Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Bedenke bitte, dass der Finder des Sticks per Brute Force Dein Masterpassword angreifen wird. Und falls Du kein Heiliger bist wirst Du kein 20stelliges Passwort mit Sonderzeichen als MPW haben, dieses mithin eher früher denn später der Attacke zum Opfer fallen.
tl;dr: Kids, don't try this.
Bedenke bitte, dass der Finder des Sticks per Brute Force Dein Masterpassword angreifen wird. Und falls Du kein Heiliger bist wirst Du kein 20stelliges Passwort mit Sonderzeichen als MPW haben, dieses mithin eher früher denn später der Attacke zum Opfer fallen.
tl;dr: Kids, don't try this.
Stimmt, da war mal was. Allerdings ist das nur eine Bremse. Zusammen mit einem langen Passwort vermutlich ein vertretbares Risiko - aber Hand aufs Herz, wer verwendet langes Masterpasswort für Keepass?
Nun wirds zwar Off Topic, aber der TE verzeiht es mir hoffentlich: Kann ich Keepass mit einem Fido-Stick als zweitem Faktor verschlüsseln?
Brute Force kann bei Keepass ganz gut eingeschränkt werden, indem die Anzahl der Iterationen zur Schlüsselableitungsfunktion höher eingestellt wird. Ich habe beispielsweise 30000000 eingestellt und brauche damit ca. 1 Sekunde zum öffnen der DB. Das schränkt die Bruteforce-Fähigkeit schon ganz gut ein. Selbst wenn man nur Groß- und Kleinbuchstaben und Zahlen für ein 8-stelliges Passwort nutzt, hat man 62^8= 218.340.105.584.896 mögliche Kombinationen. Im Mittel hat man nach der Hälfte der Kombinationen das Passwort geknackt: 109.170.052.792.448 . Bei 1s/Kombination erhalten wir eine durchschnittliche Berechnungsdauer von 3,5 Mio Jahren. Wenn die Berechnung um den Faktor 1000 beschleunigt wird durch Technologie, haben wir immer noch 3,5 Tausend Jahre im Schnitt. Das sollte eigentlich reichen. Am besten zum Schlüssel auch noch eine Schlüsseldatei auswählen, die mit auf dem USB Stick unter vielen anderen Dateien ist, und es ist quasi unknackbar. Es sei denn Quantencomputer (dann haben wir aber auch noch andere Probleme) oder Angriffe auf den Verschlüsselungsalgorithmus sind erfolgreich, wobei dann auch ein langes nicht unbedingt hilft.
Stimmt, da war mal was. Allerdings ist das nur eine Bremse. Zusammen mit einem langen Passwort vermutlich ein vertretbares Risiko - aber Hand aufs Herz, wer verwendet langes Masterpasswort für Keepass?
Nun wirds zwar Off Topic, aber der TE verzeiht es mir hoffentlich: Kann ich Keepass mit einem Fido-Stick als zweitem Faktor verschlüsseln?
Zu 1: Wenn 50 andere Passwörter wegfallen kann man sich die Mühe machen und EIN besseres merken ;-)
Zu 2: Mal bei den Plug-Ins geschaut?
Gee858eeG schrieb:
Es sei denn Quantencomputer (dann haben wir aber auch noch andere Probleme) oder Angriffe auf den Verschlüsselungsalgorithmus sind erfolgreich, wobei dann auch ein langes nicht unbedingt hilft.
Auch nicht vergessen: Ein Brute-Force-Angreifer weiß in der Regel nicht, ob ein Keyfile benutzt wird oder nicht. Dann auf gut Glück eine Attacke versuchen ist sinnloser als sinnlos.
FIDO=Fast IDentity Online
du willst dich aber nicht nur Identifizieren sondern verschlüsseln und das ganze ist nicht online.
in diesem Fall müsste Keepass den "Krypto-Key" selber irgendwo abspeichern und du bestätigst per FIDO nur, dass dir der gehört.
Das Problem dabei ist, du kannst die Datenbank dann auch nur noch mit DIESER Installation von Keepass öffnen, weil eben nur sie den Key gespeichert hat oder es muss eine Export Funktion dafür geben.
dann kann man wirklich besser ein Key-File (statt FIDO) nutzen, damit ist man etwas flexibler. Ich finde die Idee genial, einfach auf "dem" USB Stick vielleicht 100 Key-Files abzulegen (brauchen ja keinen Platz) und nur eins davon ist das richtige, das weißt aber nur du. Da soll der Dieb mal anfangen ein Programm zu schreiben, das Passworte rät und nebenbei die Key-Files durch permutiert. Und ohne Key-File hat er quasi gar keine Chance...
man kann einen Yubikey oder ähnliches mit "Sonderfunktionen" mit Keepass(XC) einsetzen, aber das ist dann kein FIDO und "echtes" F2A mehr, sondern es wird nur ein statisches Passwort im Key gespeichert. Im Prinzip ist da ein "stinknormaler" USB Stick mit Key-File wieder die flexiblere und sogar sicherere Lösung.
Alles gut, ich finde ein thread darf ruhig leben und ich habe ja auch noch etwas, was ich dadurch mitnehmen kann.
Alles zusammen ist das schon ein guter thread mit ordentlichen Inhalten.
Daher dürfen doch auch sinnvolle Fragen dazu kommen.
