Neu: KeePass 2.60 wurde vor wenigen Tagen freigegeben: Verbesserungen für den freien Passwortmanager

[Oli_P]

Okay, klar. Es gibt auch Leute, die nicht viel am PC hängen. Gehöre eher nicht in diese Gruppe. Programme wie KeePass müssen immer laufen. Wenn ich nicht soviel am Rechner hängen würde, dann hätt ich mir die Arbeit wohl gespart, KeePass so einzurichten. Aber die Arbeit macht man auch nur einmal. Danach läuft das wie ein Uhrwerk.

 

[Olunixus]

Zitat: "der PC ist eine bessere Schreibmaschine" :-)

KeepassXC habe ich jetzt meistens bei Leuten installiert, die ich von Keepass überzeugen konnte. Ich selbst nutze Keepass aus historischen Gründen, wollte aber langfristig auch auf KeepassXC weil weniger Addons / mehr von Haus aus dabei.

 

[Oli_P]

Was sind denn "historische Gründe"? Ich nutz das Programm, weils das macht was ich benötige
Aber stimmt schon mit KeePass XC. Da gibts Funktionen, welche man in KeePass 1/2 erstmal nachrüsten muss mittels Plugins. Wobei ein Plugin installieren in KeePass ist jetzt nix kompliziertes und die Konfiguration der Plugins an sich ist auch immer recht simpel gewesen.
Ich würd KeePass XC nutzen, wenn KeeAnywhere-Funktionalität gegeben wäre und die Trigger-Funktion will ich auch unbedingt nutzen.

 

[BeBur]

Was sind denn "historische Gründe"? Ich nutz das Programm, weils das macht was ich benötige

Er meint vermutlich KeePass 1. Man nutzt immer erstmal das, was man immer benutzt hat, solange es keinen Wechseldruck gibt, auch wenn die ursprünglichen Gründe für die damalige Wahl nicht mehr existieren - was ja auch okay ist.

Aber stimmt schon mit KeePass XC. Da gibts Funktionen, welche man in KeePass 1/2 erstmal nachrüsten muss mittels Plugins. Wobei ein Plugin installieren in KeePass ist jetzt nix kompliziertes und die Konfiguration der Plugins an sich ist auch immer recht simpel gewesen.

Nicht kompliziert, aber ein potentielles Sicherheitsproblem.

Das Ökosystem ist auch eine der Schwächen von KeePass. Wenn ich Bitwarden verwende, dann verwende ich Apps bei denen Menschen dafür bezahlt werden auf die Sicherheit zu achten und Bitwarden würde viel Geld bei kritischen Sicherheitsproblemen verlieren, da gibt es einen großen Anreiz, das zu vermeiden.
Irgendwelche Plugins oder Android-Apps die KeePass-kompatibel sind hingegen, die sind alle kostenlos, ich muss mich auf die intrinsische Motivation von Unbekannten verlassen, dass diese keinen Mist machen.

 

[Oli_P]

Naja, die besagten KeePass-Plugins werden auch nicht wirklich geplegt. Ich weiss nicht, ob es da keinen Verbesserungsbedarf mehr gibt. Aber hoffe natürlich auch, dass die Plugins keine Probleme haben irgendwann. Das ist auch eigentlich das, was mich am meisten stört in KeePass. Es sind die Plugins... Aber ohne gehts manchmal nicht.

Wenigstens bekommen KeePass 1 + 2 Updates. Da liegen zwar meist ein paar Monate zwischen den neuen Versionen, aber der gute Herr Reichl macht sowas ja auch kostenlos für uns bzw. bittet er um Spenden. Die letzten Updates hatten aber keine Sicherheitsfixes glaub ich. Das ist schon ne Weile her, dass da mal was sicherheits-relevantes war. Ging sich glaub ich darum, dass kopierte Passwörter nicht richtig gelöscht wurden aus dem Zwischenspeicher. Aber das war auch wieder so ein relatives Problem. Wenn man versucht, immer Auto-Type zu nutzen (ja, es gibt auch seltener mal ne Seite oder ne App, wo das nicht so richtig will... zumindest nicht auf Anhieb), dann hat man keine kopierten Passwörter in der Zwischenablage.

