KeePass (Passwortliste für Windows und Smartphone-Zugriff sicher ablegen und synchron halten)

Internet Internet Sicherheit
#1

Moin moin zusammen,

IT-Sicherheit wird in der heutigen Zeit immer wichtiger. Ich möchte gerne meine Passwortliste (aktuell alles analog mit Zettel und Stift festgehalten) digitalisieren.

Wie mache ich das am besten und was ist am sichersten, ich denke so an 2-Faktor-Schlüssel mit KeyPass?

Auch möchte die Passwortliste mit meinem Iphone synchron halten, Passwörter nur noch automatisch erzeugen lassen und direkt in der PW-Database ablegen.

Was könnt Ihr mir empfehlen, wie mach hier das? Was ist heute Stand der Technik?

#2

Ich verwende KeePass 2.x mit Schlüsseldatei. Die Passwortdatei liegt in der Cloud (eigene Nextcloud-Instanz), auf jedem Rechner liegt eine Kopie der Schlüsseldatei. Die Passwortdatei wird bei Änderungen automatisch mit der Cloud synchronisiert. Unter Linux + Firefox nutze ich meist die Autotype-Funktion von KeePass zur Eingabe von Usernamen und Passwort, auf den anderen Systemen kopiere ich das Passwort über die Zwischenablage.

Die Passwörter sind somit durch die Kombination von Passwort + Schlüsseldatei geschützt. Die Zwischenablage wird automatisch nach einem konfigurierbaren Zeitraum geleert. Die Datenbank wird automatisch nach Ablauf eines konfigurierbaren Zeitintervalls geschlossen. Funktioniert mit Linux, Windows und Android. Ob das auch mit dem Iphone funktioniert, kann ich nicht sagen.

#3

Hallo,

So komisch das klingt: Stand der Technik ist tatsächlich der Zettel. Es gibt eine örtliche und eine technische Trennung zwischen Dienst und Passwort-Speicher.

Es gibt allerdings auch einige elektronische Passwortspeicher, denen man vertrauen kann und leider auch muss. Ich persönlich verende 1Password. Derzeit ist mir nicht bekannt, dass dessen Datenbanken schon mal erfolgreich von anderen Programmen geknackt worden wären.

Grüße
Pierre

#4

Ein Zettel. auf dem nur Passwörter oder Nutzernamen + Passwörter stehen bringt nichts. Man muss sich dann noch die Zuordnung zum Dienst merken. Da ich für jeden Dienst ein eigenes Passwort habe, schaffe ich das nicht. Also doch Passwortmanager.

#5

Ja selbstverständlich schreibt man alle drei Daten auf. Alles andere wäre auch unsinnig. Dabei geht es allein schon um das so genannte digitale Erbe. Also um die Möglichkeit des Zugangs für Hinterbliebene, wenn man selber verstorben ist.

Grüße
Pierre

#6

Hallo zusammen,
ich melde mich hier mal zu Wort, da ich seit über 10 Jahren nichts anderes als IT- bzw- Informationssicherheit jeden Tag mache.
Best practise bzw. State-of-the-art ist heute ein Passwortmanager. Viele Großkonzerne verwenden das Keepass-Programm. Dies wurde in den Konzernen vielfach per Pentest untersucht. Der Code ist quelloffen und kann von jedem analysiert werden.
Die Synchronisierung über einen „Netzwerkspeicher“ (möchte den Begriff „Cloud“ vermeiden) verwende ich auch persönlich, wobei der „Netzwerkspeicher“ in meiner Obhut liegt. Ich würde nicht unbedingt mit einer Public Cloud synchronisieren. Hintergrund ist, dass man die verwendeten Synchronisierungsalgorithmen meines Wissens nicht so einschränken kann, dass nur die sicheren Algorithmen für die Synchronisierung verwendet werden. Nachdem die „Cloud“ der Server ist, wird immer der Algorithmus verwendet, den die Cloud und der Client kennt. Somit kann die Cloud die Sicherheitsstufe der Synchronisierung vorgeben.
Von der Auto-Insert-Funktion unter Firefox (Keepass füllt automatisch die Formularfelder beim Aufruf einer Seite) rate ich grundsätzlich ab, da dieser Automatismus für Schadprogramme ein gefundenes Fressen ist. Autotype verwende ich auch. Die Standardmäßigen Einstellungen für das Sperren von Keepass und das Löschen von Passwörtern aus dem Zwischenspeicher sollten drastisch reduziert werden so auf 20 - 30 Sekunden, sonst ist das Risiko, dass andere Programme in Besitz des Passwortes kommen drastisch höher.
Die Authentifizierung an Keepass kann mit 2-Faktor-Authentifizierung mittels Smartcard oder mit Keyfile und Passwort durchgeführt werden.
Wenn ein Passwort vergeben wird, ist das heutige Best-Practice, das man wieder von Passwörtern, die aus den Anfangsbuchstaben von Sätzen gebildet werden abgekommen. Die Krypto-Experten und Pentester, die ich kenne, raten dazu, ein Passwort aus einer Zusammenstellung von unsinnigen Wörtern zu generieren:
https://keepass.info/plugins.html#ppgen
Das Ergebnis sieht dann z.B. so aus:
„your sore will circle the basement and the hewer“

So, ich hoffe, das war jetzt ausführlich genug.

Sollten noch Rückfragen offen sein … please ask me :wink:

Schönen Sonntag

#7

Dabei geht es doch immer um eine Attacke, einfach mal „alle Wörter und Wortkombinatione“ auszuprobieren, oder?

Mein Router macht z.B. nach drei Fehlversuchen beim externen Login für 10min den Port dicht.

So weit ist es bislang aber noch nicht gekommen, denn zunächst muss der Port mal erraten werden. Die ganzen Bots grasen aber hauptsächlich Standard-Ports ab, sagen die Logfiles.

#8

Hallo,

Das Spannende ist hierbei einfach die Mathematik. Nehmen wir an, das Wörterbuch hat 30.000 Einträge. Und Deine Passphrase besteht aus 8 Wörtern. Wobei ein Wort beliebig oft vorkommen oder nicht vorkommen kann. Nehmen wir nun an, wir vergleichen diese Passphrase mit einem 20-stelligen Passwort aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen … gesamt 50 Zeichen. Und jetzt kommt die Mathematik …
Bei Passphrase: 30.000^8 = 1,9 * 10^40 Möglichkeiten
Bei Passwort: 50^20 = 9,5 * 10^33 Möglichkeiten.

Nur, dass ich mir ein komplexes Passwort mit 20 Stellen nicht merken kann, einen Satz aus 8 Wörtern aber schon eher :wink: Und Passwort aufschreiben ist böse …

Schönen Abend und einen guten Wochenstart!

#9

Ach Quatsch, so ein Zettel, gut unter der Tastatur versteckt, das ist die ultimative Sicherheit.

#10

Hi cooky1976,

besten Dank für Deine informative Antwort. Dann werde ich wohl eine eigene Cloud aufsetzen und auf geht’s.

1 Like
#11

besten Dank für Deine Antwort. Ich denke, so werde ich das Ganze nun auch angehen.