YubiKey 5 NFC und Keepass DX (Android)

[Oli_P]

Hi,

Nach und nach möchte ich mich verabschieden von Passwörter und Keyfiles (für KeePass 2) und vermehrt auf Hardware-Schlüssel setzen. Aktuell probier ich mal nen YubiKey 5 NFC aus. Der Schlüssel an sich verbindet sich problemlos mit meinem Handy (Android 13) über NFC.
Nun habe ich kdbx-Dateien auf Dropbox liegen, welche ich mit KeePass DX auf dem Handy öffnen will. Eine der Datenbanken ist aktuell mit Master-Passwort und Keyfile verschlüsselt. Möchte die Verschlüsselung ändern in Challenge-Response, um die Datenbank mit dem YubiKey zu öffnen. Das funktioniert sogar, also die Datenbank wird geöffnet. Wenn ich nun dieselbe Datenbank über Dropbox auf meinem PC öffnen will, dann verweigert KeePass 2 den YubiKey.
Ich nehme dieselbe Datenbank auf dem Handy und setz die Verschlüsselung wieder um in Passwort + Keyfile. Danach kann ich diese Datei wieder auf dem Rechner öffnen von Dropbox aus.
Jetzt mach ich dasselbe Spiel auf dem Rechner. Also verschlüssele die gewünschte Datenbank neu mit meinem YubiKey. Die Datenbank lässt sich dann auch so öffnen. Aber dann gehts auf dem Handy nicht mehr Der YubiKey wird verweigert (welcher ne Minute vorher am PC noch funktionierte).
Es ist nur challenge-response aktiv für die Datenbank, also kein Master-Passwort (auch kein "leeres"), kein Keyfile... Ich hab den Eindruck, als ob KeePass 2 und KeePass DX nicht 100% kompatibel sind? Oder klappt das synchen irgendwie nicht richtig? Hatte mich schon gefreut, als ich erfuhr dass KeePass DX mit YubiKeys zusammenarbeitet. Bekomm ich mit Keepass2Android nicht hin, da wird noch nicht mal der Schlüssel erkannt. Aber KeePass DX kann das und grundsätzlich funktioniert es auch. Was noch nicht funktioniert, scheint das synchen zu sein? Aber da wurde was gemacht, man sieht dass der Zeitstempel der Datei auf Dropbox sich geändert hat.

Also damit ich die Datenbanken überhaupt öffnen kann in KeePass DX muss ich die Dropbox-App auf dem Handy haben. Die hatt ich vorher noch gar nicht. Man installiert ja die App und kann auf Dropbox zugreifen. So kann ich dann in KeePass DX den Dropbox-Ordner auf dem Handy öffnen, in welchem die Dateien synchronisiert werden, damit man auch offline Zugriff hat.

 

[using_e]

Ich habe mich jetzt einmal innerhalb der letzten Stunde durch die GitHub Page und das zugehörige Wiki von KeePassDX gewühlt.

So wie es aussieht, funktioniert es nur mit KeePassXC. KeePass2 dürfte in Verbindung mit dem YubiKey eine andere Methode verwenden, welche lt. KeepassDX Author nicht kompatibel ist.

Hardware Key KeyPassDX Wiki

D.h. mit KeePassXC funktioniert es, mit KeyPass2 nicht.

Ich starte hier jetzt jedoch keine Diskussion über „was ist besser KeePassXC oder KeePass2“. Das funktioniert in etwas gleich gut wie „Intel ist besser als AMD“ oder umgekehrt.
Ohne mich, das muss jeder selbst wissen.

 

[Oli_P]

Nee, geht sich mir um keine "was ist besser-diskussion". KeePass DX und KeePass 2 können mit YubiKeys umgehen, man muss eine zusätzliche App auf dem Handy vomselben Hersteller installieren (Key Driver). Bei KeePass 2 braucht man spezielle Plugins. Ich hab das probiert und eine Datenbank auf dem Handy in KeePass DX geöffnet, indem ich den YubiKey unten ans Handy hielt. Und auf dem PC hab ich mit KeePass 2 Datenbanken mit YubiKeys und Challenge Response und HOTP geöffnet.
Ich glaub, das Problem ist nicht die App oder der YubiKey. Etwas funktioniert nicht richtig mit dem synchen.
Ich öffne die Datei auf dem Rechner in KeePass 2, aber direkt von Dropbox. Nun ändere ich die Verschlüsselung in Challenge-Response und hinterlege den Secret Key. Danach kann ich die Datenbank am Rechner so öffnen. Am Handy aber nicht. Am Handy muss ich trotz, dass die Datei mit Dropbox synchronisiert sein sollte (ich öffne die Datei ja lokal auf dem Handy), weiterhin Keyfile und Master-Passwort haben. Er hat nicht synchronisiert. Ich muss mir das nochmal genauer anschauen.
Und ja, mit KeePass XC funktionieren auch YubiKeys. Alles schon getestet Aber ich mag KeePass XC im allgemeinen weniger als KeePass 2

