Fragen zur Passwortsicherheit

Keine der obigen Auswahlen. Eine Kopie jeweils auf das Gerät, welches zur Nutzung herangezogen wird, synchronisiert mit Syncthing. Und darauf achten, dass die Änderungen nicht parallel erfolgen. Synchronisierung ist kein Backup, dieses ist separat zu organisieren!

Zitat von Bud

Ich bin gerade dabei KeePass 2 einzurichten, und da stellt sich mir direkt folgende Frage:
Wo speichere ich meine Datenbanken am besten und vor allem am sichersten ab?

Ich hab euch meine Möglichkeiten mal in eine Umfrage gepackt. Natürlich würde mich auch interessieren warum ihr für die jeweilige Option gestimmt habt, und warum für andere wiederum nicht, also warum ihr von diesen abratet (Mehrfachauswahl möglich).

Ist an an sich egal wenn das Passwort stimmt - da hKeypass Kryptographisch Sicher ist d.h. es mit aktuell verwendeten Methoden nur mit Brute Force geknackt werden kann .

Hab trotzdem mal H ausgewählt weil dort der Speicher das beste Preis Leistungs Verhältnis hat (und du wegen Backup scheinbar dort eh schon ne Box hat am Ende jst aber egal..)

(Ausser Meta Daten - wann du zugegriffen hast etc. )

Zitat von tom434

Ist an an sich egal wenn das Passwort stimmt

und man den »umstrittenen« CVE beachtet.

Keine der genannten Optionen, statt dessen Bitwarden selbst hosten , da gibts dann auch mobile Apps und komfortablen automatischen Sync. Oder halt einen GUTEN Cloud Passwortmanager nehmen (z.B. 1Password mit EU Server).

Grund: das o.g. Setup ist nur mit Hängen und Würgen kompatibel mit mobilen Endgeräten (Smartphones / Tablets).

keine der genannten, im prinzip überall wo ausschließlich ich selbst root-Zugriff habe - also kein Shared Webhosting od. ähnliches;

(ich nehme an die Storage Boxen beim H basieren auf was ähnlichem wie das Webhosting bei netcup)

Zitat von Bud

Wieder ein neues Programm Ich les mich mal ein...

Wenn ich das richtig verstehe braucht der Angreifer dann aber lokalen Zugriff auf meinen Rechner?

Ich würde Bitwarden auch vorziehen, aber leider ist mein KnowHow zu schlecht um Bitwarden selbst zu hosten. Ich möchte nicht das meine Passwortsicherheit an meinem KnowHow scheitert... Hatte auch überlegt mir einfach einen Premium Account bei bitwarden selbst zu holen (10 $ im Jahr), aber dann ist es ja wieder nicht selbst gehosted... Und ich weiß nicht mal wo, konnte nicht ergoogeln ob in DE, EU oder USA

Also zu Bitwarden - genauso wei Keepass ist der Service eigentlich sicher und die Passwörter werden lokal verschlüsselt (vor sie zum Server geschickt werden) .

Du könntest Bitwarden auch lokal auf einem NAS/Mini Pc hosten, da der Client auch "offline" funktioniert und jedes mal wenn er eine Verbindung hat synchronisiert

Zitat von Bud

Aber wäre denn dann die FritBox mit DynDNS keine Option?

Ich will eine Kopie meiner Passwörter/-phrasen/Schlüsseldateien/Zertifikate (die ich größtenteils nicht auswendig kenne/manuell reproduzieren kann, weil erstere laut Keepass2 allesamt eine „Qualität von xxx Bits“ aufweisen) genauso nahe bei mir haben wie diejenigen Kreditkarten, die ich nicht explizit an einem anderen Ort deponiert habe (u. a. aus Backup-Gründen). Wenn sich die IP-Adresse ändert oder der Internet-Provider eine Störung aufweist, ist es mit dem Login erst einmal Essig – Warum so kompliziert?

wenn ich jetzt die Intention von m_ueberall und die von Bud vergleiche, dann sind die 2 eigentlich konträr;

einmal dezentral an verschiedenen Stellen und einmal zentral an einer Stelle;

ich hab meinen encrpted PDF eigentlich nur am Phone; der encrypted OpenOffice-File (die Basis/Quelle) ist nur am PC zu Hause und klar auch auf dem Backup;

geändert kann nur der OpenOffice-File werden; sobald der eine Änderung erfährt wird ein neuer PDF generiert und aufs Phone abgelegt;

Zitat von Bud

Wenn ich das richtig verstehe braucht der Angreifer dann aber lokalen Zugriff auf meinen Rechner?

zugriff auf die config-datei, wo immer die auch liegt.

mit keepassxc hättest du diese lücke (option) übrigens nicht.

Zitat von m_ueberall

Wenn sich die IP-Adresse ändert oder der Internet-Provider eine Störung aufweist, ist es mit dem Login erst einmal Essig

Dafür nutzt, zumindest Keepass2Android, einen lokalen Cache am Handy. Also absolut kein Problem auf die Einträge zuzugreifen, wenn die entfernt liegende DB-File mal nicht erreichbar ist. Natürlich, und da hast du Recht, hilft das nicht bei ganz neuen Einträgen, wenn diese noch nicht im Cache liegen!

Bud

Ich fahre nach wie vor sehr gut damit die Keepass-DB im (lokalen!) Netzwerk abzulegen. Für unterwegs hilft ein VPN-Zugang nach hause und schon hat man auch da die aktuellste Version am Start. Ob ich das genauso machen würde, wenn hier nicht ohnehin schon ein NUC als Server liefe, weiß ich nicht. Ein Raspi oder Fritzbox-Freigabe würde es in dem Fall aber auch tun.

Zus. wird sie regelmäßig Richtung NAS und ab und an von dort auf eine Ext. HDD gesichert. Denn das dürfen wir nicht vergessen: nicht nur der Ablageort der DB ist wichtig, sondern auch ein vernünftiges Backupkonzept. Fängt man nämlich erstmal an Keepass intensiv zu nutzen, sammeln sich dort schnell Hunderte Zugänge und das Gejammer wäre groß, wenn die DB plötzlich weg wäre.

Linktip: In d. aktuellen Ausgabe von IT-Administrator (02/2023) findet sich ein vierseitiger Artikel zum Thema: „Passwörter in KeePass synchronisieren – Digitaler Safe“

Meine Passwörter sehen alle so ähnlich aus wie #2

Ist völlig ausreichend.

Ähnlich, zusätzlich noch 2FA drauf bei Bitwarden.

Mein Masterpasswort für den Passwortmanager ist auch leichter merkbar nach Schema #2. Sobald mehrere Wörter mit Sonderzeichen kombiniert werden, ist meiner Meinung nach das Potential für Wörterbuchangriffe deutlich reduziert und das Passwort ausreichend sicher. Noch besser wird es, wenn noch ein fiktives Wort (hier „Bud“) mit aufgenommen wird.

Zitat von Bud

Aber ich dachte immer das bei Passwörtern gerade das "random" einen großen Stellenwert hat. Das bei nem möglichen Brutforce etc. ganze Wörter wie in #2 bevorzugt probiert werden?

Nicht, wenn mehrere Wörter kombiniert und mit zusätzlichen Zeichen garniert werden.