Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?
Nein, die Schlüsseldatei ist dafür da, falls jemand aus deiner Cloud (bzw. bei dir halt aus deiner SFTP Umgebung) den DB-Container klaut, er nicht durch Brute-Force, Phishing oder dergleichen die DB öffnen kann.
Die Schlüsseldatei ist der zusätzliche Faktor, der den Container schützt.
Gegeben der Fall, jemand hat Zugriff auf mein Handy und kommt an die temporär dort hinterlegte KeePass-DB-Datei die KeePass zum Synchronisieren ja runterladen muss . Dann kommt der ja aber doch auch an die Schlüsseldatei.
Dauert das Öffnen/Bruteforcen der DB mit zusätzlicher Schlüsseldatei noch länger?
Ich teste gleich mal etwas mit Cryptomator rum. Dann habe ich wenigstens die Schlüsseldatei in einem Tresor.
Ist etwas Aufwand, ist aber nur auf meinem Handy so. Ich habe ganz vergessen, dass auf dem Handy meiner Frau nicht einmal KeePass ist. Grund: die hat TikTok und all sowas da drauf.
Datenbank-Datei und Schlüsseldatei auf dem PC im selben Verzeichnis speichern also unbedenklich?
Nein, wenn du dafür sorgst das beides an unterschiedlichen Stellen gesichert ist, zum Beispiel in einem Container mit Cryptomator dann hast du eindeutig einen Sicherheitsgewinn.
Am Handy sollte das mit Cryptomator kein Problem sein. Am PC muss dann wohl der USB-Stick, auf dem nur diese eine Schlüsseldatei (ohne Container) ist, herhalten.
Bleibt nur die Frage: Datenbankdatei in die Nextcloud über WebDav HTTPS oder über SFTP außerhalb vom Root-Verzeichnis (so ist es aktuell)?
Nochmal: Die Schlüsseldatei bringt dir Schutz in genau dem Szenario, dass jemand von deinem SFTP Share die DB entwendet. Wenn du die Schlüsseldatei dabei auch auf dem SFTP ablegst hilft sie nicht, dann könntest du sie in der Tat weglassen.
Wenn du die Schlüsseldatei anderweitig von außen abrufbar machst, wäre mir das auch zu heikel, da sie dann ja wieder von jemanden abgegriffen werden kann.
Und nochmal kurz zum Thema Handy: Ich benutze am Handy Keepass2Android und da kann ich in den Einstellungen angeben, dass der Pfad zur Schlüsseldatei nicht gespeichert wird. Man müsste dann also jedesmal die Schlüsseldatei neu auswählen.
D.h. dann hättest du auch in dem Fall, dass jemand fremdes an dein Handy kommt, immerhin noch den Schutz, dass derjenige über das Keyfile bescheid wissen muss (oder halt zu deinem Passwort noch random Files auf deinem Handy durchprobieren muss).
Ok das mit Cryptomator wird nix. Wenn ich den Container öffne und meine keyx-Datei dort anklicke und mit KeePass öffne, passiert nix. Da wird kein Pfad ausgefüllt und sonst auch nix. Cryptomator mit KeePass, außer ich exportiere die Schlüsseldatei, also sinnlos. Ich lasse das einfach alles sein und kaufe ein paar Yubi-Keys. Damit ist die Problematik komplett erledigt und keine rumliegenden Dateien.
KeePassXC + Challenge-Response-Verfahren (Yubikey) + merkbares Passwort und hast du ein hohes Maß an Sicherheit. Nachteil ist nur das du Mobil immer den Yubikey dabei haben musst.