Also wenn ich aus irgendeinem Grund plötzlich das Plugin KeeAnywhere oder auch KeeChallenge nicht mehr nutzen könnte, dann würd ich wohl zu Bitwarden wechseln. KeePass XC würde kein Ersatz für mich sein. Dafür hab ich mich zu sehr an die Features der Plugins gewohnt, welche ich bei XC nicht nachrüsten kann. Speziell jetzt KeeAnywhere und auch die Trigger-Funktion von KeePass. Das kann XC nicht. Durch solche Plugins und Features kann man KeePass fast so einrichten wie die kommerziellen Lösungen mit ihren Premium-Features. Wird immer gesagt, KeePass kann nicht gut synchen. Quatsch. Wenn überhaupt, dann erstmal nicht so komfortabel von Beginn an. Hab das synchen bei mir automatisieren können. Da muss ich eigentlich gar nix mehr machen.
Würde mich dann ganz von ner dedizierten App verabschieden und dann eben Webbrowser-Oberflächen nutzen. Die Sache mit dem selber Hosten des Cloud-Speichers ist da interessant. Dann kann ich mich auch von KeePass2Android verabschieden. Aber solange KeePass so funktioniert wie jetzt hab ich keinen Grund zum Wechsel.

 

[Olunixus]

Er meint vermutlich KeePass 1. Man nutzt immer erstmal das, was man immer benutzt hat, solange es keinen Wechseldruck gibt, auch wenn die ursprünglichen Gründe für die damalige Wahl nicht mehr existieren - was ja auch okay ist.

So in der Art - ich habe aber schon mit Keepass 2 begonnen. Ist wohl auch ein "gewohntes Umfeld"-Ding und wenig motivation mich damit zu beschäftigen, dass KeepassXC sich so verhält wie ich es von Keepass 2 gewohnt bin.

Ist doch aber schön, dass dieser Thread zum Update 2.60 hier ein bisschen zum fachsimpeln angeregt hat :-)

Bzgl. Updates fühle ich mich bei Keepass 2 jetzt definitiv nicht so, als ob sich hier nicht gekümmert wird - ganz im Gegenteil. Automatisches synchen etc... nutze ich alles gar nicht - bei mir wird an einem Gerät die Datenbank gepflegt und diese dann händisch auf andere Geräte verteilt, wenn es mal wieder einen neuen Eintrag gibt.

 

[tarifa]

hallo Oli_P, hallo Olunixus, hi @All,

….vielen Dank die vielen Beiträge, die Ideen und den Austausch,💡📀

@Olunixus :

Ist doch aber schön, dass dieser Thread zum Update 2.60 hier ein bisschen zum fachsimpeln angeregt hat :-)

Danke - das teile ich zu 100 % 💯

...und dieser Austausch gibt vielen Tipps, Anregungen und Ideen, wie sie selber anfangen, oder noch besser auf ihre Sicherheit achten - grad im Blick auf die Fragen,

a. wie Anfangen und Einsteigen mit Keepass [oder Alternativen], oder aber auch
b. zu Sicherheitsaspekten und last but not least auch
b. zur Speicherung z.B. der KeePass-Datenbankdateien und auch der Schlüsseldateien [!?]

Es ist ja so: Im Grunde hat ja jede Speichermethode ihre Vor- und Nachteile, - hinsichtlich der Themen wie Portabilität, Verlustrisiko, oder aber auch hinsichtlich der Fragen von Zugriff auf die Daten oder auch der Synchronisierung. Last but not least wären dann ja auch noch die Kategorien wie "Backups" und auch "Komfort".💽

Danke also für Eure vielen Beiträge, Ideen und Anregungen - wie z.B. auch von Dir @Oli_P

Bei Verwendung eines schwachen Masterpassworts würd ich auf jeden Fall auch noch einen 2. Faktor nutzen. Um die kdbx-Datei im Cloud-Speicher öffnen zu können, brauch ich meinen Hardware-Schüssel. Das kann man dann mit oder ohne Masterpasswort zusätzlich einrichten. Also geht dann auch ganz ohne Masterpasswort. Wenn man das will und sich sicher ist... denn dann hat man keinen 2. Faktor mehr, also das Masterpasswort in diesem Fall.

