KeePass: Verwenden Sie eine Schlüsseldatei oder ein normales Passwort?

17

Ich richte eine KeePass-Datenbank ein und sie bietet die Möglichkeit, eine Schlüsseldatei zu verwenden. Sie soll sicherer sein, da sie ein längeres und komplexeres Kennwort verwenden kann, aber einfacher zu knacken ist, da Sie nur die Schlüsseldatei zum Öffnen der Datei benötigen Datenbank. Ich verwende die Schlüsseldatei nur auf 2 Computern (einem Desktop und einem Laptop). Wo ist die beste Option?

Beachten Sie, dass es definitiv attraktiver ist, die Schlüsseldatei für mich zu verwenden, da ich mich nur schwer an etwas erinnern kann, das einem zufälligen Kennwort nahekommt.

RCIX
quelle

Antworten:

17

In Bezug auf die Möglichkeit, ' key files' mit KeePass zu verwenden .

Um den 256-Bit-Schlüssel für die Blockchiffren zu generieren, wird der Secure Hash-Algorithmus SHA-256 verwendet. Dieser Algorithmus komprimiert den vom Benutzer bereitgestellten Benutzerschlüssel (bestehend aus Kennwort und / oder Schlüsseldatei) auf einen Schlüssel mit fester Größe von 256 Bit. Diese Transformation ist in eine Richtung, dh es ist rechnerisch unmöglich, die Hash-Funktion umzukehren oder eine zweite Nachricht zu finden, die auf denselben Hash komprimiert wird.

Der kürzlich entdeckte Angriff auf SHA-1 beeinträchtigt die Sicherheit von SHA-256 nicht. SHA-256 gilt nach wie vor als sehr sicher .

(Es gibt noch ein neues Update , aber ich denke, solche Neuigkeiten sind hier nicht relevant ).
Auf den Punkt zur Hand ,

Schlüsselableitung :
Wenn nur ein Kennwort verwendet wird (dh keine Schlüsseldatei), werden das Kennwort und ein 128-Bit-Zufalls-Salt mithilfe von SHA-256 gehasht, um den endgültigen Schlüssel zu bilden. Das zufällige Salt verhindert Angriffe, die auf vorberechneten Hashes basieren.

Wenn Sie sowohl das Kennwort als auch die Schlüsseldatei verwenden, wird der endgültige Schlüssel wie folgt abgeleitet: SHA-256 (SHA-256 (Kennwort), Inhalt der Schlüsseldatei), dh der Hash des Master-Kennworts wird mit den Bytes der Schlüsseldatei und dem resultierenden Byte verknüpft String wird wieder mit SHA-256 gehasht . Wenn die Schlüsseldatei nicht genau 32 Byte (256 Bit) enthält, werden sie auch mit SHA-256 gehasht, um einen 256-Bit-Schlüssel zu bilden. Die obige Formel ändert sich dann in: SHA-256 (SHA-256 (Kennwort), SHA-256 (Inhalt der Schlüsseldatei)).

Wenn Sie der Meinung sind, dass Ihr Passwort etwas schwächer (und besser für Ihr Gedächtnis) sein wird, ist
die Schlüsseldatei ein guter zweiter Faktor .
Verwenden Sie also beide (zusammen).

nik
quelle
Ich würde einen Blick auf Steve Gibsons Kommentar zu dieser Angelegenheit werfen
jasonh
@ Jasonh, Wow! Sie stimmen mich dafür ab, dass ich Zwei-Faktor-Sicherheit vorschlage, mit einem GibsonInterviewverweis, den Sie von seiner eigenen Website genommen haben (ja, ich habe Leo schon einmal gehört, okay). Bitte geben Sie hier Ihre Punkte als neue Antwort ein, damit die Menschen davon profitieren können.
Nik
7
Ja, habe ich. Ich verstehe, einen zweiten Faktor zu haben, aber hier ist es nutzlos. Die Schlüsseldatei wird virtuell in der Kennwortdatenbank selbst gespeichert, wenn Sie ein mobiler Benutzer sind. Wenn Sie die Kontrolle über die Datenbank verlieren, haben Sie wahrscheinlich auch die Kontrolle über die Schlüsseldatei verloren. Wie Steve Gibson feststellt, bietet eine Schlüsseldatei nicht viel zusätzliche Sicherheit, wenn überhaupt.
Jasonh
2
Ein zweiter Faktor ist am Beispiel des PayPal-Fußballs nützlich. In diesem Fall haben Sie ein physisches Gerät und ein Passwort. Wenn Ihr Passwort kompromittiert wird, gibt es keinen Grund zu der Annahme, dass Ihr Fußball standardmäßig zur gleichen Zeit fehlt. Wenn es sich bei der Ware um eine Kennwortdatenbank handelt und der Sicherungsmechanismus lediglich eine andere Datei ist, die sich neben der Datenbank selbst befindet, was nützt es dann? Keiner.
Jasonh
2
+1 für die Benutzerschlüsseldatei und das Hauptkennwort. Selbst wenn sie die Datenbank- und Schlüsseldatei erhalten, müssen Sie sich nur ein langes Kennwort merken. Sie können noch kein Gehirn hacken, also machen Sie stattdessen ein Folter-Widerstandstraining.
Piotr Kula
5

