KeePassXC: Datei auf verschlüsselten USB-Stick speichern?

Moin.
Ist es sinnvoll, eine Keepassxc .kdbx-Datei auf einem verschlüsselten USB-Stick zu speichern? Dafür ist auf ein ‚normalen‘ usb linux cryptsetup benutzt.
Ich habe einmal gelesen, dass dies unvernünftig wäre, weil die Verschlüsselung zweimal durchgeführt werden muss.

Wenn du bei der Verschlüsselung der Datenbank Argon2 als KDF gewählt hast und das Master Passwort 80 Bit oder mehr Entropie besitzt, halte ich eine „doppelte“ Verschlüsselung für unnötig.

2 „Gefällt mir“

Oder anders ‚doppelt verschlüsseln‘: per 2fa. Also die KDBX-Datei so konfigurieren, dass sie sich nur mit Passwort plus Keyfile oder Yubikey etc. öffnen lässt. Beides muss neben dem USB-Stick mit der Datenbank dann natürlich zusätzlich erreichbar sein. Das Keyfile könnte zum Beispiel auf dem - dann besser verschlüsselten - Stick gespeichert sein. Hier beißt sich die Katze wieder in den Schwanz :laughing:

Mir reicht die 80 Bit Passphrase. Solche Aktionen mit Keyfiles oder verschlüsselten Sticks erhöhen, bei mir zumindest, das Risiko sich selbst aus der Datenbank auszusperren mehr als der tatsächliche Zugewinn an Sicherheit rechtfertigen kann.

Stimmt - hängt vom Usecase ab. Meiner ist die Cloud, also ist ein lokales Keyfile sinnvoll, auch wenn es (genau wie die Stick-Verschlüsselung) nicht nur erhöhte Sicherheit, sondern gleichzeitig einen möglichen Point of Failure bedeutet.

Neben vielen digitalen Kopien habe ich davon auch eine auf Papier: Muss endlich mal dazu kommen, einen Restore durch Einscannen als Textdatei zu testen. Von der KDBX habe ich zusätzlich noch einen unverschlüsselten Export im Bankschließfach.

Mal gucken, wie lang ich noch durchhalte: Digitale Souveränität ist gut und schön, aber Bitwarden und Proton Pass (also Software-as-a-service), die andere hier im Forum für Passwörter grundsätzlich ablehnen, haben auch ihre Vorteile, besonders wenn man mit einem heterogenen Geräte-Zoo arbeitet.

Gerade bei Services wo es gute, sichere und günstige Services, wie bei Passwortmanagern, gibt, würde ich mir das Leben nicht unnötig schwer machen.

Zweimal verschlüsseln schadet nicht. Sollte ein pfiffiger Mathematiker eine knacken dann gibt es die andere.

Wichtiger für mich ist das solche Dateien nicht ins Netzkommen wo jemand sie aufheben könnte für später.

Ganz meine Ansicht.
Ich verwende jetzt ein einfaches Passwort das sich ein Mensch merken kann, immerhin mit 146 Bit. Und eine 1.6mb jpg als keyfile. Beide Dateien, kdbx und jpg, werden zusammen auf dem gleichen Gerät gespeichert. Insgesamt gibt es 3 verschiedene Geräte wie usb stick. Wenn eines auf einer Reise gestohlen wird, habe ich immer noch den kompletten Satz.
Ich habe keepass selbst eine Schlüsseldatei erzeugen lassen, die war nur 128 Byte groß. Mir scheint, dass ein 1,6 MB großes Foto viel schwieriger zu knacken ist.
Der Schwachpunkt ist natürlich, dass die keyfile auf dem gleichen Gerät gespeichert wird. Wenn man die trent ist bei Diebstahl von einen keine mehr zu benutzen.

Datenbank und Keyfile am gleichen Speicherort konterkariert das Prinzip des 2. Faktors komplett.

„Nur“ 128 Byte?
Ein Byte kann jeden Wert zwischen 00000000 und 11111111 annehmen, also 0 bis 255 dezimal. Somit ergeben sich für eine zufällige Folge von 128 Byte 256128 verschiedene Kombinationen oder anders ausgedrückt 1024 Bit Entropie. Wer die richtige Kombination erraten will, muß im Schnitt die Hälfte der Kombinationen ausprobieren, also 21023 Kombinationen.
Wenn Du Dich damit besser fühlst, kannst Du natürlich jede Dateigröße verwenden die Dir angemessen erscheint. Allerdings ist der Zugewinn an Sicherheit rein akademischer Natur, zumal zur Schlüsselberechnung nicht das Keyfile, sondern dessen Hash herangezogen wird, der 32 Byte lang ist.
Und daß Bilddateien vielleicht nicht die idealen Keyfiles sind hast Du ja im anderen Thread festgestellt.
Wenn Du unbedingt ein großes Keyfile haben möchtest kannst Du eines mit

dd if=/dev/urandom of=keyfile bs=2MiB count=1

selbst erstellen (ergibt eine Datei namens „keyfile“ mit 2MB Größe).

Auf dem usb stick gibt es nicht nur diese 2 sondern noch ‚ne Menge‘ andere dateien, das macht alles doch schon komplizierter?! Wenn du ein bessres Idee hast wie man auf Reisen sein pw aufbewahrt, gerne!

Ach so, wenn das führend ist kan ich das lassen. Aber wie kann man am besten der keyfile aufbewahren damit es nicht sofort als keyfile erkannt wird?

Ich verstehe Dein Setup eventuell nicht.

Du hast die kdbx-Datei und das keyfile auf einem USB-Stick gespeichert und mehrere Endgeräte auf denen Keepassxc bzw. KeepassDX installiert ist? Wenn Du an Deine Passwörter willst, steckst Du den USB-Stick an den Rechner oder das Smartphone und entsperrst die Datenbank mittels Passwort und Keyfile?

In dem Fall einfach das Keyfile auf den Endgeräten speichern und die kdbx-Datei auf dem Stick belassen.

Du kannst dein Keyfile ja nennen wie Du möchtest, z.B. settings.bak, und an einem beliebigen Ort auf dem Gerät speichern.

Ich werde versuchen, die Situation so klar wie möglich zu erklären.
Man ist in Mittel- und Südamerika unterwegs mit 6A gos, einem multi boot laptop mit win10 (nur offline) und 3 Linuxversionen, von denen hauptsächlich Mint 21.2 benutzt wird.
Als Speichermedien Fotokamera, USB-Stick, externe SSD.
6A ist immer bei mir. Der Rest ist in der Unterkunft.

Unterwegs sind Laptop und Kamera und 6A am Körper. Der usb-stick + externe ssd im Koffer.

Es gibt 2 kdbx Dateien, eine für den täglichen Gebrauch mit E-Mail und Forum Passwörtern. Die 2. enthält auch Bankdaten.
Es gibt mehrere Szenarien. Totalverlust, dann wird einen neuen Pixel gekauft, obwohl das in diesem Teil der Welt nicht einfach ist, oder einen neuen laptop. Wo sind dann die beiden Dateien gespeichert? Wie kann ich sie dann sicher herunterladen?
Raub auf der Straße. Diebstahl aus der Unterkunft. Wie speichert man am besten die kdbx und keyfile?