YubiKey Teil IV – KeePassXC absichern

  1. YubiKey Teil I – Einleitende Bemerkungen
  2. YubiKey Teil II – LUKS Verschlüsselungen mit 2FA
  3. YubiKey Teil III – Zwei-Faktor-Authentifizierung mit U2F
  4. YubiKey Teil IV – KeePassXC absichern
  5. Exkurs: YubiKey-Software

Der Passwortmanager ist ein ebenso notwendiger wie neuralgischer Punkt. Er ermöglicht komplizierte und vielfältige Passwörter, aber ist gleichzeitig der Schlüssel zu unserer gesamten digitalen Identität. Hier kann man mit YubiKey für mehr Sicherheit sorgen.

KeePassXC ist eine der wenigen Erfolgsgeschichten aus einem Fork. Durch die Abspaltung von KeePassX hat die Entwicklung wieder so richtig Fahrt aufgenommen und viele tolle Funktionen wurden implementiert.

Ein Passwortmanager sollte nie nur mit einem starken Passwort geschützt sein, sondern immer noch mit einem zweiten Faktor, der sich in eurem Besitz befinden muss. Insbesondere wenn die Passwortdatenbank über einen Cloud-Speicher synchronisiert wird.

Für den niedrigschwelligen Einstieg bietet KeePassXC hier die Möglichkeit, eine Schlüsseldatei zu erzeugen. Zum Entsperren der Datenbank benötigt man dann Passphrase und Schlüsseldatei. Die Kombination von Wissen und Besitz sozusagen. Diese Schlüsseldatei bewahrt man natürlich getrennt von der Passwortdatenbank auf. Die Datenbank kann über einen Cloud-Speicher synchronisiert werden, die Schlüsseldatei sollte hingegen nie ins Internet geraten, sondern über ein Kabel oder im Heimnetz auf das Gerät übertragen werden. Da sich die Schlüsseldatei nie oder selten ändert, ist das auch kein Komfortproblem.

Mehr Sicherheit bietet hier natürlich der YubiKey, denn eine Schlüsseldatei ist schließlich auch nur eine Datei und kann theoretisch bei einem Angriff auf eurer System gestohlen werden. Der YubiKey befindet sich dagegen auch physisch in eurem Besitz.

KeePassXC mit YubiKey absichern

Legt ein Backup der Datenbank an bevor die Sicherheitseinstellungen verändert werden. Ansonsten verliert ihr bei Problemen Zugriff auf die gesamte Datenbank.

Unter Datenbank / Datenbank-Sicherheit lassen sich die verschiedenen Sicherheitsmaßnahmen konfigurieren.

KeePassXC verweist hier bereits auf die Notwendigkeit, das HMAC-SHA1 Challenge-Response Verfahren zu nutzen. Solltet ihr den YubiKey bereits für LUKS nutzen, ist Slot 2 bereits passend konfiguriert.

Über den Button YubiKey Challenge-Response hinzufügen startet die Einrichtung, die sehr einfach ist. KeePassXC erkennt den YubiKey, man bestätigt mit einem Tipp auf den Key und danach ist die Datenbank mit dem YubiKey verbunden.

Abschließend schließt ihr die Datenbank und öffnet sie erneut, um zu prüfen, ob die Entsperrung mit YubiKey klappt. Ggf. muss der Hardwareschlüssel im Aufklappmenü noch ausgewählt werden. Anschließend gibt man das Kennwort ein und klickt auf OK. In einem zweiten Schritt erfordert KeePassXC die physische Betätigung des YubiKeys.

Im Alltagsbetrieb

Die Zusammenarbeit mit YubiKey klappt fehlerfrei. Je nach Häufigkeit der Entsperrung dürfte man aber den YubiKey im Betrieb kaum noch vom Gerät abziehen.

Ein Problem ist die Synchronisation. Der KeePass-Client auf Android KeePassDX kann gegenwärtig noch nicht mit YubiKey umgehen, weshalb die Datenbank nur auf Desktop-Clients mit KeePassXC genutzt werden kann. Wie so oft sind iPhone-Anwender hier, was die Sicherheit betrifft, im Vorteil. Da ich auf meinem Android-Smartphone sowieso nur eine abgespeckte Variante der Datenbank nutze, ist das für mich kein so großes Problem.

7 Kommentare

    • Ja das hatte ich schon irgendwo gelesen, aber Keepass2Android gibt es nur bei Google Play. Mein Android ist möglichst Google-frei. Sachen aus Google Play (bzw. Aurora Store) installiere ich nur wenn keine Alternativen existieren.

  1. Hallo Gerrit, vielen Dank. Wie kann man sich absichern, falls der YubiKey mal verloren geht oder defekt ist? Kann man eine „Sicherheitskopie“ der Datenbank nachträglich anfertigen? Die vor Einrichtung hilft nur bedingt, da im laufe der Zeit etliche Passwörter hinzugekommen oder geändert wurden.
    Danke und Gruß
    Martin

    • Ich löse das Problem tatsächlich, indem ich von Zeit zu Zeit Sicherheitskopien der Datenbank ohne YubiKey-Absicherung erstelle und diese an einem sicheren Ort ablege. Wenn jemand andere Ideen hat wäre ich durchaus auch interessiert 🙂

      • You only need to backup the 20-byte HMAC-SHA1 secret key that you programmed to your YubiKey. This secret defines how your YubiKey responds to specific inputs (in challenge-response mode). If you program the same secret to another YubiKey, it will work as a clone of your original YubiKey. (That is, you can decrypt your database using either of the YubiKeys). You can also decrypt a YubiKey-protected database without the hardware YubiKey: KeePassXC can simulate the YubiKey programmatically, if you give the app your secret key.

        And yes, keep the backup of your secret key well protected: it gives the owner more power than the YubiKey itself 🙂 Such as the power to create clone YubiKeys.

    • Das geht nur mit einem zweiten YubiKey oder eben so wie Gerrit es macht (Datenbank ohne YubiKey). Echt schade das KeePassDX noch nicht mit YubiKeys umgehen kann, laut Entwickler soll die Unterstützung aber irgendwann integriert werden.

      • Man kann aber keinen zweiten YubiKey in KeepassXC hinterlegen, es geht immer nur ein einziger…
        Oder mache ich evtl. was falsch?

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...