KeepassXC Datenbank auf Fritz!Box oder direkt auf Smartphone

[zhj93vp16ky]

Hallo zusammen,

ich bin mit meinen Passwörtern nach langem überlegen auf den Passwortmanager KeepassXC umgestiegen.

Diese Datenbank liegt aktuell auf verschiedenen USB-Sticks gesichert, benötige diese aber auch auf meinem Smartphone, damit ich mich auch von Unterwegs überall einloggen kann. (Ja, ich muss mich von unterwegs einloggen können.)

Ein Kollege, welcher 1Passwort verwendet, meinte, dass ich die Keepass Datenbank über eine FritzBox syncen soll, allerdings habe ich das noch nicht hinbekommen. Am Anfang habe ich überlegt, dass ich die Datenbank direkt auf dem Smartphone habe, dieser Kollege meinte aber, dass das keine gute Idee sein, weil Smartphones oft gehackt werden.

Allerdings hatte ich seit ich PC's und Smartphones benutze, noch kein einziges Sicherheitsproblem, weil ITler.

Natürlich muss ich mir auch noch überlegen, wo dann der Keyfile liegt, da ich diesen auch zum Login in die Datenbank benötige.

Einen Cloud-Passwortmanager möchte ich nicht, da ich meine ganzen Passwort nicht bei irgendeinem Unternehmen liegen haben will, sondern nur bei mir.

Was für Lösungen könnt ihr hier empfehlen? Die Datenbank sollte im besten Fall auch nicht auf dem PC direkt liegen. (bei Linux würde ich diebezüglich wohler fühlen, bin aber erst mal an Windows gebunden)

 

[Mickey Mouse]

naja, deine Passworte sind ja verschlüsselt.
und sowie du einen Internet Zugriff auf deine Fritzbox einrichtest, liegen sie genau genommen auch in der Cloud.
Wobei eine ernstgemeinte Frage ist: glaubst du, dass du mit deinem Wissen deine eigene Cloud besser absicherst als ein professioneller Anbieter?!?

mein(e) Keepass(XC) Files liegen auf meinem OneDrive, also MS-Cloud. Zugang dazu gibt es per 2FA. Das halte ich persönlich für sicher genug (zumidnest für meine Passworte, die darin abgelegt werden).

zusammen mit den Desktop KeepassXC und Keepass2Android funktioniert da das "locking" vernünftig.
ich hatte mir schon mal eine Datenbank zerschossen, weil ich Änderungen an zwei PCs "gleichzeitig" gemacht habe und hinterher fehlten Einträge.

ich sehe da auch einen Unterschied zwischen: Daten liegen in der Cloud und App Anbieter hosted in der Cloud.
so wie ich das oben beschrieben habe, kenne ich das Passwort und KeepassXC die Verschlüsselung. Falls es dazu eine Backdoor geben sollte, dann bin ich zwar zu blöd die zu finden, aber ich hoffe mal, dass einige Experten den öffentlichen Code zu Keepass dazu analysiert haben.
Nutze ich z.B. 1Password (ohen denen jetzt etwas Böses unterstellen zu wollen!!!), dann gibt es diese Art der Kontrolle nicht mehr und man ist ALLEINE auf darauf angewiesen, dem Anbieter trauen zu können.

 

[Rickmer]

Ich benutze reguläres Keepass (2.49), aber das Grundprinzip sollte mWn für alle Versionen gleich sein.

Wie Mickey Mouse habe ich meine KDBX-Datei auf OneDrive liegen. Da die Datenbank-Datei an sich verschlüsselt ist, kann damit keiner was damit anfangen, auch wenn die Zugriff auf mein OneDrive bekommen.

Über OneDrive kann ich das dann an allen PCs und Smartphones problemlos aufrufen.

ich hatte mir schon mal eine Datenbank zerschossen, weil ich Änderungen an zwei PCs "gleichzeitig" gemacht habe und hinterher fehlten Einträge.

Ja, man sollte immer nur eins gleichzeitig offen haben.
Allerdings hatte ich noch keinen Datenverlust. Das eine mal, das mir die Versionen wirklich auseinander geraten waren hat KeePass das festgestellt und ich konnte die Datenbanken wieder zusammenführen.

Natürlich muss ich mir auch noch überlegen, wo dann der Keyfile liegt, da ich diesen auch zum Login in die Datenbank benötige.

Ich nutze das nicht, aber das würde ich dann entweder in eine andere Cloud oder auf allen Geräten manuell lokal hinterlegen. Wenn das in derselben Cloud liegt wie die Datenbank ist der dadurch entstehende Schutz praktisch null.

 

[BeBur]

Was für Lösungen könnt ihr hier empfehlen?

Die Fritzbox wäre der mit Abstand letzte Ort, wo ich das Ding platzieren würde. Das ist von allem was du hast das einzige Gerät, dass direkt von der ganzen Welt angesteuert werden kann.

Die Datenbank sollte im besten Fall auch nicht auf dem PC direkt liegen.

Da wirst du kaum drum herum kommen und macht auch nicht so den mega Unterschied, denn sobald du den USB-Stick an einen kompromittierten Rechner steckst ist das genau so, als wenn der Safe die ganze Zeit auf dem Rechner gespeichert worden ist.

Nutze ich z.B. 1Password (ohen denen jetzt etwas Böses unterstellen zu wollen!!!), dann gibt es diese Art der Kontrolle nicht mehr und man ist ALLEINE auf darauf angewiesen, dem Anbieter trauen zu können.

Solche Anbieter sind vermutlich zuverlässiger als 99,9% aller Menschen, bzw. ich würde eher denen trauen als 99,9% der Menschen. Frag dich einfach, ob du zu den oberen 0,01% gehörst, denen du eher trauen willst als 1Password. Bitwarden ist aber vielleicht ein Kompromiss, schau dir das mal ein. Selbstredend nicht selber aufgesetzt, sondern bei denen aufm Server.

 

[Mickey Mouse]

@BeBur: wie ich geschrieben habe, ich will 1Password nicht etwas Böses unterstellen!
ich mag aber "Gewaltenteilung"!
wenn ich App aus einer Hand und das als OpenSource (nicht weil "kostenlos" sondern "öffentlich nachvollziehbar"!) und Storage von einer "renommierten" Firma aus einer anderen Hand bekommen kann, dann wähle ICH lieber diesen Weg, als wenn ich alles einer "eher unbekannten" Firma (nicht falsch verstehen, natürlich ist 1Password ein Global Player, aber die Strukturen dahinter kenne ich absolut gar nicht) anvertraue.

worauf ich eigentlich hinaus wollte, gleich der Argumentation den Wind aus den Segeln nehmen: "wenn du die Daten in der Cloud ablegst, dann kannst du auch gleich eine Cloud-App nutzen". Genau DAS sind mMn nach nämlich zwei sehr verschiedene Dinge!

 

[zhj93vp16ky]

Wo liegen die Server, auf denen Bitwarden die Passwörter speichern? Wurde die Firma schonmal gehackt? Wenn überhaupt ein Online-Passwortmanager, dann müssen deutsche Server zum Einsatz kommen.

Alles klar, also auf die Fritz!Box mach ich Datenbank lieber nicht. Dann sind Backups auf Festplatten und USB-Sticks wahrscheinlich besser. Und die Datenbank selber eben auf PC und Smartphone. Da gibt es auch keine großen Sync Probleme.

Aktuell ist die Datenbank ja mit einem starken Passwort verschlüsselt (Passwortentropie ist so ca. 250Bit, groß, klein, zahlen, viele verschiedene Sonderzeichen und insgesamt sehr viele Zeichen). Allerdings liegt der Keyfile an der selben Stelle, an der auch die Datenbank liegt, also kann ich den Keyfile ja genauso gut von den Datenbank trennen und nur das Passwort verwenden oder?

@BeBur Was meinst du genau mit, ob ich mich zu den oberen 0,01% zählen würde?

 

[Mickey Mouse]

ich vermute, du hast die Argumente nicht so 100% verstanden und reagierst schnell auf Buzz-Words, auch hier ohne wirklich zu verstehen was dahinter steckt. Bitte nicht böse nehmen!

wenn du "von Unterwegs" online auf deine Passworte zugreifen möchtest, dann MUSST du irgendeine Art "Cloud" nutzen. Ob die Daten jetzt direkt auf der Fritzbox liegen oder die Fritzbox den Zugriff auf einen PC "dahinter" freigibt, ist jetzt nicht so die Frage (klar muss man das in der Praxis detaillierter betrachten). Die Frage ist, ob DU dir zutraust, das wirklich sicher zu konfigurieren?!? Besser als es ein Cloud-Anbieter "für dich" macht / machen würde?