Viele Grüße und noch einen schönen Mittag,🌞

Tarifa,

 

[Oli_P]

Ist ganz lustig, aber unter dem Thread gibts ja "Ähnliche Themen" und es wird auf einen Thread von dir verwiesen, aber aus 2021. Da ging es sich um Version 2.49. Hatte da grad nochmal reingelesen und damals war ich tatsächlich ein Verfechter von keine Plugins nutzen. Weil damals hatte ich alles machen können ohne Plugins. Aber was mir lange auf die Nerven ging war, dass KeePass keinen richtigen Darkmode bietet. Das kann man dann mit dem Plugin KeeTheme realisieren, war tatsächlich mein erstes Plugin. Ich hasse grell leuchtende Programm-Fenster. Bekam dann auch das Bedürfnis meine Datenbanken automatisch online zu synchronisieren. Zack, 2tes Plugin (KeeAnywhere) installiert, denn das vereinfacht die Sache. Aber um das so nutzen zu können wie ich wollte, mussten dann die Trigger eingerichtet werden. Und dann kam der Yubikey, da brauchte ich dann noch ein drittes Plugin (KeeChallenge). Aber jetzt ist mal gut mit den Plugins

 

[tarifa]

Servus Oli_P, Hi Zusammen,n 😊

Danke für deinen Beitrag!

Ist ganz lustig, aber unter dem Thread gibts ja "Ähnliche Themen" und es wird auf einen Thread von dir verwiesen, aber aus 2021. Da ging es sich um Version 2.49.

Danke!

nochmals danke für die vielen wertvollen Beiträge, Erfahrungsberichte und Perspektiven, die hier zusammengekommen sind. 🙏 Denke, dass gerade bei einem Tool wie KeePass, welches ja viele von uns schon seit Jahren begleitet – und bei dem mit jeder neuen Version wieder Fragen zu Sicherheit, Plugins, Einrichtung, Backup-Strategien oder einfach Komfort auftauchen – zeigt sich, wie wichtig der Austausch in der Community ist - wie dieser Thread hier zeigt - und die vielen Beiträge - von dir Oli_P, von Olunixus und all den anderen.

Und da ists iwie doppelt wichtig dass da beide Sachen zusammen kommen.
Zum einen die News, wie das Release der 2.60 - die sind das eine – aber erst richtig lebendig und wirklich nützlich wird das Ganze erst durch eure Praxisberichte, Tipps, Ideen und Anregungen - durch das Austauschen wie ihr jeweils die Situation und die Sicherheitsfragen beantwortet.
Da sind eure Workarounds, Plugin-Hinweise und natürlich auch die kritischen Anmerkungen (die sich dann ggf. pro Bitwarden-Einsatz aussprechen) oder halt kritisch gegenbenüber Keepass sind - echt wichtig.
Das hilft den anderen - hilft allen: Dass wir hier von Einsteigertipps bis hin zu Experten-Setups (inkl. YubiKey, Triggern, Cloud-Sync, Plugin-Kombi usw.) alles drin haben, macht den Thread für viele von uns halt dann noch hilfreicher. 💡

@Oli_P :

Hatte da grad nochmal reingelesen und damals war ich tatsächlich ein Verfechter von keine Plugins nutzen. Weil damals hatte ich alles machen können ohne Plugins. Aber was mir lange auf die Nerven ging war, dass KeePass keinen richtigen Darkmode bietet. Das kann man dann mit dem Plugin KeeTheme realisieren, war tatsächlich mein erstes Plugin.

Danke fürs Teilen deiner Erfahrungen!

wie gesagt - @Olunixus drückts m.E. am Besten aus. 👌

Ist doch aber schön, dass dieser Thread zum Update 2.60 hier ein bisschen zum fachsimpeln angeregt hat :-)

Besser kann mans ned sagen. 💥

Find es mit Olunixus gut, dass der Thread so viel Resonanz u. Austausch gefunden hat.
Jede Ergänzung macht den Thread für spätere Leser wieder ein Stück wertvoller – und zeigt gleichzeitig, wie wichtig es ist, am Ball zu bleiben, denn Tools, Sicherheitsstandards und Best Practices entwickeln sich im Grunde genommen ja auch ständig weiter.

@Oli_P

Wenigstens bekommen KeePass 1 + 2 Updates. Da liegen zwar meist ein paar Monate zwischen den neuen Versionen,

Und nun nochwas: was mir halt auch wichtig ist: das Ganze hier - das ist ja - wenns gut geht - hoffentlich nicht nur ein Expertentalk - für die Eingeweihten unter sich.
Denke, dass da noch mehr drinne ist: Es soll auch denen helfen, die noch nix einsetzen - also weder Keepass oder Bitwarden oder sonst irgend etwas.
Auch denen, die im Grunde (noch) gar nix haben - nix machen und relativ ohne Tool unterwegs sind - mit den Passwörtern halt irgendwie so hinkommen: auch für die ist dieser Thread ja hilfreich - oder kann es wenigstens sein und werden.

In diesem Sinne: Danke euch allen für den Austausch💡

Viele Grüße
Tarifa 🌞

 

[Oli_P]

Klar, ist immer gut sich mit Leuten auszutauschen. In solchen Threads hab ich selber auch schon Anregungen gefunden, wie ich gewisse Anforderungen/Probleme lösen konnte. Solche Setups, wie manche Leute und auch ich sich zusammengestellt haben, das braucht aber nicht unbedingt jeder. Manchen genügt das "nackte" KeePass. Das ist auch absolut in Ordnung. Aber wenn man spezielle Dinge will, muss man was frickeln. Dazu muss man aber auch Lust haben. Oder eben eine vorgefertige Lösung nehmen in Form einer anderen Software. Es gibt genug Auswahl.

 

[Oli_P]

Hab mich mal ein bisschen mehr mit Passkeys beschäftigt. Habe mir welche fürs Google- und Amazon-Konto angelegt. Aber im Gegensatz zu Computerbase muss ich immer noch den Benutzernamen angeben. Aber wenn man dann auf weiter klickt, dann kommt dann so ein Auswahlfenster von der Windows Sicherheit und ich kann da meinen Hardwareschlüssel wählen zum anmelden.
Dann wieder auf weiter klicken und es wird der PIN vom Yubikey gefragt. Erst dann kann man den Yubikey antippen. Aber Benutzernamen und Yubikey-PIN lass ich durch KeePass ausfüllen. Hab dann Auto-Type so angepasst, dass erst nur der Benutzername ausgefüllt wird. Beim PIN dann noch mal Auto-Type ausführen. Ganz so nutzlos ist der Passwortmanager also nicht beim Einsatz von Passkeys. Aber hier bei Computerbase klick ich auf "Anmelden mit Passkey". Hier muss ich keinen Benutzernamen und auch nicht den PIN angeben. So kann man tatsächlich auf den Passwort-Manager verzichten. Aber man kann noch lang nicht überall Passkeys einsetzen. Aber wenns unterstützt wird, ist das schon eine feine Sache.

 

[Olunixus]

Wenn hier schon so viel Kompetenz mit verschiedenen Usecases sitzt; ich hab noch ein "Problem" wofür ich keine Lösung habe.

Es gibt ja die mathematisch/kryptographisch die Möglichkeit einen Schlüssel zu generieren für den man N aus M "Geheimnisse" braucht. Ungefährt so wie hier https://www.heise.de/news/WTF-Schlu...en-nicht-an-ihre-Wahlergebnisse-11088550.html

Gibts sowas auch für Keepass?
Mein Usecase: ich möchte eine Kopie meiner Datenbank auf einem Datenträger (ext HDD, USB Stick) als Teil vom Offsitebackup bei der Verwandtschaft auslagern. Das Backup an sich (also ohne die KP-Datenbank) könnte man ja auch mit Veracrypt verschlüsseln und das Passwort in die Keepassdatenbank packen. Die Leute sollen natürlich erstmal keinen Zugriff auf meine Passwortdatenbank haben. Wenn mir aber morgen ein großer Stein auf den Kopf fällt (oder ich anderweitig nicht mehr für mich sorgen kann) ist es aber in meinem Interesse dass die da ran kommen. Jetzt will ich aber nicht X Leuten aus der Verandtschaft einen Zettel mit jeweils einem Teil des Passworts geben und dann müssen im Falle des Falles alle zusammen kommen und das in der richtigen Reihenfolge in Keepass eingeben. Und wenn da dann einer fehlt (siehe verlinkter Artikel) gehts wieder nicht...

Mir würde evtl. auch ein Tool reichen, wo man N aus M Geheimnisse eingibt und dann spuckt das Teil mein Masterpasswort im Klartext aus - das könnten die sich dann notieren und ab da "normal" nutzen. Wenn ich mir das, was dieses Tool ausspuckt nicht selber aussuchen kann, sondern das ein 64 Charakter großer Hashwert ist, dann könnte ich ja den als Masterpasswort konfigurieren - auch wenn ein eigenes natürlich schöner wäre. Dann müssten nicht alle zusammen kommen, ich kann aber das Risiko/die Verwantwortung ein bisschen streuen/verteilen.

Ein Onlineservice der nach X Monaten Inaktivität automatisch mein Zeug an einen anderen Nutzer schickt (so wie man das bei Google einstellen kann) möchte ich explizit nicht haben.

Hat jmd. Ideen?

 

[Oli_P]

Das ist natürlich schon speziell. Vielleicht einfach die Datenbank mit einem Hardware-Schlüssel (wie einen Yubikey) absichern. Von diesem Schlüssel hast du einen immer dabei (am Schlüsselbund) und ein Ersatzschlüssel ist bei dir zuhause. Dann kannst du einer Vertrauensperson z.b. einen USB-Stick mit deiner kdbx-Datei geben und im Fall der Fälle muss die Person dann deinen Hardware-Schlüssel haben und kann damit die Datenbank öffnen. Das aber am besten nur als 2ter Faktor. Die Datenbank ist eventuell noch zusätzlich mit einem Masterpasswort gesichert. Dieses gibst du einer weiteren Vertrauens-Person.
Wenn dir was schlimmes passieren sollte und man muss an deine persönlichen Daten ran, dann müssen sich die beiden Personen dann zusammentun. Den Schlüssel hast du bei dir und auch zuhause. Die müssen natürlich wissen, wo der Schlüssel ist für den Fall der Fälle. Aber so hat keine der beiden Personen die Möglichkeit, deine Datenbank zu öffnen; obschon sie das Masterpasswort kennen. Den Schlüssel müssen sie sich dann holen bei dir. Wenn man nicht an deinen Körper rankommt, weil du sprichwörtlich vom Erdboden verschluckt wurdest, dann ist da noch der Ersatzschlüssel bei dir zuhause.
Was "N aus M Geheimnisse" ist, weiss ich leider grad nicht. Kryptologe bin ich beileibe net Wie ich das geschrieben hab musst du natürlich nicht genau so umsetzen. Aber ich glaube, die Datenbank mit 2 Faktoren abzusichern wäre keine schlechte Idee. Weil so kannst du ruhigen Gewissens deine Datenbank und Masterpasswort weitergeben, aber sie können damit nix machen. Erst wenns ernst würde und sie so ohne weiteres an deinen Hardware-Schlüssel kommen, können sie auch deine Daten einsehen.

