ComputerBase Menü
Aktuelles

KeepassDX Sixherheitsschlüssel nachträglich erstellen

T

_TR_

Lieutenant
Registriert
Aug. 2012
Beiträge
532
Hallo,
ich verwende seit einiger Zeit KeepassDX auf meinem Smartphone und bin total zufrieden eigentlich.
Die Datenbank ist mit einem langen Passwort geschützt.
Nun wollte ich zusätzlich eine Schlüsseldatei erstellen.
Aber wie genau funktioniert es?
Wenn ich bei KeepassDX, Einstellungen, Hauptschlüssel, Hauptschlüssel ändern klicke, erscheint ein Pop-up und da soll ich erst mein Passwort eingeben, soweit klar.
Wenn ich dann das Kästchen Schlüsseldatei aktiviere und auf das leere Feld klicke, öffnet sich mein interner Speicher und ich soll eine Datei auswählen.
Muss man vorher eine Schlüsseldatei erstellen? Wenn ja, wie? das verstehe ich nicht ganz. Ich dachte, die Schlüsseldatei wird automatisch erstellt.
 
Irgendeine Datei verwenden. Diese darf sich allerdings nie ändern.
 
  • Gefällt mir
Reaktionen: fr13del und _TR_
Ah ok,
also kann ich theoretisch einfach eine Datei mit Explorer erstellen und diese dann als Schlüsseldatei verwenden?
 
Die Datei sollte natürlich einzigartig, unerratbar und möglichst zufällig sein.

Nutze doch einfach KeePassXC am Computer, um die Schlüsseldatei zu generieren. Da gibt es einen entsprechenden Knopf.
Ergänzung ()

_TR_ schrieb:
also kann ich theoretisch einfach eine Datei mit Explorer erstellen und diese dann als Schlüsseldatei verwenden?
Zum Vergrößern anklicken....

Ja, theoretisch kannst du das machen.
 
  • Gefällt mir
Reaktionen: fr13del und _TR_
Mit KeepassXC habe ich am Laptop noch so meine Probleme. Da kommen auch noch später Fragen 😅

ich hatte es mir so überlegt. Ich kaufe extra ein USB C Stick und speichere die Schlüsseldatei direkt dort ab. Zusätzlich noch eine Kopie auf dem Laptop.
Da fällt mir noch eine Frage ein:
Wird dann die Schlüsseldatei bei jedem Entsperren abgefragt? Oder nur einmalig bei der Einrichtung z.B.?
 
Du benötigst die Schlüsseldatei bei jedem Entsperren. Das ist der Sinn der Sache. Geht die Schlüsseldatei verloren, verlierst du den Zugriff auf die Datenbank. Du musst dich also um Backups der Datei kümmern. Sowohl lokal wie auch off-site.

Ich würde mir gut überlegen, ob das tatsächlich sinnvoll ist. Ein ausreichend sicheres Passwort genügt in der Regel.
 
  • Gefällt mir
Reaktionen: _TR_
ok jetzt verstehe ich es. Ja muss ich mir gut überlegen. ich dachte zusätzliche Sicherheit würde nicht schaden.
Danke an euch alle.
 
Ich finde eine Schlüsseldatei sehr sinnvoll da meine Keepass Datei in der Cloud liegt. Die Schlüsseldatei natürlich nicht!
 
  • Gefällt mir
Reaktionen: Oli_P und _TR_
Ja so macht es natürlich Sinn und würde mich sicherer fühlen.
Da ich noch keine Schlüsseldatei habe, benutze ich die Cloud nicht, sondern nur lokal.
ist dann immer bisschen Aufwand.
Hab noch unbegründete Angst, was ist wenn was schief läuft, die Schlüsseldatei nicht mehr akzeptiert wird, wenn ich aus Versehen die Datei bearbeite oder ändere oder so, dann sind alle Passwörter weg.
Ich weiß man sollte ja deswegen mehrere Backups von der Datei haben.
Aber das würde dann ausreichen, oder?
 
Was ist denn überhaupt das Ziel? Geht es nur um den zweiten Faktor, den du dann auf einem USB-Stick mit dir rumträgst und zum Enstperren in das Telefon steckst?

