Schlüsseldatei als Zwei-Faktor-Authentifizierung (2FA) für Passwortmanager

https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager

Ich habe da noch einige Verständnisfragen.

Bei Verwendung von nur einem Gerät müsste diese Schlüsseldatei auf jeden Fall in einem externen Backup gesichert sein, andernfalls würde ich Zugriff auf die Datenbank des Passwortmanagers bei einem Datenverlust verlieren, korrekt?

Setzte ich dieses Verfahren ein, so muss es einheitlich auf allen Geräten eingesetzt werden. Unterschiedliche 2FA-Verfahren können nicht gemischt oder parallel eingesetzt werden, richtig?

Liegt die Datenbank auf Nextcloud (NC) und möchte man dort über entsprechende NC-Apps auf die Datenbank zugreifen, scheidet dieses Verfahren aus, weil die Schlüsseldatei nicht in der Cloud abgelegt werden darf. Das würde ganze Verfahren ja aushebel, wenn ich das richtig verstanden habe.

Danke

1 „Gefällt mir“

ich nehme an, es geht um KeePassXc.
Die Schlüsseldatei ist kein „echter“ 2. Faktor, sondern macht das Passwort komplexer.
Liegt die Datenbank in der Cloud so wird die Schlüsseldatei nur lokal auf dem/den Gerät(en) gespeichert. Ein Backup der Schlüsseldatei auf einem externen Datenträger ist sinnvoll, weil die Datenbank sonst bei Verlust der Schlüsseldatei unbrauchbar wird.

1 „Gefällt mir“

Im Speziellen bezog sich die Frage nicht auf KeePassXc. Sie war eher allgemein gehalten. Aktuell nutze KeyPass2Android aufgrund der damaligen Empfehlung von mobilsicher.

https://mobilsicher.de/ratgeber/passwort-manager-keepass-auf-dem-smartphone-nutzen

https://mobilsicher.de/ratgeber/so-gehts-passwort-manager-keepass2android-nutzen

Ich bin auch mit der Software im Großen und Ganzen zufrieden.

Die Schlüsseldatei ist kein „echter“ 2. Faktor, sondern macht das Passwort komplexer.

Danke für die Klarstellung!

Frage 3 wurde indirekt beantwortet, ein Direktzugriff auf NC schliesst sich also aus.

Frage 2 ist damit noch offen.

Mit NC Apps kannst Du die Datenbank sowieso nicht öffnen, dafür brauchst Du die Passwortmanager-App. Der NC-Client ermöglicht der PW-Manager-App auf *.kdbx zuzugreifen und das unabhängig davon ob zur Verschlüsselung ein Keyfile eingesetzt wurde oder nicht.
Beispiel: Du nutzt 1 Rechner und 1 Smartphone und verfügst über Nextcloud (selbstgehostet oder über einen Anbieter, völlig egal), dort liegt deine *.kdbx Datenbank. Auf den Endgeräten (PC, Handy) ist der Nextcloud-Client installiert. Der Client nutzt auf den Endgeräten einen lokalen Ordner, der mit dem NextCloud-Server synchronisiert wird. Wenn Du jetzt am PC in den Einstellungen der Datenbank der Verschlüsselung eine Schlüsseldatei hinzufügst, erkennt der NC-Client, daß die Datenbank verändert wurde und synchronisiert die Datenbank mit dem Server und dem Handy. Jetzt musst Du natürlich die Schlüsseldatei auch auf das Handy kopieren, weil Du sonst die Datenbank nicht öffnen kannst. Für Nextcloud selber ist die Schlüsseldatei ohne jeden Belang. Nur eben nie die Schlüsseldatei zusammen mit der Datenbank in der Cloud speichern, das wäre wie die PIN auf die Kreditkarte schreiben.

btw wenn Du die Datenbank schon in der Cloud gespeichert hattest und nachträglich eine Schlüsseldatei definierst schützt diese, genau genommen, nur die Passwörter die nach diesem Zeitpunkt erstellt werden. Es könnte ja bereits jemand eine Kopie der Datenbank angefertigt haben und die sich darin befindlichen Passwörter sind dann „nur“ mit Deinem hoffentlich starken Passwort geschützt. Du musst also alle alten Passwörter neu setzen wenn Du nachträglich per Keyfile verschlüsseln willst. Das gilt auch bei Änderung des Master-Passwortes.
Falls ich das Ganze falsch interpretiert haben sollte, erkläre bitte warum sich ein Zugriff über NC ausschliessen soll.

Mit direktem NC-Zugriff war Keeweb oder Ähnliches gemeint. Ich hätte das wohl näher erläutern sollen in meiner ursprünglichen Frage.

https://apps.nextcloud.com/apps/keeweb

Ich habe mal testhalber eine passwort- und keyfilegeschützte Dummy.kdbx mit einem Dummy-Eintrag erstellt und die keeweb App installiert. Der Öffnendialog von keeweb greift auf das lokale Dateiverzeichnis zu, somit sind lokale keyfiles kein Problem und die Datenbank lässt sich auch öffnen wenn das keyfile nicht in der Cloud liegt.

ABER:
Hast Du Dich mal über keeweb informiert?
Zitat aus der readme.md auf Github:

Status

The app is quite stable now. Basic stuff, as well as more advanced operations, should be rather reliable.
Looking for a new maintainer, see #2022

Keeweb scheint mir ein, mehr oder minder unausgereiftes Produkt einer „one-man-show“ zu sein. Der „one-man“ sucht einen Nachfolger und in dem Projekt hat sich seit Jahren nichts bewegt.

Damit würde ich meine tatsächliche Passwortdatenbank niemals öffen.