Frage:
Praktische und sichere Verwendung von KeePass
user2247336
2013-09-23 02:06:17 UTC
view on stackexchange narkive permalink

Derzeit verwende ich KeePass als meinen vertraulichen Datenmanager. Ich verwende nur ein Hauptkennwort, um die Datenbank zu verschlüsseln, aber es ist nicht sehr sicher: 9 Zeichen, Kleinbuchstaben und Zahlen werden ohne Bedeutung gemischt. So etwas wie bwkvu5m8i

Ich möchte die Sicherheit der Datenbank erhöhen, ohne die Benutzerfreundlichkeit stark zu beeinträchtigen.

Die einzige zusätzliche Option in KeePass ist die Verwendung eines Schlüssels Datei, die ich auf einem externen USB-Flash-Laufwerk speichern und an den PC anschließen kann, wenn ich die Datenbank entsperren möchte. Wenn ich mich selbst kenne, werde ich es wahrscheinlich rund um die Uhr angeschlossen lassen, was sich nicht wesentlich vom Speichern der Schlüsseldatei auf der internen Festplatte unterscheidet.

Gibt es also andere Optionen, die die Verwendung von KeePass nicht sehr beeinträchtigen? umständlich?

Meine Hauptanliegen sind Keylogger oder Trojaner - ich bin ein fortgeschrittener Benutzer und würde definitiv keine unbekannten Dateien öffnen, unabhängig von ihrer Herkunft, aber ich habe trotzdem die Angst, kompromittiert zu werden. Ist das überhaupt möglich?

Vielleicht sollten Sie nach Apps suchen, die Smartcards verwenden.
Fixieren Sie sich nicht auf komplexe Passwörter. Ein einfaches Passwort kann ebenso sicher sein. Siehe hier: http://www.explainxkcd.com/wiki/index.php/936:_Password_Strength
Sechs antworten:
Adi
2013-09-23 14:32:52 UTC
view on stackexchange narkive permalink

Es gibt keine Möglichkeit, diesen zu beschönigen. Ein auf Ihrem Computer installierter Malware / Keylogger bedeutet, dass Ihre Passwörter offengelegt werden. Das ist es, daran führt kein Weg vorbei.

Ein Malware / Keylogger protokolliert Ihr Hauptkennwort, fängt die Zwischenablage ab, greift irgendwie auf die entschlüsselte Datenbank im Speicher zu usw.

Nasrus
2013-09-23 07:17:28 UTC
view on stackexchange narkive permalink

Es gibt Möglichkeiten, das Abrufen des KeePass-Hauptkennworts zu erschweren, z. B. das Festlegen, dass nur auf dem sicheren Desktop eingegeben werden darf.

Um zu verhindern, dass jemand Ihre KeePass-Datenbankdatei abruft und Brute Force ausführt Daraufhin können Sie auch die Anzahl der AES-Iterationen erhöhen, die KeePass während des Ableitungsprozesses des Hauptkennworts ausführt, um den Aufwand für das brutale Erzwingen des Hauptschlüssels zu erhöhen, falls Ihre Datenbank exfiltriert wird.

Es gibt auch Eine Option zum Festlegen der Zweikanalverschleierung während der automatischen Eingabe, wenn KeePass den Benutzernamen und das Kennwort für Sie eingibt. Es sollte verhindern, dass grobe Schlüsselprotokollierer das spezifische Kennwort abrufen, das Sie für diese Site verwenden.

Um böswilligen Zugriff auf die KeePass-Datenbank (und Ihre Entschlüsselungspassphrase) zu verhindern, da Sie es irgendwie im Klartext eingeben müssen ... und das kann abgefangen werden, wenn Ihr Computer kompromittiert ist.) Halten Sie Ihren Computer in erster Linie sicher. Sie kennen den Drill: Installieren und aktualisieren Sie Ihre AV-Software, halten Sie das Betriebssystem und die Software Ihres Computers auf dem neuesten Stand, verfügen Sie über eine Firewall, überprüfen Sie regelmäßig die Protokolle usw.

Erhöhen Sie schließlich die Entropie und Länge des verwendeten Hauptkennworts. Wie wäre es mit 13+ anstelle von 9 Zeichen? Anstatt nur nur Kleinbuchstaben zu verwenden, können Sie auch Großbuchstaben und sogar ein oder zwei Sonderzeichen einfügen. Je unvorhersehbarer und länger Ihr Kennwort ist, desto länger dauert es, bis Ihr Angreifer den Datenbankhauptschlüssel brutal erzwingt.

Ich bin sehr proaktiv bei der Sicherung meiner Maschine, aber Sie wissen es nie. Ich habe mich immer gefragt, ob ein Windows-Computer, der vollständig aktualisiert und durch AV + Anti-Malware geschützt ist, ohne menschliches Versagen infiziert werden kann. Ich erinnere mich, dass es vor langer Zeit in den Windows 98-Tagen Viren wie Blaster und Sasser gab, die einen Computer automatisch infizieren konnten, ohne dass der Benutzer tatsächlich etwas unternahm. Kann ich mich infizieren, wenn ich keine unbekannten Dateien öffne?
Es ist wirklich schwer zu sagen. Selbst wenn Sie nur zu legitimen Websites gehen, können diese mit Malware infiziert sein, die von Crackern heimlich eingefügt wurde. Sogar Ihre Freunde könnten Ihnen Dateien senden, die mit einem legitimen Kontext legitim sind, aber mit Malware infiziert wurden, weil ihr Computer davon infiziert ist. Und dann gibt es Zero-Days usw. Wenn Sie also Ihre Maschine sicher halten, können Sie das Infektionsrisiko verringern, aber nicht vollständig beseitigen.
Die Nummer eins zum Schutz vor Offline-Angriffen (eine gestohlene Datenbank, aber keine gestohlene Passphrase) ist die Erhöhung der AES-Iterationszahl. Datei-> Datenbankeinstellungen-> Verschlüsselung, drücken Sie den Timer, der die Berechnung auf Ihrer aktuellen Hardware auf "eine Sekunde" einstellt, und ERHÖHEN Sie sie dann um den Faktor 5 bis 10; Es ist keine große Sache, NUR 5 oder 10 Sekunden nach der Eingabe Ihres Passworts (oder dem Speichern einer Änderung) zu warten, aber es verringert die Rate, mit der ein Angreifer versuchen kann, Ihre Passphrase zu erraten. Dies ist INSBESONDERE wichtig, wenn Ihre Passphrase schwach ist, da Sie nach einem Leck möglicherweise Zeit verlieren.
Sebastian B.
2013-09-24 00:38:37 UTC
view on stackexchange narkive permalink

Sie könnten versuchen, zusätzlich zu dem Passwort, das Sie in keepass oder als Ersatz speichern, eine Art OTP-Lösung einzurichten.

Eine ziemlich erschwingliche Lösung könnte yubikey sein ( http: // www .yubico.com / products / yubikey-hardware / yubikey /).

Sie können beispielsweise eine Linux-PAM gegen eine yubico-PAM austauschen und sich mit einem yubikey bei einer Linux-Box anmelden und usw. ...

Dies ist keine Werbung, sondern ein erschwingliches Beispiel. Vielleicht keine Lösung für jeden Keepass-Anwendungsfall, aber wenn Sie Systemanmeldeinformationen in Keepass speichern, können Sie ihnen eine Sicherheitsebene hinzufügen ...

Bearbeiten: Verwenden Sie auch, wie erwähnt, viel mehr als 9 Ziffern. Verwenden Sie etwas Langes und Komplexes, das immer noch gut zu tippen ist, wie einen langen Satz mit einigen besonderen Sonderzeichen. Machen Sie keine einfachen Dinge wie das Tauschen eines E gegen eine 3. Es gibt Bruteforce-Plugins für solche Dinge. Fügen Sie einfach zufällige Sings am Ende / Anfang und / oder in der Mitte hinzu ...

Edit2: habe gerade Folgendes gefunden: http://keepass.info/help/kb/yubikey.html siehe den otp-Teil am Ende. Ich kann Ihnen nicht versprechen, dass dies eine ordnungsgemäße und sichere otp-Implementierung ist und dass das Plugin fehlerfrei ist. Die Theorie klingt jedoch gut und ist ein guter Ausgangspunkt, um etwas darüber zu recherchieren oder nach solchen Alternativen zu suchen.

Edit3: Eine kostenlose Alternative zu yubikey wäre die Google Authenticator App für iOS oder Android, die laut http://mx.thirdvisit.co.uk/2014/ mit dem Keepass OtpKeyProv-Plugin gut funktionieren sollte. 01/02 / das otpkeyprov-hotp-plug-in-zur-arbeit-mit-google-authenitcator /

(wieder kann ich nicht versprechen, dass die OtpKeyProv-Implementierung fehlerfrei ist .. ..)

