KeePassXC & KeePassium

[MCP]

Ich nutze seit längerer Zeit 2 YubiKeys. Das funktioniert zuverlässig und die Teile sind robust. Nutze diese allerdings im Einsatz mit KeePass 2 und Keepass2Android. Man sollte auf jeden Fall mindestens 2 solcher Hardware-Schlüssel kaufen und einer ist als Ersatz-Schlüssel gedacht.
Für den Windows-PC hab ich einen 5 Nano im Einsatz, der Ersatzschlüssel ist ein 5 NFC (aber beide mit USB A-Stecker).

Backup auf jeden Fall. DAs hört sich dann doch schonmal besser an. Würde wenn auch den USB A nehmen. Wo/wie bewahrst du die auf wenn du unterwegs bist?

Ergänzung (1. Januar 2026)

@MCP
Mit einem System kann man sich auch 100 Stellen merken. Das System darf nur nicht dumm gewählt sein.

Laut https://checkdeinpasswort.de/ braucht folgendes Passwort "unendlich Jahre":
"Mein rechter rechter Platz ist, keer ich qwünsch! mir& den "MCP..herr" ... und das 2-3x mal schreiben, vielleicht mit einer Abweichung pro Wiederholung.

Es ist lang genug für Bruteforce und einfach genug für einen Menschen, da nur ein paar Stellen anders sind.
Natürlich kann man es sehr viel besser machen.

und man darf mit seinen 2-3 Master PW nicht durcheinander kommen ;-) Ich denke Schlüsseldatei oder physischen Key möchte ich schon haben. Entweder den Komfort der Datei oder die Sicherheit des Nicht-Digitalen

 

[Oli_P]

Also eigentlich müsste ich mir noch nen dritten YubiKey kaufen, welcher wirklich irgendwo verstaut und nur genutzt wird im Notfall. Werd ich wahrscheinlich auch noch machen.
Der 5 Nano steckt halt immer im Rechner, der ist auch dafür konzipiert. Den 5 NFC hab ich immer dabei, hängt in einer Schutzhülle am Schlüsselbund. Aber mit beiden Schlüsseln kann ich meine KeePass-Datenbanken öffnen.
Wenn du kein Geld ausgeben willst und einen USB-Stick dafür zur Verfügung hättest, dann kannste auch mit Keyfiles arbeiten. Kopierst du das Keyfile auf den Stick und hast dann nen einfachen Hardware-Schlüssel. Diese Keyfiles musste aber unbedingt separat absichern.
Wenn du das mit nem YubiKey machen willst, dann bietet sich Challenge Response an (da du KeePass XC nutzt). Kannst aber auch mit statischen Passwörtern arbeiten und deswegen dann ein richtig starkes wählen. Ob Keepassium Challenge Response unterstützt, das weiss ich allerdings nicht. Das ist doch für iOS, oder?

 

[MCP]

Nee, wenn dann schon Challenge Response. Vielleicht ist das mit einem 3. Key auch keine schlechte Idee. Hast du das Secret auf Papier notiert und sicher aufbewahrt?

 

[Oli_P]

Ich habe das Secret an sicheren Stellen (also mehreren) abgelegt. Es muss immer möglich sein, selbst ohne YubiKey, die KeePass-Datenbanken zu öffnen. Du kannst es natürlich auf ein Stück Papier schreiben und in deinen Tresor legen
In KeePass 2 kann man das machen, also die Datenbank nur mit Kenntnis des Challenge Response-Secrets öffnen. Natürlich brauchste das Secret auch, um Ersatzschlüssel anzufertigen.

 

[madmax2010]

Ja, Challenge response geht mit dem titan key nicht - Sry hatte ich nihct auswendig. Habe da inzwischen alles auf U2F
Die USB-A Yubikeys sind absolut stabil.

Alternativen wie der nitro key 3 gehen unter keepass am desktop, aber auch nicht mit keepassium
https://support.keepassium.com/kb/yubikey-compatibility/

wuerde mich bei der ANwendung an die Doku halten.

 

[DFFVB]

Ich hab zwei yubikeys und zwei token2 Keys... Das ist mir aber insgesamt zu riskant. Daher auf den Endgeräten eine schlüsseldatei, kdbx in onedrive.... Funktioniert seit Jahren gut....wenn jemand Zugriff auf deinen Rechner und damit Keyfile und Tastatur hat, kann er auch Session Tokens klauen...

 

[Oli_P]

Als ich einen Hardware-Schlüssel kaufen wollte, hatte ich mehrere in der Auswahl. Aber es wurde dann der YubiKey, einfach wegen des größeren Funktionsumfangs. Hätte schon gern nen Nitro Key gehabt. Dann hätte man was europäisches (ist doch europäisch, oder?) und Open Source. Ein YubiKey ist Closed.

edit: Hab mal geschaut... Nitro Key ist sogar aus Schland Während Yubico aus USA ist.

 

[MCP]

Ich hab zwei yubikeys und zwei token2 Keys... Das ist mir aber insgesamt zu riskant. Daher auf den Endgeräten eine schlüsseldatei, kdbx in onedrive.... Funktioniert seit Jahren gut....wenn jemand Zugriff auf deinen Rechner und damit Keyfile und Tastatur hat, kann er auch Session Tokens klauen...

Du nutzt Key + Schlüsseldatei, oder nur letzteres? Meinst du zu riskant wegen schwedisch/amerikanisch und nicht open source?

 

[Fortatus]

Hatte ich noch nichts von gehört. Eben geguckt... der passt eher schlecht für KeePass, kann auch dieses Challenge Response nicht.

Welches Challenge Response meinst du?

Alternativ zum Yubikey gäbe es z.B. auch sowas: https://www.swissbit.com/de/produkte/security-produkte/ishield-key/ Kommt sogar aus Schweiz/Deutschland

 

[madmax2010]

Welches Challenge Response meinst du?

keepassium nutzt HMAC-SHA1 und legt das secret auf dem Harwarekey ab

 

[Oli_P]

Meinst du zu riskant wegen schwedisch/amerikanisch und nicht open source?

Also ich nutze Windows, nutze Hardware von AMD, mein OS auf dem Handy ist Android... alles amerikanisch. Dann noch Google, Amazon, etc... Jetzt zu sagen: Den YubiKey nehm ich nicht, weil aus USA, fand ich seltsam. Deswegen hab ich dann doch den YubiKey gekauft. Hätte aber trotzdem gern auch mal was europäisches gekauft. Nur mir fehlten Features... Ich will keinen reinen FIDO-Key. Damit öffne ich keine KeePass-Datenbank Der YubiKey bietet mir gleich mindestens 3 Möglichkeiten an, um diesen mit KeePass einzusetzen.
Aber ich denke (hoffe), dass die Firma Yubico vertrauenswürdig ist. Wenn irgendwie raus käm, dass die Schindluder machen, dann ist die Firma ganz schnell am Ende. Wenns einen beruhigt: Der YubiKey an sich läuft offline, also eine Internetverbindung ist nicht nötig. Und man muss sich auch kein Konto bei denen anlegen.
Ist nur blöd für den TE, dass ein YubiKey Keepassium nicht unterstüzt (wenn ich das richtig gesehen hab). Naja, Apple halt (auch amerikanisch) Haben die nicht auch eigene Hardware-Schlüssel, so ein "iKey"?

 

[Der_Dicke82]

Also ich nutze Windows, nutze Hardware von AMD, mein OS auf dem Handy ist Android... alles amerikanisch. Dann noch Google, Amazon, etc... Jetzt zu sagen: Den YubiKey nehm ich nicht, weil aus USA, fand ich seltsam.

Ach, auch wenn dein komplettes Haus aus China kommen würde, fände ich es überhaupt nicht seltsam das Türschloss beim lokalen Schlüsseldienst zu kaufen ;-)

Danke mal an alle in diesem Thread! Toller input! Ich konnte einiges mitnehmen!

Ich habe übrigens lange Zeit meine Schlüsseldatei immer nach bedarf erstellt. Leere Datei mit bekannten Zeichen füllen und abspeichern. Nach Nutzung wieder gelöscht. Das war noch vor Yubikey und Co

 

[BeBur]

reicht Argon2 und ein starkes PW (>20 Zeichen) oder besser zusätzlich Yubikey?

Keep it simple. Mit Yubikey wird alles direkt deutlich komplizierter (wie hier ja auch zu lesen ist). Wenn dein Endgerät kompromittiert ist und du den Password-Safe darauf öffnest, dann können deine Passwörter ausgelesen werden, egal ob du Yubikey nutzt oder nicht.

Ach, auch wenn dein komplettes Haus aus China kommen würde, fände ich es überhaupt nicht seltsam das Türschloss beim lokalen Schlüsseldienst zu kaufen ;-)

Man muss ernsthaft überlegen, ob "die USA versuchen aktiv an meine Passwörter zu kommen" ein realistisches Szenario sein soll - ist es nämlich nicht.

 

[Oli_P]

Keep it simple. Mit Yubikey wird alles direkt deutlich komplizierter (wie hier ja auch zu lesen ist). Wenn dein Endgerät kompromittiert ist und du den Password-Safe darauf öffnest, dann können deine Passwörter ausgelesen werden, egal ob du Yubikey nutzt oder nicht.