 

[Oli_P]

Ich komme zum Schluss, dass in KeePass 2 mit dem YubiKey verschlüsselten Datenbanken sich nicht in KeePass DX öffnen lassen. Ich kann aber Datetnbanken in KeePass DX öffnen mit dem YubiKey, wenn diese auch mit KeePass DX verschlüsselt wurden. Das funktioniert perfekt. Aber das bringt mir ja nix. Ich möchte dieselben Datenbanken geräteunabhängig öffnen können mit demselben YubiKey. Denn bisher wars so, dass wenn ich auf dem Handy eine Änderung in meiner Datenbank mache, dann kann ich später auf dem PC dieselbe Datenbank öffnen und sehe dann auch die Änderungen. Aber bisher hatte ich die Datenbanken auch nicht mit dem YubiKey verschlüsselt. Es funktioniert aktuell nur, wenn ich getrennte Datenbanken für Handy und PC nutze, welche nicht synchronisiert werden. Find ich jetzt blöd. Aber kann auch nicht verstehen, warum das nicht funktioniert. Wird sicherlich eine Erklärung bzw. Lösung dafür geben. Hab mich auch nur ein paar Stunden bisher damit beschäftigt.
Was aber auch komisch ist, diese Datenbank lässt sich von Dropbox auf PC (KeePass 2) und Handy (KeePass DX) öffnen, wenn ich Master-Passwort und Keyfile nutze. So wirds auch aktuell erstmal bleiben. Aber ich versuch natürlich, das Maximum aus dem YubiKey 5 NFC rauszuholen. Ich vermute nun wieder, dass es nix mit dem synchen unter Dropbox zu tun hat, es ist tatsächlich die App schuld. Ich hab noch andere kdbx-Dateien, welche nur mit Challenge-Response verschlüsselt sind und sich alle in KeePass 2 öffnen lassen. Aber diese Datenbanken wurden auch verschlüsselt mit KeePass 2. Aber KeePass DX will diese nicht öffnen. Da ist irgendein Unterschied zwischen KeePass 2 und DX. Hatte noch nen anderen KeePass-Fork für Android gesehen, Kpass oder so. Den schau ich mir als nächstes an.

 

[Oli_P]

Okay, habs geschafft Aber nicht mit KeePass DX, sondern mit KeePass2Android. Aber auch hier gibst eine kleine Zusatzapp fürs Handy, damit man einen YubiKey nutzen kann. Die App nennt sich ykDroid.
Um eine Datenbank über Dropbox in KeePass2Android zu öffnen, wähl ich für Hauptschlüssel "Passwort und Challenge-Response". Dann Master-Passwort eingeben und unter dem Passwort-Feld ist ein Button "OTP-Hilfsdatei laden". Wenn ich darauf tippe, verlangt KeePass2Android den YubiKey. Man hält den ans Gehäuse, das Smartphone vibriert, zieht den YubiKey weg, drückt ok und ist wieder im Anmeldebildschirm. Nun entsperren drücken und Datenbank ist offen. Jetzt kann ich auch auf dem PC genau dieselbe Datenbank über Dropbox öffnen und mit dem YubiKey + Master-Passwort entsperren. Hab also jetzt 2 Faktoren für meine Handy-Datenbank. Hatte ich aber auch vorher, nur vorher wars ein Keyfile.
Es war tatsächlich die App schuld vorher, das ging echt nicht. Bin jetzt überrascht, dass es KeePass2Android ist, mit welchem ich das Problem schlussendlich doch gelöst hatte. Hatte nicht gedacht dass das geht. Aber die Zusatzapp ykDroid ist wichtig.
Okay, jetzt krieg ich auch andere Dateien aus Dropbox in Keepass2Android geöffnet und nutze den YubiKey zum entsperren. Und diese Dateien sind nur mit Challenge-Response verschlüsselt. Ich vesteh grad nicht, warum das vorher nicht ging. Aber es geht ja jetzt und mein Ziel ist erreicht. Kann kdbx-Dateien von Dropbox auf dem Handy entsperren mit dem YubiKey und dieselbe Datei auch hinterher mit KeePass 2 auf dem Rechner entsperren mit demselben YubiKey