Moin.
Ist es sinnvoll, eine Keepassxc .kdbx-Datei auf einem verschlüsselten USB-Stick zu speichern? Dafür ist auf ein ‚normalen‘ usb linux cryptsetup benutzt.
Ich habe einmal gelesen, dass dies unvernünftig wäre, weil die Verschlüsselung zweimal durchgeführt werden muss.
Wenn du bei der Verschlüsselung der Datenbank Argon2 als KDF gewählt hast und das Master Passwort 80 Bit oder mehr Entropie besitzt, halte ich eine „doppelte“ Verschlüsselung für unnötig.
1 „Gefällt mir“
Oder anders ‚doppelt verschlüsseln‘: per 2fa. Also die KDBX-Datei so konfigurieren, dass sie sich nur mit Passwort plus Keyfile oder Yubikey etc. öffnen lässt. Beides muss neben dem USB-Stick mit der Datenbank dann natürlich zusätzlich erreichbar sein. Das Keyfile könnte zum Beispiel auf dem - dann besser verschlüsselten - Stick gespeichert sein. Hier beißt sich die Katze wieder in den Schwanz 
Mir reicht die 80 Bit Passphrase. Solche Aktionen mit Keyfiles oder verschlüsselten Sticks erhöhen, bei mir zumindest, das Risiko sich selbst aus der Datenbank auszusperren mehr als der tatsächliche Zugewinn an Sicherheit rechtfertigen kann.
Stimmt - hängt vom Usecase ab. Meiner ist die Cloud, also ist ein lokales Keyfile sinnvoll, auch wenn es (genau wie die Stick-Verschlüsselung) nicht nur erhöhte Sicherheit, sondern gleichzeitig einen möglichen Point of Failure bedeutet.
Neben vielen digitalen Kopien habe ich davon auch eine auf Papier: Muss endlich mal dazu kommen, einen Restore durch Einscannen als Textdatei zu testen. Von der KDBX habe ich zusätzlich noch einen unverschlüsselten Export im Bankschließfach.
Mal gucken, wie lang ich noch durchhalte: Digitale Souveränität ist gut und schön, aber Bitwarden und Proton Pass (also Software-as-a-service), die andere hier im Forum für Passwörter grundsätzlich ablehnen, haben auch ihre Vorteile, besonders wenn man mit einem heterogenen Geräte-Zoo arbeitet.
Gerade bei Services wo es gute, sichere und günstige Services, wie bei Passwortmanagern, gibt, würde ich mir das Leben nicht unnötig schwer machen.
Zweimal verschlüsseln schadet nicht. Sollte ein pfiffiger Mathematiker eine knacken dann gibt es die andere.
Wichtiger für mich ist das solche Dateien nicht ins Netzkommen wo jemand sie aufheben könnte für später.
Ganz meine Ansicht.
Ich verwende jetzt ein einfaches Passwort das sich ein Mensch merken kann, immerhin mit 146 Bit. Und eine 1.6mb jpg als keyfile. Beide Dateien, kdbx und jpg, werden zusammen auf dem gleichen Gerät gespeichert. Insgesamt gibt es 3 verschiedene Geräte wie usb stick. Wenn eines auf einer Reise gestohlen wird, habe ich immer noch den kompletten Satz.
Ich habe keepass selbst eine Schlüsseldatei erzeugen lassen, die war nur 128 Byte groß. Mir scheint, dass ein 1,6 MB großes Foto viel schwieriger zu knacken ist.
Der Schwachpunkt ist natürlich, dass die keyfile auf dem gleichen Gerät gespeichert wird. Wenn man die trent ist bei Diebstahl von einen keine mehr zu benutzen.