KeePass Synchronisieren ?

[GnarkiLL]

Hi,

ich nutze KeePassXC für Windows und Keepass2Android am Smartphone.

Meine Frage ist jetzt wie Synchronisiere ich am sichersten meine Keepass Datenbank über 2 Geräte?

Zurzeit habe ich eine KeePass schlüsseldatei auf beiden Geräten und Synchronisiere die KeePass Datenbank über Dropbox.

ist vielleicht eine Cloud alternative wie PCloud oder Tressorit eine besser lösung im gegensatz zu Dropbox, oder doch besser ein Raspberry pi mit Nextcloud?

Und wie schaut es aus, wenn ich meine KeePass Datenbank auf Dropbox zusätzlich mit Boxcryptor oder Crytomator verschlüssel ?

 

[Falc410]

Die Datenbank ist ja schon verschlüsselt und sicher, solange niemand einen Implementierungsfehler in Keepass findet. Könntest es natürlich noch einmal verschlüsseln (mit einem anderen Schlüssel wohlgemerkt).
Eine eigene Cloud muss nicht zwangsläufig sicherer sein (Nextcloud hat auch immer wieder Sicherheitslücken), aber wie gesagt, die DAtenbank ist ja sowieso "sicher" (ausser du hast ein sehr einfaches Passwort welches sich schnell Bruteforcen lässt).

 

[AAS]

Wieso willst du eine verschlüsselte Datenbank nochmal verschlüsseln?

 

[DieRenteEnte]

Die wichtigste Frage:
Wie oft musst du synchronisieren?
Eine manuelle Synchronisation per Drag & Drop der Datei (ohne Cloud dazwischen) ist natürlich sicherer und wenn du deine Datenbank nur wöchentlich oder weniger erweiterst / änderst, zu empfehlen.

Eine eigene Cloud, in denen die Daten auf einer Festplatte gespeichert werden die physisch dir gehört, ist natürlich besser als eine Cloud von Unternehmen die mit deinen Daten Geld verdienen.
pCloud ist natürlich mit Abstand vertrauenswürdiger und sicherer als die Google Drive, OneDrive, etc.

Selbst der Versand per E-Mail wie über Protonmail ist besser, weil es Ende-zu-Ende verschlüsselt wird.
Zur Sicherheit kannst du es vorher selbst verschlüsseln.

@AAS
Weil eine verschlüsselte Datei mit einem "zu schwachen" Passwort, für die du mit Brute-Force mit deinem PC einen Monat brauchst, vom Besitzer der Cloud (Microsoft, Google, Amazon, etc.) in Sekunden geknackt werden könnte.
Einfach weil die einen Verbund aus spezialisierten Systemen benutzen können...
Und wenn man beispielsweise einen Google Account hat, Google Dienste nutzt und die Datei auf Googles Cloud hochlädt, ist die Wahrscheinlich um ein vielfaches höher, dass Google dein Passwort herausfinden kann.

Und wenn man die Passwörter über die GBoard Tastatur auf Android eingibt, ist die Wahrscheinlichkeit 100%, dass Google es herausfinden kann. (Stichwort: Wörterbuch, Texterkennung, Vorhersage, etc.) Und wenn man die Passwörter in die Zwischenablage speichert, ist die Wahrscheinlichkeit 100%, dass es jeder Entwickler einer App herausfinden kann, der auf die Zwischenablage zugreift. Und das sind extrem viele Apps! Vor allem weil die Zwischenablage gemeinsam von allen Apps genutzt wird und (noch immer?) im Klartext gespeichert wird.

 

[BeBur]

Ich mach das so: KeePass Safe mit Passwort UND Schlüsseldatei gesichert und in Klartext über die Cloud synchronisiert. Die Schlüsseldatei natürlich nicht, genau wie bei dir.
Wenn du KeePass in einen cryptomator Container packst, dann hast du sonst das Problem, wo du das Passwort für den Container speicherst, wenn nicht im KeePass Safe.

 

[OMGWTFBBQ]

Syncthing trayzor aufem PC und Syncthing - fork aufem Handy.

Kann man dann so einstellen, dass immer wenn man im WLAN ist synchronisiert wird.

 

[BeBur]

"sicher" kann man als "secure" oder "safe" übersetzen.
Dropbox ist "safer" als syncthing ohne alles, da Dropbox backups anbietet. Syncthing ist jedoch "more secure", da die Daten nicht bei einem (US-) Unternehmen gespeichert werden.

 

[calippo]

@Highspeed Opi
Wenn man kein Vertrauen in den Hersteller des Betriebssystems seiner Geräte hat (was grundsätzlich legitim ist), hier google und MS, dann hilft Verschlüsselung und lokale Speicherung auch nicht weiter, da im Closed Source System wohl mehr als genug Möglichkeiten bestehen, Daten aller Art abzugreifen.

Hat man Vertrauen und nutzt Windows und Android, dann sollte eine gängige Verschlüsselung wie bei Keepass ausreichen für eine Cloudspeicherung. Da man die Schlüsseldatei lokal belässt, reicht theoretisch auch ein kurzes Passwort, um die Datenbank unknackbar zu gestalten. (Die NSA&Co kann das ggf knacken, aber die kommen an die Accounts auch ohne Passwort ran)

pCloud ist natürlich mit Abstand vertrauenswürdiger und sicherer als die Google Drive, OneDrive, etc.

Kann man das als normaler Nutzer einschätzen? Ich kann auf Dich hören und Dir glauben, aber wäre das ein legitimer Ansatz?
Auf der Website von pcloud sehe ich das, mehr nicht. Könnte jeder sein (ich unterstelle nichts)
pCloud AG
74 Zugerstrasse Str, 6340 Baar, Switzerland

Wie die Verschlüsselung implementiert ist, kann ich nicht nachvollziehen.
Aus meiner Sicht ist es daher besser, Cloudspeicher per se als nicht 100% sicher zu betrachten und nur verschlüsselte Daten in die Cloud zu legen und zwar mit einem Tool, das nicht mit dem Provider des Cloudspeichers zusammenhängt und möglichst Open Source ist und öffentliche Audits bestanden hat.

 

[Falc410]

Weil eine verschlüsselte Datei mit einem "zu schwachen" Passwort, für die du mit Brute-Force mit deinem PC einen Monat brauchst, vom Besitzer der Cloud (Microsoft, Google, Amazon, etc.) in Sekunden geknackt werden könnte.
Einfach weil die einen Verbund aus spezialisierten Systemen benutzen können...

Genau, Google hat nichts besseres zu tun als alle Keepass Datenbanken zu Bruteforcen....

 

[BeBur]

Genau, Google hat nichts besseres zu tun als alle Keepass Datenbanken zu Bruteforcen....

Ist so natürlich unwahrscheinlich, aber die Dropbox-Inhalte z.B. waren schon einmal zeitweise komplett öffentlich zugänglich. Erinnert sich noch irgendwer daran oder hatte davon gehört? Niemand? So gut ist das Gedächtnis der Welt und so gut funktioniert das Prinzip 'Vertrauen' . Deswegen ist es jedenfalls gut, den Cloud-Anbietern nicht zu vertrauen.

 

[Falc410]

Deswegen legt man seine Daten ja auch verschlüsselt dort ab. Wenn ich jetzt Nextcloud selber hoste und Sicherheitsupdates vergessen, können die Lücken auch von einem Angreifer ausgenutzt werden. Aber solange meine Keepass Datenbank entsprechend verschlüsselt ist (am besten mit einem Key und nicht einem 4-stelligen Passwort), mache ich mir da wenig Sorgen.

 

[DieRenteEnte]

@calippo
Das Gesetz in den USA schreibt den Unternehmen vor, Zugang zu deinen Daten zu gewähren.
Ob direkt, per Hintertür oder sonst wie, weiß wohl niemand und ist vermutlich nicht einheitlich.

In der Schweiz unterliegt ein Unternehmen solchen Gesetzen nicht, wie in den USA.
Zum Rest solltest du nach "Edward Snowden" suchen. Beweise gibt es mehr als genug.

@Falc410
siehe oben
Mit Sicherheit werden Ressourcen nur zum Entschlüsseln freigehalten. Wem diese Systeme gehören, ist dabei irrelevant.

 

[Falc410]

Tschuldigung aber du verbreitest hier extreme Verschwörungsmythen. Dann solltest du besser kein Windows benutzen, kein Android und auch sonst nichts was einem Rechner ähnlich ist. Und das Internet schon gleich 3x nicht. Du hast ja wenigstens selber schon erkannt, dass jeder Browser dein Passwort mitlesen kann wenn du es eintippst.

a) hat weder Google noch die NSA Interesse an deinen Passwörtern
b) gibt es deutlich effizientere Wege an deine Daten zu kommen ohne dass man etwas Bruteforcen muss
c) nur weil ein Unternehmen seinen Sitz in der Schweiz hat, ist es nicht automatsich vertrauenswürdig. Ein US Unternehmen muss Daten herausgeben, das ist korrekt. Aber das bedeutet noch lange nicht, dass sie auch automatisch alles entschlüsseln (oder überhaupt versuchen). Selbst mit einem Supercomputer kannst du dir mal ausrechnen wie viele Jahre es dauert um entsprechende AES Schlüssel zu knacken. Viel Erfolg - ich glaube die brauchen ihre Rechner noch für etwas anderes.

 

[calippo]

Zum Rest solltest du nach "Edward Snowden" suchen. Beweise gibt es mehr als genug.

Seit Snowden ist doch klar, dass alles theoretisch als kompromittiert angesehen werden muss, was man nicht selbst gebaut, programmiert und auditiert hat und was irgendwie am Netz hängt.
Google, MS, Apple, Intel, etc.
Wenn ein Geheimdienst meine Konten, Steuer, Krankenakten, Einkäufe, etc. sehen will, also all das, was ich per Passwort gesichert habe, dann kann er das. Im Zweifelsfall sitzen da Informanten in den Behörden und Einrichtungen und ziehen das aus den Systemen raus und leiten das weiter.

Um aber - wie @Falc410 richtig einwendet - nicht in Verschwörungsmythen zu versinken, muss man als Privatanwender mal ein, zwei Schritte zurück gehen und sich überlegen, welche Szenarien man absichern will.
Mir ist wichtig, dass niemand an mein Geld kommt, niemand mit meinen Accounts was bestellt und niemand unter meinen Alias im Netz was schreibt.
Dafür ist die Ablage einer verschlüsselten Passwortdatenbank in einem Cloudspeicher aus meiner Sicht geeignet. Viel eher habe ich hier einen Keylogger oder Malware auf dem System, diese Gefahr ist vielfach größer als dass meine PW-Datenbank gehackt wird.

Würde ich eine geheime Formel für den Weltfrieden, Kernfusion, ewiges Leben, Blei in Gold verwandeln entwickeln, dann würde ich diese tatsächlich eher nicht in einer Cloud ablegen.

 

[DieRenteEnte]

Okay, wenn man alles schwarz und weiß sieht, verstehe ich das.
Ihr solltet meine Aussagen nicht so extrem verstehen.
Es kam eine Frage, es kam eine Antwort. Ganz simpel.

Dass es keine 100% richtig Antwort gibt, sollte logisch und selbstverständlich sein.
Abgesehen davon, dass es keine extremen Verschwörungsmythen sind, sind mir die Risiken und die Wahrscheinlichkeit bekannt.
Wäre ich so ein Verschwörungsfanatiker wie ihr vielleicht denkt, würde ich weder Windows und Android nutzen, aber ich nutze beides, auch die Clouds von Microsoft, Google, Amazon, etc.

Man muss nicht im Wald mit Stöcken und Steinen leben, um das Ganze zu erkennen, vor allem wenn es mehr als genug Beweise davon gibt. Und Beweise zählen nun mal keine Mythen.

In welcher Grauzone man sich bewegt, sollte jeder für sich selbst entscheiden.

 

[GnarkiLL]

Syncthing trayzor aufem PC und Syncthing - fork aufem Handy.

Kann man dann so einstellen, dass immer wenn man im WLAN ist synchronisiert wird.

Die möglichkeit mit Synchthing finde ich wirklich gut, Danke!

 

[Art Vandelay]

Ich habe die identische Anforderung wie du @GnarkiLL. Ich habe es so gelöst, dass meine Keepass Datenbank in Magentacloud (25GB for Free für Telekom Kunden) liegt, dort greife ich über Windows mit dem normalen Keepass Client zu und auf Android mit der App Keepass2Android, die auch via Webdav auf Magentacloud zugreifen kann.
Ist eine total smarte Lösung, alternativ hatte ich mir auch mal pcloud angeschaut (weil keine USA Server), aber hatte für mich dann auch keinen Mehrwert und noch einen Cloud Dienst brauchte ich dann auch nicht mehr.

 

[Munsterbuster]

Nutze Resilio Sync offline über LAN auf NAS, PC und Handy.

 

[Pentoxus]

Für alle, die sich Gedanken über Dictionary-Attacken gegen die eigene Keepass-Datenbanken machen:
1) Die Dauer hängt maßgeblich von der Länge und Güte des Passwortes ab. (Stichwort Diceware*)
2) Wenn man selber auf etwas Performance (DB öffnet bspw. in 1 Sek. statt 0.03 Sekunden) verzichten kann, wäre es möglich die Key Transformation Function zu ändern --> File --> Database Settings --> Security

Dort dann bspw. Argon2(d)** nutzen, dann z.B. 1000 Iterationen, 2MB, 4 Parallelism. Es gibt da auch einen Button, der für das eigene System eine Parametrisierung für eine Laufzeit von ~1Sek. ermitteln kann (auf ARM- oder MIPS-Geräten dauert es dann etwas länger die DB zu öffnen).

*) https://en.wikipedia.org/wiki/Diceware
**) https://keepass.info/help/base/security.html#secdictprotect

 

[lhinny]

Ich mach es genauso. Meine KeePass Datenbank liegt in der Cloud (früher Dropbox, jetzt Google Drive), zusätzlich hab ich eine Schlüsseldatei die nur lokal auf den Geräten vorhanden ist und natürlich ein sicheres Kennwort für die Datenbank. Klar, sobald ein Angreifer direkten Zugriff auf eins der Geräte hat, hat man verloren. Aber zumindest kann so keiner was mit der Datenbank anfangen, wenn es beim Cloud-Anbieter irgendwo ein Datenleck gibt.