwwazwersch
Keepass / KeepassXC Schlüsseldatei ohne PW
Antworten
11
Aufrufe
3.884
SI Sun
S
G
Chrome Passwort Manager als Keepass Alternative?
Antworten
15
Aufrufe
6.209
BeBur
B
S
Keepass Passwort nach Stromausfall wiederherstellen
2
Antworten
29
Aufrufe
5.532
Rickmer
Rickmer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz