KeePassXC & KeePassium

[MCP]

Hallo zusammen,

nutze bisher KeePassXC unter Windows und möchte jetzt auch auf dem iPhone KeePassium nutzen.
Habe im Netz recherchiert, aber bin mir immer noch nicht ganz sicher...

• reicht Argon2 und ein starkes PW (>20 Zeichen) oder besser zusätzlich Yubikey?
• hat jemand Erfahrungen mit dem Yubikey? Ist der wirklich so unkaputtbar und zuverlässig?
• welche Cloud? hätte ja gern keinen US-Anbieter, aber OneDrive und Co. sollen am besten funktionieren. OneDrive wird besonders genannt. Auch wegen Versionierung.

Danke und Gruß

 

[madmax2010]

Ist der wirklich so unkaputtbar und zuverlässig?

nope.
Die USB-C Stecker an denen sind gefaltetes Blech, gehen mal auf und brechen gern ab. Ist mir passiert, ist anderen hier im Forum passiert.
Der USB-C Standard sieht eigentlich vor, dass so etwas gestanzt wird.

mit Abstand am robustesten ist der aktuelle titan key. Ich habe davon 2 und bin happy. Einfach um ein backup zu haben..
Wurde auch mal vom auto überrollt und bis auf einen kleinen Riss dank des Rings mit dem er am Lanyard ist, geht noch alles

2 Faktor mit Hardwarekey ist immer besser als nur 1 Passwort (+email / SMS aufs gleiche Device )

 

[User38]

Zum Thema Yubikey kann ich leider nicht so viel sagen, aber zum Thema Cloud. Ich betreibe seit Jahren KeePassCX u.a. auch unter Windows und auf dem iPhone KeePassium über iCloud und funktioniert super.

 

[Hochland Reiter]

Ein Key bringt zwar zusätzlich Sicherheit, aber auch ein zusätzliches Risiko.
Was passiert, wenn der Key defekt wird? Also zwei Keys? Wo "versteckt" man ihn?

Und wenn man schon bereit ist mit einem physischen Key zu arbeiten, warum speichert man die KeePass Datenbank dann nicht gleich auf einem USB-Stick und spart sich die Cloud?

Eine Möglichkeit wäre auch 100 Schlüsseldateien zu erstellen, von der nur eine funktioniert und diese mit der Datenbank auf jedem Gerät zu speichern.

Ansonsten kannst du jede Cloud nutzen, wenn du die Daten selbst verschlüsselst, beispielsweise mit Cryptomator. Damit würdest du ein Passwort für Cryptomator und KeePass benötigen. Zwei gute Passwörter sind besser als ein physisches Gerät, finde ich.

 

[madmax2010]

Eine Möglichkeit wäre auch 100 Schlüsseldateien zu erstellen, von der nur eine funktioniert und diese mit der Datenbank auf jedem Gerät zu speichern.

Wer gewinnt? Security by obscurity, oder eine for schleife?

for k in keyfile {
    try_unlock(pwstore, k)
}

Also zwei Keys? Wo "versteckt" man ihn?

einen hat man zuhause, einen unterwegs.
Ein versteck wird sich schon finden.
Ich denke wenn es relevant wird, dass jemand einbricht und gezielt versucht einen backup stick zu stehlen, fragt man nicht hier im forum

 

[Hochland Reiter]

@madmax2010
Dazu muss man aber erst das Passwort kennen.
Via Bruteforce wäre das jede einzelne Kombination mit bis zu 100 Schlüsseldateien multipliziert ein ganz schön sicheres Passwort bzw. gleichzusetzen mit 100 extra Zeichen pro Stelle, die man erraten muss.

 

[MCP]

nope.
Die USB-C Stecker an denen sind gefaltetes Blech, gehen mal auf und brechen gern ab. Ist mir passiert, ist anderen hier im Forum passiert.
Der USB-C Standard sieht eigentlich vor, dass so etwas gestanzt wird.

Ich wollte den USB A nehmen. Der soll deutlich stabiler sein.

mit Abstand am robustesten ist der aktuelle titan key. Ich habe davon 2 und bin happy. Einfach um ein backup zu haben..
Wurde auch mal vom auto überrollt und bis auf einen kleinen Riss dank des Rings mit dem er am Lanyard ist, geht noch alles

Hatte ich noch nichts von gehört. Eben geguckt... der passt eher schlecht für KeePass, kann auch dieses Challenge Response nicht.

2 Faktor mit Hardwarekey ist immer besser als nur 1 Passwort (+emai

Das denke ich auch :-) Kann nur nicht wirklich abschätzen was Argon bewirkt. Gerade bei OneDrive (was für KeePassium am besten funktionieren soll) sollte das schon ordentlich sicher sein.

 

[RedPanda05]

Ansonsten kannst du jede Cloud nutzen, wenn du die Daten selbst verschlüsselst, beispielsweise mit Cryptomator. Damit würdest du ein Passwort für Cryptomator und KeePass benötigen. Zwei gute Passwörter sind besser als ein physisches Gerät, finde ich.

???

Keepass Tresore sind verschlüsselt, warum sollte man das 2 mal machen?
2 Passwörter sind per Definition nicht multi Faktor, da es zweimal der selbe Typ ist, folglich schlechter.

 

[MCP]

Zum Thema Yubikey kann ich leider nicht so viel sagen, aber zum Thema Cloud. Ich betreibe seit Jahren KeePassCX u.a. auch unter Windows und auf dem iPhone KeePassium über iCloud und funktioniert super.

iCloud dann mit Cryptomator?

 

[RedPanda05]

KeePass unterstützt doch die Verwendung einer Schlüsseldatei als 2. Faktor, das würde ich den meisten empfehlen, da recht sicher und leicht zu speichern

 

[MCP]

???

Keepass Tresore sind verschlüsselt, warum sollte man das 2 mal machen?
2 Passwörter sind per Definition nicht multi Faktor, da es zweimal der selbe Typ ist, folglich schlechter.

das frage ich mich ja auch... aber wie viel Entropie brauchst man für "Sicherheit"... sind ja immerhin meine PW drin.

 

[madmax2010]

Via Bruteforce wäre das jede einzelne Kombination mit bis zu 100 Schlüsseldateien multipliziert ein ganz schön sicheres Passwort bzw. gleichzusetzen mit 100 extra Zeichen, die man erraten muss.

20 zeichem, Alphanumerisch mit sonderzeichen und die bist bei 170 Trillionen Jahren Jahren auf aktuellen GPUs. Das ist 12,3 Milliarden x mehr als das Universum alt ist. Ein bisschen obscurity bringt da auch nichts..

Bei lucken in cryptolibs ist hingegen beides ntzlos

 

[RedPanda05]

aber wie viel Entropie brauchst man für "Sicherheit"... sind ja immerhin meine PW drin.

Ich würde sagen, dass du vor allem einen 2. Faktor brauchst. 2 Passwörter bringen dir auch nichts, wenn dir jemand über die Schulter schaut, während du sie beide eingibst.

 

[Hochland Reiter]

@RedPanda05
Warum nicht? Meine Festplatte muss beim Booten entschlüsselt werden, anschließend muss ich das Passwort für das Betriebssystem eingeben und dann KeePass entschlüsseln. Wenn ich sie aus der Cloud lade, muss sie ebenfalls erst entschlüsselt werden.

Für den Ausnahmefall, dass jemand das KeePass Passwort kennt und Zugriff auf die Cloud hat, ist zumindest die Cloud-Datei nochmals verschlüsselt.

Solange es keine spürbare extra Leistung kostet, ist es völlig egal. Man sichert sich nur von einem weiteren Ausnahmefall ab. Es ist ein "Hätte ..., hätte ..." Fall weniger.

Außerdem habe ich nichts von Multifaktor geschrieben.

 

[MCP]

Ich würde sagen, dass du vor allem einen 2. Faktor brauchst. 2 Passwörter bringen dir auch nichts, wenn dir jemand über die Schulter schaut, während du sie beide eingibst.

aber da wäre dann so ein Key deutlichbesser. Der verlagert das weg vom digitalen. Die Schlüsseldatei ist da auch anfällig.

 

[Tornhoof]

das frage ich mich ja auch... aber wie viel Entropie brauchst man für "Sicherheit"... sind ja immerhin meine PW drin.

Double encryption ist problematisch, je nach (falscher) Kombination von Algorithmen, padding usw. kann es schlechter sein als nur einmalig zu verschlüsseln.
Wenn dich die Theorie dahinter interessiert

https://eitca.org/cybersecurity/eit...why-is-it-not-as-secure-as-initially-thought/

 

[MCP]

20 zeichem, Alphanumerisch mit sonderzeichen und die bist bei 170 Trillionen Jahren Jahren auf aktuellen GPUs. Das ist 12,3 Milliarden x mehr als das Universum alt ist. Ein bisschen obscurity bringt da auch nichts..

Bei lucken in cryptolibs ist hingegen beides ntzlos

das blöde hierbei ist aber, wenn ich ein PW für irgendeinen Account nehme, dann kann ich auch 30 oder 40 Zeichen mit allem möglichen dazu nehmen und packe das PW in KeePass... hier muss ich mir das Ding ja merken ;-)

 

[RedPanda05]

Key deutlichbesser. Der verlagert das weg vom digitalen. Die Schlüsseldatei ist da auch anfällig.

Korrekt, aber auch wesentlich aufwendiger.
Wenn du maximale Sicherheit haben möchtest, solltest du dir einen solchen holen.

Persönlich betrachte ich sowas etwas „realistisch“. Eine Person muss: In meine Cloud + mein PW haben und die Datei. Kann natürlich alles über ein kompromittiertes Gerät passieren, aber wahrscheinlich könnte er die Daten beim Nutzen auch schon abfangen.

 

[Oli_P]

reicht Argon2 und ein starkes PW (>20 Zeichen) oder besser zusätzlich Yubikey?

• hat jemand Erfahrungen mit dem Yubikey? Ist der wirklich so unkaputtbar und zuverlässig?

Ich nutze seit längerer Zeit 2 YubiKeys. Das funktioniert zuverlässig und die Teile sind robust. Nutze diese allerdings im Einsatz mit KeePass 2 und Keepass2Android. Man sollte auf jeden Fall mindestens 2 solcher Hardware-Schlüssel kaufen und einer ist als Ersatz-Schlüssel gedacht.
Für den Windows-PC hab ich einen 5 Nano im Einsatz, der Ersatzschlüssel ist ein 5 NFC (aber beide mit USB A-Stecker).

 

[Hochland Reiter]

@MCP
Mit einem System kann man sich auch 100 Stellen merken. Das System darf nur nicht dumm gewählt sein.

Laut https://checkdeinpasswort.de/ braucht folgendes Passwort "unendlich Jahre":
"Mein rechter rechter Platz ist, keer ich qwünsch! mir& den "MCP..herr" ... und das 2-3x mal schreiben, vielleicht mit einer Abweichung pro Wiederholung.

Es ist lang genug für Bruteforce und einfach genug für einen Menschen, da nur ein paar Stellen anders sind.
Natürlich kann man es sehr viel besser machen.