Keepass in die Cloud legen?
Guten Abend,
ich wollte einfach mal in die Runde fragen, ob ihr eine Keepass-Datenbank in der Cloud (konkret OneDrive) ablegen würdet bzw. ob ihr diese zusätzlich absichern würdet.
Theoretisch nutze ich Keepass auf meinem Tablet und auf meinem Rechner zuhause. Momentan hat die Datenbank nur ein Masterkennwort und wird sporadisch kopiert, wobei ich immer darauf achte, dass Änderungen nur auf dem Tablet vorgenommen werden.
Um die Kopiererei zu sparen und auf beiden Geräten Änderungen vornehmen zu können, würde ich diese Via OneDrive gerne immer auf beiden Geräten aktuell/synchron haben.
Eine Idee ist es den Ordner auf OneDrive zusätzlich mit Cryptomator zu verschlüsseln, was das Ganze etwas aufwendig macht um mal schnell ein Kennwort nachzuschlagen.
Die andere Idee ist es zusätzlich zum Masterpasswort eine Schlüsseldatei zu erstellen, welche auf beiden Geräten lokal abgelegt ist. Das wäre etwas komfortabler.
Am sichersten wäre es natürlich beide Methoden zu kombinieren, oder auf die Cloud zu verzichten.
Was meint ihr? Macht ihr das schon? Wenn ja, wie? habt ihr noch weitere Ideen, wie man das Ganze sowohl sicher und auch komfortabel halten kann.
Viele Grüße
Robert
ich wollte einfach mal in die Runde fragen, ob ihr eine Keepass-Datenbank in der Cloud (konkret OneDrive) ablegen würdet bzw. ob ihr diese zusätzlich absichern würdet.
Theoretisch nutze ich Keepass auf meinem Tablet und auf meinem Rechner zuhause. Momentan hat die Datenbank nur ein Masterkennwort und wird sporadisch kopiert, wobei ich immer darauf achte, dass Änderungen nur auf dem Tablet vorgenommen werden.
Um die Kopiererei zu sparen und auf beiden Geräten Änderungen vornehmen zu können, würde ich diese Via OneDrive gerne immer auf beiden Geräten aktuell/synchron haben.
Eine Idee ist es den Ordner auf OneDrive zusätzlich mit Cryptomator zu verschlüsseln, was das Ganze etwas aufwendig macht um mal schnell ein Kennwort nachzuschlagen.
Die andere Idee ist es zusätzlich zum Masterpasswort eine Schlüsseldatei zu erstellen, welche auf beiden Geräten lokal abgelegt ist. Das wäre etwas komfortabler.
Am sichersten wäre es natürlich beide Methoden zu kombinieren, oder auf die Cloud zu verzichten.
Was meint ihr? Macht ihr das schon? Wenn ja, wie? habt ihr noch weitere Ideen, wie man das Ganze sowohl sicher und auch komfortabel halten kann.
Viele Grüße
Robert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392941
Url: https://administrator.de/forum/keepass-in-die-cloud-legen-392941.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
9 Kommentare
Neuester Kommentar
Vertraue nur eigenen Servern.
Hallo Zusammen
Vielleicht ein wenig sicherer wenn du noch die Software Boxcryptor dazu nimmst.
https://www.boxcryptor.com/de/
Für 2 Geräte ist es wohl Kostenfrei.
Oder wenn du schon ein NAS System von Synology oder Qnap hast, könntest du dort die jeweilige Cloud App benutzen.
Gruass affabanana
Vielleicht ein wenig sicherer wenn du noch die Software Boxcryptor dazu nimmst.
https://www.boxcryptor.com/de/
Für 2 Geräte ist es wohl Kostenfrei.
Oder wenn du schon ein NAS System von Synology oder Qnap hast, könntest du dort die jeweilige Cloud App benutzen.
Gruass affabanana
Guten Morgen,
Nein, die haben dann lediglich eine stark verschlüsselte Datei und ohne Quanten Computer ist selbst die NSA für die nächsten zehn jahre mit der Entschlüsselung beschäftigt. Natürlich nur, wenn ein starker bzw. sehr guter offener Verschlüsselungsalgorithmus verwendet wird. Bis die das geknackt haben, sollten die PWs sowieso schon laaaange geändert worden sein.
Ob das Vorhaben trotzdem sinnvoll ist, kommt halt drauf an. Im Firmenumfeld würde ich immer einen eigenen PW server verwenden, der nur intern erreichbar ist. Privat verwendenich allerdings 1password und die DB wird stark verschlüsselt in der iCloud abgespeichert.
Von solchen Managed PW Server Lösungen, wo die DB und der Server von einem Anbieter verwaltet wird, davon würde ich dringend abraten, da man keine Kontrolle über die Sicherheit der DB hat.
Viele Grüße
Exception
Nein, die haben dann lediglich eine stark verschlüsselte Datei und ohne Quanten Computer ist selbst die NSA für die nächsten zehn jahre mit der Entschlüsselung beschäftigt. Natürlich nur, wenn ein starker bzw. sehr guter offener Verschlüsselungsalgorithmus verwendet wird. Bis die das geknackt haben, sollten die PWs sowieso schon laaaange geändert worden sein.
Ob das Vorhaben trotzdem sinnvoll ist, kommt halt drauf an. Im Firmenumfeld würde ich immer einen eigenen PW server verwenden, der nur intern erreichbar ist. Privat verwendenich allerdings 1password und die DB wird stark verschlüsselt in der iCloud abgespeichert.
Von solchen Managed PW Server Lösungen, wo die DB und der Server von einem Anbieter verwaltet wird, davon würde ich dringend abraten, da man keine Kontrolle über die Sicherheit der DB hat.
Viele Grüße
Exception
Zitat von @129580:
Guten Morgen,
Nein, die haben dann lediglich eine stark verschlüsselte Datei und ohne Quanten Computer ist selbst die NSA für die nächsten zehn jahre mit der Entschlüsselung beschäftigt. Natürlich nur, wenn ein starker bzw. sehr guter offener Verschlüsselungsalgorithmus verwendet wird. Bis die das geknackt haben, sollten die PWs sowieso schon laaaange geändert worden sein.
Guten Morgen,
Nein, die haben dann lediglich eine stark verschlüsselte Datei und ohne Quanten Computer ist selbst die NSA für die nächsten zehn jahre mit der Entschlüsselung beschäftigt. Natürlich nur, wenn ein starker bzw. sehr guter offener Verschlüsselungsalgorithmus verwendet wird. Bis die das geknackt haben, sollten die PWs sowieso schon laaaange geändert worden sein.
Laß Dich nicht täuschen. Was heute noch wie ein Märchen klingt, kann morgen schon Wirklichkeit sein, insbesondere in der IT. Zumidenst die verschlüsselten Daten hat jeder! Und das reicht oft, um mit einem 0-day die Paßwörter doch wieder auszulesen. Denn faktisch hat aktuelle Software immer Implementierungsfehler oder Hintertüren. Selsbt wenn heute die Paßwörter noch nicht z knacken sind, kann es passieren daß man in ein zwei Jahren die Mittel dafür hat. Selbst nachträglich geknackte Paßwörter sind ein Risiko, weil sie Hinweise drauf geben, wie der Benutzer "tickt"!
Aber letztendlich muß es jeder selbst entscheiden und der TO hatte gefragt, wie wir es machen würden. Und ich würde definitiv so einen Unsinn nicht machen, zumindest nicht auf Servern, die nciht unter meiner Kontrolle sind.
lks
Moin,
ok. Backdoors ist natürlich ein gutes Argument. Da gebe ich die Recht. Allerdings bringt dir das bei einem eigenen Server auch nicht viel, wenn dort Backdoors heimlich eingebaut sind. Nur eigene Software kann das garantieren. Genauso wenig wie man sich gegen 0day Lücken sich schützen kann.
Dass man in zwei jahren Verschlüsselungen knacken kann ohne Quanten Computer halte ich für nicht realistisch. Zumal die Kryptoexpeten und Mathematiker auch nicht Untätig bleiben...
Außerdem hätten wir ein deutlich größeres Problem, wenn man Verschlüsselung leicht knacken könnte.
Genau deshalb möchte ja aktuell die US Regierung via Gesetz die hersteller verpflichten beim Einsatz von Verschlüsselung Backdoors einzubauen.
Aha...wenn einer meiner PWs geleakt wird, weil ein Shop Betreiber die PWs im Klartext speichert wie will man Rückschlüsse darausziehen, wie ich ticke?? Meine PWs werden per Genrator generiert und haben eine Länge von > 30 Zeichen. Bestehend aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Zumal meine PWs intervall mäßig geänder wird. Dazu bietet 1password den Watch Tower an. Selbstverständlich pro Dienst/Website ein eigenes Passwort.
Du hast geschrieben, dass wenn der TO eine verschlüsselte DB in die Cloud hochlädt, dass der Betreiber auf die verschlüsselten Daten zugreifen kann. Das ist definitv nicht so. Zumindest nicht ohne weitere. Außer du kannst das Belegen. Dann bitte ausführlich posten, denn das würde mich stark interessieren.
Grundsätzlich gebe ich dir Recht. Wie bereits geschrieben würde ich im Firmenumfeld auch immer einen eigenen PW Server in einem isolierten Netz betreiben. Genauso würde ich nicht auf ein Managed PW Server setzen. Wenn dann ein PW Manager, wo ich selber den Schlüssel behalte und die verschlüsselte DB kontrolliert in eine gesicherte Cloud hochladen kann. Letzteres eben nur im privaten Umfeld. Und damit fahre ich seit Jahren sehr gut.
ok. Backdoors ist natürlich ein gutes Argument. Da gebe ich die Recht. Allerdings bringt dir das bei einem eigenen Server auch nicht viel, wenn dort Backdoors heimlich eingebaut sind. Nur eigene Software kann das garantieren. Genauso wenig wie man sich gegen 0day Lücken sich schützen kann.
Dass man in zwei jahren Verschlüsselungen knacken kann ohne Quanten Computer halte ich für nicht realistisch. Zumal die Kryptoexpeten und Mathematiker auch nicht Untätig bleiben...
Außerdem hätten wir ein deutlich größeres Problem, wenn man Verschlüsselung leicht knacken könnte.
Genau deshalb möchte ja aktuell die US Regierung via Gesetz die hersteller verpflichten beim Einsatz von Verschlüsselung Backdoors einzubauen.
Selbst nachträglich geknackte Paßwörter sind ein Risiko, weil sie Hinweise drauf geben, wie der Benutzer "tickt"!
Aha...wenn einer meiner PWs geleakt wird, weil ein Shop Betreiber die PWs im Klartext speichert wie will man Rückschlüsse darausziehen, wie ich ticke?? Meine PWs werden per Genrator generiert und haben eine Länge von > 30 Zeichen. Bestehend aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Zumal meine PWs intervall mäßig geänder wird. Dazu bietet 1password den Watch Tower an. Selbstverständlich pro Dienst/Website ein eigenes Passwort.
Aber letztendlich muß es jeder selbst entscheiden und der TO hatte gefragt, wie wir es machen würden. Und ich würde definitiv so einen Unsinn nicht machen, zumindest nicht auf Servern, die nciht unter meiner Kontrolle sind.
Du hast geschrieben, dass wenn der TO eine verschlüsselte DB in die Cloud hochlädt, dass der Betreiber auf die verschlüsselten Daten zugreifen kann. Das ist definitv nicht so. Zumindest nicht ohne weitere. Außer du kannst das Belegen. Dann bitte ausführlich posten, denn das würde mich stark interessieren.
Grundsätzlich gebe ich dir Recht. Wie bereits geschrieben würde ich im Firmenumfeld auch immer einen eigenen PW Server in einem isolierten Netz betreiben. Genauso würde ich nicht auf ein Managed PW Server setzen. Wenn dann ein PW Manager, wo ich selber den Schlüssel behalte und die verschlüsselte DB kontrolliert in eine gesicherte Cloud hochladen kann. Letzteres eben nur im privaten Umfeld. Und damit fahre ich seit Jahren sehr gut.
Wir legen unsere DB zwar nicht in einer Cloud ab, aber tragen sie oft auf einem Stick bzw. Notebook umher. Darum verwenden wir zusätzlich noch den Yubikey, sodass eine 2-FA besteht. Vielleicht ist das was für dich. Alternativ kannst du natürlich auch eine Schlüsseldatei statt YK nehmen. Musst nur drauf achten, dass du Keyfile und DB getrennt hast.