Keepass: Open-Source Passwortmanager - wie geht ihr mit dem Masterpasswort um?

chiemsee

Profi
Thread Starter
Mitglied seit
22.02.2023
Beiträge
157
Ich verwende das offene KeePass anstatt meine Kennwörter proprietären Managern anzuvertrauen, .

Heute mal keine Frage. die sich nich mit Hardware oder dem Aufbau einens neuen Rechners mit Linuxbeschäftigt - nein heute geht es um etwas anderes: sie ist mir aber dennoch wichtig - deshalb will ich sie gerne stellen.

das Thema heute: KEEPass (http://keepass.info/) einrichten und Masterpassword sicher ablegen... Das Tool KeePass, ein Open-Source Passwortmanager, der dazu dient, Passwörter auf eine sichere Art und Weise abzuspeichern.

mein Ansatz: eines der wichtigsten Ansäztze im Umgang mit Passwörtern: niemals dasselbe Kennwort mehrfach zu verwenden. Dennoch halt ich es für wichtig, dass meine Kennwörter ausreichend lang sind schwer zu erraten und vor allen Dingen in einem Passwort-Manager abgelegt sind. Hier verwende ich Keepass.

Nun die Frage; Wo auf dem Rechner oder (überhaupt) legt ihr euer keepass-File ab? Darüber hinaus: wie aufwändig ist euer masterpasswd - sehr oder nicht so sehr? Es ist ja so: KeePass bringt mit Keyfiles schon viel viel mehr sicherheit: Frage aber - wo legt ihr denn das file ab!? es ist ja so: Sollte das Masterpasswort abhandenkommen, lässt sich mit der Datenbank nichts anfangen, solange nämlich die Schlüsseldatei fehlt.

Also - gehen wir mal von dem Fall aus - ihr wollt mehr Sicherheit: Wenn man mit Keyfile arbeitet: dann ist das so: Es ist also immer die Kombination aus Datenbank, Schlüsseldatei und Masterpasswort erforderlich.

Dennoch: Das oben gesagte, das bedeutet natürlich nicht, dass das gewählte Masterpasswort dadurch unwichtiger wird. Ich denke, dass man trotz Keyfile ein extrem sicheres Passwort wählen sollte. Schließlich sollen damit alle anderen Passwörter geschützt werden. Und Verschlüsselung ist immer nur so gut wie das gewählte Passwort.

Nun kommt die Frage: welche Methode verwendet ihr
a. bei der Generierung eines Masterpassworts
b. bei der Ablage der Keyfile!?

Welche Risiken bezieht ihr mit ein:
- Datenverlust
- gehackter Passwortfile
- oder andere Risiken mehr...!?

auf der Wikiseite über Keepass steht das folgende: https://de.wikipedia.org/wiki/KeePass


und hier die Zusatzfrage: Wie leicht könnte jemand meine keepass .kdbx-Datei knacken, wenn diese Person die Datei stiehlt, aber darüber hinaus nie das Master-Passwort erhält? Wo wären wir denn dann!?
Konkret: nehmen wir mal an so etwas passiert: mir wird die kdbx-Datei geknackt, aber das Masterpasswort ist sicher - nicht in fremde Hände gekommen.
Da frage ich mich, ist dies eine ernsthafte Bedrohung oder würde ein Brute-Force-Angriff eine enorme Rechenzeit erfordern?
Zum hier (eher hypothetisch) gewählten Sicherheitsansatz: also nehmen wir mal an, wir haben uns für ein Passwort entschieden, das noch mehr als 10 Zeichen lang ist - bestehend aus zufällig verteilte Zeichen des eines Sets enthält, der alle Buchstaben, Zahlen und die meisten nicht alphanumerischen Tastatursymbole enthält.

also - in diesem Zusatzteil in dieser Zusatzfrage, da geht es um den Spezialfall: wie leicht könnte jemand meine keepass .kdbx-Datei knacken, wenn diese Person die Datei stiehlt, aber darüber hinaus nie das Master-Passwort erhält? Wo wären wir denn dann!? Wie sicher wäre ich dann!?


Viele Grüße u. allen Euch einen
schönen Sonntag.

Euer Chiemsee
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Man muss verschiedene Technologien kombinieren.

Zum Beispiel: (Master) Keyfiles als Offline Backup auf USB Stick. Noch besser: verschlüsselter Container auf USB Stick.

Oder noch besser: Hardware Token verwenden, wie z.B. Yubikey. Die Verwendung setzt dann Wissen + Physikalischen Besitz + Kenntnis des PIN Codes voraus.
 
Hallo Supaman
vielen Dank für Deine Rückmeldung u. deine Tipps u. Ideen:

Man muss verschiedene Technologien kombinieren.
Zum Beispiel: (Master) Keyfiles als Offline Backup auf USB Stick. Noch besser: verschlüsselter Container auf USB Stick.
Oder noch besser: Hardware Token verwenden, wie z.B. Yubikey. Die Verwendung setzt dann Wissen + Physikalischen Besitz + Kenntnis des PIN Codes voraus.

Vielen Dank. Die Methode "verschlüsselter Container auf USB-Stick

Danke auch für diese Anregung.

Ich werd mir das noch näher ansehen.

Viele Grüße
Chiemsee ;)
 
Wichtig bei Auslagerung aus USB Stick: nicht nur 1 USB Stick haben, sondern mindestens 2 - die Dinger sterben gerne mal ohne Vorwarnung beim Einstecken. Ohne Backup ist dann schlecht.
 
hallo Supamann,

vielen Dank! Der Hinweis auf "mehrere" Sicherungen - der ist sehr wichtig. Das leuchtet ein.

Vielen Dank nochmals.

Viele Grüße :-)
 
Beschäftige dich mal mit TOTP und 2FA allgemein, das ist das was @Supaman auch meinte.
Generell würde ich ein, mir leicht zu merkendes aber dennoch ausreichend langes und komplexes Passwort aussuchen, und das dann in Verbindung mit TOTP (entsprechende Plugins gibts auf der Seite von Keepass) und einer (USB-)Smartcard einsetzen.
Yubikey ist eine Möglichkeit, eine Andere wäre Nitrokey aus Berlin: https://www.nitrokey.com/de
Nitrokey bestückt übrigens ua. die Linux Kernel Entwickler mit ihren Smartcards, damit diese damit ihre Commits digital signieren können.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh