keepass-file - was mach ihr mit dem masterpasswd:

Einfach Dinge, die nichts mit XAMPP, Apache Friends, Apache, MySQL, PHP und alle dem zu tun haben. Allerlei halt. ;)

keepass-file - was mach ihr mit dem masterpasswd:

Postby unleash_it » 24. January 2023 22:53

hallo und guten Tag,

Habe heujte eine Frage die sich nich mit OpenOffice oder Libreoffice beschäftigt - sie ist mir aber dennoch wichtig - deshalb will
ich sie gerne stellen.

das Thema heute: KEEPass einrichten und Masterpassword sicher ablegen...

wo auf dem Rechner oder (überhaupt) legt ihr euer keepass- File ab? Darüber hinaus: wie aufwändig ist euer masterpasswd - sehr oder nicht so sehr? Es ist ja so: KeePass bringt mit Keyfiles schon viel viel mehr sicherheit: Frage aber - wo legt ihr denn das file ab!? es ist ja so: Sollte das Masterpasswort abhandenkommen, lässt sich mit der Datenbank nichts anfangen, solange nämlich die Schlüsseldatei fehlt.

Also - gehen wir mal von dem Fall aus - ihr wollt mehr Sicherheit: Wenn man mit Keyfile arbeitet: dann ist das so: Es ist also immer die Kombination aus Datenbank, Schlüsseldatei und Masterpasswort erforderlich.

Dennoch: Das oben gesagte, das bedeutet natürlich nicht, dass das gewählte Masterpasswort dadurch
unwichtiger wird. Ich denke, dass man trotz Keyfile ein extrem sicheres Passwort wählen sollte.
Also - Fazit: Schließlich sollen damit alle anderen Passwörter geschützt werden. Und Verschlüsselung ist immer nur so gut wie das gewählte Passwort.

Nun kommt die Frage: welche Methode verwendet ihr
a. bei der Generierung eines Masterpassworts
b. bei der Ablage der Keyfile!?

Welche Risiken bezieht ihr mit ein:
- Datenverlust
- gehackter Passswortfile
- oder andere Risiken mehr...!?

auf der Wikiseite über Keepass steht das folgende: https://de.wikipedia.org/wiki/KeePass

Zitat
...in Angriff auf die Datenbank bei mittelmäßig sicherem Passwort wird damit erheblich erschwert. Liegt die Passwort-Datenbank auf einem öffentlich zugänglichen Laufwerk, können Passworte zwischen Rechnern synchronisiert werden,

viele Gruesse
User avatar
unleash_it
 
Posts: 754
Joined: 10. December 2011 18:32
Operating System: linux opensuse 12.1

Re: keepass-file - was mach ihr mit dem masterpasswd:

Postby Altrea » 25. January 2023 10:31

Hi,

unleash_it wrote:wo auf dem Rechner oder (überhaupt) legt ihr euer keepass- File ab?

Verschlüsselt in der Cloud, im Idealfall auf einem eigenen Cloud-Server. Der sollte dann nur ein bombensicheres Sicherungskonzept besitzen.

unleash_it wrote:Darüber hinaus: wie aufwändig ist euer masterpasswd - sehr oder nicht so sehr? Es ist ja so: KeePass bringt mit Keyfiles schon viel viel mehr sicherheit: Frage aber - wo legt ihr denn das file ab!? es ist ja so: Sollte das Masterpasswort abhandenkommen, lässt sich mit der Datenbank nichts anfangen, solange nämlich die Schlüsseldatei fehlt.

Im Optimalfall benutzt du kein Keyfile sondern eine andere Art der 2FA/MFA, zum Beispiel einen Yubikey.
Die Komplexität des Masterpasswortes hängt vom eigenen Sicherheitsempfinden ab. Benutzt man seinen Passwortsafe konsequent, lohnt sich der Aufwand, ein möglichst langes kryptisches Passwort auswendig zu lernen (und zur Sicherheit ausgedruckt im Bankschließfach zu legen, falls man es doch einmal vergisst). Also sowas wie 16 Zeichen aufwärts.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 11926
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 11 Pro x64

Re: keepass-file - was mach ihr mit dem masterpasswd:

Postby unleash_it » 25. January 2023 14:43

Hallo und guten Tag Altrea, :D

vielen Dank für deine Rückmeldung u. das Teilen deines Ansatzes und deiner Ideen hierzu:

... echt in der Cloud..!?

Optimalfall benutzt du kein Keyfile sondern eine andere Art der 2FA/MFA, zum Beispiel einen Yubikey. Die Komplexität des Masterpasswortes hängt vom eigenen Sicherheitsempfinden ab. Benutzt man seinen Passwortsafe konsequent, lohnt sich der Aufwand, ein möglichst langes kryptisches Passwort auswendig zu lernen (und zur Sicherheit ausgedruckt im Bankschließfach zu legen, falls man es doch einmal vergisst). Also sowas wie 16 Zeichen aufwärts.


