rad1oactive
knows about the birb
|
Wenn das Keyfile in der selben cloud liegt dann macht es aber keinen Sinn. Ich hatte eine Zeitlang das Keyfile auf einem USB Stick am Schlüsselbund. War aber irgendwie nicht praktikabel und vorallem mit dem Handy mühsam naja der "hacker" weiß ja nicht, was das keyfile ist, oder?
|
sLy-
semiconductor physicist
|
Er müsste erstens das(die) keyfile(s) erraten und darüber hinaus noch das passwort. Zudem wird er kaum wissen, ob jetzt nur ein passwort oder keyfile, eine kombination aus beidem oder dazu vielleicht noch mehrere keyfiles verwendet werden.
also ich geh jetzt mal davon aus, dass diese vorgehensweise sicher ist.
Bearbeitet von sLy- am 23.05.2016, 14:00
|
Viper780
ModeratorEr ist tot, Jim!
|
wieviele keyfiles hast du in deiner cloud liegen? Wenn er mit einem Keylogger dein PW hat muss er nur die Keys durch probieren. Also ein wenig schwerer würd ichs ihm schon machen zB mit einer 2. cloud
|
sLy-
semiconductor physicist
|
theoretisch kann jedes file / jede kombination aus files als keyfile dienen. Du kannst auch ein stinknormales zip, txt, exe or whatever file als keyfile verwenden. Mir reicht diese sicherheit aus. Alles andere ist mir schon zu umständlich, da ich schlussendlich nicht mit nuklearem Material für den IS hantiere.
|
davebastard
Vinyl-Sammler
|
theoretisch kann jedes file / jede kombination aus files als keyfile dienen. Du kannst auch ein stinknormales zip, txt, exe or whatever file als keyfile verwenden. Mir reicht diese sicherheit aus. Alles andere ist mir schon zu umständlich, da ich schlussendlich nicht mit nuklearem Material für den IS hantiere. das wusste ich ned, d.h. ich kann auch ein mp3 als keyfile nehmen ?
|
sLy-
semiconductor physicist
|
ja - aber wie gesagt aufpassen, dass es eine datei ist die nie mehr verändert wird. Sonst sperrt man sich selbst aus
Bearbeitet von sLy- am 24.05.2016, 10:14
|
daisho
SHODAN
|
Was genau soll ein Keyfile eigentlich bringen? Security sollte ein ordentliches Passwort das man sonst nirgendwo anders verwendet eigentlich genug sein. Ich könnte mir maximal vorstellen mit dem Keyfile ein unsicheres Passwort "abzusichern". Ansonsten stelle ich mir ein Keyfile eher als Krücke und potentielle Gefahr sich auszusperren in der Praxis vor.
|
JC
AdministratorDisruptor
|
Keepass.info You don't even have to remember a long, complicated master passphrase. The database can also be locked using a key file. A key file is basically a master password in a file. Key files are typically stronger than master passwords, because the key can be a lot more complicated; however it's also harder to keep them secret.
- A key file can be used instead of a password, or in addition to a password (and the Windows user account in KeePass 2.x).
- A key file can be any file you choose; although you should choose one with lots of random data.
- A key file must not be modified, this will stop you opening the database. If you want to use a different key file, you can change the master key and use a new/different key file.
- Key files must be backed up or you won't be able to open the database after a hard disk crash/re-build. It's just the same as forgetting the master password. There is no backdoor.
|
daisho
SHODAN
|
Das ist schon klar, aber ich sehe da einfach zu viele Nachteile: Wenn man das File verliert, ist die KeePass Datei auch verloren. Also wird das File auch auf der Cloud liegen.
Weil man prinzipiell faul ist (wer will schon jedesmal wenn man KeePass braucht umständlich herumsuchen) wird das Keyfile dort liegen wo man sofort Zugriff hat (selber Ordner, oder wo das "Durchsuchen" Fenster üblicherweise hinzeigt).
