Keepass Keyfile

[snaxilian]

Fingerabdruck ist denkbar schwach und sollte nicht genutzt werden, zumindest nicht als einziger Faktor da er viel zu einfach kopiert werden kann.

@BeBur: Wenn du so "faul" bist dann nimm deinen Win10 PC oder Android Gerät. Beide können als FIDO2 Token fungieren, siehe aktuelle oder vorherige c't, dann brauchst kein extra Token. Du hast dann immerhin mehr Sicherheit als ein Kennwort aber eben keine 2FA. Auch solltest du unbedingt die Backup Codes etc aufheben falls PC/Android defekt ist oder geklaut wird.

 

[BeBur]

Das hat mit Faulheit nichts zu tun, sondern das es nicht praktikabel ist alle 2-3 Sticks bei jedem neuen Dienst registrieren zu müssen, denn das bedeutet logischerweise zur OffSite zu fahren und sie da abzuholen und danach wieder hin zu bringen.
Wenn du dir einen zweiten Stick nur deswegen kaufst um ihn an den selben Schlüsselbund zu stecken wie deinen ersten, dann kannst du natürlich so "fleißig" sein und immer beide registrieren. Sinn ergibt das jedoch nicht.

 

[Old Knitterhemd]

Fingerabdruck ist denkbar schwach und sollte nicht genutzt werden

Quark, außer du hast wirklich Angst, dass dir jemand das Device klauen und den Abdruck kopieren will.

Dann hast du aber andere Probleme...

 

[RC23]

Durch etwas Googeln habe ich mir meine Fragen selbst beantwortet. Es gibt zum Thema FIDO2 einen weiteren c´t Artikel mit Video-Interview.

Internet-Dienste müssen für die FIDO2 Registrierung und Login das vom W3C standardisierte Verfahren WebAuthn umsetzen. Leider haben noch nicht sonderlich viele Web Sites FIDO2 eingeführt. (Stand: 30.08.2019)

Ein USB Token ist nur notwendig beim FIDO2 Einsatz an verschiedenen Windows Rechnern. Bei Nutzung am eigenen Windows Rechner genügt der in Windows oder Android eingebaute Sicherheitsschlüssel.

Also, abwarten und beobachten.

 

[pumuck|]

Bitwarden und wer mag in Verbindung mit Yubi ist eigentlich in Punkto usability steht im Vordergrund kaum zu toppen. Die Abo-Dienste sind auch ok, aber die Preise und v.a. die Preiserhöhungen in den letzten Jahren stehen für mich in keinem Verhältnis.

 

[andy_m4]

Jetzt mal so generell ein paar Anmerkungen:

da ich sonst eh wieder Akzeptanzprobleme in der Familie habe

Akzeptanzprobleme deuten immer auf fehlendes Bewusstsein für Sicherheit hin. Ich sag jetzt nicht, das man deshalb keine einfachen Lösungen bereitstellen sollte. Aber jegliche Sicherheitsmaßnahmen können ihre Wirkung nur dann voll entfalten, wenn dem Nutzer klar ist, das es Sicherheitsprobleme gibt und ihm auch deutlich gemacht wurde, was im schlimmsten Fall passieren kann.

Wie auch immer die technische Lösung aussehen wird, es wird allenfalls die halbe Miete sein.

Ich weiß, Sicherheit und Komfort vertragen sich meist nicht...

Komfort verhindert ja auch diese Bewusstseinsbildung und das klare Erkennen der Situation.
Wenn mich das System nach dem Administratorpasswort fragt, weiß ich: "Oh. Hier steht ein wichtiger Eingriff ins System an. Sa aufmerksam" oder auch beim Online-Banking die TAN: "Wichtige Aktion! Guck lieber noch mal über die Zielkontonummer und den Betrag drüber."
Dieses Innehalten und noch mal nachdenken hast Du halt nicht, wenn keinerlei Abfragen kommen. Man kann das also durchaus positiv sehen. Und das klappt aber wiederum nur, wenn ein gewisses Bewusstsein für Sicherheit da ist.

 

[RC23]

Das sehe ich genauso. Sicherheit bedeutet am Anfang Zusatzarbeit.

Überlege mir gerade für meine Endgeräte (Windows Notebook und Android Smartphone) die Cloud als Speicherort auszuschließen und deshalb nur eine Speicherung lokal auf dem Gerät plus eine lokale Sicherung. Oder ist die Cloud als Speicherort sicher und vertrauenswürdig?

 

[BeBur]

Speichere einfach verschlüsselt in der Cloud z.B. mit Boxcryptor.

 

[snaxilian]

Cloud ist nix anderes als tolles Marketing und kannst du 1:1 übersetzen mit "auf dem Computer eines anderen" und ist per se weder sicher noch unsicher. Jedes Webhosting, gemieteter vServer etc ist "Cloud".
Die Frage ist eher: Wie willst du dies nutzen? Gibst du deine Daten aus den Händen musst du dich fragen: Was kann damit passieren, wenn diese Daten öffentlich werden bzw. wie kannst du dich davor schützen. Verschlüsselung hilft da
Du kannst problemlos Server in der Cloud mieten oder dort deine Daten ablegen nur solltest du dich vom Gedanken verabschieden, die "Cloud" bzw. der Anbieter kümmert sich um alles. Packe ich meine Anwendung auf einen Server bei Google/Microsoft/Amazon wird dieser Dienst nicht auf magische Art und Weise hochverfügbar. Dafür brauche ich weiterhin einen Loadbalancer, muss 2 oder mehr Instanzen in unterschiedlichen "Brandabschnitten" bzw. Zonen vorhalten, muss ich selbst um Backups und die Absicherung kümmern etc. Ich habe lediglich keinen hohen Anfangsinvest, brauche kein eigenes RZ/Räumlichkeiten, Klimaanlage, Löschanlage, etc.
Ich persönlich habe keine Bauchschmerzen dabei wichtige Daten von mir bei mehreren Anbietern zu speichern, verschlüssele jedoch meine Daten vor dem Upload. Ja, wird die verwendete Verschlüsselung kompromittiert habe ich ein Problem, bis dahin habe ich aber offsite Backups meiner für mich wichtigen Daten.

 

[SeeD]

Ich bin jetzt aktuell bei einem Zwischenschritt.

Die Datenbank verteile ich entweder manuell oder längerfristig per Cloud die aber nur im Hauslan geht.

Die User haben eine Keyfile + Passwort, derzeit liegt das Keyfile noch auf einer anderen (aber immer angeschlossenen) Platte. Als erster Einstieg ganz okay, da hierdurch theoretisch auch ein reiner Keylogger scheitert. Im weiteren Schritt gibts dann irgendwann das Keyfile auf einem kleinen exterenen Stick mit USB C / Mikro USB.


Externe Geräte lasse ich erstmal unbetrachtet. Das brauchen wir gefühlt 1x pro Jahr, da muss man dann halt Notfalls sein Handy zücken und dort das Passwort raus ablesen und eingeben.

 

[RC23]

Danke snaxilian, dann werde ich schön auf die erprobte lokale Speicherung setzen plus Backup Lösung, wenn eine Hardware sich verabschieden sollte.