Mastodon
Zuletzt aktualisiert am

Keepass: Sicher in der Cloud mit FB2FA™

Keepass ist der erste Wahl bei einfachen Ein-Benutzer-Szenarien. Soll die Passwortdatenbank per Cloud synchronisiert werden, empfiehlt sich die Absicherung durch einen zweiten Faktor.

Keepass offeriert nicht nur die Verschlüsselung per Masterkey, sondern auch zusätzlich mit einer Schlüsseldatei, also gewissermaßen eine File-Based-Two-Factor-Authentication. Ohne die zusätzliche Schlüsseldatei nützt die Kenntnis des Passwort nichts, die Datenbank lässt sich nicht entsperren. Dies kann man sich zunutze machen, indem man nur die Datenbank bequem per Cloud synchronisiert, die Passwortdatei aber schon zuvor auf alle Geräte bringt, etwa über das sichere Heimnetzwerk oder ganz altmodisch per Kabel.

Sicher ist sicher

Dadurch, dass der zweite Faktor (die Schlüsseldatei) niemals das Internet zu Gesicht bekommt, erreicht man ein sehr hohes Maß an Sicherheit: selbst wenn z.B. der Nextcloud-Server kompromitiert, die Passwortdatenbank gestohlen und das Passwort dafür erraten würde, ginge der Angreifer leer aus, da er keinen Zugriff auf die Schlüsseldatei hätte. Problematisch könnte es nur werden, wenn ein Angreifer Zugriff auf ein Endgerät und somit auf Passwortdatenbank und Schlüsseldatei hätte, doch auch dann müsste dieser immer noch das Passwort erraten. Übrigens ist auch ein Yubikey als zusätzlicher Faktor möglich, aber natürlich mit Kosten verbunden und verhältnismäßig unkomfortabel.

FB2FA™ konkret umgesetzt

Nehmen wir an, wir erstellen unsere Passwortdatenbank bequem am Laptop auf der Couch - mit Passwort und Schlüsseldatei gesichert. Dann synchronisieren wir die Schlüsseldatei im lokalen Heimnetzwerk mit Desktop und Mobiltelefon - etwa mit Syncthing, Warpinator oder einer Lösung wie KDEConnect.
Und schon ist der Weg frei für eine gefahrlose Cloud-Synchronisation der Datenbank per Nextcloud, Seafile oder Dropbox. Zu beachten ist dann nur, dass man die Schlüsseldatei nicht versehentlich mitsynchronisiert, etwa weil sie in einem Ordner abgelegt wurde, der Teil der Cloud-Synchronisation oder automatischen Cloud-Uploads (z.B. Foto-Ordner) ist.

Fazit und Verfügbarkeit

Mit File-Based-Two-Factor-Authentication, kurz FB2FA™, kann man cloudbasierte Passwortsynchronisierung wagen, schließlich erblickt der zweite Faktor nie das Licht des Neulands. Auch Lösungen ohne Ende-zu-Ende-Verschlüsselung wie etwa Nextcloud kommen so in Frage. 
Wir empfehlen KeePassXC für Windows, Mac und Linux sowie KeePassDX für Android und Keepassium für iOS (allesamt kostenlos und open-source).

 

Comments