Follow

Lesenswert: Dreiteilige, praxisnahe Artikelserie zum Umgang/Bedienung/Synchronisation von KeePass* im Alltag auf Desktop und Android. 👇

Start hier: kuketz-blog.de/keepassxc-auto-

@kuketzblog Sehr hilfreiche Serie. Ich bevorzuge allerdings Keepass2Android, da es sich selbst um die Synchronisation mit verschiedenen Quellen kümmern kann.

@phalanx
Ich sehe nicht, dass es außer mit Google Drive oder "der Cloud" oder einem Webserver mit irgend etwas selbständig synchronisieren könnte. Im Gegenteil empfiehlt es in den Docs github.com/PhilippC/keepass2an etwas wie FolderSync. Außerdem ist es nicht im F-Droid repo.
@kuketzblog

@erAck Bei mir läuft die Synchronisation gegen einen WebDAV-Share, den mir mailbox.org bereitstellt. Da sind dann auch Features wie das Zusammenführen von Änderungen möglich.

Für F-Droid gibt es schon länger einen Bugreport, da stehen wohl lizenzrechtliche Gründe gegen. In den Kommentaren ist aber auch ein Repo für F-Droid verlinkt, welches die App bereitstellt.

github.com/PhilippC/keepass2an

@kuketzblog

@phalanx @erAck @kuketzblog
Diese Variante ist sicherlich bequemer. Ich finde es vom Ansatz her allerdings besser, wenn die keypass-App selbst keinen Internetzugriff hat.

@Layer8

Das verstehe ich nicht. Wieso stellt es ein Problem dar, wenn Keepass Zugriff aufs Internet hat? Irgendwas muss doch Zugriff auf die Datei und das Internet haben, ob jetzt Keepass oder Syncthing.

@erAck

@phalanx @erAck
Durch die Aufgabentrennung ist sichergestellt, dass eine kompromitterte Anwendung deine Passwörter nicht preisgeben kann.
Andersherum: wenn jemand die Anwendung keypass2android manipuliert, könnte er alle deine Passwörter rausschicken, sobald du die Datenbank entsperrst. Du musst also blind der Software vertrauen.
Kann man natürlich machen...
Trennt man die Aufgaben, kann keepass zwar deine Passwörter sehen aber sie nicht rausschicken.

@Layer8 Die Annahme "Wenn jemand Anwendung keypass2android manipuliert" finde ich schon weit hergeholt. Denn wenn es jemand schafft, Schadcode in meine Passwort-Software zu schleusen, habe ich eh verloren. Da bringt mir auch nichts, dass versteckt in den Details der App steht, ob sie Internetzugriff hat oder nicht.

@phalanx
Das muss nicht mal die Anwendung selbst sein, sondern nur eine schadhafte Bibliothek, die eingebunden wird.
Wieso hast du dann verloren? Solange die App nicht nicht online gehen kann, dürfte nicht allzu viel passieren. Das ist auch nicht nur eine Einstellung in den Tiefen der App, sondern man gibt das im Android vor. Dort deaktiviert kann die App eben nichts mehr senden oder empfangen.
Aber wie gesagt - das ist immer eine Risikoabwägung.

@Layer8 Wenn ein Angreifer es schafft, eine signierte APK mit einer kompromittieren Library auf Dein Telefon zu bekommen, dann kann er auch einfach das Manifest ändern und den Internetzugang freischalten. Das entsprechende Recht wird nämlich im Store oder den Einstellungen des Telefons schon länger nicht mehr angezeigt.

@phalanx
Nicht der Angreifer bekommt die App auf dein Handy. Sondern du lädst dir die manipulierte App runter.

@Layer8 Okay, nehmen wir an, das passiert. Wo sehe ich als Nutzer dann, ob die App das Recht "Internetzugang" hat oder nicht?

@phalanx
Schau dir mal calyxos oder GrapheneOS an. Dort kannst du in den App Einstellungen den Internet Zugang deaktivieren. Und da kann man App Ersteller in der Manifest eintragen, was man will.

@Layer8 Eine Sicherheitsfunktion, die für den Großteil der Nutzer nicht zur Verfügung steht, ist für die Diskussion nicht relevant.

Außerdem würdest Du Keepass ja auch auf dem Desktop nicht in eine Sandbox ohne Internetzugang stecken, obwohl da das Szenario "kompromittiertes Update erhalten" genauso greift.

@phalanx
Erstens: was relevant ist, darf jeder für sich entscheiden. Den Internet-Zugang für eine App zu verbieten , geht auch auf einem normalen google Rom. Darüber hinaus gibt es rootless Firewalls mit der man den Internetzugang regeln oder verbieten kann.

Zweitens: Das Argument, dass man etwas im einzelnen schlecht löst, nur weil es nicht ganzheitlich perfekt lösbar ist ... ist mehr als dünn!
Außerdem: ich habe nie gesagt wie ich keepass auf dem Desktop nutze.

@kuketzblog Bin gerade vor ein paar Tagen auf KeePass umgestiegen (weg von self-hosted Vaultwarden aka Bitwarden).

Es ist tatsächlich gewöhnungsbedürftig, dass ich immer nur eine URL angeben kann für Einträge. Ansonsten bin ich bisher aber recht zufrieden.

Was ich gut finde: Ich habe einen Service weniger auf meinem RasPi laufen und die Synchronisation ist lokal bei mir zuhause dank Syncthing.

@kuketzblog lange KeePass genutzt. Hat gut funktioniert aber es geht benutzerfreundlicher.
Daher jetzt Vaultwarden zum selber Hosten und damit extrem zufrieden.

@bafpudvhe @kuketzblog Same here, diese Kombination kann ich echt empfehlen. Mit Vaultwarden lassen sich neben der Weboberfläche alle Bitwarden-Clients nutzen, so z.B. das Firefox-Plugin oder die Android-App (zwar nicht direkt im F-Droid-Store, aber vom Entwickler bereitgestellten F-Droid-Repository). Die Maintenance des Serverdiensts ist auch extrem einfach.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!