Dann wären zwei Yubikeys als zweiter Faktor doch vermutlich die sinnvollere Variante? Der wird nämlich direkt von KeePassDX unterstützt:

Yes, It is currently possible to unlock a database using your Yubikey. This feature is supported starting from version 3.5.0.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Oli_P und _TR_
Ich dachte, man braucht die Schlüsseldatei nur, wenn man KeepassDX neu einrichtet. das heißt, wenn ich Keepass deinstallieren und wieder installiere, wird die Sicherheitsdatei abgefragt und nicht bei jedem Entsperren.
So macht es dann natürlich kein Sinn, die Sicherheitsdatei nur auf dem USB Stick zu speichern.
 
_TR_ schrieb:
So macht es dann natürlich kein Sinn, die Sicherheitsdatei nur auf dem USB Stick zu speichern.
Zum Vergrößern anklicken....

Ja gut, wenn du die Schlüsseldatei auf deinem Telefon ablegst, hast du auch keine Sicherheit gewonnen. Denn wenn jemand an die Datenbank auf deinem Telefonspeicher kommt, kommt er auch an die Schlüsseldatei.

Also entweder ein echter, externer zweiter Faktor - da würde ich dann eher zum Yubikey greifen - oder halt beim Passwort bleiben.

Meine Keepass Datenbank liegt auch auf allen möglichen Geräten und in der Cloud. Ich habe auch schon USB-Sticks mit der Datenbank drauf verloren. Ich kann trotzdem ruhig schlafen, da mein Passwort ausreichend sicher ist.
 
  • Gefällt mir
Reaktionen: _TR_
Mein Passwort, denke ich, ist auch ausreichend sicher. 20 Charaktere mit Klein-und Großbuchstaben, Zahlen, und mit "-"und "_". Aber keine Sonderzeichen.
Ich denke mal ist schon sicher oder?

Mein Problem ist folgendes. Vielleicht reagiere ich auch übertrieben. Was ist wenn eine dubiose App aus dem Play Store alles mitliest und loggt was ich tippe?
Dann kan sie doch auch das Passwort abgreifen oder nicht?
Daher dachte ich, wenn ich eine Schlüsseldatei benutze, die aber nur bei der Einrichtung von Keepass abgefragt wird, kann ist es egal welche App mitliest oder loggt, weil die Schlüsseldatei ja auf einem externen Gerät gespeichert ist.
Aber so funktioniert es anscheinend nicht.
 
Genau, so funktioniert das nicht. Wenn du einen USB-Stick ans Handy anschließt, liegt die Schlüsseldatei ja auch im Klartext vor.

Für sowas gibt es challenge-response Authentication, das ist das, was ein Yubikey macht. Dabei verlässt der private Schlüssel nie das Gerät.
 
  • Gefällt mir
Reaktionen: _TR_
_TR_ schrieb:
Ich dachte, man braucht die Schlüsseldatei nur, wenn man KeepassDX neu einrichtet. das heißt, wenn ich Keepass deinstallieren und wieder installiere, wird die Sicherheitsdatei abgefragt und nicht bei jedem Entsperren.
So macht es dann natürlich kein Sinn, die Sicherheitsdatei nur auf dem USB Stick zu speichern.
Zum Vergrößern anklicken....
Also Schlüsseldateien kannst du jederzeit anlegen für deine keepass-Datenbanken. Kannst also nachgträglich eine Schlüsseldatei erstellen. Hab Schlüsseldateien als 2ten Faktor benutzt fürs Smartphone (Master-Passwort + Schlüsseldatei). Mittlerweile bin ich aber auch auf das Yubikey-Konzept umgestiegen. Wenn dein Smartphone NFC hat und du einen Yubikey mit NFC hast, dann kannste per Challenge Response deine Datenbank entsperren. Hälste den Yubikey nur mal ans Handy :) Das kannste natürlich auch noch mit Masterpasswort zusätzlich absichern. Alternativ kannste den Yubikey natürlich auch in den USB-Anschluss vom Smartphone stecken. Aber per NFC ist eleganter. Mit KeePass DX funktioniert das auf jeden Fall, aber auch wie in meinem Fall mit KeePass2Android.
Wenn du übrigens Keepass de- und wieder reinstallierst, ändert das nix an den Schlüsseldateien und deinen Datenbanken. Wenn deine Datenbank mit Schlüsseldatei oder was auch immer abgesichert ist, dann bleibt das so, bis du es manuell änderst :) Und wenn du eine Schlüsseldatei erstellst für deine Datenbank, dann wirste die immer brauchen bei jedem entsperren. Das ist der Sinn der Sache ;)
 
