Hyper Backup Einzelne Files aus alten Backups automatisch löschen

[independence2206]

Servus zusammen,

folgendes Szenario:
Ich speichere per HyperBackup seit langer Zeit auf alle möglichen Ziele (Cloud, diverse lokale Festplatten) meine Backups mit natürlich zwischenzeitlich sehr vielen Versionen. Darunter befindet sich auch mein Keepass Passwortsafe (wäre schließlich extrem ungünstig, wenn der Safe verloren geht). Nun möchte ich das Passwort ändern bzw. 2FA einrichten. Das ist natürlich kein Problem.
Eigentliche Frage bzw. Problemstellung:
In meinen Backups und alten Versionen ist dann nach wie vor das alte Passwort (und eben kein 2FA) in Keepass vorhanden. Das stellt natürlich eine Sicherheitslücke dar. Wie könnte ich denn nun diese eine spezielle Datei (mit spezieller Dateiendung) aus allen Backups automatisiert entfernen (lassen)? Von Hand ist das ein ziemlich großer Aufwand und die Chance, dass eine Altversion übersehen wird ist zudem gegeben.

Danke vorab

Grüße

 

[stefann42at]

Wenn du Passwort änderst und 2FA aktivierst, gilt das alte Passwort ja eh nicht mehr, und man kann mit diesem eh nicht mehr ‚arbeiten‘…. Sehe das Problem da nicht so eigentlich…

Stichwort Versionen - behältst du denn alle, oder lässt du zb nur 20 Versionen zu?

 

[independence2206]

Wieso sollte in den alten Containern/Passwortsafes das alte Passwort nicht mehr vorhanden sein? Das Passwort ist ja mit dem Container verknüpft und dieser wird eigenständig in jede Version jedes Backups geschrieben..
Ich lasse unbegrenzt viele Versionen zu, da ich auch nahezu unbegrenzt Speicher zur Verfügung habe

 

[stefann42at]

Du hast mich bezüglich des Passworts falsch verstanden… Natürlich wäre es in den alten Backups weiterhin vorhanden, lässt sich aber im Live-System aber nicht mehr verwenden, da du das Passwort ja bereits verändert hast….

 

[independence2206]

Ahso.. Genau - im Live System kein Problem.. Aber wenn jemand an die Backups kommt? Wenn ich da nen höheren Sicherheitsstandard mit 2FA einbaue, dann möchte ich das auch lückenlos umsetzen

 

[Bernd_Eifel]

Hmm - wieso unbedingt 2FA ?

• Ich nutze als 2. Faktor zur Authentifizierung für die Keepass-DB eine SchlüsselDATEI, die jeweils ausschließlich auf den Clients ( WIN-PC, Mac, Androids ) gespeichert ist. Sowie natürlich jeweils die für das System passende Keepass-App an sich...
• Die zentrale Keepass-Datenbank, die von allen Clients aufgerufen wird, liegt ausschließlich auf meinem NAS - zur Sicherheit bei Änderungen automatisch syncronisiert mit einer Cloud.

Somit kann bei Angriffen auf die Clients die Keepass-DB nicht abgezogen werden, da dort nicht vorhanden. Und bei Angriffen auf das NAS/die Cloud würde dem Angreifer die zusätzlich erforderliche Schlüsseldatei fehlen...
Natürlich muss ich dann mit den Clients jeweils Online sein, um Keepass nutzen zu können, jedoch haben doch die Anwendungsfälle zur Nutzung der Passworte in aller Regel auch stets einen Online-Bezug...

In Deinem Fall müsstest Du dann somit keine tiefgreifende Änderung an Deiner Keepass-DB (und den bereits gespeicherten Backups hiervon) vornehmen, sondern lediglich eine beliebige Schlüsseldatei (z.B. eine große Bilddatei ) zur Identifizierung beim Aufruf der App hinzufügen.

 

[independence2206]

Naja das lässt sich einfach beantworten. Die Schlüsseldatei muss einfach in die Hände des Angreifers kommen (wie auch immer).
Ich nutze als 2FA einen Yubikey der als Hardwarestick vorliegt (somit müsste der Angreifer den physischen Stick haben) und zudem muss ich dann noch per Tastendruck auf den Knopf des Yubikeys die Eingabe bestätigen. Da in meinem Passwortsafe absolut alle relevanten Informationen gespeichert sind, muss hier auch die höchste Sicherheitsstufe angelegt werden - und da ist eine Schlüsseldatei für mich kein adäquater zweiter Faktor.

 

[Bernd_Eifel]

Ich nutze als 2FA einen Yubikey der als Hardwarestick vorliegt

Was, wenn der Yubikey mal den Geist aufgibt ? Ich bin zu wenig vertraut mit dem Konzept "Yubikey" , vertraue Hardware jedoch grundsätzlich nur soweit wie ich sie werfen kann
Kann man den Yubikey denn auch mit den unterschiedlichsten Systemen ( WIN-PC, LINUX-PC, MAC, Smartphone ) verwenden ?

Die Schlüsseldatei muss einfach in die Hände des Angreifers kommen (wie auch immer).

Wie bereits geschrieben - die Sicherheit gibt mir die separate Speicherung von Schlüssel und Daten auf verschiedenen Systemen.
Zudem: Woher sollte ein Angreifer wissen, was er auf welchen anderen Systemen mit welchen Zugängen noch suchen muss

 

[independence2206]

Wenn der Yubikey kaputt geht, hab ich noch ein Backup hier..
Und ja, kompatibel mit allen von dir aufgeführten Systemen.

Na ein Angreifer könnte das zb wissen, weil er dein System beobachtet und du ja den Pfad von deiner Schlüsseldatei angeben musst beim Entsperren von Keypass.. Das sind natürlich alles unrealistische Szenarien aber dadurch, dass du alles durch Software regelst (Keypass Datenbank / / Schlüsseldatei), muss eben auch nur ein System kompromittiert werden. Da fühle ich mich mit einem zusätzlichen Stück Hardware schon sicherer.