.... Das sind sehr sehr wertvolle Gedanken. Ich hab mir mal überlegt wie es ist bei den folgenden drei Risiken...


a. The risk of the file being hacked
b. The risk of losing the file because of disk errors.
c. The risk of burglary / fire

cf https://askubuntu.com/questions/562879/ ... sword-file


The risk of the file being hacked
Assuming you have a strong password to open the file, you may assume the KeePass file is rather safe (also see the tip of @gertvdijk at the bottom), however:
If the time to attempt to hack the file is unlimited, everything can be hacked A location that is (potentially) publically accessible to others is not a good idea, Dropbox or other clouds included.
You should also make sure others will not be able to copy the file for "further processing".

The risk of losing the file because of disk errors.
One thing is sure: there comes an end to the life of all disks. That means you should at least have a backup of your file on a (physically) other location.

The risk of burglary / fire
It sounds a bit overkill, but if you use your passwords in a professional (e.g. services to others) environment, and passwords include access to private data of others, you should make sure you also have a backup of the file on another (secure) location, so that you can at least change passwords quickly in case of accidents.
If I go on vacation, I make a backup of all my important data and keep it in a safe on another


Sicher - das sind sehr sehr spezielle Fälle: Hmm ich denke dass wenn mans´ pragmatisch anstellt, und die .kdbx-Datei lediglich mit einem halbwegs gutem Masterpasswort versieht, dann hat man ggf. schon einiges für die Sicherheit der PW-Datenbank gemacht.

Du empfiehlst die Cloud: Also in der Cloud - ich hab das schon öfter gehoert. Ich lagere meine PW-Datenbank lokal auf dem Rechner und als Backup auf anderen externen Datenträgern. In der Cloud - das hab ich noch nicht probiert. Ein zusätzliches Keyfile nutze ich derzeit nicht. Ich verlasse mich einfach mal drauf, dass mein Master-PW sicher genug ist.

Benutzt man seinen Passwortsafe konsequent, lohnt sich der Aufwand, ein möglichst langes kryptisches Passwort auswendig zu lernen (und zur Sicherheit ausgedruckt im Bankschließfach zu legen, falls man es doch einmal vergisst). Also sowas wie 16 Zeichen aufwärts


Ja das denke ich auch!!! Das sind gute Ansätze.

Vielen Dank nochmals für deine Ideen u. das Teilen deines Ansatzes

Viele Grüße und noch einen schönen Tag.

Unleash_it :D
User avatar
unleash_it
 
Posts: 754
Joined: 10. December 2011 18:32
Operating System: linux opensuse 12.1

Re: keepass-file - was mach ihr mit dem masterpasswd:

Postby Altrea » 25. January 2023 20:16

unleash_it wrote:... echt in der Cloud..!?

Du musst es ja irgendwo haben, wo du von überall aus darauf zugreifen kannst. Am Besten hochverfügbar.
Oder du musst eine praktikable Lösung finden, Änderungen an der Passwortdatei bei Änderung auf alle deine Geräte zu synchronisieren.

a. The risk of the file being hacked

Besteht immer und überall. Das lässt sich nicht vollkommen ausschließen.
Selbst wenn ein Passwortsafe in höchster Verschlüsselung und MFA geschützt wird, letztenendes muss er in bestimmten Situationen entschlüsselt und geöffnet werden.
Ist zu diesem Zeitpunkt das Endgerät bereits mit schadsoftware kompromitiert, hilft auch alles andere nichts.
Die Hürde so hoch wie Möglich zu legen hilft aber vielleicht dabei, dass einem Hacker der Aufwand so hoch erscheint, dass der erwartete Nutzen in keinem Verhältnis mehr steht und er sich stattdessen lieber auf leichtere Ziele konzentriert.

b. The risk of losing the file because of disk errors.

Dieses Risiko besteht eigentlich nicht, wenn die Cloud-Sicherung örtlich getrennt aufbewahrt wird.
Ich benutze garnicht erst einen eigenen Cloud Server, sondern nutze einen der bekannten großen, Speichere meine Dateien dort aber verschlüsselt.
Das kannst du zum Beispiel über rclone ganz gut realisieren. Und dass bei Google oder Microsoft die Dateien durch Festplattenfehler verloren gehen halte ich jetzt mal für unwahrscheinlich, zumindest deutlich unwahrscheinlicher als bei einem eigenen Server oder PC.

c. The risk of burglary / fire

Auch dieses Risiko besteht eigentlich nicht mehr, wenn der Passwortsafe durch eine Cloud mit Sicherung abgesichert ist und der Yubikey durch einen zweiten abgesichert wird, der sich permanant an einem Sicheren Ort, z.B. einem Bankschließfach befindet. Der zweite Yubikey soll auch nur dazu dienen, den Verlust des ersten durch die Autorisation eines neuen Yubikeys auszugleichen.

Sicher - das sind sehr sehr spezielle Fälle: Hmm ich denke dass wenn mans´ pragmatisch anstellt, und die .kdbx-Datei lediglich mit einem halbwegs gutem Masterpasswort versieht, dann hat man ggf. schon einiges für die Sicherheit der PW-Datenbank gemacht.

Heutzutage würde ich eine Zugangsbeschränkung ohne 2FA/MFA als unnötig unsicher bezeichnen.

Du empfiehlst die Cloud: Also in der Cloud - ich hab das schon öfter gehoert. Ich lagere meine PW-Datenbank lokal auf dem Rechner und als Backup auf anderen externen Datenträgern. In der Cloud - das hab ich noch nicht probiert. Ein zusätzliches Keyfile nutze ich derzeit nicht. Ich verlasse mich einfach mal drauf, dass mein Master-PW sicher genug ist.

Wenn du deine Passwörter nicht am Handy, Tablet oder anderen Geräten brauchst, brauchst du auch keine Cloud. Eine Key Datei stellt aber im engeren Sinne keine 2FA Lösung dar, weil sie sich in diesem Fall auf demselben Gerät befindet, wie die Passwortdatenbank die es zu entschlüsseln gilt. Ich rate deshalb immer dazu entweder einen Authenticator als 2FA oder einen Yubikey oder ähnliches zu verwenden.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 11926
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 11 Pro x64

Re: keepass-file - was mach ihr mit dem masterpasswd:

Postby Nobbie » 25. January 2023 20:57

Ich benutze auch keepassXC, ich habe kein Keyfile. Das ist mir zu viel Gedöns.

Ich schütze die Datenbank nur durch ein Passwort. Wenn das jemand hackt, habe ich eben Pech gehabt. Der einzige Speicherort meines Passworts ist mein Kopf. Ich glaube ehrlich nicht, dass das jemand raten kann. Aber darf gerne jeder versuchen. Ist mir egal.
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: keepass-file - was mach ihr mit dem masterpasswd:

Postby unleash_it » 26. January 2023 12:42

Hallo und guten Tag ihr beiden,


vielen Dank Altrea und Nobbie, für den Austausch in diesem Thread. Dafür dass ihr hier nochmals zum Nachdenken bringt. Es ist m.E. wichtig wie man mit so Dingen wie dem Keepass (und dem Zugang bzw. der Absicherung) umgeht. Bin froh, hier von Euch zu hören.


Altrea, du schreibst

The risk of losing the file because of disk errors. : Dieses Risiko besteht eigentlich nicht, wenn die Cloud-Sicherung örtlich getrennt aufbewahrt wird. Ich benutze garnicht erst einen eigenen Cloud Server, sondern nutze einen der bekannten großen, Speichere meine Dateien dort aber verschlüsselt.


Das klingt einleuchtend. So kann man das auch sehen.

Das kannst du zum Beispiel über rclone ganz gut realisieren. Und dass bei Google oder Microsoft die Dateien durch Festplattenfehler verloren gehen halte ich jetzt mal für unwahrscheinlich, zumindest deutlich unwahrscheinlicher als bei einem eigenen Server oder PC.
J ja - das find ich auch überzeugend.

  The risk of burglary fire: Auch dieses Risiko besteht eigentlich nicht mehr, wenn der Passwortsafe durch eine Cloud mit Sicherung abgesichert ist und der Yubikey durch einen zweiten abgesichert wird, der sich permanant an einem Sicheren Ort, z.B. einem Bankschließfach befindet. Der zweite Yubikey soll auch nur dazu dienen, den Verlust des ersten durch die Autorisation eines neuen Yubikeys auszugleichen.


 zur Cloud: Wenn du deine Passwörter nicht am Handy, Tablet oder anderen Geräten brauchst, brauchst du auch keine Cloud. Eine Key Datei stellt aber im engeren Sinne keine 2FA Lösung dar, weil sie sich in diesem Fall auf demselben Gerät befindet, wie die Passwortdatenbank die es zu entschlüsseln gilt. Ich rate deshalb immer dazu entweder einen Authenticator als 2FA oder einen Yubikey oder ähnliches zu verwenden.


ja - was du schreibst das klingt überlegt - ich denke dass ich mir das auch mal näher ansehe mit dem Authenticator als 2FA resp. einen Yubikey!

vielen Dank!

Danke auch an dich, Nobbie - das klingt auch nach einer Lösung. 

Nobbie:
ich benutze auch keepassXC, ich habe kein Keyfile. Das ist mir zu viel Gedöns. Ich schütze die Datenbank nur durch ein Passwort. Wenn das jemand hackt, habe ich eben Pech gehabt. Der einzige Speicherort meines Passworts ist mein Kopf. Ich glaube ehrlich nicht, dass das jemand raten kann. Aber darf gerne jeder versuchen. Ist mir egal.


So gesehen hat man eben das Passwort für die Datenbank immer dabei


ich merke - es macht immer wieder Sinn über die (se) grundlegenden Dinge nachzudenken. Vielen Dank für den Austuausch in diesem Thread - dafür dass Ihr Eure Verfahren u. Ideen hier austauscht und teilt.

Das hilft mir weiter.

Viele Grüße u. euch noch einen schönen Tag.

Unleash_It
User avatar
unleash_it
 
Posts: 754
Joined: 10. December 2011 18:32
Operating System: linux opensuse 12.1


Return to Allerlei

Who is online

Users browsing this forum: No registered users and 15 guests