und was macht es IN DIESEM Fall für einen Untterschied, ob in D-Land, der EU oder woanders gehosted wird???
In der ganzen EU gilt die GDPR (leider immer wieder eingedeutscht hier nur als DSGVO bekannt). Und auch außerhalb der EU ist das doch ein ganz anderes Thema?!?

ich finde es ja sehr gut, wenn sich Leute "ein bisschen" um Sicherheit bemühen und kümmern. Aber die Kette ist immer nur so stark wie ihr schwächstes Glied und viele Leute verfransen sich da fürchterlich. Mit gefährlichen Halbwissen wird da etwas als vermeintlich schwächstes Glied ausgemacht, darauf enorm Energie "verschwendet" und die wirklichen Schwachstellen bleiben offen oder werden sogar erst aufgemacht. Wie z.B. wenn man statt einem "sicheren" Server in den USA seinen eigenen, völlig ungesicherten PC zum Hosten verwendet, nur weil man "Irgendwo gehört" hat, dass man seine Daten niemals in die USA geben soll...

 

[BeBur]

Aktuell ist die Datenbank ja mit einem starken Passwort verschlüsselt (Passwortentropie ist so ca. 250Bit, groß, klein, zahlen, viele verschiedene Sonderzeichen und insgesamt sehr viele Zeichen).

Klingt nach schlechter Usability, du kannst bei KeePass auch einfach viele "Umdrehungen" einstellen, so das ein einzelner Versuch sehr lange dauert (z.B. 1 Sekunde), auf diese Weise kannst du ein Passwort mit weniger Entropie nehmen ohne das du einen Kompromiss bei der Sicherheit eingehst.

Allerdings liegt der Keyfile an der selben Stelle, an der auch die Datenbank liegt, also kann ich den Keyfile ja genauso gut von den Datenbank trennen und nur das Passwort verwenden oder?

Ja, ich nutze jedoch auch ein Keyfile und zwar weil ich meinen KeePass Safe per pCloud synchronisiere. Das Keyfile jedoch nicht. Das bietet einen zusätzlichen Layer gegenüber dem Cloud-Anbieter.

@BeBur Was meinst du genau mit, ob ich mich zu den oberen 0,01% zählen würde?

IT ist schwer, IT Security ist noch schwerer, MM hat es hier sehr treffend geshrieben:

Aber die Kette ist immer nur so stark wie ihr schwächstes Glied und viele Leute verfransen sich da fürchterlich. Mit gefährlichen Halbwissen wird da etwas als vermeintlich schwächstes Glied ausgemacht, darauf enorm Energie "verschwendet" und die wirklichen Schwachstellen bleiben offen oder werden sogar erst aufgemacht. Wie z.B. wenn man statt einem "sicheren" Server in den USA seinen eigenen, völlig ungesicherten PC zum Hosten verwendet, nur weil man "Irgendwo gehört" hat, dass man seine Daten niemals in die USA geben soll...

Ganz genau so ist es.


Bitwarden oder alternativ Cloud-Anbieter + KeePass dürfte für die meisten Menschen das klügste und sicherste sein.

 

[zhj93vp16ky]

@Mickey Mouse Okay, also sind meine beiden Optionen: 1. Online-Passwortmanager wie Bitwarden oder 1Password oder 2. Offline-Passwortmanager nur auf den Endgeräten und bei Änderungen manuell syncen und backupen.

Ich denke nicht, dass ich die Fritz!Box und alles drumrum so sicher konfigurieren könnte, dass es annähernd auf dem Level von den etablierten Unternehmen wäre.

Wie sicher wäre denn die Datenbank auf dem Smartphone und dem PC (USB-Stick in dem Fall eingesteckt), wenn man

(Passwortentropie ist so ca. 250Bit, groß, klein, zahlen, viele verschiedene Sonderzeichen und insgesamt sehr viele Zeichen)

das Passwort bedenkt, die Datenbank ist ja nicht ohne Grund verschlüsselt. Und wenn ich immer alle Updates auf dem Phone und dem PC installiere und keine offensichtlich schädlichen Apps und Websites verwende, dann dürfte doch so gut wie gar nichts passieren oder?

Das mit den Servern habe ich geschrieben, weil die USA ja diesen Patriot-Act hat. Kenne mich diesbezüglich nicht ganz genau aus.

@BeBur Umdrehungen habe ich 50000000 eingestellt. Ich habe den Wert, den ich bei einer Sekunde Verzögerungen erhalten habe, aufgerundet auf die 50000000.

Wäre es sicherer die Datenbank nur auf dem Gerät zu haben mit einem Passwort ohne Keyfile oder in der Cloud, Keyfile auf dem Gerät?


Übrigens, danke dass ihr euch so sehr mit meinem Anliegen beschäftigt.

 

[BeBur]

Und wenn ich immer alle Updates auf dem Phone und dem PC installiere und keine offensichtlich schädlichen Apps und Websites verwende, dann dürfte doch so gut wie gar nichts passieren oder?

Ja definitiv, solange man sich auch nicht stressen lässt und mitdenkt (das ist das wichtigste) und im Zweifel E-Mails, SMS und Imhalte im Browser nochmal gegencheckt bevor man auf irgendwas drauf klickt oder was eingibt ist man eigentlich ziemlich safe.

Wäre es sicherer die Datenbank nur auf dem Gerät zu haben mit einem Passwort ohne Keyfile oder in der Cloud, Keyfile auf dem Gerät?

Man kann üblicherweise nicht sagen "sicherer / weniger sicher". Sicherheit gibt es stets nur gegen konkrete Szenarien. Meiner meinung nach ist beides "sicher", also abgesichert gegen so ziemlich alle Szenarien die mir gerade einfallen und gegen die ich mich absichern wollen würde.

Im übrigen verlieren viel mehr Menschen ihre Passwörter weil sie die KeePass Datei verlieren oder weil sie ihr Master-Passwort vergessen als das Menschen "gehackt" werden o.ä. und ihre Passwörter gestohlen werden. Du solltest daher ebenso viel Augenmerk darauf legen was passiert, wenn Haus/Wohnung abbrennt oder überflutet wird oder du nach einem Schlag auf dem Kopf oder 3 Wochen Urlaub das PW vergessen hast.

 

[zhj93vp16ky]

Alles klar, dann weiß ich jetzt auf jeden Fall mehr bescheid.

Eine Frage hätte ich noch:

Ist es eine schlchte Idee, bei Apps auf dem Smartphone alle Updates zu deinstallieren und diese im System auch zu deaktivieren? Könnte man hier noch Sicherheitslücken aus den Apps ausnutzen, obwohl diese deaktiviert sind?

Oder sollte man lieber die Apps, auch wenn man sie nie benutzt, aktiviert lassen und alle Updates einspielen?

 

[Rickmer]

@Mickey Mouse Okay, also sind meine beiden Optionen: 1. Online-Passwortmanager wie Bitwarden oder 1Password oder 2. Offline-Passwortmanager nur auf den Endgeräten und bei Änderungen manuell syncen und backupen.

Oder wie ich oben beschrieben hatte den Mittelweg gehen - Offline-Passwortmanager und automatischen Sync über die Cloud deiner Wahl.

Im übrigen verlieren viel mehr Menschen ihre Passwörter weil sie die KeePass Datei verlieren oder weil sie ihr Master-Passwort vergessen als das Menschen "gehackt" werden o.ä. und ihre Passwörter gestohlen werden. Du solltest daher ebenso viel Augenmerk darauf legen was passiert, wenn Haus/Wohnung abbrennt oder überflutet wird oder du nach einem Schlag auf dem Kopf oder 3 Wochen Urlaub das PW vergessen hast.

Aus dem Grund haben meine Eltern das Passwort und eine Kopie meines Passworttresor (inkl. 2FA Einmalcodes usw.) und andersrum...
dafür muss man sich natürlich auch gegenseitig vertrauen.

Alternativ in einem Banktresor hinterlegen oder was auch immer sonst als sinnvoll und ausreichend sicher erscheint.

Ist es eine schlchte Idee, bei Apps auf dem Smartphone alle Updates zu deinstallieren und diese im System auch zu deaktivieren? Könnte man hier noch Sicherheitslücken aus den Apps ausnutzen, obwohl diese deaktiviert sind?

Kommt drauf an ob das Apps sind, die du deinstallieren kannst.
Was du deinstallieren kannst, schmeiß runter. Was der Hersteller dir aufzwingt sollte geupdated werden.