Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Neu: KeePass 2.60 wurde vor wenigen Tagen freigegeben: Verbesserungen für den freien Passwortmanager
Die kdbx-Dateien sollten an verschiedenen Orten lagern. Ich habe immer mehrere lokale Kopien auf verschiedenen Datenträgern und dann noch die Kopien in der Cloud. Wenn man mit Keyfiles (.keyx) arbeitet, davon genauso Kopien an verschiedenen Orten aufbewahren. Aber niemals die kdbx-Dateien zusammen mit den keyx-Dateien am selben Ort ablegen...
Aber der Notizzettel schützt dich doch auch nicht vor den keyloggern, die du angeführt hast. Du musst das Passwort logischerweise eintippen und dabei würde es im Zweifel auch abgeschnorchelt werden. Ist also keine bessere Alternative.
Natürlich haben auch Notizzettel oder Passwort-Listen im Bankschließfach etc ihren Platz. Sie lösen aber nicht das Problem, für das du sie ins Spiel gebracht hast.
oiisamiio schrieb:
Oder wer es eben digital haben will, Passkey. Passkey verbreitet sich und ich denke in Zukunft werden Tools wie Keepass obsolete...
Passkeys finde ich eine super Idee. Die Verwendung ist aber noch nicht ganz ausgereift, siehe meinen letzten Kommentar zu gesperrten Konten. Und synchronisieren auf neue Geräte klappt mit Keepass etc oft noch nicht, wenn Dienste passkeys nicht ganz vorbildlich umsetzen.
Wenn KeePass ein Problem mit Keyloggern hat, dann hat jedes Programm, wo man sich einloggen muss, ein Problem damit. Versuche, das Problem zu lindern mit der "Zwei-Kanal-Auto-Type-Verschleierung". Da ich mich sowieso fast 100% immer per Auto-Type einlogge, kann ich auch die kleine Check-Box in den Auto-Type-Einstellungen im Datenbank-Eintrag aktivieren. Ja, also das muss man für jeden Datenbankeintrag machen.
Um das Masterpasswort vor Keyloggern zu schützen, ja da hilft dann 2FA (zusätzliches Keyfile oder Hardware-Schlüssel nutzen z.B.). Oder man legt das Passwort direkt auf den Yubikey als "statisches Passwort" und weist dies einem der beiden Slots zu. Okay, dafür muss man dann erstmal in einen Hardware-Schlüssel wie nen Yubikey investieren. Aber sowas ist effektiv und zu guter Letzt auch noch komfortabel. Und das auch nicht nur für in Verbindung mit KeePass. Aber hab tatsächlich erstmal nur wegen KeePass in die Yubikeys investiert. Die ständige Masterpasswort-Eingabe ging mir auf den Senkel. Es sollte idealerweise so sein, dass die Datenbank nur geöffnet ist, wenn diese auch gebraucht wird. Geht KeePass in den Hintergrund, dann wird auch die Datenbank gesperrt automatisch. Und ich bleib auch meist nicht dauerhaft eingeloggt in Webseiten. Schliesse ich den Browser, werd ich abgemeldet von Webseiten. Soll so sein. Aber dann muss ich natürlich öfters die Datenbank wieder öffnen.
Beim Auto-Type bleibt KeePass im Hintergrund, aber dann ist auch die Datenbank erstmal offen. Da kann man dann in den Einstellungen einen Timer setzen, ab wann die Datenbank sich von selber wieder sperrt. Auto-Type bedeutet dann auch oft, dass die Datenbank wieder geöffnet werden muss.
@Oli_P Das ist ziemlich durchdacht, den Ansatz kann ich mir auch vorstellen. Das sollte ich in Betracht ziehen.
Ich würde wohl noch eine Kopie der Datenbank erstellen, die nur mit (unpraktisch langem) Passwort irgendwo auf ein paar DVDs/USB-Sticks abgelegt ist und das Passwort u.A. im Banksafe oder so liegt, damit ich nicht immer auf die yubikeys angewiesen bin.
Wenn du sowas kaufen willst, es gibt welche, die man immer im USB-Port stecken lassen kann. Andere kann man an den Schlüsselbund hängen. Sowelche sind dann auch vewendbar am Smartphone. Musst halt einen mit NFC kaufen. Sowieso am besten direkt 2 kaufen. Stichwort: Ersatzschlüssel. Vergess auch nicht, dass du, wenn du ein statisches Passwort auf den Yubikey legen willst, du ein sehr starkes wählen kannst. Musst natürlich sorgen, dass du dieses für den Notfall an anderer Stelle aufbewahrst. Gilt auch für die Schlüssel für Challenge Response.
So ein Hardware-Schlüssel ist echt praktisch. Irgendwo einloggen bedeutet für mich, max 2 Tasten zu drücken. Die Tasten-Kombi für KeePass Auto-Type hab ich mir auf ner Funktionstaste von meiner Tastatur gelegt. Passwort-Eingabe adé
Wenn man Passkey nutzen möchte, das ist dann auch möglich.
Und vielleicht nicht unwichtig: Wenn man dann die Verschlüsselung seiner KeePass-Datenbank anpassen möchte, am besten erstmal mit einer Kopie der Datenbank rumprobieren. Erst produktiv einsetzen, wenn alles klappt
Bei mir war das so, hatte vorher nur mit Keyfiles und Masterpasswörtern gearbeitet. Um den Yubikey einbringen zu können, musste ich die Verschlüsselung meiner Datenbank anpassen. Sowas mach ich lieber erstmal mit ner Kopie der Datenbank.
Meine Überzeugung ist, dass safety für Privatpersonen weit relevanter ist als security, sobald ein gewisses Mindesetmaß an Security gegeben ist (und das ist es, wenn man KeePass mit z.b. einem sicheren Passwort verwendet). Ich synchronisiere den Passwortsafe daher einfach über irgendeine der einschlägigen Clouds (OneDrive, Google Drive, ...) und benutze da ein relativ schwaches Passwort.
Bei Verwendung eines schwachen Masterpassworts würd ich auf jeden Fall auch noch einen 2. Faktor nutzen. Um die kdbx-Datei im Cloud-Speicher öffnen zu können, brauch ich meinen Hardware-Schüssel. Das kann man dann mit oder ohne Masterpasswort zusätzlich einrichten. Also geht dann auch ganz ohne Masterpasswort. Wenn man das will und sich sicher ist... denn dann hat man keinen 2. Faktor mehr, also das Masterpasswort in diesem Fall.
Ich habe vor kurzem bei einem Bekannten KeePass eingerichtet (KeepassXC weil er eigentlich nur die Browserintegration braucht). Am Handy dann Keepass2Andorid - da wurde dann (selbstverständlich ...) biometrisches entsperren mit dem Fingerabdruck eingerichtet. Am Tag darauf kam natürlich gleich die Frage, ob er sich für den PC einen Fingerabdruckscanner kaufen kann um dann damit die Keepassdatenbank zu entsperren, weil ich ihn zu einem "langen" Masterpasswort genötigt habe.
Aus einigen Kommentaren hier lese ich heraus, dass das wohl irgendwie geht, aber das was ich bisher gefunden hatte war immer ein "das erste Mal bitte mit Masterpasswort manuell entsperren und ab dann (bis zum schließen von Keepass) kann ein Fingerprint genutzt werden (bspw. via Windows Hello)". Kann man das so einrichten, dass man entweder Masterpasswort manuell, ODER Fingerabdruck nutzen kann?
Also für KeePass 2 gibts da ein Plugin für. Hab da selber keine Erfahrung mit, aber ich glaub, einmal mit Masterpasswort entsperren muss man immer. Kenn das von meinem Handy. Wenn das Gerät längere Zeit inaktiv war (z.B. in der Nacht), dann muss ich morgens erstmal mit PIN-Code enstsperren, erst dann gehts wieder mit dem Fingerabdruck.
Wie das mit KeePass XC ist, weiss ich jetzt auch nicht.
Was ich vorhin schrieb, betraf die Enstsperrung der KeePass 2-Datenbank mittels Yubikey und z.B. Challenge Response. Damit kann man tatsächlich auch ohne Masterpasswort die Datenbank entsperren. Es gibt auch einen Yubikey mit Fingerabdruck-Sensor. Da hab ich aber gar keine Erfahrung mit aktuell und ich weiss auch gar nicht, ob sowas mit KeePass funktioniert.
Das mit dem Yubikey und ChallengeResponse habe ich gelesen. Dann kommt wieder das "aber als Backup wärs schon gut das Masterpasswort einfach manuell eintippen zu können". Außerdem brauchst dann ja wieder mind. 2 Yubikeys falls der eine den plötzlichen Chiptod stirbt. Oder eine Kopie der Datenbank mit klassischem Masterpasswort. Alles nicht so einfach...
Ich hab eben mal bei mir in der KP-Datenbank geschaut: wenn ich die CreationTime / LastModification Time von manchen Einträgen anschaue: 28.12.2013 >> die Datenbank pflege ich jetzt auch schon eine ganze Weile :-)
In KeePass 1/2 selber kannst du keine Passkeys speichern. In KeePass XC geht das glaub ich. Aber Passkeys sind für mich eh noch kein Thema und wenns eins werden sollte... das mach ich dann mit den Yubikeys. Die können sowas. Also man braucht nicht zwangsläufig einen Passwort-Manager dafür, vielleicht meinte oiisamiio das.
Glaube aber auch, dass Passwort-Manager noch lange nicht obsolet sind.
Ergänzung ()
Olunixus schrieb:
Dann kommt wieder das "aber als Backup wärs schon gut das Masterpasswort einfach manuell eintippen zu können".
Also du kannst das ja machen... Yubikey + Masterpasswort. In KeePass geht sowas. Du musst es aber nicht. Um die Datenbank zu entschlüsseln, brauchts den Yubikey. Das ist schon ziemlich sicher. Natürlich aber ist ein 2ter Faktor noch sicherer.
edit: Achso, falsch verstanden. Man muss sich schon entscheiden... Entweder, oder. Kannst natürlich eine Kopie der Datenbank anfertigen und diese danach anders verschlüsseln.
Alternativ fällt mir noch ein, dass man, wenn man in KeePass 2 das Plugin KeeChallenge nutzt, die Datenbank auch notfalls mit Eingabe des Secret Keys entsperren kann. Das ist aber ausdrücklich nicht(!) ins Feld fürs Masterpasswort einzugeben. Das funktioniert auch nur, wenn aus irgendeinem Grund der Yubikey nicht zur Verfügung steht, welchen man für die Entsperrung der Datenbank braucht. Dann kriegt man ne Fehlermeldung vom Plugin (kein Yubikey gefunden oder so) und dann kann man den Secret Key eingeben. Das ist dann der "Recovery Mode".
Diesen Secret Key, womit man Challenge Response auf dem Yubikey konfiguiert, sollte man also auch irgendwo anders ablegen. Klassisch auf den Notizzettel und dann in den Safe. Den braucht man auch, wenn man einen Ersatzschlüssel anfertigen will. Also beide Yubikeys müssen mit demselben Secret Key gefüttert werden.
Olunixus schrieb:
Außerdem brauchst dann ja wieder mind. 2 Yubikeys falls der eine den plötzlichen Chiptod stirbt. Oder eine Kopie der Datenbank mit klassischem Masterpasswort. Alles nicht so einfach...
Ja, man sollte direkt mindestens 2 kaufen. 2 sind schon cool, manche Leute haben noch mehr. Elektronik kann immer kaputt gehen, aber die Yubikeys sind schon robust. Glaub nicht, dass die so schnell sterben. Eventuell sollte man schauen, dass die USB-Kontakte ein bisschen geschützt sind. Aber mindestens 2 sollte man haben, wegen Ersatzschlüssel und so. Und nicht vergessen, alles was in den Yubikey gefüttert wird, verschwindet dort. Du kannst dir nicht im nachhinein den Speicherinhalt am Rechner anschauen. Der Yubikey spuckt nur noch Informationen aus, wenn du den Sensorknopf tippst. Es gibt aber auch Situationen, wo der Yubikey nur stecken muss. Nur was drin gespeichert ist, siehst du nicht. Das ist ja grade das Ding an so nem Hardware-Schlüssel.
Du musst auf jeden Fall in der Lage sein, einen Ersatzschlüssel anzulegen. Du kopierst den Inhalt des Yubikey ja nicht auf den anderen. Das geht gar nicht. Wenn du z.B. ein super starkes statisches Passwort konfigurierst, dann muss dieses Passwort noch irgenwo anderes erreichbar sein. Wieder klassisch auf dem Zettel im Banksafe Hast du nur einen Yubikey und du verlierst den, wird geklaut etc... dann hättest du dein super starkes Passwort nicht mehr. Bon plaisir
KeePass2 jedenfalls nicht und ich glaube, auch XC nicht. Hätte ich nämlich auch gerne dass der container entweder mit meinem MS Account entsperrt wird oder mit einem Kennwort. Dann müsste ich nicht jedes mal beim PC Start zusätzlich das KeePass Passswort eingeben.
Danach hatte ich mal gesucht, aber nur gefunden, dass solche "ODER" Kombinationen schlicht nicht möglich sind.
Aus einigen Kommentaren hier lese ich heraus, dass das wohl irgendwie geht, aber das was ich bisher gefunden hatte war immer ein "das erste Mal bitte mit Masterpasswort manuell entsperren und ab dann (bis zum schließen von Keepass) kann ein Fingerprint genutzt werden (bspw. via Windows Hello)". Kann man das so einrichten, dass man entweder Masterpasswort manuell, ODER Fingerabdruck nutzen kann?
Direkt im ersten Absatz von dem Hilfeartikel den du verlinkt hast - ich verstehe das so, dass man zuerst trotzdem mit dem Masterpasswort entsperren muss. Das ist ja das, was nicht gewünscht war. Soll direkt beim ersten Mal mit Fingerprint gehen.
"das erste Mal bitte mit Masterpasswort manuell entsperren und ab dann (bis zum schließen von Keepass) kann ein Fingerprint genutzt werden (bspw. via Windows Hello)"
Bis zum schließen von KeePass? Meinen die damit, das Programm richtig zu beenden? Bei mir wird KeePass nie beendet, das Programm wird automatisch gestartet beim Windows-Start und wandert sofort in den Hintergrund. Erst wenn ich mich irgendwo einloggen will und Auto-Type ausführe, wird KeePass aktiv. Ist die Datenbank gesperrt (wie meistens), kommt erst das Dialog-Feld um die Datenbank zu entsperren. Ist die Datenbank grad offen, wird sofort Auto-Type ausgeführt. Die meiste Zeit bleibt das Programm im Hintergrund, ist "unsichtbar" und immer bereit. Man sieht halt nur das Symbol im Tray. Wenn ich das Programm sehen will, dann eben strg-alt-k drücken. Aber geschlossen wird es niemals Erst, wenn der Rechner runterfährt.
@Oli_P Es hat halt quasi keinen Mehrwert, den Safe zwischendurch zu sperren bzw. jemals zu sperren während du eingeloggt bist. Ist dein Rechner kompromittiert sind die Passwörter kopiert sobald der Safe einmalig entsperrt worden ist.
Viel wichtiger als solche Safe-Entsperrung Details ist 2FA bei wichtigen Accounts - zweiter Faktor selbstredend nicht in irgendeiner Form im Safe hinterlegt.
Ist mir klar Wäre natürlich ein Argument, die Datenbanken immer geöffnet zu lassen nach einmaligem Entsperren. Ich mach das, weil ich die Datenbanken auch am Handy und anderen Rechnern öffne. Hab da eher eine einheitliche Vorgehensweise, egal wo ich die Datenbank öffne.
Klar, 2FA bei gewissen Webseiten und Diensten nutz ich auch. Ist auch wichtig.
is zum schließen von KeePass? Meinen die damit, das Programm richtig zu beenden? Bei mir wird KeePass nie beendet, das Programm wird automatisch gestartet beim Windows-Start und wandert sofort in den Hintergrund.
Der Usecase bei denen ist: "eher selten am PC und wenn dann um eine bestimmte Sache zu machen und danach ist der PC wieder aus." >> also wird Keepass effektiv nur einmal nach dem PC start geöffnet und ein zweites mal gibts oft nicht, bis der PC wieder aus ist.
