Guten Tag, ich benutze seit einiger Zeit erfolgreich KEEPASS und habe die Datenbank auf einen USB gespeichert. Wenn ich morgens meinen PC starte, starte ich auch KEEPASS. Das Programm bleibt den ganzen Tag über offen, bis ich am Abend den PC herunterfahre, weil Passwörter alle Nasen lang gebraucht werden. Liegt darin eine Sicherheitslücke? Könnten evtl. sogar all meine Passwörter ausgelesen werden, wenn jemand Zugang zu meinem PC erhält? Wie kann ich mich ggfs. dagegen schützen?
Danke für die Hilfe! Wilhelm
Seite 1 von 1
offenes KEEPASS - Sicherheitslücke?
Anzeige
#2
geschrieben 29. März 2021 - 19:21
nunja, wenn jemand bereits zugang zu deinem pc hat, dann hast du in der regel eigentlich so oder so verloren.
zum thema keepass, einerseits koennte man mit einem fernwartungstool (z.b. teamviewer) ebenso wie du es auch machst die passwoerter kopieren, andererseits reicht es auch die keepass datenbank mitzunehmen und mit einem keylogger zu warten bis du das master-passwort eintippst.
dagegen hilft wohl teilw. diese funktion: https://keepass.info...bfuscation.html
zum thema keepass, einerseits koennte man mit einem fernwartungstool (z.b. teamviewer) ebenso wie du es auch machst die passwoerter kopieren, andererseits reicht es auch die keepass datenbank mitzunehmen und mit einem keylogger zu warten bis du das master-passwort eintippst.
dagegen hilft wohl teilw. diese funktion: https://keepass.info...bfuscation.html
#3
geschrieben 29. März 2021 - 21:47
Natürlich ist eine geöffnete und entschlüsselte Datenbank erst mal angreifbarer wie eine geschlossene. Aber du möchtest ja auch damit arbeiten und immer wieder das Masterpasswort einzugeben ist ja auch lästig. Man muss halt immer abwägen zwischen Sicherheit und Benutzbarkeit.
Auf meinem Android sperrt sich mein Keepass2Android umgehend nach Wechseln der App wieder, aber da reicht auch nur ein Daumenabdruck zum öffnen der Datenbank. Vielleicht gibt es ja eine ähnliche Lösung über das was CaNNon vorgeschlagen hat.
Ich würde mal noch in die Runde werfen, dass du hoffentlich Kopien deiner Keepass Datenbank hast und nicht nur auf dem USB Stick. So ein Stick geht ja mal ganz gerne von heute auf morgen kaputt, das wäre schade wenn es die Datenbank dahinrafft.
Ich sehe da kaum einen Vorteil drin die Datenbank auf einem Wechselmedium liegen zu haben. Wenn dein Rechner kompromittiert sein sollte ist es auch egal ob die Datenbank auf der Festplatte oder dem Stick liegt.
Auf meinem Android sperrt sich mein Keepass2Android umgehend nach Wechseln der App wieder, aber da reicht auch nur ein Daumenabdruck zum öffnen der Datenbank. Vielleicht gibt es ja eine ähnliche Lösung über das was CaNNon vorgeschlagen hat.
Ich würde mal noch in die Runde werfen, dass du hoffentlich Kopien deiner Keepass Datenbank hast und nicht nur auf dem USB Stick. So ein Stick geht ja mal ganz gerne von heute auf morgen kaputt, das wäre schade wenn es die Datenbank dahinrafft.
Ich sehe da kaum einen Vorteil drin die Datenbank auf einem Wechselmedium liegen zu haben. Wenn dein Rechner kompromittiert sein sollte ist es auch egal ob die Datenbank auf der Festplatte oder dem Stick liegt.
... aber bitte vorher ein Backup machen! ;-)
#4
geschrieben 29. März 2021 - 22:50
Die Frage ist aber auch, wer denn im zweifel Zugang hat und um welche Daten es sich handelt. Sind es Kollegen, die ohnehin Zugang zu denselben Firmendaten haben? Besteht nur die theoretische Möglichkeit, dass sich jemand Zugriff verschafft, aber in der Praxis besteht eigentlich gar keine Gefahr?
Und egal, ob in echt oder elektronisch, ist für mich ein Schlüsselbund nichts Anderes, als eine praktische Erfindung, um bei der nächstbesten Gelegenheit alle Schlüssel auf einmal zu verlieren.
Und egal, ob in echt oder elektronisch, ist für mich ein Schlüsselbund nichts Anderes, als eine praktische Erfindung, um bei der nächstbesten Gelegenheit alle Schlüssel auf einmal zu verlieren.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
#5
geschrieben 30. März 2021 - 21:53
Der letzte Satz von Stef4n sagt eigentlich alles. Was hält du davon auf ein Passwortsystem umzusatteln?
Ein ganz simples mit dem auch alle Anforderungen erfüllt sind welche von einem Password verlangt wird bei Registrierungen, wäre zB:
Jeweils den Webseitennamen rückwärts. Der erste und letzte Buchstabe wird immer groß geschrieben. Das Ganze seetz man dann irgendwie in einem Zahlen- und Sysmbolkombie die immer gleich ist.
Für WF sähe das dann so aus:
??ErutufniW99
und für Netzwelt
??TlewzteN99
Oder man nimmt jeweils die ersten beiden, letzten beiden, oder, oder... Buchstaben des jeweiligen Doaminnnames, überlegt an wievielter Stelle des Alphabetes diese Buchstaben stehen und bastelt da sein Masterpaswort drumherum.
Mit so einem System hat man eine einfache, aber effektive Möglichkeit für jede Website unique Passwörter zu haben ohne sie sich merken zu müssen.
Ein ganz simples mit dem auch alle Anforderungen erfüllt sind welche von einem Password verlangt wird bei Registrierungen, wäre zB:
Jeweils den Webseitennamen rückwärts. Der erste und letzte Buchstabe wird immer groß geschrieben. Das Ganze seetz man dann irgendwie in einem Zahlen- und Sysmbolkombie die immer gleich ist.
Für WF sähe das dann so aus:
??ErutufniW99
und für Netzwelt
??TlewzteN99
Oder man nimmt jeweils die ersten beiden, letzten beiden, oder, oder... Buchstaben des jeweiligen Doaminnnames, überlegt an wievielter Stelle des Alphabetes diese Buchstaben stehen und bastelt da sein Masterpaswort drumherum.
Mit so einem System hat man eine einfache, aber effektive Möglichkeit für jede Website unique Passwörter zu haben ohne sie sich merken zu müssen.
Es ist nicht alles Chrome was glänzt. Firefox -Der bessere Browser
#6
geschrieben 30. März 2021 - 22:10
Also auch wenn du dich auf mich beziehst, ich bin ein absoluter Fan von einer Kennwort Datenbank und ich pflege eine super gepflegte Keepass Datenbank und nutze diese auch täglich. Und die liegt in der Cloud und wird auch regelmäßig an unterschiedliche Stellen versioniert gesichert. Eben weil mir dieses Ding so wichtig ist. Aber drauf verzichten möchte ich nicht, Kennwort Muster gut und schön, aber ich hab kein Bock mir alles merken zu müssen.
... aber bitte vorher ein Backup machen! ;-)
#7
geschrieben 30. März 2021 - 22:18
Mit solcherart Passwortmuster arbeite ich auch, aber es gibt immer wieder Probleme. Man hat 14 Passwörter vergeben und alles funktioniert. Dann kommt das 15 Kennwort dazu und das Muster passt nicht zu den Anforderungen.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
#8
geschrieben 02. April 2021 - 05:30
Danke für die Hilfestellungen! Ich hatte eher gehofft, dass es so etwas wie einen shortcut gibt, mit dem ich KeePass nach der regulären Anmeldung zwischenzeitlich (wenn nicht gebraucht)schließen und bei Bedarf ebenso einfach wieder öffnen kann??!! Schöne Osterfeiertage! Wilhelm
Thema verteilen:
Seite 1 von 1