  • Gefällt mir
Reaktionen: _TR_
_TR_ schrieb:
20 Charaktere mit Klein-und Großbuchstaben, Zahlen, und mit "-"und "_". Aber keine Sonderzeichen.
Ich denke mal ist schon sicher oder?
Zum Vergrößern anklicken....
Na jetzt nicht mehr, da Du den Suchraum eingeschränkt hast.
Jetzt brauche ich nicht mehr Passwörter durchprobieren, die länger oder kürzer als 20 Zeichen sind. Außerdem weiß ich, das alles rausfällt was schon mal nur aus Buchstaben, nur aus Zahlen etc. besteht.
Dein Passwort ist so gut wie erraten. ;-)

btw.:
  • Passwortmanager bieten i.d.R. eine Funktion an, um sichere Passwörter zu erstellen.
  • Es gibt auch Programme dafür, wie man die Passwortstärke testen kann wie zum Beispiel zxcvbn.
  • Gut ist, wenn das Passwort sehr lang sein darf (natürlich müssen dann auch alle Stellen signifikant sein). Dann kannst Du auch einen ganzen natürlichen Satz als Passwort nehmen. Das ist dann auf der einen Seite gut zu merken. Auf der anderen Seite ist bei großer Länge dann auch egal, wenn keine Zahlen und Sonderzeichen darunter sind, weil der Suchraum trotzdem sehr groß ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: _TR_
@Oli_P
Ja, NFC habe ich. Das wäre so natürlich praktisch.
Kann ich so einen Yubikey einfach auf Amazon kaufen? oder lieber auf yubico.com?
Und noch eine Frage hätte ich:
Was passiert denn, wenn der Yubikey nicht mehr funktioniert oder defekt ist? Dann kann ich doch meine Datenbank nicht mehr verwenden oder?
Sollte ich lieber direkt mehrere Backups anlegen, also von Yubikey? geht das?
Sorry für die vielen Fragen. Will nichts falsch machen, und dennoch so sicher wie möglich unterwegs sein :)

@andy_m4
also meinst du es ist sicherer, ein Passwort mit sagen wir Mal nur 40 Buchstaben zu erstellen, dass nur aus Wörtern oder Sätzen besteht als ein Passwort mit 15-20 Charakteren mit Buchstaben, Zahlen, und Sonderzeichen?
Der Link den du gepostet hast: ist das ein Programm für den PC? weiß nicht genau, wie ich es installieren soll. muss ich mir Mal genauer anschauen.
 
Ich hab meine YubiKeys über Amazon gekauft. Kannste natürlich auch direkt beim Hersteller kaufen.
Wenn du einen YubiKey nutzen möchtest, um deine Datenbank in KeePass DX zu öffnen, dann wirst du Challenge Response nutzen müssen. Ich weiss grad nicht, ob eventuell andere Möglichkeiten existieren (wie OATH-HOTP). Du brauchst auf deinem Rechner eine der Yubico-Apps... Entweder YubiKey Personalization Tool, YubiKey Manager oder Yubico Authenticator. Du steckst deinen YubiKey 5 NFC in den USB-Port am Rechner, startest die gewünschte App und konfigurierst Challenge Response. Du musst einen Secret Key eingeben, den musste auch an sicherer Stelle verwahren (auf keinen Fall verlieren!). Dieser Secret Key (das ist kein Passwort um die Datenbank zu entsperren!) bleibt nun gespeichert auf deinem YubiKey. Dann verschlüsselst du deine Datenbank mit Challenge Response und demselben Secret Key. Mach aber vorher sicherheitshalber Backups deiner Datenbank ohne Verschlüsselung (für den Fall der Fälle).
Ich hab das auf dem Rechner gemacht mit KeePass 2. Aber da brauchste dann auch ein Plugin in KeePass 2. KeePass XC kann das von Haus aus. Aja und in KeePass DX brauchste ne Zusatz-App für den YubiKey. So wars zumindest bei mir, als ich es gestestet hatte. Hab aber irgendwo gelesen, dass dieses Feature in KeePass DX integriert werden soll?
Achja, solltest mindestens 2 YubiKeys haben. Einer ist der "Ersatzschlüssel". Du konfigurierst den genauso wie den ersten.
Am Ende solltest du dann fähig sein, deine Datenbank auf dem Handy zu entsperren, indem du den YubiKey über dem NFC-Sensor deines Handys hält. Ich mach das mit KeePass2Android. Wenns funktioniert, vibriert das Handy auch kurz bei mir.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: _TR_
_TR_ schrieb:
ist das ein Programm für den PC?
Zum Vergrößern anklicken....
Es ist ein Python-Programm. Es läuft (so ziemlich) überall dort, wo auch Python läuft.

_TR_ schrieb:
also meinst du es ist sicherer, ein Passwort mit sagen wir Mal nur 40 Buchstaben zu erstellen, dass nur aus Wörtern oder Sätzen besteht als ein Passwort mit 15-20 Charakteren mit Buchstaben, Zahlen, und Sonderzeichen?
Zum Vergrößern anklicken....
Naja. Man kann es ja ganz simpel rechnen, wieviel mögliche Kombiationen es gibt.
Und das ergibt sich aus Passwortlänge und und der Anzahl der Zeichen, die Du nehmen kannst.
Es gibt 26 (klein)Buchstaben plus Leerzeichen.
26^40 macht
397131118389635994560666234198316439032157304558637285376
mögliche Kombinationen.

Bei 20 Stellen aber mit 26 Kleinbuchstaben + 26 Großbuchstaben + 10 Ziffern + von mir aus 30 Sonderzeichen kommen wir auf 92^20 macht
1886933291627965536395870951737944702976
mögliche Kombinationen. Trotz deutlich größerer Zeichenmenge sticht dann halt die Anzahl der Stellen deutlich.

Zugebenermaßen ist die Rechnung nicht ganz fair. Wenn der Angreifer weiß, das du reale Wörter verwendest, reduziert das den Suchraum natürlich deutlich. Aber gegen normale Brute-Force-Attacken hast Du ein deutlich höheren Schutz.
Aber wichtig ist halt, das die Stellen auch wirklich signifikant sind. Sprich dann auch wirklich alle berücksichtigt werden.
 
  • Gefällt mir
Reaktionen: _TR_
@Oli_P
vielen Dank für die Erklärung. Muss ich mich mal genauer damit beschäftigen. Das mit der zusätzlichen App usw. wusste ich nicht.
Ich werde es mir mal genauer anschauen.
Aber ist halt blöd, dass bei jedem Entsperren der Schlüssel abgefragt wird.
Ich dachte, es läuft wie bei allen anderen Apps. Zum Beispiel mit meiner Kreditkarten App. Da muss ich mich auch immer entweder mit Email oder Telefonnummer zusätzlich zum Passwort verifizieren.
Und wenn "dieses Gerät merken" klicke, wird dann danach nicht mehr gefragt. Es sei denn ich deinstalliere die App und installiere sie wieder.
Sowas für Keepass gibt es nicht oder doch?
Vielleicht mit einer Authenticator App?

@andy_m4
danke für die Aufklärung.
Dann wird es wieder Zeit, das Passwort zu ändern :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Q
iPhone: Apple-ID nachträglich geändert - wie rückgängig zu machen?
Antworten
10
Aufrufe
1.837
chrigu
chrigu
Frau Erdmann
Bitlocker nachträglich aktivieren
Antworten
19
Aufrufe
2.923
DocWindows
D
Reaper75
Bitlocker USB-Stick nachträglich erstellen..nur wie?
Antworten
1
Aufrufe
3.239
Terrier
T
Old Knitterhemd
Leserartikel KeepassXC & Keepass2Android
2
Antworten
39
Aufrufe
34.444
fax668
fax668
Jossy82
Selbst gehosteter Wrath of the Lichking Server mit Bots
2
Antworten
25
Aufrufe
3.985
Jossy82
Jossy82
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz