KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?

Geeky26

Commander
Registriert
Jan. 2015
Beiträge
2.095
Ich weiß nicht seit wann, aber seit langer Zeit nutzen meine Familie und ich KeePass auf allen Endgeräten.
Synchronisiert wird auf meinen Server bei einem Anbieter in ein Verzeichnis außerhalb des Root-Verzeichnisses über SFTP.

Seit ein paar Monaten liegt auf dem Server auch eine Nextcloud-Instanz für das Synchronisieren von Telefonkontakten und Kalendereinträgen.

Ich würde unserer Datenbank, da die immer größer und wichtiger wird, gerne eine Schlüsseldatei hinzufügen. Das Passwort ist schon lang genug und das Öffnen der Datenbank dauert lange genug, dass Bruteforcing nutzlos ist.

Wir haben keinen Yubi-Key, geht das auch ohne?
Meine Idee, vielleicht ist die ja auch total dumm:
  • alles erstmal so lassen wie es ist, KeePass-DB bleibt außerhalb http-root, Verbinden per SFTP
  • Schlüsseldatei kommt auf den eigenen Server Zuhause, auf den nur 2 Nutzer Zugriff hätten (über Linux geregelt)
  • wenn man mit dem Android in KeePass will, muss erst über Wirrguard (existiert alles schon) eine VPN-Verbindung aufgebaut werden, dann kann man die Schlüsseldatei lesen
  • am PC ist es einfacher, weil eh alle Endgeräte (nur mit Name und Passwort) Zugriff auf den Netzwerkspeicher haben

So wären Datenbank und Schlüsseldatei getrennt - jedenfalls bei Nutzung des Handys und nur solange VPN aus ist. Oder eine schlechte Idee?
 
Zuletzt bearbeitet:
Selbst wenn jemand in den Besitz der Schlüsseldatei kommt, wird zum Öffnen der Datenbank das Passwort benötigt.
Ein Bruteforce-Angriff wird auch nicht erleichtert, wenn jemand die Schlüsseldatei hat, im Gegenteil.

Vielmehr ist wichtiger dass ein Backup der Schlüsseldatei existiert. Ansonsten hast du anderweitig keine Möglichkeit die Datenbank zu öffnen.
 
  • Gefällt mir
Reaktionen: BeBur
Geeky26 schrieb:
wenn man mit dem Android in KeePass will, muss erst über Wirrguard (existiert alles schon) eine VPN-Verbindung aufgebaut werden, dann kann man die Schlüsseldatei lesen
Wenn sich die Schlüsseldatei nicht ändert, ist dieses Prozedere nutzlos. Das ist einfach nur eine andere Form eines ganz normalen Passworts.

Also klar erhältst du mit der zusätzlichen Schlüsseldatei im Endeffekt dann ein super langes Passwort, aber es ist und bleibt halt statisch. Soll heißen: Einmal kompromittiert, lassen sich damit auch alle alten und zukünftigen Versionen deiner Datenbank öffnen.
 
Zuletzt bearbeitet:
benneq schrieb:
Wenn sich die Schlüsseldatei nicht ändert
Was genau ist damit gemeint? Meinst du damit, die Schlüsseldatei (und das Passwort) alle X Monate erneuern?

Also Ansatz "Schlüsseldatei" wegschmeißen oder behalten und Backup (2 USB-Stick) erstellen?
 
Geeky26 schrieb:
Meinst du damit, die Schlüsseldatei (und das Passwort) alle X Monate erneuern?
Was generell für alle Passwörter gilt, sonst kommst du in einen von zwei Fällen:
1. Du erneuerst nur den Zugang zur KeePass Datenbank: Dann kann jemand mit einer alten Datenbank immer noch in alle Accounts, weil deren Passwörter immer noch gültig sind.
2. Du erneuerst nur den Zugang zu allen Accounts: Dann kann jemand mit einer uralten Schlüsseldatei deine neuste KeePass Datenbank entschlüsseln (und umgekehrt).
 
OK also beides?
Schlüsseldatei anlegen, ab und zu erneuern und alle Passwörter in der DB ab und zu erneuern?
 
Ich habe meine Schlüsseldatei auf meinem Smartphone und auf meinem Laptop, inkl. Backup auf zwei USB-Sticks, welche extern liegen. Die Geräte habe ich natürlich mit einer PIN gesichert. Das Passwort der Datenbank trage ich bei jedem Login ein. Die Datenbank liegt in meiner Nextcloud.
Die Idee mit meinem Yubikey habe ich schnell wieder gekickt. Ich hatte Probleme, meine Datenbank am PC bzw. Smartphone mit meinem YubiKey zu öffnen. Ich nutze KeePassXC und via Android KeePassDX.
Aktuell überlege ich zwei Datenbanken zu nutzen. Eine "große" und eine kleine für unterwegs.
Gerade wenn der Login schnell gehen muss (an der Kasse), benötigt meine große Datenbank schon ein paar extra Sekunden. ;)
 
Darf man fragen, wie du deine Datenbank hostest? Irgendeine Cloud Software, wie ich außerhalb http root, ganz anders?
 
@Geeky26 Edit eingefügt. Eine Nextcloud bei Hetzner. Die Datenbank liegt in der Nextcloud. Dokumente/Bilder sind in der Nextcloud mit Cryptomator verschlüsselt.
 
Bei mir liegt die Keepass-DB ebenfalls auf einer Nextcloud bei Hetzner. Abgesichert ist diese über ein >30 stelliger Master-PW und Yubikey.

Vor den Yubikeys hatte ich auch eine Schlüsseldatei, diese hatte ich manuell und offline auf die entsprechenden Geräte. Wichtig wäre daher meiner Meinung nach, dass die Schlüsseldatei eben nicht über das Internet irgendwo erreichbar ist.

Seitdem ich meine Yubis im Einsatz habe, habe ich die Schlüsseldatei wieder aufgegeben, beides erschien mir dann doch zu viel des Guten.
 
Kannst du dir dieses Passwort merken? Meins ist glaube ich 32 Zeichen kanng, zufällig generiert, merken unmöglich.

Hat es Vorteile, wenn die Datenbank in der Nextcloud ist statt in einem Verzeichnis außerhalb von http-docs?
 
benneq schrieb:
Was generell für alle Passwörter gilt, sonst kommst du in einen von zwei Fällen:
1. Du erneuerst nur den Zugang zur KeePass Datenbank: Dann kann jemand mit einer alten Datenbank immer noch in alle Accounts, weil deren Passwörter immer noch gültig sind.
2. Du erneuerst nur den Zugang zu allen Accounts: Dann kann jemand mit einer uralten Schlüsseldatei deine neuste KeePass Datenbank entschlüsseln (und umgekehrt).
Verstehe ich nicht, wir haben eine Schlüsseldatei und ein Passwort für die KeepassDB. Sollte also nun die Schlüsseldatei kompromittiert werden, kommt man immer noch nicht an die DB, da das Passwort fehlt. Andersherum genauso, ist das Passwort bekannt braucht man Zugang zur Schlüsseldatei. Wenn man also nun dafür sorgt das die Schlüsseldatei nicht auf dem selben Weg auf die Geräte kommt, wie die DB, ist man save.

Das Passwort muss mal halbswegs sicher sein. Gibt genug Möglichkeiten Passwörter zu generieren die Sicher sind und die man sich merken kann.
 
hazrael schrieb:
Wenn man also nun dafür sorgt das die Schlüsseldatei nicht auf dem selben Weg auf die Geräte kommt, wie die DB, ist man save.
Das war meine Idee eingangs.
  • DB-Sync: Server > Nextcloud > Android Handy
  • Schlüsseldatei: eigener Server Zuhause (VPN) > Android Handy
Punkt 2 geht bestimmt auch irgendwie anders. Schlüsseldatei ist auf dem NAS verschlüsselt und Cryptomator entschlüsselt es auf dem Handy oder so aber von Cryptomator habe ich genau keine Ahnung.
 
Eigentlich muss die Schlüsseldatei nur einmal transferiert werden, die ändert man nicht alle paar Tage.
 
  • Gefällt mir
Reaktionen: BeBur
Geeky26 schrieb:
Kannst du dir dieses Passwort merken?
Ja, aber auch wirklich nur gut am PC mit der gleichen Tastatur eingeben. Ist inzwischen viel Muscle-Memory dabei, was mich am Handy dann zur Verzweiflung bringt 😁
 
Auf dem Handy habe ich die Keepass DB in Keepasium intergiert und das öffnen mit FaceID gekoppelt, keine Ahnung ob das bei Android geht. Damit muss ich aber am Handy das Passwort nicht eingeben.
 
hazrael schrieb:
Eigentlich muss die Schlüsseldatei nur einmal transferiert werden, die ändert man nicht alle paar Tage.
Ich dachte immer, Schlüsseldatei und DB nicht auf demselben Endgerät ablegen. Wenn ich zu dumme Fragen stelle, einfach bescheid sagen. Möchte es nur verstehen.
 
Liegt bei mir zusammen auf dem Handy, wenn jemand an beides kommen sollte, was schon sehr unwahrscheinlich ist, dann braucht man immer noch das Passwort das "lang" ist.
 
Geeky26 schrieb:
Ich dachte immer, Schlüsseldatei und DB nicht auf demselben Endgerät ablegen.
Doch doch, die Schlüsseldatei soll ja gerade auf dem Gerät abgelegt sein und eben nicht anderweitig erreichbar sein. Die Schlüsseldatei sollte dabei nie über das Internet erreichbar sein bzw. ausgetauscht werden, dafür am besten immer über Offline-Wege kopieren (also z.B. Handy am PC per Kabel anstecken).

Die Schlüsseldatei alleine entsperrt ja nicht die DB, sondern nur die Kombination aus PW + Datei.
 
Wenn ich das richtig verstehe, ist eine Schlüsseldatei dann ja nutzlos und kann auch ganz wegbleiben wenns eh alles auf demselben Gerät ist. Weil wenn jemand Zugriff auf mein Handy hat, dann kommt der ja eh an alle Dateien.

Schlüsseldatei aufs Handy und mit Cryptomator sichern, bringt das irgendwas?
 
Zurück
Oben