KeePass Schlüsseldatei (Key File) sinnvoller Speicherort

Wilhelm14 · 9. Februar 2016

Hallo liebe CBler,

ich nutze KeePass http://keepass.info/ von mehreren Geräten aus und habe die Datenbank *.kbdx dazu auf einem NAS liegen. Zusätzlich zum Hauptpasswort würde ich gerne sinnvoll die Schlüsseldatei (Key File) *.key benutzen. Im ersten Moment würde ich aus praktischen Gründen die *.key auch auf das NAS legen. Liegt die *.key nun neben der *.kbdx, wird sie kein Sicherheitsgewinn sein.

Wenn ich sie nun nicht auf dem NAS habe, muss ich sie auf die Clients kopieren. Und da zweifel ich wieder an dem Sicherheitsgewinn. In jedem Fall zeigt mir KeePass oder Keepass2Android beim Öffnen im Verlauf so oder so den Speicherort der *.key an. Sehe ich das richtig, dass die *.key nur etwas bringt, wenn sie an einem dritten Ort liegt, z.B. auf einem USB-Stick, den ich zur Öffnung der Datenbank extra an den Rechner stecken muss?

Kronos60 · 9. Februar 2016

Ich habe die Datei einfach auf meiner Datenpartition, ist ja verschlüsselt da kann normal nichts passieren.

Wilhelm14 · 9. Februar 2016

Welche Datei, die kbdx oder die key? Sofern ich es nicht falsch verstanden habe, ist die *.kbdx verschlüsselt, die *.key nicht, sie dient nur als Schlüssel. Liegt der Schlüssel vor der Tür, kann ihn jeder ins Schloss stecken. So ist es doch, wenn man auf die *.key Zugriff hat.

Kronos60 · 9. Februar 2016

Wilhelm14 schrieb:
Welche Datei, die kbdx oder die key?

Nur die kbdx, der Schlüssel ist nirgends gespeichert den habe ich im Kopf.

miac · 9. Februar 2016

Die Schlüsseldatei ist normalerweise was für eine SD Karte oder einen USB Stick.
Wenn deine KeePass Datei auf den NAS liegt, dann könntest Du die Schlüsseldatei auch direkt auf den Clients speichern. Optimalerweise sind diese selbst verschlüsselt und melden sich ans NAS an.

master.rv · 9. Februar 2016

Hi,

außer dem Passwort das ich eingeben muss, habe ich die Schlüssel Datei "pwsafe.key" auf meinen USB Stick. Das nutze ich auch zum PC Login, und wenn ich es abziehe dann wird der PC gesperrt. Auch das Admin Passwort ist gleich mit dem User Key. Es besteht aus 13 Zeichen, die ich selber nicht aus dem Kopf eingeben kann. Klar eine schriftliche Kopie, für den Notfall, habe ich auch. Sie liegt aber nicht in meiner Wohnung.

Wilhelm14 · 9. Februar 2016

@miac: Wenn ich nun aber die *.key auf dem Client speichere, ist sie doch nutzlos oder so sicher, wie ein Schlüssel, der in der Tür steckt, oder? Kann ich sie dann nicht gleich bleiben lassen und mir die Handhabung erleichtern?

http://keepass.info/help/base/keys.html da steht

The key file content (i.e. the key data contained within the key file) needs to be kept secret. The point is not to keep the location of the key file secret.

Je nach Verständnis widerspricht sich das. Wenn nicht die Geheimhaltung des Ortes wichtig ist, was dann? Der Inhalt kann einem Zugreifer doch egal sein, hauptsache, er hat die *.key.

@master.rv: Ja, die *.key auf einem Stick wäre sicher. Selbst wenn ein Angreifer weiß, die Datei liegt auf einem Stick, bräuchte er immer noch den Stick selbst. Allerdings wird es damit schwierig, wenn man eine App auf dem Smartphone nutzt, da man den Stick, wenn überhaupt nur schwierig, an das Telefon bekommt.

miac · 9. Februar 2016

Wilhelm14 schrieb:
@miac: Wenn ich nun aber die *.key auf dem Client speichere, ist sie doch nutzlos oder so sicher, wie ein Schlüssel, der in der Tür steckt, oder? Kann ich sie dann nicht gleich bleiben lassen und mir die Handhabung erleichtern?

Deswegen habe ich ja auch geschrieben:

Optimalerweise sind diese selbst verschlüsselt und melden sich ans NAS an.

Das Ziel kann ja auch sein, nur Keylogger auszusperren.

Wenn du optimale Sicherheit haben willst, brauchst du ein steckbares Medium.

Wilhelm14 · 10. Februar 2016

Irgendwie beantwortet das für mein Verständins immer noch nicht die Frage, ob eine *.key auf dem Smartphone hinterlegt ein Plus an Sicherheit ist oder nicht. Unabhängig davon, ob das Smartphone nun selbst gesichert ist. Es geht mir rein um Sinn oder Unsinn der *.key.

tiash · 10. Februar 2016

Wenn dein NAS auf irgend eine Art und Weise kompromittiert und die Datenbank von dort entwendet wird, dann bietet dir eine Schlüsseldatei zusätzliche Sicherheit (Annahme: es wird nur das NAS angegriffen, z.B. durch eine Lücke im Webinterface).

Wenn der Angreifer über einen Client aufs NAS gelangt, dann hat er natürlich gleichzeitig Schlüsseldatei und Datenbank.

Es hängt also schlicht und ergreifend vom Angriffsszenario ab, ob die Schlüsseldatei auf dem Client einen Sicherheitsgewinn bringt.

miac · 10. Februar 2016

So sehe ich das auch.

Wilhelm14 · 10. Februar 2016

Genau, die Szenarien versuche ich halt gedanklich durchzuspielen.

tiash schrieb:
Wenn dein NAS auf irgend eine Art und Weise kompromittiert und die Schlusseldatei von dort entwendet wird, dann bietet dir eine Schlüsseldatei zusätzliche Sicherheit (Annahme: es wird nur das NAS angegriffen, z.B. durch eine Lücke im Webinterface).

Müsste beim fett markiertem nicht Datenbank statt Schlüsseldatei stehen? KeePass mit zusätzlicher Schlüsseldatei sollte doch nur sicher sein, wenn ein Angreifer auf dem NAS nur die Datenbank entwendet, aber nicht die Schlüsseldatei. Wird vom NAS die Schlüsseldatei samt Datenbank entwendet, ist die Schlüsseldatei doch nichts wert.

Also bringt die Verwendung der Schlüsseldatei nur etwas, wenn diese wirklich weder auf dem NAS, noch auf dem Client hinterlegt ist, sondern z.B. nur von einem drittem Ort wie einem Stick kommt. Die Schlüsseldatei sichert also nur, wenn sie nicht da ist. Weder auf dem NAS, noch auf dem Client.

Und anders, selbst wenn die Schlüsseldatei da ist, ist es für einen Angreifer nicht einfacher als wenn die Datenbank rein mit Passwort belegt ist. Das Passwort selbst braucht man (je nach Einrichtung) in jedem Fall.

tiash · 10. Februar 2016

Wilhelm14 schrieb:
Müsste beim fett markiertem nicht Datenbank statt Schlüsseldatei stehen?

Natürlich, du hast vollkommen recht. Da habe ich mich verschrieben. Wird sofort korrigiert

.

Also bringt die Verwendung der Schlüsseldatei nur etwas, wenn diese wirklich weder auf dem NAS, noch auf dem Client hinterlegt ist, sondern z.B. nur von einem drittem Ort wie einem Stick kommt. Die Schlüsseldatei sichert also nur, wenn sie nicht da ist. Weder auf dem NAS, noch auf dem Client.

Genau das habe ich doch versucht, zu erklären. Wenn es einen Angriffsfall gibt, in dem man auf dein NAS allein zugreifen kann, dann hilft die Schlüsseldatei sehr wohl, weil es typischerweise nicht möglich ist, vom NAS auf die Clients zu gelangen, sondern nur umgekehrt.

Wilhelm14 · 10. Februar 2016

tiash schrieb:
...dann hilft die Schlüsseldatei sehr wohl...

Wirklich? Gedankenspiel!

Fall 1: Hauptpasswort und Schlüsseldatei: Ort 1: NAS nur mit kbdx. Ort 2: Smartphone mit Hauptpasswort und hinterlegter Schlüsseldatei. Von einem dritten Ort wie einem Stick kann ich die Schlüsseldatei nicht einbinden.

Fall 2: Hauptpasswort keine Schlüsseldatei: Ort 1: NAS nur mit kbdx. Ort 2: Smartphone nur mit Hauptpasswort.

In beiden Fällen ist ein reiner Zugriff auf das NAS abgesichert, da die kbdx alleine nichts wert ist. In beiden Fällen müsste ein Angreifer zusätzlich Zugriff auf das Smartphone haben. Für mein Verständnis ist Fall 1 trotz Schlüsseldatei nicht sicherer, da bei einem Angriff die Schlüsseldatei hinterlegt ist und nicht von einem dritten Ort kommt.

