KeePass Datenbank zusätzlich mit Schlüsseldatei schützen

Der OpenSource Passwortsafe KeePass (offizielle Webseite) ist ein gängiges und weit verbreitetes Tool, um seine Passwörter ordentlich zu verwalten. Ein großer Vorteil ist die plattformunabhängige Nutzung. Es gibt Clients für Windows, MAC und Linux sowie für alle mobilen Endgeräte. Eine KeePass Datenbank lässt sich also auch bei einer heterogenen Gerätelandschaft einsetzen. Der hohe Verbreitungsgrad zieht zwangsläufig auch Bösewichte an, die gerne Zugriff auf die gespeicherten Passwörter hätten. Zweifelsohne ist so ein Passwordsafe ein lohnendes Ziel. Aktuell hat es das Trojanische Pferd „Citadel“ auf das Masterpasswort abgesehen. Sobald dieses einmal abhandengekommen ist, sind alle gespeicherten Passwörter verheizt.

Zeit genug, sich zusätzlich zu schützen, damit der ruhige Schlaf gewährleistet ist, sollte das Masterpasswort mal stiften gehen. Über externe Plugins lässt sich z.B. eine 2 Faktor Authentifizierung mittels OTP realisieren. Persönlich sind mir jedoch 3rd Party Plugins für so kritische Themen zu heikel. KeePass bringt mit Keyfiles bereits out of the Box einen weiteren Faktor zur Authentifizierung mit. Ein generiertes Keyfile wird fest mit der Passwortdatenbank verknüpft. Sollte das Masterpasswort abhandenkommen, lässt sich mit der Datenbank nichts anfangen, solange die Schlüsseldatei fehlt. Es ist also immer die Kombination aus Datenbank, Schlüsseldatei und Masterpasswort erforderlich. Dies bedeutet natürlich nicht, dass das gewählte Masterpasswort dadurch unwichtiger wird. Hier sollte nach wie vor ein extrem sicheres Passwort gewählt werden. Schließlich sollen damit alle anderen Passwörter geschützt werden. Und Verschlüsselung ist immer nur so gut wie das gewählte Passwort.

Ist die vorhandene KeePass Datenbank geöffnet, lässt sich über „Datei\Hauptschlüssel ändern“ ein Keyfile erzeugen.

KeePass Schlüsseldatei Keyfile

Die zu erstellende Datei sollte an einem sicheren Ort aufbewahrt und zusätzlich gesichert werden. Denn wenn der Prozess einmal abgeschlossen ist und das Keyfile weg ist, ist ein Zugriff auf die Datenbank unmöglich! Im nächsten Schritt wird die Entropie für die Schlüsseldatei generiert. Es soll ja nicht möglich sein, die Datei selbstständig zu erzeugen. Hierbei ist eine Kombination aus wilden Mausbewegungen und sinnlosen Texteingaben möglich.

KeePass Schlüsseldatei Keyfile

Sind die Aktionen abgeschlossen, kann der Dialog mit „OK“ bestätigt werden.

KeePass Schlüsseldatei Keyfile

Zum Abschluss noch das Masterpasswort der Datenbank eingeben und mit „OK“ bestätigen. Damit die Änderungen jetzt auch tatsächlich übernommen werden, muss die Datenbank einmal gespeichert werden.

KeePass Schlüsseldatei Keyfile

Ab jetzt ist ein Zugriff auf die Datenbank nur noch in Kombination mit dem Keyfile möglich und bietet somit einen besseren Schutz von Keyloggern oder Trojanischen Pferden.