Sichere Cloud für Ablage KeePass-Datenbank

[snowman78]

Hallo Leute,

ich wollte mal eure Empfehlung für eine sichere Cloud für meine KeePass-Datenbank wissen 🙂

Aktuell liegt Diese auf meinem Synology-NAS, aber die Kommunikation zwischen iPad <---> NAS bzw. iPhone <---> NAS funktioniert meistens mehr schlecht als recht, sprich, ich habe den gemeinsamen Ordner auf dem NAS über "Mit Server verbinden" in der Dateien-App an iPhone und iPad verbunden, aber ich bekomme in "Keepassium" sehr sehr oft die Meldung, dass der SMB-Server nicht verfügbar ist...am Mac mit KeePassXC keine Probleme...

Wenn das so passiert, dann gehe ich in die Dateien-App und dort auf die IP meines NAS...dort kann ich dann auf ALLE anderen gemeinsamen Ordner zugreifen, nur nicht auf den der Passwort-Datenbank.

Daher suche ich jetzt eine sichere Möglichkeit, die KeePass-Datenbank in einer Cloud abzulegen und Änderungen dort zu machen. Diese Cloud sollte dann mit der Synology-NAS direkt synchronisiert werden, damit ich die Datenbank auch lokal habe, man weiß ja nie, was beim Cloud-Anbieter mal schiefgehen kann...wäre schlecht, wenn die Datenbank dann weg wäre.

Und ja, man sollte sich im Klaren drüber sein, dass eine Cloud für eine Passwort-Datenbank nicht unbedingt der sicherste Ort ist. Das ist mir durchaus bewusst.

Danke schon mal für eure Hilfe und ich wünsche euch einen schönen Sonntag,

Grüße, Andi

 

[u0679]

Cloud, die Du nicht selber hostest, ist immer ein Unsicherheitsfaktor. Wie heißt es so schön, es gibt keine Cloud, nur Rechner von Fremden.

 

[hotrs]

Die KeePass Datenbank ist verschlüsselt und lässt sich nicht so weiteres einsehen. Wenn ich dieser Verschlüsselung vertraue, dann sollte es egal sein, wo die Datenbank gespeichert ist.

Ich hatte meine KeePass Datenbank zusätzlich zu einem Passwort mit einer externen Schlüsseldatei verschlüsselt. Die Datenbank hatte ich dann anfangs in der Clöud meines Mail-Providers mailbox.org abgelegt, später dann in Microsofts OneDrive (ich nutze OneDrive zum inkrementellen Sichern meines NAS). Die Schlüsseldatei wurde dabei immer lokal auf dem Gerät gespeichert, wo die Datenbank geöffnet werden sollte. Auf dem iPhone / iPad z.B. im Dateien-Bereich von StrongBox, einem KeePass Client.

(Inzwischen bin ich zu 1Password gewechselt, was für mich einen riesigen Komfortgewinn gebracht hat. Auch hier habe ich mich gefragt, ob ich dem Konzept von AgileBits und der Verschlüsselung vertraue und die Daten in deren Cloud speichern lassen möchte. Ich persönlich habe für mich diese Frage mit Ja beantwortet.)

Gruß

 

[Wuchtbrumme]

es gibt auch sowas wie best practices. Verschlüsselung ist nur einer von mehreren Aspekten in einer Sicherheitsarchitektur.

 

[snowman78]

@Wuchtbrumme : Was willst du mir/uns damit sage? 🤔

 

[tkreutz]

Ich sehe keinen Grund, warum man nicht iCloud dazu nutzen sollte.

Sicherheitsüberblick – iCloud-Daten - Apple Support (DE)

iCloud nutzt starke Sicherheitsmethoden, wendet strikte Richtlinien zum Schutz deiner Daten an und ist branchenweit führend beim Einsatz von Sicherheitstechnologien, die die Privatsphäre schützen, wie z. B. der Ende-zu-Ende-Verschlüsselung deiner Daten.

support.apple.com

Andere dürfen gerne weitere Vorschläge ergänzen oder auch gerne mal ihre Zweifel dazu äußern.

 

[snowman78]

Ich sehe keinen Grund, warum man nicht iCloud dazu nutzen sollte.

Ich kann nur aus meiner Sicht sprechen: Eine Synchronisation zwischen iCloud und der Synology ist bis heute nicht möglich. Egal wie sicher (bezogen auf Backup) ein Cloudspeicher sein mag, es möchte IMMER ein Backup auf einem lokalen System haben. Wird z.B. meine AppleID gehackt, komme ich noch nicht mal mehr an meine Passwort-Datenbank ran.

 

[tkreutz]

Ich kann nur aus meiner Sicht sprechen: Eine Synchronisation

Okay, das würde ich dann noch einmal als besondere Anforderung betrachten. Die Erfahrung kann ich allerdings teilen, dass es Einschränkungen in Bezug auf Zugriff auf die Apple Cloud gibt, sofern diese nicht direkt von einem Apple Device durchgeführt werden. Ich habe hier auch schon ähnliche Dinge dokumentiert.

Beispielsweise kann man ein reines Text Dokument mit der Dateiendung .org (Org-Mode) mit einem Chromebook runterladen, aber nicht mit dem gleichen Gerät hochladen. Kopiert man die gleiche Datei über einen USB Stick auf einen Apple Rechner, meldet sich dort in der Cloud an, ist ein Upload ohne Probleme möglich.

Ich könnte mir verschiedene Gründe vorstellen, warum das so ist, müsste aber auch spekulieren, ob es sich um Sicherheitsmerkmale oder schlicht und einfach Marktmacht von Seitens Apple handelt.

Würde man demnach ein Apple Devices mit der Synchronisation beauftragen, sollte ein Datenaustausch möglich sein. Vielleicht mal ein Versuch wert.

Ich kann es leider nicht nachstellen, da ich keine Synology NAS besitze. Mit einem zu Time Machine Kompatiblem Gerät sollte man auf der sicheren Seite stehen:

PROMISE Pegasus32 R4 16 TB RAID System

Das RAID Speichersystem der PROMISE Pegasus32 R Serie macht die Leistung der Thunderbolt 3 Technologie für viele Mac Nutzer zugänglich. Jetzt online auf apple.com kaufen.

www.apple.com

Sofern Synology zwar angibt, mit TC kompatibel zu sein, scheint es dennoch Einschränkungen zu geben. Leider kann man solche Probleme nur über praktische Trail and Error Methoden finden. Eine Hoffnung auf Hilfe von dem Support würde ich mir nicht allzu groß ausrechnen.

Vielleicht klappt es mit SyncFolder:

‎Sync Folders

‎Sync Folders ist eine kostenlose Version des beliebten Sync Folders Pro-Dienstprogramms. Die App ist einfach zu bedienen für Anfänger und bietet die Möglichkeit, Synchronisationseinstellungen für die anspruchsvollsten Profis anzupassen. Sync Folders eignet sich perfekt für die...

apps.apple.com

Stichwort Apple ID gehackt:

So verwendest du die Accountwiederherstellung, wenn du dein Apple-ID-Passwort nicht zurücksetzen kannst - Apple Support (DE)

Wenn du die Zwei-Faktor-Authentifizierung verwendest und dich weder mit deiner Apple-ID anmelden noch dein Passwort zurücksetzen kannst, erhältst du nach einer Wartezeit für die Accountwiederherstellung wieder Zugriff auf deinen Account.

support.apple.com

Bei Einsatz von Zwei-Faktor Authentifizierung sollte dies ohne Probleme möglich sein.

 

[Wuchtbrumme]

@Wuchtbrumme : Was willst du mir/uns damit sage?

oh ich dachte, das sei klar durch den Kontext. Egal ob verschlüsselt oder nicht, man sollte dennoch vermeiden, jemandem Zugriff auf die Datei zu geben. Verschlüsselung ist ja immer nur nach Stand der Technik sicher.

 

[hotrs]

Wird z.B. meine AppleID gehackt, komme ich noch nicht mal mehr an meine Passwort-Datenbank ran.

Zumindest StrongBox sichert die KeePass Datembank auch lokal und ermöglicht neben einem Offline-Modus auch einen Abgleich von Änderungen. AFAIK war dies zumindest bis vor kurzem noch ein Manko der von dir genutzten App KeePassium. Man wollte aber eine entsprechende Funktionalität nachreichen…

Gruß

 

[snowman78]

Moin,

also ich habe mich jetzt für HiDrive von Strato entschieden.

Was ich allerdings nicht hinbekomme, ist der CloudSync zwischen meiner Synology und HiDrive und auch eine WebDAV-Verbindung von macOS Monterey 12.2.1 funktioniert nicht.

Kann es sein, dass das eventuell an der 2FA-Autorisierung liegt, die ich bei HiDrive aktiviert habe?

Habe zwar auch den Strato-Kundenservice angeschrieben, aber vielleicht geht's ja hier schneller 😉

Grüße, Andi

 

[apple-heini]

So habe ich das Thema, mit folgenden Installationen, auf meinen Geräten gelöst:

• iPhone/IPad „KeePassium (Kostenlose Version)“
• MacBook „Kypass“
• Die .kdbx-Datei ist auf iCloud Drive gespeichert
• Schlüsseldatei ist auf jedem Gerät gespeichert
• Auf meinem MacBook habe ich mittels Automator ein Programm
angelegt, dass bei jedem Hochfahren (mein MacBook fahre ich
nur hoch wenn ich es benutzen möchte) meines MacBook eine
Sicherung der .kdbx-Datei auf meinem MacBook durchführt.
Damit erfolgt eine weitere Sicherung mittels Time Machine auf
externer Festplatte.

Damit ist meine Passwortdatei immer aktuell, egal von welchem Gerät ich eine Änderung durchführe.
Nun kann man natürlich unter Sicherheitsaspekten diskutieren, ob es sinnvoll, ist seine Datenbank bei iCloud Drive abzuspeichern, aber eine totale Sicherheit gibt es meines Erachtens sowieso nicht.
Die .kdbx Datei ist mittels 30-Zeichen verschlüsselt, die Schlüsseldatei hat mehr als 100 Zeichen und dies reicht mir voll und ganz.

Auch Offline kann ich auf meine Passwörter zugreifen (ohne WLAN/Mobile Daten).

LG apple-heini

 

[cryptosteve]

Cloud, die Du nicht selber hostest, ist immer ein Unsicherheitsfaktor. Wie heißt es so schön, es gibt keine Cloud, nur Rechner von Fremden.

Ich kenne eher mehr selbstgehostete Clouds, die en Unsicherheitsfaktor sind ... ich behaupte mal, einem Großteil der Selbsthosting-Admins fehlt das nötige Rüstzeug und die nötige Hardware, um sowas verlässlich und sicher selbst zu hosten. Natürlich verkleinert sich der Angriffsfaktor aufgrund des eher unattraktiven Einzelziels, dafür fehlt es an Redundanz, Hochverfügbarkeit, Härtung, funktionierendem Backup, IDS, 24h-Support, etc.

Speziell mit der Passwortdatei ist also zu überlegen, ob man die nicht eher in die Hände von Profis legt (oder alternativ auf die Cloud besser komplett verzichtet).

 

[kelevra]

Dem Stimme ich zu. Das Selber Hosten wird gerne unterschätzt. Mal von so Kleinigkeiten wie sinnvolle Backups (plus Offset Backups), Redundanz abgesehen, fehlt den Meisten das Know How bezüglich IT Sicherheit um das sicherer zu hosten als ein renommierter Anbieter, der einem das für wenige Euro anbieten kann.

Im Zweifel würde ich, wenn mir die Sicherheit der Datenbank entsprechend wichtig ist, auf die Cloud Synchronisation verzichten und nur eine lokale Synchronisation nutzen. Kommt natürlich darauf an, wie oft da Einträge verändert oder hinzugefügt werden.

 

[snowman78]

Also ich kann da @cryptosteve und @kelevra nur zustimmen, ich habe nicht so wirklich de Ahnung davon, die ich mir eine sichere Cloud selbst erstellen kann. Hardware wäre vielleicht vorhanden, aber das reine IT-Knowhow fehlt dann über die Jahre doch schon...

Im Übrigen habe ich durch Recherche rausgefunden, wo der Fehler lag, dass ich über den Finder und mit der Synology keine Verbindung zu HiDrive herstellen konnte.

Wenn man die 2FA über OTP aktiviert hat (was ich persönlich sehr wichtig finde), dann muss man bei einer Datenverbindung zu HiDrive außerhalb einer Stratos-App den Benutzernamen samt Passwort eingeben, allerdings dem Passwort Folgend ein Doppelpunkt und danach das zu der Zeit gültige OTP anfügen...dann klappt die Verbindung 🙂

Getestet habe ich es jetzt allerdings nur mit WebDAV...möglich wäre generell Folgendes:



Was wäre denn für den MAC am Besten? SMB3 oder doch wie schon gemacht WebDAV? Bei SMB3 empfiehlt Strato die Nutzung eines VPN über die App "Tunnelblick"...kenne ich persönlich nicht...taugt die was? Oder lieber direkt WebDAV mit SSL nutzen?

Grüße, Andi