"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Passwort Management - Sinn/Unsinn & Empfehlungen

jives 01.04.2011 - 09:16 160298 834 Thread rating
Welchen Password Manager verwendet ihr?
LastPass
1Password
KeePass
Dashlane
F-Secure Key
Kaspersky Password Manager
Intel Security True Key
Keeper Security
Enpass
SafeInCloud
Ja, aber er ist hier nicht gelistet
Nur den Password Manager meines Browsers
Gar keinen, Gehirn, Post-Its und Notepad all the way!
Posts

rad1oactive

knows about the birb
Avatar
Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12450
Zitat von Viper780
Wenn das Keyfile in der selben cloud liegt dann macht es aber keinen Sinn.
Ich hatte eine Zeitlang das Keyfile auf einem USB Stick am Schlüsselbund. War aber irgendwie nicht praktikabel und vorallem mit dem Handy mühsam

naja der "hacker" weiß ja nicht, was das keyfile ist, oder?

sLy-

semiconductor physicist
Avatar
Registered: Aug 2005
Location: AUT
Posts: 1554
Er müsste erstens das(die) keyfile(s) erraten und darüber hinaus noch das passwort. Zudem wird er kaum wissen, ob jetzt nur ein passwort oder keyfile, eine kombination aus beidem oder dazu vielleicht noch mehrere keyfiles verwendet werden.

also ich geh jetzt mal davon aus, dass diese vorgehensweise sicher ist.
Bearbeitet von sLy- am 23.05.2016, 14:00

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 49357
wieviele keyfiles hast du in deiner cloud liegen?
Wenn er mit einem Keylogger dein PW hat muss er nur die Keys durch probieren. Also ein wenig schwerer würd ichs ihm schon machen zB mit einer 2. cloud

sLy-

semiconductor physicist
Avatar
Registered: Aug 2005
Location: AUT
Posts: 1554
theoretisch kann jedes file / jede kombination aus files als keyfile dienen. Du kannst auch ein stinknormales zip, txt, exe or whatever file als keyfile verwenden. Mir reicht diese sicherheit aus. Alles andere ist mir schon zu umständlich, da ich schlussendlich nicht mit nuklearem Material für den IS hantiere.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11717
Zitat von sLy-
theoretisch kann jedes file / jede kombination aus files als keyfile dienen. Du kannst auch ein stinknormales zip, txt, exe or whatever file als keyfile verwenden. Mir reicht diese sicherheit aus. Alles andere ist mir schon zu umständlich, da ich schlussendlich nicht mit nuklearem Material für den IS hantiere.

das wusste ich ned, d.h. ich kann auch ein mp3 als keyfile nehmen ?

sLy-

semiconductor physicist
Avatar
Registered: Aug 2005
Location: AUT
Posts: 1554
ja - aber wie gesagt aufpassen, dass es eine datei ist die nie mehr verändert wird. Sonst sperrt man sich selbst aus
Bearbeitet von sLy- am 24.05.2016, 10:14

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19623
Was genau soll ein Keyfile eigentlich bringen?
Security sollte ein ordentliches Passwort das man sonst nirgendwo anders verwendet eigentlich genug sein. Ich könnte mir maximal vorstellen mit dem Keyfile ein unsicheres Passwort "abzusichern". Ansonsten stelle ich mir ein Keyfile eher als Krücke und potentielle Gefahr sich auszusperren in der Praxis vor.

JC

Administrator
Disruptor
Avatar
Registered: Feb 2001
Location: Katratzi
Posts: 9067
Zitat
Keepass.info
You don't even have to remember a long, complicated master passphrase. The database can also be locked using a key file. A key file is basically a master password in a file. Key files are typically stronger than master passwords, because the key can be a lot more complicated; however it's also harder to keep them secret.

  • A key file can be used instead of a password, or in addition to a password (and the Windows user account in KeePass 2.x).
  • A key file can be any file you choose; although you should choose one with lots of random data.
  • A key file must not be modified, this will stop you opening the database. If you want to use a different key file, you can change the master key and use a new/different key file.
  • Key files must be backed up or you won't be able to open the database after a hard disk crash/re-build. It's just the same as forgetting the master password. There is no backdoor.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19623
Das ist schon klar, aber ich sehe da einfach zu viele Nachteile:
Wenn man das File verliert, ist die KeePass Datei auch verloren. Also wird das File auch auf der Cloud liegen.

