KeePassXC Verschlüsselungseinstellung

Butterplume · 12. Juli 2024 um 14:29

Hallo zusammen,

ich nutze KeePassXC bzw. KeePassium fürs IPhone. Ich hatte lange Zeit die Standardeinstellung zur Verschlüsselung von KeePassXC genommen. Bei KeePassium wurde mir angezeigt, dass ich deren empfohlene Einstellung wählen sollte.

KeePassium hat folgende Parameter empfohlen:

ChaCha20 256-Bit
Argon2d (Standard - wird auch von KeePassXC empfohlen)
100 Verschlüsselungsdurchläufe (etwas gering, oder?)
1MiB Speicherverbrauch (auch wieder ziemlich gering, oder?)
2 Threads Parallelität

Die Verschlüsselungsdurchläufe und der Speicherverbrauch sind doch recht gering oder verstehe ich das falsch? Die Kombination aus beiden Einstellungen soll doch vorrangig gegen Brute-Force- und Hardware-Angriffen schützen oder habe ich das falsch verstanden?

Welche Einstellungen wären denn sowohl für die Nutzung auf dem IPhone und auf einen Computer das Optimum? Was würdet ihr empfehlen? Ich möchte einen guten Kompromiss aus Bedienbarkeit und Sicherheit.

Danke vorab für jegliche Hilfe und Klarstellung!

porcupine0815 · 12. Juli 2024 um 20:04

Ich nutze beim Erstellen der Datenbank die „Allgemeinen Verschlüsselungseinstellungen“. Da gibt man keine Parameter ein sondern wählt wie lange es auf der genutzten Hardware dauern soll die Datenbank zu entschlüsseln. Ich wähle z.B. 5 Sekunden, das ergibt auf meinem zehn Jahre alten Dell Latitude mit Intel i5-4310U (4) @ 3.000GHz und 8GB RAM folgende Parameter:
Durchläufe 174
Speicherverbrauch 64MiB
Parallelität 4 threads
Mein kürzlich ergatterter Dell Inspiron mit Intel i7-10510U (8) @ 4.900GHz und 16GB RAM
zeigt bei 5 Sekunden Verzögerung folgende Parameter:
Durchläufe 504
Speicherverbrauch 64MiB
Parallelität 8 Threads
Datenbanken die mit dem alten Rechner verschlüsselt wurden, laden auch auf meinem Smartphone noch im erträglichen Zeitrahmen. Beim neuen Rechner müsste ich sicherlich die Verzögerung reduzieren.
Die Parameter werden also der Hardwareleistung angepasst, es gibt somit keine allgemeingültig „idealen“ Parameter. LUKS2 mit Argon2 verzögert standardmässig 2 Sekunden. Ist aus meiner Sicht auch völlig ausreichend, wenn man ein gutes Passwort (>80bit) verwendet.

zerfasert · 1. Oktober 2024 um 23:35

Lustig, das habe ich gerade gelesen, hier wird das sehr gut beschrieben: https://keepass.info/help/base/security.html