Schneller ist es wohl nicht, weil 2-3 Wörter kann man recht schnell abtippen, mit der Maus hantieren um das Keyfile auszuwählen dauert vermutlich länger.
Wenn man nur ein kurzes Passwort hat und deswegen seine Keylänge verlängern will ... ok. Aber wie gesagt, ein paar einfache Wörter (man verwende vielleicht nicht den eigenen Namen, Adresse oder ähnliches klarerweise ...) hintereinander und eine Prise Sonderzeichen eingestreut sind üblicherweise schon ein ziemlich gutes Passwort, kann sich jeder merken und hat diese Risiken nicht.
|
JC
AdministratorDisruptor
|
Ich persönlich verwende auch keine Schlüsseldatei (und schon auf gar keinen Fall das Benutzerkonto). Ich würde auch nie nur auf eine Schlüsseldatei setzen. Gut, dass es die Option gibt; mir ist das allerdings zu mühsam. Da setze ich lieber auf ein gutes Passwort.
Als zusätzliche Massnahme (composite key) ist es sicher nutzbringend, aber dann muss man sich eben der Risiken bewusst sein. Wie so oft ist es eben ein Kuhhandel zwischen Bequemlichkeit und Sicherheit.
|
userohnenamen
leider kein name
|
blöde zwischenfrage zur schlüsseldatei: angenommen ich hab eine txt datei als schlüsseldatei mit Inhalt "ich bin der beste" wenn ich die jetzt lösch und neu anleg, exakt der selbe text usw. geht dann wahrscheinlich eh problemlos oder? weil der md5 hash (ich schätz mal das wird dann als key von der datei genutzt) ist ja wieder derselbe
|
daisho
SHODAN
|
Theoretisch ja, wobei man wohl aufpassen muss ob sich dann eh keine CR oder LF Zeichen o.Ä. einschleichen (also die Datei binär gleich ist). Allerdings ...
Was genau von der Datei von KeePass genutzt wird weiß ich leider nicht (die ersten oder letzten 32 Byte? MD5 Hash?)
Bearbeitet von daisho am 24.05.2016, 14:47
|
JC
AdministratorDisruptor
|
blöde zwischenfrage zur schlüsseldatei: angenommen ich hab eine txt datei als schlüsseldatei mit Inhalt "ich bin der beste" wenn ich die jetzt lösch und neu anleg, exakt der selbe text usw. geht dann wahrscheinlich eh problemlos oder? weil der md5 hash (ich schätz mal das wird dann als key von der datei genutzt) ist ja wieder derselbe Yep. Im Wesentlichen passiert folgendes: Source: Keepass Security Key Derivation: If only a password is used (i.e. no key file), the password plus a 128-bit random salt are hashed using SHA-256 to form the final key (but note there is some preprocessing: Protection against Dictionary Attacks). The random salt prevents attacks that are based on pre-computed hashes.
When using both password and key file, the final key is derived as follows: SHA-256(SHA-256(password), key file contents), i.e. the hash of the master password is concatenated with the key file bytes and the resulting byte string is hashed with SHA-256 again. If the key file doesn't contain exactly 32 bytes (256 bits), they are hashed with SHA-256, too, to form a 256-bit key. The formula above then changes to: SHA-256(SHA-256(password), SHA-256(key file contents)).
|
daisho
SHODAN
|
Automatischen Updatecheck sicherheitshalber ausschalten, wobei ich davon ausgehe das solche Angriffe eher theoretischer Natur bleiben werden Sicherheit: Passwortmanager KeePass 2 potentiell angreifbarDer Passwortmanager KeePass 2 ist potentiell gefährdet, weil der Entwickler sich weigert, eine Update-Routine mit HTTPS besser abzusichern. Link: www.computerbase.de
|
Master99
verträumter realist
|
die begründing ist halt sehr komisch. die update-routine könnte man ja auf eine https subdomain legen. prinzipiell ist die ganze werbe&https geschichte aber wohl bei den größeren seite. ein ziemliches problem
|