Deine Frage find ich aber auch sowieso interessant: Weil wieder mal denkt man daran, was eigentlich mit solch wichtigen Daten passiert, wenn einem was zustößt. Bei mir ists auch so, dass man so ohne weiteres nicht an gewisse Daten kommt. Man muss ja tatsächlich, wie du im verlinkten Artikel zeigtest, auch aufpassen, dass man sich nicht selber aussperrt. Glaube, ich hab das für mich gut gelöst. Sollte immer in der Lage sein, meine Datenbanken zu öffnen. Aber andere können das eben nicht, wenn ein Notfall eintritt. Auf jeden Fall würd ich versuchen, die Sache nicht zu kompliziert zu machen. Aber ich denke, beide Personen sollten einen USB-Stick mit der Datenbank haben. Nicht dass einer den USB-Stick verliert und die Dinger gehen ja auch kaputt. Vielleicht noch zusätzlich die Datei auf ner CD brennen Du kannst ja unendlich viele Kopien deiner Datenbank machen. Wie du auch unendlich viele Ersatzschlüssel anlegen kannst. Und dann können auch beide Personen dein Masterpasswort kennen. Sie kennen aber trotzdem nur einen Faktor. Der 2te Faktor bist immer noch du... tot oder lebendig

 

[Retrocloud]

Hab mich mal ein bisschen mehr mit Passkeys beschäftigt. Habe mir welche fürs Google- und Amazon-Konto angelegt. Aber im Gegensatz zu Computerbase muss ich immer noch den Benutzernamen angeben

Es gibt 2 verschiedene Arten von Passkeys wenn du mehr wissen möchtest

1. FIDO2 Discoverable passkey - Most sites creating passkeys attempt to create a discoverable passkey which occupy storage on FIDO2 external devices. Modern Yubikey's support 100 such passkeys, older Yubikey's support 25. Google has in the past created these, and may do so in the future. I have this type of passkey on my Yubikeys, but others have reported that Google is not creating these currently. The reason is that the main reason to create a discoverable passkey is to not require the user to enter the username and instead be able to log in just by using this discoverable passkey (and the required pin to gain access). Google currently uses cookies or requires the user to specify the username and hence does not use this discoverable feature and therefore doesn't want to use valuable space on your token because it doesn't need that feature. Google is actually being a good citizen here in my opinion. Not only does a discoverable passkey need storage, but also needs management (view/deleting) which require CTAP 2.1 support. Some other token vendors only support CTAP 2.0 which means you can create a discoverable passkey, but can't remove it without reseting the entire token.

2. FIDO2 non-discoverable passkey - Sites can request a passkey that doesn't require storage on your Yubikey. Also if you run out of storage on your Yubikey, then a non-discoverable passkey will likely be created. This is still a passkey in that you can still have a passwordless experience. After entering your userid you will have an identical user experience when logging in to google. You will be prompted for your Yubikey, need to enter the pin and then gain access to your account without the need to enter your password. I believe this is the type of passkey that Google is now creating and has created in your case.

 

[Oli_P]

Also die Passkey-Thematik ist noch recht neu bei mir. Was mir auffiel ist, dass es wohl Passkeys gibt, welche keinen Speicherplatz belegen auf dem Yubikey. Meine können je 100 Passkeys speichern und aktuell hab ich 10 angelegt. Aber es werden nur 5 belegte Speicherplätze angezeigt in Yubico Authenticator. Ich glaub, das ist was du erklären wolltest. Verstehen tu ich das aber nicht wirklich. Da nur 5 Speicherplätze abgezogen wurden, ich aber 10 Passkeys abgelegt hab, bedeutet das ja jetzt nicht, dass ich immer noch 95 freie Speicherplätze hab. Irgendwas muss ja nun gespeichert sein auf dem Hardware-Schlüssel. Sonst könnte ich ja wahrscheinlich viel mehr als 100 Passkeys ablegen... Und ja, die betroffenen Passkeys sind da. Hab einen angelegt für mein Discord-Konto und kann mich so anmelden. Aber in Authenticator seh ich keinen belegten Speicherplatz für Discord.
Computerbase ist bei mir bisher die einzige Seite, in welcher ich mich einzig und allein mit dem Hardware-Schlüssel einloggen kann. Aber im Authenticator kann ich sehen, dass für Computerbase ein Passkey existiert und ein Speicherplatz wurde dafür abgezogen. Bei anderen ist erstmal die Eingabe des Benutzernamen notwendig. Wenn man weiter zum Passwort gehen will, dann kommt stattdessen die Aufforderung, den Yubikey zu berühren. Zu Beginn wurd ich auch immer aufgeffordert, den PIN einzugeben für den Yubikey. Kann man ja in Authenticator anlegen und so den Schlüssel zusätzlich sichern. Aber ich vermute, durch das speichern eines Cookies wird der PIN behalten und man wird hinterher nicht mehr gefragt.
Also für Computerbase brauch ich aktuell kein KeePass mehr. Aber bei anderen Seiten nutz ich KeePass für das ausfüllen des Benutzernamens. Und bei den allermeisten Seiten wird schlicht (noch) kein Passkey unterstützt. Der Passwort-Manager wird nicht obsolet so.
Hatte diese Seite gefunden. Da werden Webseiten gezeigt, welche Passkey unterstüzen. Computerbase wird da auch erwähnt.

 

[Oli_P]

Weiss jetzt gar nicht wie lange schon, aber es gibt wenigstens 1 KeePass 2-Plugin für Passkeys... Aber das scheint auch eine Erweiterung für den Browser zu beinhalten. Das ist eigentlich ein No Go für mich. Es soll keine direkte Verbindung zwischen Browser und Passwort-Manager existieren.
Brauchen tu ich das aber auch nicht. Vielleicht aber ist dieses Plugin/Erweiterung für den einen oder anderen interessant. Ich glaub, in KeePass XC ist dieses Feature integriert. Aber da mein Yubikey das schon kann, nutz ich das auch. Manchmal hab ich die Situation, dass vor dem antippen des Yubikeys noch dessen PIN-Code gefragt wird. Hab da eine etwas längere Zahlenkombination und lass diese dann von KeePass ausfüllen. Bei mir ergänzen sich Hardware-Schlüssel und Passwort-Manager gegenseitig. Als ich den Yubikey gekauft hatte, war es auch die Idee, diesen hauptsächlich für die Verwendung mit KeePass 2 zu nutzen. Passkeys war so ein Nice-to-have-Feature. Hauptsächlich interessierten mich erstmal Challenge Response und statische Passwörter. Beides kann man auf den Yubikey legen, um damit dann die KeePass-Datenbank zu öffnen.

 

[tarifa]

Salü 😇

vielen Dank für Eure Beiträge - und die vielen Ideen, Anregungen und den gesamten Austausch. Super.

zum Thema Synchron halten der KDBX Datei noch ein Minibeitrag:

Ich selbst nutze aktuell drei Geräte (2×Notebook, 1×Desktop, alles auf EndavourOS / Linux) ... und habe meine KDBX-Datei bisher nur lokal gepflegt – ohne Cloud-Sync.
Ich plane aber, das demnächst zu ändern, und gehe wahrscheinlich den Weg über: Rclone + systemd-mount für Google Drive (....da auf Arch/EndeavourOS Rclone im Grunde genommen ziemlich stabil läuft.)

...find diesen Ansatz interessant, u.a. aus den folgenden Gründen. :
100 % Kontrolle über Mount & Verschlüsselung;
unabhängig von DE (KDE/GNOME oder aber LXQt etc. etx.) ; und darüber hinaus auch
ziemlich gut geeignet für KeePass, weil Konflikte da sauber gehandhabt werden; und ja
- last but not least, ist Rclone auch ein ziemlich aktiv entwickeltes Tool, sehr Linux-freundlich

Aber - Ich fange gerade an, mir das einzurichten - bis dato war ich da noch eher vorsichtig - mit DATEN in der Cloud - v.a. auch mit Passwortdaten.

vllt. nutzt ja noch jemand hier diesen Weg und das Verfahren.
( wenn ja würde auch gerne eure Erfahrungen hören:
M.a.W. also wer nutzt Rclone + Cloud für KeePass?
Und wie sind hier eure Erfahrungen: gibt es ggf. hier Probleme? Empfehlungen?...

Freue mich, von Euch zu hören.

viele Grüße und einen schönen Donnerstag euch allen noch..

 

[Oli_P]

Also unter Linux nutz ich das ganze jetzt nicht. Das synchen erledige ich über Trigger in KeePass 2. Aktuell werden die Datenbanken so mit Dropbox synchronisiert. Wichtig ist halt, dass die Datenbanken gut abgesichert sind, wenn du diese in die Cloud legst. Ob du das jetzt mit Rclone machst oder so wie ich ohne spezielles Zusatz-Tool.
Praktisch sieht bei mir ein Synch so aus: Ich bearbeite meine Datenbank auf meinem Heimrechner und sobald ich speichere (speichern löst den Trigger aus), wird nicht nur meine lokale Datenbank gespeichert, sondern es wird zusätzlich a) eine aktualisierte Kopie der Datenbank auf mein NAS abgelegt und wird b) zeitgleich eine aktualisierte Kopie auf Dropbox abgelegt. Das geschieht alles in einem Ruck. Die Kopie auf dem NAS ist eine lokale Sicherheitskopie. Mein NAS hängt nicht am Internet.
Somit kann ich meine aktuelle Datenbank auch immer mobil nutzen.

Ich hab aber auch ne eigene kdbx-Datei fürs Handy. Diese wird direkt von Dropbox geöffnet. Wenn ich nun hier eine Änderung mache und speichere, dann kann ich diese Datenbank synchen mit meinem NAS, indem diese einfach am Heimrechner geöffnet wird in KeePass 2 (von Dropbox aus). Da gibst dann einen weiteren Trigger, der ausgelöst wird, wenn die Datenbank geöffnet wird. Solange ich die Datenbank nicht öffne am Heimrechner, existiert noch die alte Version der Datenbank auf dem NAS. Alternativ kann ich das auch so einrichten, dass der Synch ausgelöst wird einfach nur durch den Start von KeePass 2. Und da der Passwort-Manager sowieso mit Windows automatisch im Hintergrund startet, könnte der Vorgang vollends automatisiert werden. Aber im Moment ist das noch so eingestellt, dass die Datenbank erstmal geöffnet werden muss über Dropbox.
Dasselbe funktioniert natürlich auch mit Google Drive und anderen.

 

[tarifa]

Nabend @Oli_P


Danke für dein Posting - sehr spannend👍 – vor allem der Einsatz von Triggern als automatisierter Sync-Mechanismus ist ne elegante Lösung.
Die Trennung in „Haupt-DB + mobile DB“ finde ich auch interessant, gerade wenns drum geht, Konflikte zu vermeiden.
Also, dein Ansatz - das ist ja schon ein sehr durchdachtes Setup, das weit über einerm hmmm - sagen wir mal "klassischen" mit „einer kdbx überall“ liegt; welches imho bei parallelen Änderungen schnell kompliziert wird u. ggf. im Chaos endet.

Danke nochmals

VG

 

[Oli_P]

Übrigens ist eine neue Version vom Plugin KeeTheme erschienen. Versions-Nr. wurde auf 1.x angehoben.
KeeTheme nutz ich schon längere Zeit, ermöglicht einen schönen Win11-Darkmode für KeePass 2. In der neuen Version wurden nun auch schlanke Scrollbalken eingeführt und auch sonst sieht KeePass 2 was moderner aus. Den neuen Scrollbalken kann man unten im Bild sehen. Vorher war das immer so ein fetter weisser Balken. Sieht jetzt so aus wie in meinem Firefox. So kleine Details freuen mich immer

Das Plugin kann man direkt hier runterladen. Entweder die keetheme.plgx oder keetheme.dll-Datei runterladen und diese ins Plugin-Verzeichnis von KeePass 2 kopieren. Klickt man in KeePass 2 auf Extras-Plugins-Ordner öffnen. Hier muss die Datei rein. Danach KeePass 2 neu starten und man hat einen neuen Eintrag im Extras-Menü und in den Optionen gibts ein neues Tab für KeeTheme mit weiteren Einstellungen und auch einen Editor. Aber mit dem Editor hab ich mich nie beschäftigt bisher. Nutze einfach nur den Win11-Darkmode