Sehr gute Vorschläge. Vielen Dank. Ich habe jedoch einige Fragen: Wenn Sie einen Yubikey verwenden, weiß die Keepass-Datenbank davon? Oder einfach ausgedrückt: Wenn jemand meine Datenbank stiehlt und mein Hauptkennwort kennt, kann er sie dann ohne den Yubikey öffnen? Wenn nicht, gehe ich davon aus, dass der Datenbank zusätzliche Verschlüsselungsinformationen hinzugefügt wurden.
2. Frage: Weißt du, ob ich mich davor schützen kann, meinen Yubikey zu verlieren? Wenn ich beispielsweise Google Authenticator verwende, habe ich einen Authentifizierungsschlüssel oder einen QR-Code gesichert. Wenn ich also mein Telefon verliere, kann ich den Authentifikator erneut einrichten und auf meine Konten zugreifen. Kann ich etwas auf ein Blatt Papier drucken, damit ich wieder Zugriff bekomme, wenn ich meinen Yubikey verliere? Muss ich einen anderen Yubikey kaufen oder kann ich etwas anderes verwenden, um Zugang zu erhalten, bis mein neuer Yubikey ankommt? Vielen Dank für Ihre Zeit :)
Ich denke, es gibt immer noch einen Wiederherstellungsmodus, in dem Sie mit einem Wiederherstellungs- / Hauptkennwort auf die Datenbank zugreifen können. Sie können jedoch eine lange Lächerlichkeit festlegen (wenn Sie ein otp verwenden, um auf Keepass zuzugreifen), die Sie irgendwo in gedruckter Form an einem sicheren oder einem anderen sicheren Ort aufbewahren. Je nachdem, wie paranoid Sie sind, kann dies eine Option sein oder auch nicht;)
In Bezug auf Backup: YubiKey scheint nur eine billige Openauth-Hardware-Implementierung zu sein. Auf der Yubico-Website heißt es, dass es möglich ist, identische Schlüssel für Sicherungszwecke zu bestellen, damit Sie einen sicher aufbewahren können. Möglicherweise ist es auch möglich, ein identisches Google Authenticator-Token als Backup / Alternatives Token einzurichten. Sie können diese Fragen wahrscheinlich an den OtpKeyProv-Entwickler oder das SourceForge-Forum richten.
Thomas Weller
2015-01-09 02:50:08 UTC
view on stackexchange narkive permalink

Einer der Angriffe ist die Registrierung eines Debuggers für KeePass.exe, der KeePass.exe vollständig durch etwas anderes ersetzen würde, möglicherweise eine sehr gute Kopie, die ich nicht erkenne. Andere sind Tastaturlogger.

Ich habe Folgendes getan, um den Zugriff auf die Haupt-KeePass-Datenbank zu verhindern:

  • Laden Sie die KeePass-Quelle herunter
  • Entfernen Sie die mobile Version (weil dieser nicht auf meinem PC kompiliert wurde)
  • nehmen Sie einige Änderungen vor, z Ändern Sie die Hintergrundfarbe und fügen Sie ein Symbol hinzu, damit ich meine eigene Version von anderen unterscheiden kann.
  • benennen Sie die ausführbare Datei um, damit sie nicht von einem generischen Debugger-Angriff betroffen ist.
  • Fügen Sie einige Zeichen hinzu des Kennworts im Code, sodass ein Keylogger nie das vollständige Kennwort erhält.
  • Ändern Sie die Dateierweiterung von .kdbx so, dass jemand, der Dateizugriffe überwacht, nicht herausfinden kann, dass es sich um eine KeePass-Variante handelt, und dass jemand die Festplatte scannt Finden Sie es auch nicht.
  • Ersetzen Sie alle "KeePass" -Strings im Code.
  • Kompilieren Sie die neue Version.
  • Installieren Sie sie nicht, verwenden Sie nur eine tragbare USB-Version
  • Eingabeaufforderung für sicheres Passwort aktivieren

Obwohl ich KeePass nicht mehr einfach aktualisieren kann, denke ich immer noch, dass ich eine sicherere Version habe, die weniger angreifbar ist. Jemand müsste einen Angriff nur für meine eigene Version erstellen, was unwahrscheinlich ist.

Sie können auch:

  • das Dateiformat ein wenig ändern, z. Schreiben Sie am Anfang zusätzliche Bytes, damit die Datei von Signaturscannern schwerer zu erkennen ist.

Jetzt ist das Hauptkennwort der KeePass-Datenbank ziemlich sicher. Es ist weiterhin möglich, auf kopierte Kennwörter zuzugreifen von KeePass in andere Anwendungen. Ein Angreifer kann schnell ein unsichtbares Fenster öffnen und dann KeePass erneut aktivieren. KeePass verwendet dann das unsichtbare Fenster, in das das Kennwort eingefügt wird. Selbst ein Zweikanal-Autotyp kann diesen Angriff kaum verhindern, insbesondere wenn das unsichtbare Fenster die Daten an das richtige Fenster weiterleitet, sodass Sie es nicht bemerken.

Obwohl ich dafür keine Gegenmaßnahme implementiert habe, würde ich wahrscheinlich Folgendes tun:

  • den Fenstertitel des Fensters ausgeben, in das KeePass Kennwörter einfügt
  • Erkennen Sie kurze Zeiträume, in denen KeePass in den Hintergrund tritt. Selbst wenn Sie zweimal sehr schnell Alt-Tab drücken, sollte zwischen einer Deaktivierung und einer Aktivierung von KeePass ~ 100 ms liegen.

Eine Idee, die wahrscheinlich Administratorrechte benötigt und mehr Windows Internals-Kenntnisse benötigt als Ich habe derzeit:

  • Alle Programme anhalten (oder fast alle, möglicherweise einige ausführbare Windows-Dateien laufen lassen), außer Ihrem geänderten KeePass und dem Zielprogramm. Deaktivieren Sie das Kennwort nach dem Einfügen. Angreifer, die z.B. Abfrage Die Zwischenablage sollte umgangen werden. Nicht sicher für andere Benachrichtigungstypen wie Tastatur-Hooks.
Woah, du hast wirklich darüber nachgedacht.
Cmazay
2014-12-16 21:12:15 UTC
view on stackexchange narkive permalink

Welches ist Ihre Hauptbedrohung?

    Für die meisten könnte es mir Trojaner / Keylogger-Software sein, die nach einfachem Geld sucht. Einige Keylogger erkennen, wenn Sie Keepass öffnen und dann Kennwort und Datenbank stehlen.

  • Sichern Sie Ihren Computer. Ein Offline-Gerät / Telefon könnte eine Option sein.
  • Vermeiden Sie es, Informationen zu schreiben, an die Sie sich erinnern werden. Sie können E-Mail1 oder Companyemail2 anstelle Ihrer eigentlichen E-Mail schreiben.
  • Schreiben Sie das Passwort immer mit der Maus und in falscher Reihenfolge. Dadurch wird ein einfacher Keylogger blockiert.
  • Eine Schlüsseldatei blockiert möglicherweise einfache Keylogger.
  • Keepass und Datenbank in einer virtuellen Offline-Maschine verhindern, dass ein durchschnittlicher Keylogger die Datenbank stiehlt.

Jemand möchte sich bemühen, Ihre Datenbank oder Datenbank öffentlich zu erzwingen.

  • Wählen Sie ein langes zufälliges Passwort und verwenden Sie die Schlüsseldatei.
ol>
Kerim Oguzcan Yenidunya
2013-09-23 16:11:42 UTC
view on stackexchange narkive permalink

Nasrus hat ziemlich gute Vorschläge gemacht.

Zusätzlich; Ich weiß nicht, ob Sie dies bereits tun, aber Sie können KeePass auf einem Linux-Computer verwenden, der sicherer wäre.

Ubuntu oder Debian wären in Ordnung, aber wenn Sie sehr besorgt sind, können Sie dies Versuchen Sie Tails, um Ihre Privatsphäre und Anonymität zu wahren, indem Sie sich auf die Sicherheit konzentrieren.

Ich verwende Windows 7 Professional, das meiner Meinung nach ausreichend gesichert ist, aber ich habe immer noch meine Bedenken. Ich hatte Pläne, Ubuntu für Dual Boot zu installieren, komme aber nie dazu.
Ich habe es noch nicht selbst ausprobiert, aber Tails kann auf einem USB-Stick ausgeführt werden, ohne Ihr vorhandenes Betriebssystem zu ändern. Außerdem verwende ich Dual-Boot mit Ubuntu und Windows auf einem meiner Computer und kann es nur empfehlen.
Wofür benutzt du Ubuntu?
Softwareentwicklung, persönlich, alles Mögliche;)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...