Keepass - wo legt ihr die DATEN ab?: auf dem Rechner / in der Cloud ?

[tarifa]

hallo und guten Tag liebe Community,

vorweg: Welche Addons verwendet ihr denn - welche Features sind Euch wichtig - auf was wollt ihr nicht (mehr) verzichten!?

Darüber hinaus. Eine Frage brennt mir auf den Nägeln; wie legt ihr denn eigentlich euer keepass- File ab? Und wie aufwändig ist euer masterpasswd - sehr oder nicht so sehr?

Es ist ja so: KeePass bringt mit Keyfiles schon viel viel mehr sicherheit: Frage aber - wo legt ihr denn das file ab!? es ist ja so: Sollte das Masterpasswort abhandenkommen, lässt sich mit der Datenbank nichts anfangen, solange nämlich die Schlüsseldatei fehlt. Also - gehen wir mal von dem Fall aus - ihr wollt mehr Sicherheit: Wenn man mit Keyfile arbeitet: dann ist das so: Es ist also immer die Kombination aus Datenbank, Schlüsseldatei und Masterpasswort erforderlich.

Dennoch: Das oben gesagte, das bedeutet natürlich nicht, dass das gewählte Masterpasswort dadurch unwichtiger wird. Ich denke, dass man trotz Keyfile ein extrem sicheres Passwort wählen sollte. Also - Fazit: Schließlich sollen damit alle anderen Passwörter geschützt werden. Und Verschlüsselung ist immer nur so gut wie das gewählte Passwort.

Nu kommt die Frage: welche Methode verwendet ihr

a. bei der Generierung eines Masterpassworts
b. bei der Ablage der Keyfile!?

• auf dem Homeverzeichnis eures Rechners etwa oder
• in der Cloud...

Fest steht: Der Hauptschlüssel sollte sicher gewählt sein, da ein unsicheres Passwort Tür und Tor öffnet. Dieses sollte - im besten Falle - relativ einfach zu merken sein, aber trotzdem ein Höchstmaß an Sicherheit mit sich bringen. Klingt ewas paradox - aber das wäre halt wichtig: Im Nachhinein kann dieses auch dann noch unter "Datenbank -> Hauptschlüssel ändern" geändert werden.

Also - das wären also die verschiedenen Möglichkeiten;

Die Option der Ablage auf dem Rechner:

ich hab das kdbx-file im Homeverzeichnis auch schon abgelegt: Damit hab ich im Grunde ganz gute Erfahrungen gemacht. Hatte ganz früher auch schon mal eine verschlüsselte Textdatei eingestzt - aber mit KeePass geht das halt bequemer. Mit der Ablage des Keyfiles auf dem Homeverzeichis in ~/.mykeys/, hab ich auch schon gearbeitet: wo ich auch meine ssh-Keys, weitere pgp-keys für Server etc. etx drinnehabe. Das Gute daran: Dies wird mitgesichert und auf allen Systemen genutzt.

Darüber hinaus - eine weitere Option - Ablage in der Cloud:

das DB-File kann auch auf einer Cloud (wenn möglich dann eine eigene, vor allen Dingen dann halt auch sauber konfiguriert / und bestenfalls gehärtet und stets auf dem möglichst aktuell Stand gehalten). Wer es so macht - und dort ablegt - der hat den Vorteil dass es dann überall synchron verfügbar ist: (Notebook, Workstation, Handy, Firmenrechner, Server und und und usw.) bietet das KEY-File eine zusätzliche Sicherheit:

Das Gute daran - Wenn im Zweifelsfalle dann doch die Cloud mal gehackt werden sollte, hat der Angreifer nur das DB-File und kann damit ohne Key-File nichts anfangen.

Wie macht ihr das - !? Wo legt ihr die Daten ab?

Und welche Keepass-Addons findet ihr unverzichtbar?

Euer Tarifa,

 

[f1nal]

Wenn du es pragmatisch anstellst, nämlich deine .kdbx-Datei lediglich mit einem gutem Masterpasswort versiehst, dann hast du schon mehr für die Sicherheit deiner PW-Datenbank gemacht, als die meisten anderen User. Ich lagere meine PW-Datenbank lokal auf dem Rechner und als Backup auf anderen externen Datenträgern. In der Cloud belasse ich sie nie. Ein zusätzliches Keyfile nutze ich derzeit nicht. Ich verlasse mich einfach mal drauf, dass mein Master-PW sicher genug ist. Sicherheitsbedarfte Leute hier werden mich dafür schimpfen, aber das Ganze ist immer noch besser, als seine PWs dem PW-Speicher des Browsers anzuvertrauen.

 

[Messiah]

Cloud und Sicherheit in einem Absatz

 

[RalphS]

Ich hab grundlegend:

• Das Keyfile bei mir am Schlüsselbund(Stick)
• Die Datenbank mit einem längeren PW verschlüsselt (30 Stellen oder so)
• Nonstandard Verschlüsselungsmethode, wobei das inzwischen nicht mehr viel bringt - mehr und mehr Alternativen zu KP unterstützizen diese nativ
• außerdem hab ich die Zahl der Iterationen so weit hochgesetzt, daß auch erfolgreiche Öffnen/Speichervorgänge mindestens 10 Sekunden benötigen.

Damit fühl ich mich ausreichend wohl, bei Bedarf die DB auch mal remote irgendwo zu speichern.

Den Rest hab ich über die Zeit nachkonfiguriert und werd das wohl auch noch weiter machen, vor allem in bezug darauf, wie schnell die DB bei Nichtgebrauch wieder geschlossen werden soll. Das stellt sich derzeit immer einen Ticken zu kurz wie auch einen Ticken zu lang dar; so richtig glücklich werde ich damit wohl nie werden.

Windowskonto hab ich überlegt, aber damit bindet man zu fest.
Zertifikate / yubi oder sowas in der Art ist grad in der näheren Betrachtung. Bin ich aber noch etwas zurückhaltend und schau noch, ob ich damit außer im Zusammenhang mit KP noch was anfangen kann.

 

[Piktogramm]

KeePassXC mit ausreichend langem Password und Challenge-Response mit YubiKey (einer im Einsatz, der Andere als Backup). Genutzt wird Argon2 mit 32 Runden bei 64MB Speicherbdarf. Passwörter in der Datenbank sowie das zugehörige Passwort werden einmal im Jahr durchgewechselt [1].
PW-Datenbank wird über gemietete VM synchronisiert.

[1] Vor allem um alte Accounts zu entsorgen.

 

[HiPing]

immer noch besser, als seine PWs dem PW-Speicher des Browsers anzuvertrauen.

Warum?

 

[Hancock]

Datenbank in der Dropbox. (PW von der Dropbox ist eins, was ich aber weiß + 2 FA mit SMS).
Damit kann ich es sowohl am Handy als auch an verschiedensten PCs ohne große Probleme nutzen.

Passwort lang genug aber kurz genug zum tippen.

Kein Keyfile (bringt am Handy nix/funktioniert nicht).

 

[Salty R. Coon]

Hallo,

nutze Keepass2 am PC und am Smartphone (Android).

Masterpasswort: Passwort lang genug aber kurz genug zum tippen, meist um die 15 Zeichen. Wird alle 3 Monate geändert.

Keyfile: Liegt in der Cloud 1
Database: Liegt in der Cloud 2
Nachteil dieser Lösung mit Smartphone = kein Inet = keine PWs zur Hand.

Addons: Keine
Verschlüsselung: Argon2 - Angepasst für Smartphone, braucht 7-9sek.

 

[calippo]

Masterpasswort: So lang wie möglich, muss aber im Alltag für mich nutzbar sein
Keyfile: auf den lokalen Geräten, die natürlich alle auch noch mal grundverschlüsselt sind
DB: In der Cloud, die mit 2FA gesichert ist

Die Gefahr eines lokalen Keyloggers/Trojaners halte ich für wesentlich größer, als dass jemand an die DB in der CLoud kommt und diese ohne Masterpasswort und Keyfile entschlüsselt bekommt.

 

[JimPanse1984]

67 stellen Masterpassword, Keyfile in der Cloud und als Backup lokal. wird per OneDrive auf alle Geräte gesynct (5 Windows System) & 2 Androiden.

 

[r15ch13]

Nutze Syncthing zum synchronisieren.
Windows: https://github.com/canton7/SyncTrayzor
Android: https://github.com/syncthing/syncthing-android oder https://github.com/Catfriend1/syncthing-android

 

[tarifa]

hallo und guten Abend, calippo, Salty R. Coon, Hancock, HiPing, Piktogramm, RalphS, Messiah und f1nal

vorweg vielen vielen Dank für Eure Ideen und Beiträge - die sehr sehr wertvoll sind.

calippo:

Masterpasswort: So lang wie möglich, muss aber im Alltag für mich nutzbar sein
Keyfile: auf den lokalen Geräten, die natürlich alle auch noch mal grundverschlüsselt sind
DB: In der Cloud, die mit 2FA gesichert ist

Das mit der Cloud hört sich gut an - ich denke auch, dass man hier diese Lösung mit einbeziehen sollte.

Salty R. Coon:

nutze Keepass2 am PC und am Smartphone (Android). Masterpasswort: Passwort lang genug aber kurz genug zum tippen, meist um die 15 Zeichen. Wird alle 3 Monate geändert.
Keyfile: Liegt in der Cloud 1
Database: Liegt in der Cloud 2
Nachteil dieser Lösung mit Smartphone = kein Inet = keine PWs zur Hand.

Das mit dem Smartphone - das seh ich ähnllich...

Hancock

Datenbank in der Dropbox. (PW von der Dropbox ist eins, was ich aber weiß + 2 FA mit SMS).
Damit kann ich es sowohl am Handy als auch an verschiedensten PCs ohne große Probleme nutzen. Passwort lang genug aber kurz genug zum tippen.

Die praktische Handhabbarkeit am Handy find ich einen wichtigen Gesichtspunkt!! Danke für den Hinweis.

Piktogramm:

KeePassXC mit ausreichend langem Password und Challenge-Response mit YubiKey (einer im Einsatz, der Andere als Backup). Genutzt wird Argon2 mit 32 Runden bei 64MB Speicherbdarf. Passwörter in der Datenbank sowie das zugehörige Passwort werden einmal im Jahr durchgewechselt [1].
PW-Datenbank wird über gemietete VM synchronisiert.

'Durchwechseln der Passwd - ein sehr sehr guter Gedanke - Danke dir Piktogramm dafür!

RalphS:

Das Keyfile bei mir am Schlüsselbund(Stick) Die Datenbank mit einem längeren PW verschlüsselt (30 Stellen oder so) Nonstandard Verschlüsselungsmethode, wobei das inzwischen nicht mehr viel bringt - mehr und mehr Alternativen zu KP unterstützizen diese nativ

Messiah:

Cloud und Sicherheit in einem Absatz

- naja - warum nicht.


f1nal

Wenn du es pragmatisch anstellst, nämlich deine .kdbx-Datei lediglich mit einem gutem Masterpasswort versiehst, dann hast du schon mehr für die Sicherheit deiner PW-Datenbank gemacht, als die meisten anderen User. Ich lagere meine PW-Datenbank lokal auf dem Rechner und als Backup auf anderen externen Datenträgern.

Die .kdbx-Datei mit einem gutem Masterpasswort versehen - dann hat man schon mal echt was an Punkto Sicherheit der PW-Datenbank erreicht. Das sehe ich auch so.


Euch nochamls vielen Dank!! Das sind sehr sehr wertvolle Gedanken. Ich hab nochmals mir ein paar Gedanken gemacht - und denk da an drei Risiken...

• The risk of the file being hacked
• The risk of losing the file because of disk errors.
• The risk of burglary / fire

cf https://askubuntu.com/questions/562879/where-to-store-a-keepass-password-file

The risk of the file being hacked

Assuming you have a strong password to open the file, you may assume the KeePass file is rather safe (also see the tip of @gertvdijk at the bottom), however:
If the time to attempt to hack the file is unlimited, everything can be hacked A location that is (potentially) publically accessible to others is not a good idea, Dropbox or other clouds included.
You should also make sure others will not be able to copy the file for "further processing".

The risk of losing the file because of disk errors.
One thing is sure: there comes an end to the life of all disks. That means you should at least have a backup of your file on a (physically) other location.

The risk of burglary / fire
It sounds a bit overkill, but if you use your passwords in a professional (e.g. services to others) environment, and passwords include access to private data of others, you should make sure you also have a backup of the file on another (secure) location, so that you can at least change passwords quickly in case of accidents.
If I go on vacation, I make a backup of all my important data and keep it in a safe on another address.

Ich denke aber - dass ich durch Eure Beiträge wirklich weitergekommen bin.

Vielen dank dafür

Viele Grüße

 

[Piktogramm]

Piktogramm:
'Durchwechseln der Passwd - ein sehr sehr guter Gedanke - Danke dir Piktogramm dafür!

Das Durchwechseln von Passwörtern ist an sich unnötig. Sicher gewählte Passwörter und Verfahren bleiben auf Jahre sicher. Das ich das mache, hat wirklich mehr damit zu tun, dass ich alte Accounts loswerden will.

Bevor ich den F2A-Hardwareschlüssel hatte, habe ich die Passwörter für Laptop und PW-Datenbank noch getauscht, wenn immer ich auf (Groß-)Veranstaltungen zur IT-Security war[1]. Mit dem F2A Schlüssel ist das aber auch nicht mehr akkut.

[1] Also Quasi Haifischbecken.

 

[pumuck|]

bitwarden kann ich empfehlen. Entweder dort in der cloud oder als eigene Intanz verfügbar

 

[f1nal]

Warum?

Vom Gefühl her. Da diese Option vermutlich die meisten User weltweit nutzen, kann es ja sein, dass eben diese Browser-Speicherfunktion und damit das Abgreifen von Daten für Hacker am lukrativsten ist.

Ist aber eine reine Vermutung.

Frage an alle: Inwiefern ist es sinnvoll, den Inhalt der Festplatte vollständig zu verschlüsseln? Also z.B. die Windows-eigene Verschlüssung aktiviert zu haben. Kann es bei solchen Ver- und Entschschlüsselungsvorgängen, vor allem bei größeren Dateien, langfristig vermehrt zu Fehlern kommen? Ich habe das so in Erinnerung, dass man damals bei TrueCrypt echt aufpassen musste, dass der verschlüsselte Container intakt bleibt, weil sonst alle darin enthaltenen Daten unbrauchbar wurden.

 

[Legolas]

bitwarden kann ich empfehlen. Entweder dort in der cloud oder als eigene Intanz verfügbar

Wenn man mit den Sicherheitsproblemen leben kann

 

[Piktogramm]

Frage an alle: Inwiefern ist es sinnvoll, den Inhalt der Festplatte vollständig zu verschlüsseln?

Die Frage ist immer gegen was/wen sichert man sich ab.
Was die Unbrauchbarkeit von Datenhalden angeht, dafür gibt es Backups (auch verschlüsselt), deren verlässliche Widerherstellung regelmäßig getestet werden sollte.

 

[pumuck|]

Wenn man mit den Sicherheitsproblemen leben kann

Vier Dinge die Deiner Aufmerksamkeit evtl entgangen sind:

1. Ist der zitierte Blog-Beitrag zumindest irreführend siehe hier
2. Gab es ein Rewrite der monierten App (2.x)
3. Ein externes Audit, kam vor diesem Blog-Artikel zu einer anderen Einschätzung.

Im Übrigen: Wenn man es selbst hostet werden keine JavaScript aus Drittquellen nachgeladen. Wer seine Passwörter (wenn auch verschlüsselt) lieber in die Cloud schiebt, der kann eigentlich nichts gegen ebenfalls verschlüsselte JavaScript Aufrufe haben.

 

[Piktogramm]

Den Blogbeitrag würde ich für den Testgegenstand als richtig ansehen. Sideloads von Quellen die nicht unter eigener Kontrolle sind, können ein Einfallstor sein.
Wenn würde ich die Meinung des Autors nicht mitgehen, dass Javascript (besonders) unsicher sei. Gerade Webkit, Blink und Gecko basierte Browser kapseln einzelne Sessions recht gut ab. Das diese Kapselung teils durch BrowserPlugins und/oder Sideloads hinfällig werden ist dann eine andere Geschichte.

Das externe Audit, da würde ich nichts drauf geben, wenn nicht genau der Umfang des Tests bekannt ist [1]. Da schreibt man in den Auftrag "Test only code written by $Company", das können dann gern mal nur einige hundert Zeilen Config und Code sein. Das Audit besteht so ein Produkt mit wehenden Fahnen, auch wenn beim Begleitschreiben zum Testbericht steht, dass die mitgelieferten 20GB vergammelter Libraries seit 1996 nicht mehr Stand der Technik sind.


[1] Tip fürs Arbeitsleben, wenn euch wer Zertifikate und Audits vorlegt ohne genaue Beschreibung des Prüfgegenstandes, solltet ihr sehr vorsichtig werden.

 

[calippo]

Frage an alle: Inwiefern ist es sinnvoll, den Inhalt der Festplatte vollständig zu verschlüsseln?

Halte ich für absolut sinnvoll im Hinblick auf das Diebstahlszenario. Mobile Geräte sind stärker gefährdet, aber auch der Heimrechner kann gestohlen werden.
Absolute Sicherheit wird man nie erreichen, aber mit Bitlocker sperrt man imho 99,9% der Gelegenheitsdiebe schon mal aus.
Veracrypt wäre auch eine Option, ich habe es nie ausprobiert, im Zweifelsfall gibt es aus meiner Sicht eher Probleme als bei Bitlocker. Dateibasierte Container sind hingegen kein Problem unter Veracrypt, nutze ich seit Trucryptzeiten problemlos.

Unter MacOS verwende ich natürlich die Build-In Variante und Linux bietet ja auch gute Möglichkeiten einer verschlüsselung