KeePass: Verwenden Sie eine Schlüsseldatei oder ein normales Passwort.

25757
RCIX

Ich bin dabei, eine KeePass-Datenbank einzurichten. Sie bietet die Möglichkeit, eine Schlüsseldatei zu verwenden, die sicherer ist, da sie ein längeres und komplexeres Kennwort verwenden kann Datenbank. Ich verwende die Schlüsseldatei nur auf zwei Computern (einem Desktop und einem Laptop). Welches ist die beste Option?

Beachten Sie, dass es definitiv ansprechender ist, die Schlüsseldatei für mich zu verwenden, da es mir schwer fällt, mich an etwas zu erinnern, das sich in der Nähe eines zufälligen Passworts befindet.

16

5 Antworten auf die Frage

17
nik

In Bezug auf die Möglichkeit, ' key files' mit KeePass zu verwenden .

Um den 256-Bit-Schlüssel für die Blockchiffren zu generieren, wird der Secure-Hash-Algorithmus SHA-256 verwendet. Dieser Algorithmus komprimiert den vom Benutzer bereitgestellten Benutzerschlüssel (bestehend aus Kennwort und / oder Schlüsseldatei) auf einen Schlüssel mit fester Größe von 256 Bit. Diese Transformation ist einseitig, dh es ist rechnerisch nicht möglich, die Hash-Funktion zu invertieren oder eine zweite Nachricht zu finden, die zu demselben Hash komprimiert wird.

Der kürzlich entdeckte Angriff auf SHA-1 hat keinen Einfluss auf die Sicherheit von SHA-256. SHA-256 gilt immer noch als sehr sicher .

(es gibt ein weiteres aktuelles Update, aber ich denke, dass solche Nachrichten hier nicht relevant sind ).
Bis zu dem Punkt auf der Hand ,

Schlüsselableitung :
Wenn nur ein Kennwort verwendet wird (dh keine Schlüsseldatei), werden das Kennwort und ein zufälliges 128-Bit-Salt mit SHA-256 zum endgültigen Schlüssel gehasht (beachten Sie jedoch, dass einige Vorverarbeitungen vorhanden sind: Schutz vor Wörterbuchangriffen). Das zufällige Salt verhindert Angriffe, die auf vorberechneten Hashwerten basieren.

Wenn Sie sowohl das Kennwort als auch die Schlüsseldatei verwenden, wird der endgültige Schlüssel wie folgt abgeleitet: SHA-256 (SHA-256 (Kennwort), Inhalt der Schlüsseldatei), dh der Hash des Hauptkennworts wird mit den Schlüsseldateibytes und dem resultierenden Byte verkettet String wird erneut mit SHA-256 gehasht . Wenn die Schlüsseldatei nicht genau 32 Byte (256 Bit) enthält, werden sie ebenfalls mit SHA-256 zu einem 256-Bit-Schlüssel gehasht. Die obige Formel ändert sich dann zu: SHA-256 (SHA-256 (Kennwort), SHA-256 (Schlüsseldatei)).

Wenn Sie denken, dass Ihr Passwort etwas schwächer ist (und besser für Ihr Gedächtnis), ist
die Schlüsseldatei ein guter zweiter Faktor .
Verwenden Sie also beide (zusammen).

Ich würde mir Steve Gibsons Kommentar dazu ansehen: http://www.grc.com/sn/sn-182.txt jasonh vor 15 Jahren 0
@jasonh, Wow! Sie lehnen mich ab, weil Sie eine Zwei-Faktor-Sicherheit vorgeschlagen haben, mit einem "Gibson" -Interview, das Sie von seiner eigenen Website übernommen haben (ja, ich habe Leo schon gehört, gut). Bitte fügen Sie Ihre Punkte hier als neue Antwort hinzu, damit die Menschen davon profitieren können. nik vor 15 Jahren 0
@jasonh, Hast du die Teile tatsächlich in ** fett ** gelesen? nik vor 15 Jahren 0
Ja, habe ich. Ich verstehe, einen zweiten Faktor zu haben, aber hier ist es nutzlos. Die Schlüsseldatei wird virtuell mit der Kennwortdatenbank selbst gespeichert, wenn Sie ein mobiler Benutzer sind. Wenn Sie die Kontrolle über die Datenbank verlieren, haben Sie wahrscheinlich auch die Kontrolle über die Schlüsseldatei verloren. Steve Gibson stellt fest, dass eine Schlüsseldatei Ihnen kaum zusätzliche Sicherheit gibt, wenn überhaupt. jasonh vor 15 Jahren 7
Ein zweiter Faktor ist nützlich am Beispiel des PayPal-Fußballs. In diesem Fall haben Sie ein physisches Gerät und ein Passwort. Wenn Ihr Passwort gefährdet wird, besteht kein Grund zu der Annahme, dass Ihr Fußball standardmäßig zur gleichen Zeit fehlt. Wenn dagegen die Ware eine Kennwortdatenbank ist und der Sicherungsmechanismus einfach eine andere Datei ist, die sich neben der Datenbank selbst befindet, was nützt es? Keiner. jasonh vor 15 Jahren 2
@jasonh, ich habe deine Kommentare erst spät gelesen. Aber verstanden Ihre Behauptung. Ich gehe davon aus, dass die Schlüsseldatei entweder nicht in der DB mitgeführt oder separat verschlüsselt wird. Ich stimme der Schwäche zu, sie mit der DB klar in die Tat umzusetzen - der zweite Faktor geht verloren. nik vor 15 Jahren 0
+1 für die Schlüsseldatei und das Master-Passwort. Selbst wenn sie die Datenbank- und Schlüsseldatei erhalten, müssen Sie sich nur ein langes Kennwort merken. Sie können das Gehirn noch nicht hacken. ppumkin vor 11 Jahren 2
Tatsächlich wird das Hacken von Gehirnen normalerweise so gemacht, wie es gemacht wird. Ich kann Ihr Passwort erraten, weil es offensichtlich ist. ctrl-alt-delor vor 10 Jahren 0
Ich bewahre meine Schlüsseldatei auf einem LUKS-USB-Laufwerk auf, also brauche ich eine Passphrase, um das USB-Laufwerk zu öffnen, aber dann nur die Schlüsseldatei, um meine Passwd-Datenbank auf meinem Laptop zu öffnen. Selbst wenn der USB irgendwie mit meinem Computer gestohlen wird, ist die Schlüsseldatei immer noch LUKS-verschlüsselt. Dieses Szenario ist jedoch nicht so wahrscheinlich, dass jemand einfach den einen oder den anderen stiehlt (Computer- oder USB-Laufwerk). Keines davon allein ist für jeden von Vorteil, soweit es meine Passwd-Datenbank droht. nanker vor 7 Jahren 0
5
jasonh

Das Wichtigste ist, Ihre Passwörter sicher zu halten, daher ist dies ein Kinderspiel: Passwort. Wenn Sie eine Schlüsseldatei verwenden und die Kontrolle über Ihre Kennwortdatenbank verlieren, werden alle Ihre Kennwörter angezeigt.

Sie sind immer gefährdet, wenn Sie Ihr 'Passwort' irgendwo speichern (sei es auf einem Notizzettel oder als Schlüsseldatei). Solange Sie das Passwort im Kopf behalten (und es ist komplex genug), sollten Sie besser dran sein. Sam vor 15 Jahren 4
Wenn Sie die Schlüsseldatei ** und ** ** verwenden, wird der endgültige Schlüssel wie folgt abgeleitet: `SHA-256 (SHA-256 (Kennwort), Inhalt der Schlüsseldatei)`. Der Zugriff auf die Datei allein ist nutzlos. Die Kenntnis des Passworts ohne den Inhalt der Datei macht es jedoch schwieriger, es zu brechen. Außerdem fügt die Datei Ihrem Kennwort ein starkes "Salz" hinzu. nik vor 15 Jahren 1
1
Pawka

Verwende beide. Behalten Sie Ihre Schlüsseldatei in Ihrem Flash-Laufwerk und bringen Sie sie immer mit. Aber nicht irgendwo auf dem Desktop (es ist das gleiche wie das Schreiben von Passwörtern auf Notizen). Ich verwende diesen Weg für meine verschlüsselte Festplattenpartition (mit TrueCrypt). Wenn also immer noch jemand Ihr Passwort erhält, benötigen Sie auch eine Schlüsseldatei.

Stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer Schlüsseldatei sowie der Kennwortdatenbank selbst haben. Wenn einer davon jemals beschädigt wird, benötigen Sie ein neues Backup. Torbjørn vor 15 Jahren 1
0
dotnetspec

Für einen Neuling in der Passwortverwaltung:
Nur Passwort
Warum?
Es reduziert die Verwaltung Ihrer Datei (mis) auf die Hälfte und beschränkt sich auf nur eine Datei.
Eine KeepassX .kdbx-Datenbank kann mit einem aus 64 Zeichen bestehenden Kennwort gesichert werden. Dies ist viel Spielraum, um ein langes, sicheres Passwort zu erstellen.
Dies hilft, zu betonen, dass das (stark) Passwort (im Kopf) ist Ihr primärer Fokus (nicht, wo Sie die Schlüsseldatei usw. gehalten).
Wenn Sie Probleme haben, sich an Kennwörter zu erinnern (verwenden Sie natürlich alle), verwenden Sie einen Kennwort-Manager (wie KeepassX), und Sie müssen sich nur an einen guten starken Kenner erinnern.

Dies beantwortet nicht die (sehr spezifische) Frage, die gestellt wurde. Mokubai vor 7 Jahren 1
-1
Roger Johnson

Ich habe mich für die Schlüsseldatei entschieden. Ich habe auch ein E-Mail-Konto erstellt, das speziell zum Speichern meiner Schlüsseldatei verwendet wird (ich mag es nicht, jedes Mal mit einem USB-Flash-Stick herumzuhängen, wenn ich beispielsweise auf mein E-Banking-Konto zugreifen möchte).

Wenn der Computer, den ich gerade verwende, nicht mein persönlicher Computer ist, logge ich mich einfach bei diesem E-Mail-Konto auf dem Computer ein, an dem ich die Schlüsseldatei verwenden möchte, und melde mich dann bei einem anderen E-Mail-Konto an, das die neueste Version meines .kdbx hat Datei.

Zum Schluss lade ich KeePass herunter und installiere es auf dem PC, verwende den Schlüssel und .kdbx zusammen mit meinem Datenbankkennwort und das war's!

Natürlich wische ich sowohl die .kdbx- als auch die Schlüsseldatei auf dem verwendeten PC ab.

Ich würde diese schlechte Sicherheitspraxis auf vielen Ebenen in Betracht ziehen. kluka vor 11 Jahren 9
Ja, ziemlich nutzlos und höchst gefährlich. Besonders der Teil, in dem Sie die Kennwortdatei einfach auf einem Computer öffnen, die "nicht meine persönliche ist". Sheesh Schlecht schlecht wie in Ich kann nicht ausdrücken, wie sehr schlecht diese Praxis ist. Ich habe einen Arbeits-Laptop, der überall hin mitkommt und so bequem ist, weil andere Leute (wie in der IT-Abteilung) ihn "aufrechterhalten", ich vertraue sogar nicht darauf, mein persönliches Passwort db zu speichern oder zu öffnen. nanker vor 7 Jahren 1
@Nanker Wie benutzt du dann dein persönliches Passwort db auf deinem Arbeitslaptop? Haben Sie sowohl die Schlüsseldatei als auch die Datenbank für einen USB-Schlüssel? RED_ vor 7 Jahren 0
@RED_ Ich öffne meine persönliche Keepass-DB niemals auf meinem Arbeitslaptop, egal wie bequem dies manchmal sein mag. Der Laptop ist für meine täglichen Routinen ziemlich voll, und obwohl ich zuvor versucht habe herauszufinden, was für ein Dienst auf dem Laptop ausgeführt wird, konnte ich sie noch nicht festnageln. Deshalb kann und kann ich nicht genug trauen, um meine Keepass-DB zu öffnen. Nennen Sie mich paranoid, denke ich, aber ich fühle mich in einem informierten, glücklichen Ort, was meine Passwortsicherheit angeht. nanker vor 7 Jahren 2