it-swarm.com.de

Wo würden Sie mir empfehlen, eine Keepass-Datei zu speichern?

Wo lagern Sie die KeePass-DB?

Wo würden Sie mir empfehlen, eine Keepass-Datei zu speichern? Normalerweise habe ich meine persönlichen Dokumente in meinem Cloud-Konto - aber ich bin nicht sicher, ob dies sicher ist. Wäre es sicher, die Cloud für diese Datei zu verwenden? Kann ich es noch weiter sichern, indem ich durch Verschlüsseln der Datei eine weitere (zusätzliche) Sicherheitsebene hinzufüge? Allgemeine Frage; Wie sicher ist das? Welche Risiken muss ich kennen?

Was kann ich mit der KeePass-Kennwortdatei tun? Es gibt mehrere Argumente, um zu entscheiden, wo sie gespeichert werden soll. Meiner bescheidenen Meinung nach sollte man die Entscheidung treffen, wenn die Passwörter für jemanden wirklich sehr wichtig sind:

  • das Risiko, dass die Datei gehackt wird - was können wir tun, wenn wir in Betracht ziehen, gehackt zu werden?
  • das Risiko des Verlusts der Datei aufgrund einer fehlerhaften Festplatte - was tun Sie, wenn Festplattenfehler auftreten? Und sicher -. Es gibt noch mehr Dinge zu denken
  • was ist, wenn jemand die Datei kompromittieren kann?
  • ist es vorzuziehen, dass die DB-Datei nicht in die Wildnis kommt,
  • es kann mehr und andere Risiken geben - welche berücksichtigen Sie? "
  • was passiert, wenn mein Cloud-Speicherkonto kompromittiert wird und die Anmeldeinformationen entweder durch Brute Force oder einen anderen Angriffsvektor wiederhergestellt werden?.

Was ist, wenn jemand die Datei kompromittieren kann?

  • Optionen; Kann ich es noch weiter sichern, indem ich eine weitere Sicherheitsebene hinzufüge, indem ich die Datei verschlüssele, die ich online im Cloud-Speicher speichern werde?.
  • in Bezug auf das Master-Passwort: Das Master-Passwort bietet ziemlich gute Sicherheit, solange ich ein schwer zu erzwingendes Passwort wähle (lang und wirklich zufällig).
  • auf der anderen Seite kann ein Master-Passwort immer noch nicht mit einem tatsächlich langen Verschlüsselungsschlüssel konkurrieren.
  • wir können die Ausfallsicherheit der KeePass-Datenbank gegenüber Brute Force erhöhen, indem wir die Anzahl der PBKDF2-Iterationen erhöhen
  • wir können dies in KeePass unter Datei> Datenbankeinstellungen> Sicherheit tun: Persönlich verwende ich ungefähr 10.000.000 Runden (2 s Verzögerung).

gut - wie oben erwähnt; Ich benutze die KeePass-Cloud-Kombination. Die Kennwortdatenbank wird mit einem Schlüssel verschlüsselt, der von einem starken Hauptkennwort abgeleitet ist. Selbst wenn jemand die verschlüsselte Kennwortdatenbank über das Cloud-Konto abruft, macht ein ausreichend starkes Hauptkennwort Brute-Force-Angriffe unmöglich.

Was kann ich mit der KeePass-Passwortdatei tun? Welches der Argumente berücksichtigen Sie, um zu entscheiden, wo es gespeichert werden soll?

9
butch

Der beste Ort zum Speichern Ihrer Keepass DB-Datei ist dort, wo es für Sie am bequemsten ist. Mit einem ausreichend sicheren Passwort können Sie Ihre Datenbank sogar öffentlich online stellen und nachts trotzdem gut schlafen. Stellen Sie einfach sicher, dass:

  1. Verwenden Sie ein langes Passwort (über 20 Zeichen), das außerhalb von Brute Force nicht zu erraten ist.
  2. Legen Sie eine hohe Anzahl von Iterationen fest, die zum Generieren des Schlüssels aus Ihrem Kennwort verwendet werden. (Ich verwende 5 Millionen Iterationen für meine.)

Ich persönlich mag es, meine Keepass-Datenbank in Google Drive zu speichern, da ich so problemlos von meinem Telefon und meinen Laptops auf meine Datenbank zugreifen kann. Als Bonus wird es auch jedes Mal automatisch versioniert, wenn ich es aktualisiere.

6
TTT

Theoretisch können Sie die Datenbankdatei überall speichern, sie ist mit einer eigenen Passphrase (oder Schlüsseldatei) verschlüsselt.

Wenn Sie sich Sorgen machen, dass jemand versucht, Ihre Passphrase zu erraten oder auf andere Weise in sie einzudringen, können Sie sie ein zweites Mal mit einer anderen seriösen Verschlüsselungsmethode verschlüsseln. GPG/PGP ist gut oder ein TrueCrypt-Nachfolger oder ein dm-crypt/LUKS-Container (obwohl LUKS im Allgemeinen> 2 MB sind, eine KeePass-Datenbank könnte unter 100.000 sein), gibt es eine große Auswahl.

Wenn Sie die Datei ein weiteres drittes, viertes ... n-tes Mal verschlüsseln, sollte sich Ihr Schutz vervielfachen (vorausgesetzt, die Verschlüsselung selbst ist nicht fehlerhaft), aber auch die Anzahl der Passphrasen/Schlüsseldateien, an die Sie sich erinnern müssen, und die Zeit, um sie alle zu entschlüsseln .


Falls jemand eine KeePass-Datenbankdatei ändert, auch nur einen Byte Unterschied, sollte KeePass Sie bemerken und warnen. Ich habe versucht, ein einzelnes Byte in der Mitte zu ändern, und es hat sich beschwert:

Der folgende Fehler ist beim Öffnen der Datenbank aufgetreten:
Hash-Test fehlgeschlagen.
Der Schlüssel ist falsch oder die Datei ist beschädigt.

Das allererste beschwerte Byte zu ändern:

Der folgende Fehler ist beim Öffnen der Datenbank aufgetreten:
Falsche Unterschrift

Das Ändern eines Bytes in einer GPG-Datei führt zu einer ähnlichen Beschwerde (entschlüsselt die Datei jedoch immer noch, wobei etwa 8 Bit geändert wurden - KeePass würde sich dann erneut beschweren und sich weigern, sie zu öffnen):

gpg: WARNUNG: Die verschlüsselte Nachricht wurde manipuliert!

Sie können auch jederzeit Ihre eigene Prüfsumme/Ihren eigenen Hash der Datei behalten (sha-Summen sind beliebt, md5sum immer noch, sogar ein CRC32 sollte eine Beschädigung erkennen), um zu überprüfen, ob sie sich nicht geändert hat.

3
Xen2050

Wenige Sachen:

  1. Behalten Sie den Master passPHRASE not passWORD an einem Ort NICHT in der Cloud.

  2. Verwenden Sie eine Form von pki, wenn Sie Kopien in der Cloud eines anderen Formats/Speicherorts (z. B. eines Schließfachs) haben möchten, damit auch Kompromisse leichter erkannt werden können. Wenn jemand lustig damit spielen würde, wäre der Schlüssel (PGP/PKCS oder ähnliches) alles Mögliche, um den benötigten Aspekt von Kanarienvogel zu spielen.

  3. sehen Sie sich die Geschwindigkeitsbegrenzung innerhalb und außerhalb der KeePass-Anwendung an

  4. wenn möglich, setzen Sie für Netzwerkgeräte oder separate Festplatten Sperren für Benutzer und Anmeldeinformationen, die darauf zugreifen dürfen.

  5. Der RINGER: Im Falle eines Kompromisses zwischen Ihnen, einer Krankheit, einem Gefangenen oder was auch immer, hat eine vertrauenswürdige Partei die Möglichkeit, darauf zuzugreifen, ohne ihnen Ihre persönlichen Schlüssel oder den vollständigen Zugriff zu geben, sofern dies nicht erforderlich ist (z. B. ein Anwalt, ein Arzt).

1
linuxdev2013