KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?

Nein, die Schlüsseldatei ist dafür da, falls jemand aus deiner Cloud (bzw. bei dir halt aus deiner SFTP Umgebung) den DB-Container klaut, er nicht durch Brute-Force, Phishing oder dergleichen die DB öffnen kann.

Die Schlüsseldatei ist der zusätzliche Faktor, der den Container schützt.
 
  • Gefällt mir
Reaktionen: hazrael
Gegeben der Fall, jemand hat Zugriff auf mein Handy und kommt an die temporär dort hinterlegte KeePass-DB-Datei die KeePass zum Synchronisieren ja runterladen muss . Dann kommt der ja aber doch auch an die Schlüsseldatei.

Dauert das Öffnen/Bruteforcen der DB mit zusätzlicher Schlüsseldatei noch länger?

Ich teste gleich mal etwas mit Cryptomator rum. Dann habe ich wenigstens die Schlüsseldatei in einem Tresor.
Ist etwas Aufwand, ist aber nur auf meinem Handy so. Ich habe ganz vergessen, dass auf dem Handy meiner Frau nicht einmal KeePass ist. Grund: die hat TikTok und all sowas da drauf.

Datenbank-Datei und Schlüsseldatei auf dem PC im selben Verzeichnis speichern also unbedenklich?
 
Zuletzt bearbeitet:
Das Problem hast du doch auch in deinem Netzwerk, da kann auch jemand Zugriff auf beides haben.
 
Heißt: einfach alles über Bord werfen und alles so lassen wie es ist weils eh nix bringt?
 
Nein, wenn du dafür sorgst das beides an unterschiedlichen Stellen gesichert ist, zum Beispiel in einem Container mit Cryptomator dann hast du eindeutig einen Sicherheitsgewinn.
 
Am Handy sollte das mit Cryptomator kein Problem sein. Am PC muss dann wohl der USB-Stick, auf dem nur diese eine Schlüsseldatei (ohne Container) ist, herhalten.

Bleibt nur die Frage: Datenbankdatei in die Nextcloud über WebDav HTTPS oder über SFTP außerhalb vom Root-Verzeichnis (so ist es aktuell)?
 
Nochmal: Die Schlüsseldatei bringt dir Schutz in genau dem Szenario, dass jemand von deinem SFTP Share die DB entwendet. Wenn du die Schlüsseldatei dabei auch auf dem SFTP ablegst hilft sie nicht, dann könntest du sie in der Tat weglassen.

Wenn du die Schlüsseldatei anderweitig von außen abrufbar machst, wäre mir das auch zu heikel, da sie dann ja wieder von jemanden abgegriffen werden kann.

Und nochmal kurz zum Thema Handy: Ich benutze am Handy Keepass2Android und da kann ich in den Einstellungen angeben, dass der Pfad zur Schlüsseldatei nicht gespeichert wird. Man müsste dann also jedesmal die Schlüsseldatei neu auswählen.

D.h. dann hättest du auch in dem Fall, dass jemand fremdes an dein Handy kommt, immerhin noch den Schutz, dass derjenige über das Keyfile bescheid wissen muss (oder halt zu deinem Passwort noch random Files auf deinem Handy durchprobieren muss).
 
Ok das mit Cryptomator wird nix. Wenn ich den Container öffne und meine keyx-Datei dort anklicke und mit KeePass öffne, passiert nix. Da wird kein Pfad ausgefüllt und sonst auch nix. Cryptomator mit KeePass, außer ich exportiere die Schlüsseldatei, also sinnlos. Ich lasse das einfach alles sein und kaufe ein paar Yubi-Keys. Damit ist die Problematik komplett erledigt und keine rumliegenden Dateien.
 
  • Gefällt mir
Reaktionen: Azdak und Helge01
KeePassXC + Challenge-Response-Verfahren (Yubikey) + merkbares Passwort und hast du ein hohes Maß an Sicherheit. Nachteil ist nur das du Mobil immer den Yubikey dabei haben musst.
 
Reicht dafür der blaue Yubikey für 28€ (Amazon, normales USB) oder muss es der schwarze für 54€ sein?
 
Nutzt du in ausschließlich für die KeePassXC Datenbank dann wäre die Schnittstelle entscheidend (z.B. USB-C, NFC, Lightning usw.).

Für die PCs habe ich z.B. USB-A und USB-C im Einsatz und Mobil NFC mit USB-C.
 
Wäre wirklich nur für KeePass (das Original, Windows) und KeePass2Androidm Am Handy habe ich USB-C, am PC natürlich nicht.
 
Zurück
Oben