Der springende Punkt ist, Ihre Passwörter sicher zu halten. Das ist also ein Kinderspiel: Passwort. Wenn Sie eine Schlüsseldatei verwenden und die Kontrolle über Ihre Kennwortdatenbank verlieren, werden alle Kennwörter offengelegt.

jasonh
quelle
4
Sie sind immer gefährdet, wenn Sie Ihr 'Passwort' irgendwo speichern (sei es auf einem Notizzettel oder als Schlüsseldatei). Solange Sie das Passwort im Kopf behalten (und es ist komplex genug), sollten Sie besser dran sein.
Sam
1
Wenn beide Kennwort und Schlüsseldatei wird der endgültige Schlüssel wie folgt abgeleitet: SHA-256(SHA-256(password), key file contents). Nur der Zugriff auf Dateien ist nutzlos. Die Kenntnis des Kennworts ohne den Inhalt der Datei erschwert jedoch das Auflösen. Außerdem fügt die Datei saltIhrem Passwort eine starke Note hinzu.
Nik
1

Verwende beide. Behalten Sie Ihre Schlüsseldatei auf Ihrem Flash-Laufwerk und bringen Sie sie immer mit. Aber nicht irgendwo auf dem Desktop (entspricht dem Schreiben eines Passworts auf Haftnotizen). Ich benutze auf diese Weise meine verschlüsselte Festplattenpartition (mit TrueCrypt). Wenn also noch jemand ein Passwort hat, braucht er auch eine Schlüsseldatei.

Pawka
quelle
1
Stellen Sie einfach sicher, dass Sie eine Sicherungskopie Ihrer Schlüsseldatei sowie der Kennwortdatenbank selbst haben. Wenn einer von ihnen jemals beschädigt wird, benötigen Sie eine neue Sicherung.
Torbjørn,
0

Für einen Neuling in der Passwortverwaltung:
Nur Passwort
Warum?
Es halbiert Ihre Dateiverwaltungsprobleme und beschränkt sich auf nur eine Datei.
Eine KeepassX .kdbx-Datenbank kann mit einem gemischten Kennwort mit 64 Zeichen gesichert werden. Das ist viel Spielraum, um ein langes, sicheres Passwort zu erstellen.
Dies hilft zu unterstreichen, dass das (starke) Passwort (in deinem Kopf) dein ist primärer Fokus (nicht , wo Sie die Schlüsseldatei usw. gehalten).
Wenn Sie Probleme haben, sich Kennwörter zu merken (natürlich verwenden wir alle), verwenden Sie einen Kennwortmanager (wie KeepassX), und Sie müssen sich nur einen guten starken merken.

dotnetspec
quelle
1
Dies beantwortet nicht die (sehr spezifische) Frage, die gestellt wurde.
Mokubai
-1

Ich habe mich für die Verwendung von Schlüsseldateien entschieden. Ich habe auch ein E-Mail-Konto erstellt, das speziell zum Speichern meiner Schlüsseldatei verwendet wird (ich mag es nicht, jedes Mal mit einem USB-Flash herumzuhängen, wenn ich beispielsweise auf mein E-Banking-Konto zugreifen möchte).

Wenn es sich bei dem von mir verwendeten Computer nicht um meinen persönlichen handelt, melde ich mich einfach bei dem E-Mail-Konto an, auf dem ich die Schlüsseldatei verwenden möchte, und melde mich dann bei einem weiteren E-Mail-Konto an, das die neueste Version meiner .kdbx-Datei enthält Datei.

Zuletzt lade ich KeePass herunter und installiere es auf dem PC, benutze den Schlüssel und .kdbx zusammen mit meinem Datenbankkennwort und das war's!

Natürlich lösche ich sowohl die .kdbx- als auch die Schlüsseldatei auf dem verwendeten PC.

Roger Johnson
quelle
10
Ich würde diese schlechte Sicherheitspraxis auf vielen Ebenen in Betracht ziehen.
kluka
1
Ja, ziemlich nutzlos und höchstwahrscheinlich gefährlich. Besonders der Teil über das einfache Öffnen Ihrer Passwortdatei auf einem Computer, der "nicht mein persönlicher" ist. Meine Güte. Schlimm Schlimm wie in Ich kann nicht ausdrücken, wie schlimm diese Praxis ist. Ich habe einen Arbeits-Laptop, der überall mit dabei ist, und zwar auch, weil andere Leute (wie in der IT-Abteilung) ihn "pflegen". Ich vertraue nicht einmal darauf, mein persönliches Kennwort zu speichern oder sogar zu öffnen.
Nanker
@nanker wie benutzt du denn dein persönliches passwort db auf deinem arbeitslaptop? Haben Sie sowohl die Schlüsseldatei als auch die Datenbank auf einem USB-Schlüssel?
RED_
2
@RED_ Ich öffne meine persönliche Keepass-Datenbank nie auf meinem Arbeits-Laptop, egal wie praktisch es manchmal erscheint. Der Laptop ist für meine täglichen Routinen ziemlich voll und obwohl ich zuvor versucht habe festzustellen, welche Dienste auf dem Laptop ausgeführt werden, war ich noch nicht in der Lage, sie alle festzunageln. Ich kann und traue es also nicht genug, um meine keepass-Datenbank zu öffnen. Nenne mich wohl paranoid, aber ich fühle mich in Bezug auf meine Passwortsicherheit an einem informierten, glücklichen Ort.
Nanker