Zwei Entsperrmethoden in der Keepass-Datenbank akzeptieren, aber nicht erfordern

Zwei Entsperrmethoden in der Keepass-Datenbank akzeptieren, aber nicht erfordern

Ich verwende Keepass zur Verwaltung meiner Passwörter und sie werden mithilfe von Dropbox auf meinem Heimcomputer (Windows 7), meinem Arbeitscomputer (Ubuntu) und meinem Android-Telefon synchronisiert.

Derzeit verwende ich nur ein Master-Passwort, um es zu sichern, aber ich würde viel lieber mein Windows-Benutzerkonto zu Hause verwenden, damit ich nicht jeden Tag ein langes Passwort eingeben muss. Wenn ich andererseits zur Sicherung auf mein WUA umsteige, könnte ich nicht von meinem Telefon oder meinem Arbeitscomputer darauf zugreifen.

Gibt es eine Möglichkeit, meine Keepass-Datenbank so einzustellen, dass sie beide Methoden zum Entsperren akzeptiert, aber nicht erfordert?Auf diese Weise könnte ich zu Hause einfach meine WUA verwenden und überall sonst einfach mein Hauptkennwort nutzen.

Antwort1

Sie können Ihr Passwort in eine Textdatei auf Ihrem PC zu Hause eingeben (achten Sie darauf, dass Ihr Texteditor keine Zeilenumbruchzeichen hinzufügt) und diese dann als Schlüsseldatei an KeePass weitergeben. (Sie könnten die Schlüsseldatei mit dem EFS von Windows verschlüsseln.)

Jetzt können Sie die Schlüsseldatei zu Hause verwenden und das Passwort woanders manuell eingeben.

Antwort2

Die einfachste Methode (wenn Sie Ihre Passwörter nicht oft ändern, was bei Verwendung von Keepass wahrscheinlich der Fall ist) besteht darin, die Datenbank mit der Version 2.x zu duplizieren.

Einen anderen Weg gibt es nicht wirklich. Wenn Sie sich tatsächlich ansehen, was bei der Verschlüsselung passiert, werden Sie feststellen, dass, wenn das Ganze mit einem Schlüssel verschlüsselt wird, es nicht mit einem anderen entschlüsselt werden kann, denn das ist der eigentliche Sinn der Verschlüsselung.

Wenn Sie auf irgendeine Weise versuchen würden, mehr als einen Schlüssel zu verwenden, müssten Sie lediglich den Schlüssel überprüfen und dann mithilfe eines gespeicherten Schlüssels die Datenbank entsperren, was ziemlich unsicher ist.

Selbst wenn das Programm zwei Kopien mit zwei unterschiedlichen Verschlüsselungsschlüsseln in derselben Datei speichert, ist es dadurch einfacher, einen Brute-Force-Angriff durchzuführen, da man mit einem Schlüssel leicht an den anderen Schlüssel kommt. Außerdem ist es umständlich, weil man bei jeder Änderung der Passwörter den anderen Schlüssel benötigt.

Tl;dr: Es ist mathematisch fast unmöglich, mehrere Schlüssel zu haben, aber nur einen zu benötigen.

Eine andere Lösung besteht darin, ein kürzeres Passwort zu verwenden. LesenDieser Artikel, was AES betrifft (das von Keepass verwendet wird), fluffy is puffywürde es vielleicht 39 Millionen Jahre dauern, ein so einfaches Passwort zu knacken, obwohl die Wörter sehr einfach sind.

Zum Vergleich: Keepass hasht das Passwort standardmäßig 6.000 Mal (und wenn Sie es auf 2 Millionen einstellen, würde es immer noch kaum ins Schwitzen kommen), was jede Art von mathematischem Trick nutzlos macht. Sie können die Einstellungen „aussprechbar“ und „lower+upper+num“ verwenden aufpasswd.meum ein Passwort zu generieren, das leicht zu lernen und zu merken, aber schwer zu erraten oder mit roher Gewalt zu erzwingen ist, wie zum Beispiel tahter.3usandu. Vielleicht lernen Sie am Ende sogar Japanisch :-).

Antwort3

Seit Version 2.10 unterstützt KeePass den Kommandozeilenparameter -pw-enc. Weitere Einzelheiten finden Sie unterKeePass Online-Hilfe. Es akzeptiert das Master-Passwort einer KeePass-Datenbank in einer verschlüsselten Darstellung.

Verwenden Sie ein cmd-Skript wie in diesemBlogmit dem -pw-encParameter zum automatischen Öffnen/Entsperren Ihrer Datenbank, ohne dass Sie Ihr Passwort eingeben müssen. Fügen Sie dieses Skript als Aufgabe in den Windows-Aufgabenplaner ein. Definieren Sie einen Auslöser für „Beim Anmelden“.

Auf diese Weise benötigt Ihre KeePass-Datenbank nur ein Master-Passwort. Sie können sie auf anderen Computern nur öffnen, indem Sie das Master-Passwort eingeben. Auf Ihrem eigenen Computer haben Sie jedoch eine sichere Möglichkeit, Ihre Datenbank automatisch zu entsperren, indem Sie Ihr Windows-Benutzerkonto verwenden.

Randnotizen

  • Um die verschlüsselte Darstellung zu erstellen, müssen Sie den Platzhalter {PASSWORD_ENC}für einen KeePass-Eintrag mit dem Master-Passwort der Datenbank. Die verschlüsselte Darstellung ist bei jeder Erstellung etwas anders. Trotzdem funktioniert es.

    Sie können es entweder als Auto-Type-Sequenz oder für eine Eingabe-URL wie verwenden cmd://"cmd.exe" /k echo {PASSWORD_ENC}.

  • Um das Aufspringen des cmd-Fensters zu vermeiden, können Sie das cmd-Skript mit einem VBS-Skript umschließen, wie in diesemAntwort auf Serverfehler.

  • Wenn Sie KeePass so konfiguriert haben, dass Ihre Datenbank automatisch gesperrt wird, können Sie die zusätzlichen Auslöser „Beim Entsperren der Arbeitsstation“ und „Beim Herstellen einer Verbindung zur Benutzersitzung“ für lokale und Remotecomputer hinzufügen.

  • Aktivieren Sie im Aufgabenplaner für die Aufgabe nicht die Option „Ausführen, unabhängig davon, ob der Benutzer angemeldet ist oder nicht“. Andernfalls kann die Aufgabe die KeePass-Benutzeroberfläche nicht aufrufen.

  • Die Verschlüsselung basiert auf derWindows-Datenschutz-API (DPAPI). Die Entschlüsselung ist nur für den aktuellen Benutzer auf demselben Computer/in derselben Domäne möglich.

verwandte Informationen