Weil man prinzipiell faul ist (wer will schon jedesmal wenn man KeePass braucht umständlich herumsuchen) wird das Keyfile dort liegen wo man sofort Zugriff hat (selber Ordner, oder wo das "Durchsuchen" Fenster üblicherweise hinzeigt).

Schneller ist es wohl nicht, weil 2-3 Wörter kann man recht schnell abtippen, mit der Maus hantieren um das Keyfile auszuwählen dauert vermutlich länger.

Wenn man nur ein kurzes Passwort hat und deswegen seine Keylänge verlängern will ... ok. Aber wie gesagt, ein paar einfache Wörter (man verwende vielleicht nicht den eigenen Namen, Adresse oder ähnliches klarerweise ...) hintereinander und eine Prise Sonderzeichen eingestreut sind üblicherweise schon ein ziemlich gutes Passwort, kann sich jeder merken und hat diese Risiken nicht.

JC

Administrator
Disruptor
Avatar
Registered: Feb 2001
Location: Katratzi
Posts: 9067
Ich persönlich verwende auch keine Schlüsseldatei (und schon auf gar keinen Fall das Benutzerkonto). Ich würde auch nie nur auf eine Schlüsseldatei setzen. Gut, dass es die Option gibt; mir ist das allerdings zu mühsam. Da setze ich lieber auf ein gutes Passwort.

Als zusätzliche Massnahme (composite key) ist es sicher nutzbringend, aber dann muss man sich eben der Risiken bewusst sein. Wie so oft ist es eben ein Kuhhandel zwischen Bequemlichkeit und Sicherheit.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15850
blöde zwischenfrage zur schlüsseldatei:
angenommen ich hab eine txt datei als schlüsseldatei mit Inhalt "ich bin der beste"
wenn ich die jetzt lösch und neu anleg, exakt der selbe text usw.
geht dann wahrscheinlich eh problemlos oder? weil der md5 hash (ich schätz mal das wird dann als key von der datei genutzt) ist ja wieder derselbe

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19623
Theoretisch ja, wobei man wohl aufpassen muss ob sich dann eh keine CR oder LF Zeichen o.Ä. einschleichen (also die Datei binär gleich ist). Allerdings ...

Was genau von der Datei von KeePass genutzt wird weiß ich leider nicht (die ersten oder letzten 32 Byte? MD5 Hash?)
Bearbeitet von daisho am 24.05.2016, 14:47

JC

Administrator
Disruptor
Avatar
Registered: Feb 2001
Location: Katratzi
Posts: 9067
Zitat von userohnenamen
blöde zwischenfrage zur schlüsseldatei:
angenommen ich hab eine txt datei als schlüsseldatei mit Inhalt "ich bin der beste"
wenn ich die jetzt lösch und neu anleg, exakt der selbe text usw.
geht dann wahrscheinlich eh problemlos oder? weil der md5 hash (ich schätz mal das wird dann als key von der datei genutzt) ist ja wieder derselbe

Yep. Im Wesentlichen passiert folgendes:
Zitat
Source: Keepass Security
Key Derivation:
If only a password is used (i.e. no key file), the password plus a 128-bit random salt are hashed using SHA-256 to form the final key (but note there is some preprocessing: Protection against Dictionary Attacks). The random salt prevents attacks that are based on pre-computed hashes.

When using both password and key file, the final key is derived as follows: SHA-256(SHA-256(password), key file contents), i.e. the hash of the master password is concatenated with the key file bytes and the resulting byte string is hashed with SHA-256 again. If the key file doesn't contain exactly 32 bytes (256 bits), they are hashed with SHA-256, too, to form a 256-bit key. The formula above then changes to: SHA-256(SHA-256(password), SHA-256(key file contents)).

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19623
Automatischen Updatecheck sicherheitshalber ausschalten, wobei ich davon ausgehe das solche Angriffe eher theoretischer Natur bleiben werden :)

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/grz
Posts: 12623
die begründing ist halt sehr komisch. die update-routine könnte man ja auf eine https subdomain legen. prinzipiell ist die ganze werbe&https geschichte aber wohl bei den größeren seite. ein ziemliches problem :(
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz