U2F & Fido2 mit Passwort-Manager KeePassXC

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 11:48:44

U2F und Fido2 kommen irgendwann. Besonders Angst habe ich vor den Anbietern, die diese Standards erzwingen und keine Alternative mehr anbieten.
Allerdings fehlt es mir hier noch an Durchblick und ein besonderes Thema wurde in der Presse scheinbar bisher noch nicht behandelt: Wie verträgt sich das mit einem Passwort-Manager wie KeePassXC?

Wichtig: Ich meine hier ganz ausdrücklich nicht, dass ich die Passwort-Datenbank mit einem Fido2/U2F USB-Stick aufschließen will. Es geht mir um etwas anderes.

Aktuell habe ich für jeden Account ein eigenes zufällig generiertes und möglichst starkes Passwort in der Datenbank. Die Datenbank schütze ich mit 2 Faktoren: Ein Passwort ("Etwas dass ich weiß.") und einer Schlüssel-Datei ("Etwas das ich habe.") die auf einem handelsüblichen USB-Stick liegt.

In einer Szenario-Beschreibung (ein Golem-Artikel) melden sich die Tester bei GMail mit dem Fido-Stick (z.B. yubikey) an, aber müssen auch ein Passwort angeben - 2 Faktoren also. Schön.
In meinem Szenario müsste ich aber, neben dem Fido-Stick noch meinen eigenen KeePassXC Stick einstecken und das Master-Passwort nennen, damit mein KeePass-BrowserPlugin dass spezifische Passwort für GMail freigibt. Ein bisschen zu viel des guten.

Anders ausgedrückt: Mit meiner KeePassXC Konfiguration benötige ich keinen 2-Faktor-Zwang auf Anbieter-Ebene. Das behindert mich nur. Mit KeePassXC muss ich mir ja auch keine dienstbezogenen-Passwörter mehr merken.

U2F/Fido2 soll ja auch irgendwie passwort-los funktionieren. Wo ist dann der zweite Faktor? Stick wird geklaut und jemand kann sich damit anmelden, weil der Stick der einzige nötige Faktor ist?

Verstehe ich grundsätzlich etwas falsch? Oder ist meine Sorge am Ende berechtigt?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von MSfree » 31.07.2020 12:03:49

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 11:48:44
Anders ausgedrückt: Mit meiner KeePassXC Konfiguration benötige ich keinen 2-Faktor-Zwang auf Anbieter-Ebene.
Das siehst du leider falsch.

KeePassXC ist nur ein Passworttresor. Bei einer Anmeldung werden also nur Benutzername und das über die Zwschenablage von KeePassXC in die Anwendung kopierte Paßwort übertragen. Da fehlt eben der weite Faktor.
U2F/Fido2 soll ja auch irgendwie passwort-los funktionieren.
Nein. U2F beingt einen zweiten Fator, wobei der erste Faktor das Paßwort ist und der zweite Faktoe U2F.

Wir haben das im Betrieb schon seit ein paar Jahren. Anmeldung am Email Konto (Gmail SIC) findet mit Benutzername, Paßwort und zweitem Faktor statt. Als zweiter Faktor kann FIDO dienen, es gibt aber noch 3 weitere Möglichkeiten, eine ist der Google Authenticator, ein weiterer ist eine Handy-App, noch eine Möglichkeit ist eine hinterlegte Telefonnummer unter der du angerufen wirst, wenn du Benutzername und Paßwort eingegebenhast.

Wir sind sogar verpflichtet, mindestens 2 zweite Faktoren einzurichten, für den Fall, daß einer der Zweitfaktoren verloren geht. Bei mir ist es z.B. der Google Authenticator auf dem Handy und ein FIDO. Geht das Handy verloren, habe ich noch den FIDO und umgekehrt.

DeletedUserReAsG

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von DeletedUserReAsG » 31.07.2020 12:05:16

Du könntest deinen Passwortmanager mittels des FIDO2-Sticks entsperren. Sind dann immer noch zwei Faktoren, allerdings ist Wissen dann keiner mehr, und der berühmte XKCD-Angriff würde ins Leere laufen.

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 13:02:28

MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 12:03:49
buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 11:48:44
Anders ausgedrückt: Mit meiner KeePassXC Konfiguration benötige ich keinen 2-Faktor-Zwang auf Anbieter-Ebene.
Das siehst du leider falsch.

KeePassXC ist nur ein Passworttresor.
Ich komme nicht ganz mit. Mein "Passworttresor" wird ja mit 2 Faktoren geschützt. Also wozu muss ich das dann nochmal auf Anbieter-Ebene machen? Sehe den Sinn nicht.
Die Passwörter auf Anbieter-Ebene sind ja im Idealfall (je nach dem was die Plattform wirklich unterstützt) 999 Zeichen (in Version 2.3) lang und umfassen nicht nur Sonderzeichen, sondern auch erweitertes ASCII.
Zuletzt geändert von buhtz am 31.07.2020 13:14:17, insgesamt 1-mal geändert.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 13:13:46

niemand hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 12:05:16
Du könntest deinen Passwortmanager mittels des FIDO2-Sticks entsperren. Sind dann immer noch zwei Faktoren, allerdings ist Wissen dann keiner mehr, und der berühmte XKCD-Angriff würde ins Leere laufen.
Ich kann ja einen solchen Stick bzw. dessen "Challange" in KeePassXC auch mit einem Passwort verbinden. Dann sind es zwei Faktoren.
Beispiel:
Bild

Wo ist der Unterschied, ob ich meinen USB-Stick mit key-file +MAster-Passwort oder eine Fido-Stick-Challenge +Master-Passwort in KeePassXC nutzen.

Und wo ist bei dem "FIDO2-Stick" ein zweiter Faktor, wenn ich damit, so wie von dir empfohlen, den Passwortmanager entsperre?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

DeletedUserReAsG

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von DeletedUserReAsG » 31.07.2020 13:16:51

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:13:46
Und wo ist bei dem "FIDO2-Stick" ein zweiter Faktor, wenn ich damit, so wie von dir empfohlen, den Passwortmanager entsperre?
Ahso, das war auf den Passwortmanager bezogen? Ich dachte nun, den hättest du vorher mit dem Masterpasswort aufgemacht, so dass sich mit dem Stick nur die Art, nicht aber die Anzahl der Faktoren geändert hätte.

Edit: ab dem Bild bin ich raus.

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 13:20:48

niemand hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:16:51
Ahso, das war auf den Passwortmanager bezogen? Ich dachte nun, den hättest du vorher mit dem Masterpasswort aufgemacht
Den Passwort-Manager öffne ich mit Master-Passwort UND key-file der auf einem USB-Stick liegt.

Alternativ kann man da auch noch eine "Challenge" (also yubikey) und Co mit hinzufügen.

niemand hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:16:51
Edit: ab dem Bild bin ich raus.
Mit dem Bild wollte ich nur die Entsperr-Möglichkeiten von KeePassXC darstellen.
- Passwort
- key-file
- Challenge (yubikey, fido, oder wie das alles heit)

Diese 3 Möglichkeiten kann man einzeln aber auch kombiniert nutzen.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

DeletedUserReAsG

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von DeletedUserReAsG » 31.07.2020 13:22:36

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:20:48
Mit dem Bild wollte ich nur die Entsperr-Möglichkeiten von KeePassXC darstellen.
Ja, mein Mobilfunkprovider lässt dir auch seinen Dank ausrichten, dass du das so gemacht hast, statt’s in einem Satz hinzuschreiben.

Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von MSfree » 31.07.2020 13:27:36

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:02:28
Also wozu muss ich das dann nochmal auf Anbieter-Ebene machen?
Weil der Anbieter wissen will, ob du wirklich du bist. Was du mit deinem Paßworttresor anstellst, bekommt der Anbieter überhaupt nicht mit und es ist ihm auch völlig egal.
Die Passwörter auf Anbieter-Ebene sind ja im Idealfall (je nach dem was die Plattform wirklich unterstützt) 999 Zeichen (in Version 2.3) lang und umfassen nicht nur Sonderzeichen, sondern auch erweitertes ASCII.
Die Paßwortlänge ist dabei völlig unbedeutend. Auf dem Weg von KeepAss in das Paßwortfenster deiner Anwendung kann das Paßwort abgefangen werden, weil dein Paßwort über die Zwischenablage durchgereicht wird. Insofern ist die Nutzung eines Paßworttresors sogar gefährlicher als eintippen per Tastaur.

Nur ein zweiter Faktor kann hier halfen, legitime Nutzer dem Anbieter gegenüber zu verifizieren.

Wenn ich Benutzername und Paßwörter abgreifen wollte, würde ich ein Programm schreiben, das 2-3 mal pro Sekunden den Inhalt der Zwischenablage kopiert und an mich überträgt. Es ist nur eine Frage der Zeit, bis ein Honk Benutzernamen und Paßwort via Zwischenablage aus KeepAss überträgt, Bingo. Ab IOS 14 ist übrigend eine Überwachung eingebaut, die warnt, wenn eine Anwendung auf die Zwischenablaage zugreift, und plötzlich sind viele Apps negativ aufgefallen (warum Apple wohl diese Überwachung eingebaut hat?).

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 14:11:05

MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:27:36
Die Paßwortlänge ist dabei völlig unbedeutend.
Naja, das verhindert einen Angriffsvektor.
MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:27:36
Auf dem Weg von KeepAss in das Paßwortfenster deiner Anwendung kann das Paßwort abgefangen werden, weil dein Paßwort über die Zwischenablage durchgereicht wird.
Ist mir bewusst. Obwohl es scheinbar auch hier OS-spezifische Technologien gibt, um das Abgreifen auf diesem Weg zu erschweren. Da fehlt es mir an Fachwissen - aber 100%tig sicher ist das natürlich nicht. Das ist mir bewusst.
MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:27:36
Insofern ist die Nutzung eines Paßworttresors sogar gefährlicher als eintippen per Tastaur.
Sehe ich nicht so. Der Tresor eröffnet mir die Möglichkeit für jeden Dienst ein uniques und zufällig erzeugtes Passwort zu nutzen.
Ohne Tressor, wenn ich wirklich selbst tippe, müsste ich mir die Passwörter merken, was deren Entropie stark begrenzt und sie zwischen den Accounts dann auch nicht mehr unique macht.
Daher entsteht auch dieser Thread hier: Durch Fido und Co reduziert sich meine praktische Sicherheit, weil der Vorgang so komplex und nervig wird, dass ich automatisch gewisse Dinge weglasse bzw. vereinfache.

Soweit ich das bis jetzt verstehe, wäre der (nervige) Ablauf bei einer Gmail (nicht das ich das wirklich nutzen würde) Anmeldung so:
  1. Gmail Seite öffnen
  2. USB-Stick mit key-file einstecken
  3. keepass öffnen und Master-Passwort eingeben
  4. Passwort-Datenbank öffnet sich (für wenige Sekunden)
  5. Zurück im Browser per Klick (AddOn) das Passwort übernehmen.
  6. Dann irgendwie den Yubikey auch noch einstecken.
  7. yubikey knöpfchen drücken
  8. anmelden fertig?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 14:12:28

niemand hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 13:22:36
Ja, mein Mobilfunkprovider lässt dir auch seinen Dank ausrichten, dass du das so gemacht hast, statt’s in einem Satz hinzuschreiben.
;) Ich kann nichts dafür, dass selbst Debian kein NNTP mehr anbietet.
Das Medium versaut den Nutzer: Siehe Outlook (TOFU), WhatsApp, Twitter und Co. :mrgreen:
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von MSfree » 31.07.2020 14:32:04

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 14:11:05
Ist mir bewusst. Obwohl es scheinbar auch hier OS-spezifische Technologien gibt, um das Abgreifen auf diesem Weg zu erschweren.
Wie gesagt, das kommende IOS 14 ist das erste unnd einzige OS von dem ich weiß, daß es den Zugriff auf die Zwischenablage erschwert.
Der Tresor eröffnet mir die Möglichkeit für jeden Dienst ein uniques und zufällig erzeugtes Passwort zu nutzen.
Und der Zweitfaktor ermöglicht es dir, einfachere, leichter zu merkende oder sogar gleiche Paßwörter zu benutzen, ohne daß du die Sicherheit reduzierst.

Die Kombination aus Benutzername, Paßwort=simpel plus Zweitfaktor ist viel sicherer als Benutzername plus ein 999-stelliges Zufallspaßwort, das per Zwischenablage kopiert wird. Selbst, wenn ein Angreifer deinen Benutzernamen nebst Paßwort erchnüffelt, an den Zweitfaktor kommt er nicht ran, wenn er dich nciht persönlich mit einer Waffe bedroht. Der Tresor wird damit praktisch überflüssig.

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 14:48:38

MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 14:32:04
Wie gesagt, das kommende IOS 14 ist das erste unnd einzige OS von dem ich weiß, daß es den Zugriff auf die Zwischenablage erschwert.
Kann hier mal bitte jemand mit mehr Fachwissen einsteigen und unser Halbwissen gradebiegen? ;)
Ich würde behaupten dass es nicht über die regulären Zwischenablage geht, sondern über einen anderen (relativ gut) geschützten Mechanismus geht.
MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 14:32:04
Die Kombination aus Benutzername, Paßwort=simpel plus Zweitfaktor ist viel sicherer als Benutzername plus ein 999-stelliges Zufallspaßwort, das per Zwischenablage kopiert wird. Selbst, wenn ein Angreifer deinen Benutzernamen nebst Paßwort erchnüffelt, an den Zweitfaktor kommt er nicht ran, wenn er dich nciht persönlich mit einer Waffe bedroht. Der Tresor wird damit praktisch überflüssig.
  • Wie gesagt, Clipboard ist hier IMO kein Argument. Wer explizit manuell das Clipboard nutzt hat KeePassXC nicht verstanden.
  • Ich nutze nicht nur Name und ein 999-Zufallspasswort, sondern auch einen zweiten Faktor - nur nicht auf der Ebene des Anbieters, sondern eine Stufe vorher beim Tresor. Sogar ich selbst kenne meine Passwörter nicht. Genau das ist der Punkt, den ich hier gerne noch diskutieren würde, da ich mir nicht sicher bin, ob das DEN Unterschied macht.
  • Wenn das einfache Passwort erschnüffelt wird, muss ich es dennoch bei allen 100 anderen Diensten auch ändern. Wenn nicht hätte ich trotzd yubikey nur noch eine 1-Faktor-Auth am Start. Du machst es dir da zu einfach, finde ich.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von MSfree » 31.07.2020 14:58:30

buhtz hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 14:48:38
[*]Ich nutze nicht nur Name und ein 999-Zufallspasswort, sondern auch einen zweiten Faktor - nur nicht auf der Ebene des Anbieters,
Der zweite Faktor muß auf Anbieterebene stattfinden, sonst ist es kein Zweitfaktor.

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 31.07.2020 15:52:16

MSfree hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 14:58:30
Der zweite Faktor muß auf Anbieterebene stattfinden, sonst ist es kein Zweitfaktor.
Warum?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von habakug » 01.08.2020 11:16:49

Hallo,

hier [1] ist eine (unvollständige) Liste der Webseiten/Dienste die 2FA anbieten. Es gibt auch die Möglichkeit die Anbieter aufzufordern 2FA anzubieten (was man natürlich auch einfach so machen kann, wenn man Software verwendet, die mit 2FA besser abgesichert wäre).
Hier [2] ist eine Anleitung, wie man KeePassXC mit 2FA TOTP verwendet (hier für iOS).
Hier [3] der Bug in KeePassXC zur Unterstützung von FIDO(2) U2F (wontfix).

Gruss, habakug

[1] https://twofactorauth.org/
[2] https://blog.paranoidpenguin.net/2020/0 ... keepassxc/
[3] https://github.com/keepassxreboot/keepassxc/issues/1996
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von buhtz » 01.08.2020 15:53:44

habakug hat geschrieben: ↑ zum Beitrag ↑
01.08.2020 11:16:49
Hallo,

hier [1] ist eine (unvollständige) Liste der Webseiten/Dienste die 2FA anbieten. Es gibt auch die Möglichkeit die Anbieter aufzufordern 2FA anzubieten (was man natürlich auch einfach so machen kann, wenn man Software verwendet, die mit 2FA besser abgesichert wäre).
Hier [2] ist eine Anleitung, wie man KeePassXC mit 2FA TOTP verwendet (hier für iOS).
Hier [3] der Bug in KeePassXC zur Unterstützung von FIDO(2) U2F (wontfix).

Gruss, habakug

[1] https://twofactorauth.org/
[2] https://blog.paranoidpenguin.net/2020/0 ... keepassxc/
[3] https://github.com/keepassxreboot/keepassxc/issues/1996
Danke für die Links. Bin am überlegen, mir mal einen Test-Account irgendwo anzulegen. Aber dafür jetzt extra einen yubik kaufen? SMS ist keine Option, weil den Diensten dann eine valide Handynr hinterlassen müsste.

Nebenfrage zu [1]: Bei den dort gelisteten Diensten gibt es auch das Feld "Software-Token".

Zu [2]: Hier fehlt es mir an Hintergrund-Wissen. Ich verstehe gar nicht, was der da macht. Und scheinbar arbeit er irgendwie mit der Zwischenablage?

Zu [3]: KeePassXC soll sozusagen stellvertretend für einen yubikey aggieren? Interessanter Ansatz.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

AxelMD
Beiträge: 1350
Registriert: 15.03.2009 08:02:11

Re: U2F & Fido2 mit Passwort-Manager KeePassXC

Beitrag von AxelMD » 06.12.2020 12:30:10

Zu [3]: KeePassXC soll sozusagen stellvertretend für einen yubikey aggieren? Interessanter Ansatz.
Hallo, wie kann ich FIDO2 ohne Neukauf von Hardware ausprobieren?
Ein Android 7 Smartphone ist verfügbar.

Kann man die mit KeePassXC mögliche Schlüsseldatei mit FIODO2 vergleichen, nur halt unbequemer?

MfG
AxelMD

Antworten