Am besten gar keine IT-Hardware mehr nutzen, dann kann auch nix passieren Aber mal im Ernst, das spricht doch nicht gegen den Einsatz von Hardware-Schlüsseln? Dann kann man auch direkt aufs Masterpasswort und jegliche Absicherung verzichten in KeePass, denn wenn der Rechner kompromittiert ist und man die Datenbank nur einmal öffnet... Wenn man vor sowas Angst hat, dann besser die Passwörter auf nen Zettel schreiben (aber dann Vorsicht vor Phishing, wenn man die Passwörter mühsam eintippt, Rechner könnte kompromittiert sein). Man kann ja grundsätzlich sagen, dass es nicht optimal ist, all seine Zugänge an einem zentralen Punkt zu speichern.

Ich freue mich darüber, dass ich durch solche Helferlein ein quasi Passwort-freies Leben ermöglichen konnte. Weil das war eigentlich das Ziel. So ein Yubikey lässt sich ja nicht nur einsetzen, um einen Passwortmanager zu öffnen. Wäre toll, wenn man z.B. Passkeys überall einsetzen könnte. Kann man aber nicht.

 

[RedPanda05]

@Oli_P in meiner Welt beschreibst du das Problem eigentlich recht gut. Passwörter können wunderbar gephished oder per keylogger aufgezeichnet werden. Deswegen wird multi Faktor bei immer mehr Diensten verpflichtend und session hijacking als Angriff üblicher.

Konsequentes mfa ist wesentlich wichtiger als Passwörter, meiner Meinung nach.

 

[Oli_P]

Genau, den Hardware-Schlüssel als zweiten Faktor nutzen gegen Phishing. Oder für KeePass Challenge Response nutzen, da fällt die Keyloggerei auch weg. Aber wenn die Datenbank offen ist, dann ist die offen. Man sollte nach Möglichkeit kein kompromittiertes System nutzen Oder halt keinen Passwort-Manager mehr nutzen und alles auf Papier schreiben... dann ist man aber auch nicht gegen Keylogger geschützt, wenn man denn mal ein Passwort eintippt.
Aber ehrlich gesagt, will ich zu dieser ganzen Passwort-Tipperei nimmer zurück

 

[DFFVB]

@MCP Ich nutze nur Schlüsseldatei ohne Key, auch weil die nicht immer griffbereit sind. Skepsis weil sie sie schwedisch sind, hab ich keine.

 

[Der_Dicke82]

Man muss ernsthaft überlegen, ob "die USA versuchen aktiv an meine Passwörter zu kommen" ein realistisches Szenario sein soll - ist es nämlich nicht.

Nein tatsächlich nicht, bekannt ist ja das Staaten direkten Zugriff auf verschlüsselte Daten auf Unternehmensebene haben wollen bzw. haben.

Es ist nicht lange her das die britische Regierung von Apple den Zugriff auf cloudinhalte und Kommunikation sämtlicher Nutzer weltweit haben wollte.

 

[BeBur]

@Der_Dicke82 Bin nicht komplett sicher, was du damit sagen willst. Letztendlich schreibst du, dass ein Angriff ausgerechnet auf den Passwort-Safe einer Privatperson irrelevant ist, weil ein Staat eine große Bandbreite an Maßnahmen zur Verfügung hat um an Informationen heran zu kommen.

Staaten machen Dinge, die gut skalieren, "wir greifen die Passwort-Safes von allen (ausländischen) OneDrive Nutzern an" ergibt da schlicht keinen Sinn. Das konkrete Privatpersonen wirklich das Ziel umfassender staatlicher Maßnahmen sind ist sehr selten und wenn man sich davor schützen möchte, dann muss man das ganze völlig anders angehen und das hat dann relativ wenig mit regulärer PC Nutzung zu tun, wie man das als Privatperson hat. In dem Fall darf man sich auch keinesfalls hier beraten lassen, sondern muss sich zwingend an einschlägige Institutionen wenden, die Erfahrung damit haben.

 

[Der_Dicke82]

Ich wollte damit nur zu bedenken geben, das das Staaten durchaus Interesse an den Daten der breiten Masse hat und dies auch gut ersichtlich ist.

Aber tatsächlich wird ein Staat eher den Weg über den Anbieter gehen anstatt die Passwörter der Nutzer zu "knacken" das wären eher "private" Strukturen, die den weg über den Anbieter nicht gehen können.

Insgesamt sollte man festhalten das man sich so gut wie eben möglich absichern sollte! Was das bedeutet muss jeder für sich selbst entscheiden!

Ein Argument das der oder die doch kein Interesse an meinen Daten hätte, ist kein Argument in dieser Diskussion! Allerdings ist es auch völlig egal ob Software aus den USA oder Schweden, oder Deutschland kommt. Sie muss halt sicher sein! Dazu gehört als erstes das sie open source sein muss, weil sonst eine Überprüfung der Sicherheit nicht erfolgen kann.