Liege ich falsch?

tiash · 11. Februar 2016

In gewisser Hinsicht hast du natürlich recht. Allerdings hängt die Sicherheit der Schlüsseldatenbank von verschiedenen Faktoren ab, die unter Umständen einem Angreifer in die Hände spielen können.
Punkt 1: Menschen sind faul. Deshalb kann man allgemein nicht davon ausgehen, dass das Passwort sicher gewählt wird. Gelangt ein Angreifer an die Datenbank, kann er möglicherweise das Passwort bruteforcen.
Punkt 2: Das Passwort ist dem Angreifer bekannt. Entweder durch 'Shoulder Surfing' (Angreifer schaut bei der Eingabe heimlich über die Schulter) oder weil es auch bei einem anderen Dienst verwendet wurde.
Punkt 3: Die Schlüsselableitungsfunktion, die aus dem Passwort den Datenbankschlüssel bildet, hat eine Designschwäche, die bisher noch unbekannt ist. Dadurch könnten auch vermeintliche starke Passwörter recht effizient gebrochen werden.

Die Schlüsseldatei verlängert im Prinzip das eingegebene Passwort um eine beliebig komplexe Zeichenkette. Während ein Angreifer ohne Schlüsseldatei und ohne Auslesen des Passworts auf dem Client in allen drei Fällen Zugriff auf die entschlüsselten Passwörter erhält, schützt eine zusätzliche Schlüsseldatei in allen Fällen.

Wie realistisch diese Szenarien sind, muss jeder für sich persönlich abwägen.

Wilhelm14 · 11. Februar 2016

Danke für die Bestätigung. Ich war mir nicht sicher, ob ich einen Gedankenfehler habe.

Ein weiteres oder anders ausgedrücktes Szenario. Schlüsseldatei und Hauptpasswort sind auch bei öffentlich zugänglicher Schlüsseldatei nicht unsicherer als die reine Nutzung eines Hauptpasswortes ohne Schlüsseldatei?

tiash · 11. Februar 2016

Was heißt denn hier Bestätigung?

Wilhelm14 schrieb:
Für mein Verständnis ist Fall 1 trotz Schlüsseldatei nicht sicherer, da bei einem Angriff die Schlüsseldatei hinterlegt ist und nicht von einem dritten Ort kommt.

Meiner Meinung nach habe ich diese Aussage klar widerlegt. Es gibt eben Fälle, in denen es doch einen Sicherheitsgewinn bringt.

Zu deinem letzten Szenario: Ja, eine kompromittierte Schlüsseldatei reduziert die Sicherheit auf das Passwort, genau so, als wäre nie eine Schlüsseldatei angelegt worden.

Wilhelm14 · 11. Februar 2016

Also ist im schlimmsten Fall der Einsatz der Schlüsseldatei so sicher/unsicher, als hätte ich gar keine. Du sagst ja selbst im letzten Satz, dass die Sicherheit dann auf das Hauptpasswort reduziert wird, aber nicht weiter geschmälert. Für mich ist eine vorliegende Schlüsseldatei wie ein Schlüssel, der im Zusatzschloss einer Tür steckt. Steckt er, ist er kein Gewinn. Die Sicherheit ist aber auch nicht schlechter, als wenn man gar kein Zusatzschloss hätte.

Aber stimmt, es gibt andere Szenarien, jemand greift aufs NAS zu und kennt - aus irgendeinem Grund - mein Hauptpasswort. Er müsste beim Einsatz einer Schlüsseldatei zusätzlich noch das Smartphone mit dieser Datei in die Finger bekommen.

crashbandicot · 12. Februar 2016

Wilhelm14 schrieb:
In jedem Fall zeigt mir KeePass oder Keepass2Android beim Öffnen im Verlauf so oder so den Speicherort der *.key an.

Das ist aber nur ne Einstellungssache. Kann (und sollte) man deaktivieren. Ansonsten würde ich einfach eine Galerie mit ein paar hundert Fotos erstellen und davon eine Datei als Key File wählen. Können auch kleine Dateien sein (.ico), Hauptsache es fällt nicht groß aus und die Auswahl erschlägt einen.

Kronos60 · 12. Februar 2016

Wilhelm14 schrieb:
Also ist im schlimmsten Fall der Einsatz der Schlüsseldatei so sicher/unsicher, als hätte ich gar keine. Du sagst ja selbst im letzten Satz, dass die Sicherheit dann auf das Hauptpasswort reduziert wird, aber nicht weiter geschmälert.

Genau, ich habe auch nur ein Hauptpasswort und keine Keydatei. Ist auch nicht unbedingt notwendigt.

KeePass Schlüsseldatei (Key File) sinnvoller Speicherort

Fleet Admiral

Commander

Fleet Admiral

Commander

miac

Gast

master.rv

Gast

Fleet Admiral

miac

Gast

Fleet Admiral

Lt. Junior Grade

miac

Gast

Fleet Admiral

Lt. Junior Grade

Fleet Admiral

Lt. Junior Grade

Fleet Admiral

Lt. Junior Grade

Fleet Admiral

Commander

Commander

Ähnliche Themen