Toggle sidebar

Wie wirklich sicheren Zugriff von extern auf Passwortsafe-Datei ermöglichen?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

M

Marlox

Benutzer
Registriert
10. Dez. 2012
Beiträge
73
Reaktionspunkte
10
Punkte
8
Moin zusammen!

Zuerst mal wünsche ich euch allen schöne Weihnachten und ein frohes Fest :-)
Ich habe eine prinzipielle Frage, die ich lieber mal der Expertise hier stellen möchte, bevor ich irgendeinen Mist mache...

Ich nutze Keepass XC auf meinem PC als Passwortsafe. Das ist am Ende eine Datei, die auch recht hoch verschlüsselt wird, und das soll laut div. Berichten in Zeitungen und Netz eine recht gute Sicherheit für meine ganzen Passwörter bieten. Da sind auch wirklich wichtige Zugänge für Geld, Gesundheitsdaten usw drin.

Nun möchte ich diese Datei gerne auf meine Synology legen, damit ich auch per Handy (Android) von unterwegs darauf zugreifen kann. Aber wie muss ich das machen, um das möglichst sicher zu gewährleisten?

Für meine sonstigen Dateizugriffe nutze ich DS-File über DDNS-Adresse, das funktioniert auch gut, aber Keepass kann scheinbar nicht über DS-File auf die Datei zugreifen, und ob das jetzt ausreichend sicher wäre, ist auch noch fraglich für mich:

Kann mir da jemand mal eine ungefähre Richtung weisen, damit ich mich dahingehend einlesen kann?

Ich habe zwar schon verschiedene prinzipielle Möglichkeiten gefunden/gelesen, um Dateien auf der Synology verfügbar zu machen, aber ich verstehe noch nicht ausreichend, welche Variante dann auch sicher wäre?
Im Idealfall sollte meine Frau auch Zugriff darauf bekommen können, wobei ihr im Notfall vermutlich auch nur der Zugriff von zu Hause reichen würde.

Vielleicht kann mir ja jemand ein paar Tipps dazu geben, dafür schon einmal vielen lieben Dank vorab :-)
 
Hallo @Marlox ,

bei mir sieht es so aus:

- KeepassXC Datenbank liegt auf dem NAS
- ich teile eine Teil der Datenbank mittels KeeShare zu deine separaten Datenbanken für deine Frau und meine Kinder
- meine Hauptdatenbank ist mittels Yubikey und Challenge Response abgesichert
- die "Teil"datenbanken von meiner Frau und meinen Kindern mittels Keyfile
- das Teile brauchst du aber nicht -> aber deine Datenbank sollte mind. mittels Keyfile abgesichert sein!!!
- Dienst auf dem NAS SFTP aktivieren und Standardport ändern
- auf den Handys Keepass2Android nutzen
- SFTP nutzen und die IP des NAS -> KEIN DynDNS, keine Portfreigaben
- VPN nutzen!!! das ist das sicherste
- das Keyfile sollte nur auf dem Handys und auf dem Laptop/PC drauf sein und noch irgendwo zu Sicherung, denn ist das Keyfile weg, geht auch die Datenbank nicht mehr auf

Somit stellst du die VPN Verbindung zu deinem Heimnetz her und dann per Keepass2Android mittels SFTP zu deiner Keepass Datenbank auf deinem NAS.

Wireguard auf der Fritzbox wäre die einfachste Methode eine VPN herzustellen.
 
  • Like
Reaktionen: stevenfreiburg, Marlox und plang.pl
Hi,

ich benutze Keepass2Android auf dem Smartphone.

- Meine kdbx liegt in einem separaten Ordner
- Dieser Ordner kann per WebDav abgefragt werden (gefährlich!)
- um die Sicherheit herzustellen, funktioniert WebDav nur im eigenen WLAN

Konsequenz:
unterwegs habe ich ja eine (aktuelle) Kopie der kdbx Datei (auf dem Smartphone, das macht Keepas2Android)
Ich kann sie öffnen und lesen, schreibe ich neue Einträge am Smartphone, so wird die Änderung erst mit dem Server synchronisiert, wenn ich wieder im eigenen WLAN bin
 
  • Like
Reaktionen: Marlox
Das ist mir auch direkt aufgefallen :ROFLMAO:

Ich nehme an, die Keepass DB ist verschlüsselt? Dann könnte man sie ja auch über Drive / Syncthing oder sowas auf das Handy syncen.
Ich nutze Vaultwarden. Die App hat immer den lokalen Cache und wenn ich synchronisieren will, muss ich im WLAN oder per VPN verbunden sein.
 
  • Like
Reaktionen: Marlox
😂 jetzt kann ich das nicht mal korrigieren. So eine Sch.... 🤣

Sorry: Meine Frau und meine Kinder. Nicht, dass hier Missverständnisse aufkommen.

Danke für den Hinweis.
 
  • Haha
Reaktionen: atzebonn, Laola1 und plang.pl
Ich glaube jeder weiß was gemeint war. Ich fand den kleinen Fehler nur sehr lustig. War auch nicht böse gemeint 😁
 
Ok, danke euch schonmal. Ich habe mit euren Begriffen nochmal etwas recherchiert, und die meisten scheinen das tatsächlich entweder nur im WLAN oder nur über VPN zu synchronisieren.
Dann scheint man die Datei wohl wirklich auch über jeden Synchronisationsdienst mit geändertem Port laufen lassen zu können.

Ich muss mich also wohl doch noch mit dem VPN-Zugang zum NAS auseinandersetzen... Das hatte ich nämlich auch vor ein paar Jahren schonmal versucht, aber da gab es einfach noch zu viele unbekannte Keywords für mich um das auch sicher hinzubekommen :D
Wenn es das jetzt aber auch auf/für die Fritzbox gibt, gibts bestimmt auch verständliche Anleitungen für DAUs wie mich :-) Da werde ich mich jetzt zuerst mal eingehender schlau machen.

Und ja, natürlich ist die Keepass-Datenbank verschlüsselt (256bit) und auch mit einem sicheren Passwort versehen. Und auch ja bzw sorry, auf dem Handy greift natürlich Keepass2Android auf die Datenbank zu, nicht KeepassXC (das arbeitet auf dem PC)
 
JohneDoe schrieb:
War auch nicht böse gemeint
Zum Vergrößern anklicken....
Kein Angst, ich verstehe schon den einen oder anderen Spaß 😉
Marlox schrieb:
Wenn es das jetzt aber auch auf/für die Fritzbox gibt, gibts bestimmt auch verständliche Anleitungen für DAUs wie mich :-) Da werde ich mich jetzt zuerst mal eingehender schlau machen.
Zum Vergrößern anklicken....
Ja, suche nach "Wireguard auf der Fritzbox einrichten". Das bekommst du hin. Ich würde hier, wenn es um eine Passwortdatenbank geht, keine Kompromisse eingehen.
Marlox schrieb:
Und ja, natürlich ist die Keepass-Datenbank verschlüsselt (256bit) und auch mit einem sicheren Passwort versehen
Zum Vergrößern anklicken....
Auch mit einem Keyfile? Oder "nur" Passwort?
 
Nur Passwort. Keyfile ist mir gerade noch neu, das steht auf der Rechercheliste für morgen früh ;)
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: Ronny1978
plang.pl schrieb:
Damit ist das sehr einfach. https://fritz.com/apps/knowledge-ba...Smartphone-oder-Tablet-einrichten?q=wireguard
Den Part "IP-Netzwerk der FRITZ!Box anpassen" kannst du weglassen. Wenn du keine echte IPv4 Adresse hast (i.d.R. bei Glasfaser), wird es etwas schwieriger
Zum Vergrößern anklicken....
War ja klar. Hab Glasfaser 300 von der Telekom...
Was genau heißt jetzt, das wird etwas schwieriger?

In der Fritzbox unter Internet, Online-Monitor, Verbindungsdetails steht sowohl bei Internet IPv4 als auch bei Internet IPv6 eine Adresse drin.
Und es ist keine IPv4 aus dem hier genannten Bereich: https://fritz.com/apps/knowledge-ba...reichbarkeit-der-FRITZ-Box-im-Internet-prufen
 
Zuletzt bearbeitet:
Du hast halt sehr wahrscheinlich keine IPv4 Adresse. Schau mal in der FritzBox, ob da was von DS-Lite steht und vergleiche die externe IP-Adresse, die die FritzBox anzeigt mit der von wieistmeineip.de
Wenn die sich unterscheiden, kannst du deinen Anschluss von extern nicht per IPv4 erreichen. Dann musst du entweder auf IPv6 umstellen oder die Telekom fragen, ob du eine IPv4 haben kannst.
 
  • Like
Reaktionen: Marlox
Die in der Fritzbox unter Internet-OnlineMonitor-Verbindungsdetails-Internet,IPv4 angezeigte IP-Adresse stimmt mit der bei wieistmeineip.de angezeigten Adresse überein :)
Dann hab ich da wohl mal Glück gehabt?
 
Zuletzt bearbeitet von einem Moderator:
Dann sollte das passen. An der ersten beiden Blöcken der IP kann man oft erkennen, ob es sich um eine sogenannte CGNAT IP handelt oder nicht. Wenn du magst, kannst du die ja mal posten.
Ansonsten teste es doch einfach mal mit dem von mir genannten Artikel
 
  • Like
Reaktionen: Marlox
@Marlox : Ran an die Gewehre! Ich hab genau Deine Konfiguration incl. Telekom-Glasfaser und kann Dir nur sagen: Einfacher als über die FritzBox kann man VPN nicht einrichten. Und mein KeepassXC läuft damit wunderbar. Man muss halt nur daran denken, VPN einzuschalten oder das dauerhafte Halten der Verbindung einzurichten. Kostet halt Akku am Handy. Im Ausland daran denken, dass WLAN-Hotspots den Datenverkehr vielfach so filtern, dass keine VPN-Verbindung zustande kommt. Muss nicht kann aber.

P.S.: Ich vergass zu erwähnen, dass ich WireGuard als VPN nutze.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Marlox und plang.pl
plang.pl schrieb:
Dann sollte das passen. An der ersten beiden Blöcken der IP kann man oft erkennen, ob es sich um eine sogenannte CGNAT IP handelt oder nicht. Wenn du magst, kannst du die ja mal posten.
Ansonsten teste es doch einfach mal mit dem von mir genannten Artikel
Zum Vergrößern anklicken....
Die IP ist 87.151.xxx.xxx

Danke für eure Hilfe!
 
Die IP sieht gut aus und öffentlich erreichbar.
 
  • Like
Reaktionen: Marlox

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten