USB Fingerprintsensor für Keepassanmeldung und optional Firefoxanmeldungen gesucht ?

[MegaCayman]

Hallo zusammen,

verwalte meine Passwoerter mit Keepass da es bekanntlich wie bei vielen mit der Zeit ettliche sind, super Sache.
Jetzt wuerde ich gerne fuer Keepass fuers Masterpassowrt und optional fuer Firefoxanmeldungen einen USB Finger-print/abdruck-sensor nutzen, gibts da einen zu empfehlen ? Die Daten werden ja nicht Synchronisiert bleiben ja bei mir auf dem PC oder gibts da auch ggf ein Masterfile wie bei Keepass das man ablegen kann in dem die Fingerabdrucksdaten + verknuepfte passwoerter gespeichert werden

Danke fuer Infos & frohe Weihnachten 😇🎄 🎅

 

[Oli_P]

Ich glaub der Yubikey kann sowas. Also einloggen mit Fingersensor.

 

[tuccler]

Es gibt eine Erweiterung für KeePass um Windows Hello zu nutzen. Dann brauchst eig. nur ein Windows Hello kompatiblen Fingersensor:

https://www.pcwelt.de/tipps/Passwortmanager-Keepass-mit-Windows-Hello-starten-10955903.html

Bevor ich auf KeepassXC umgestiegen bin, hatte ich das schon mal mit meinem Lenovo P14s und dem eingebauten Fingersensor getestet. Funktionierte gut.

 

[MegaCayman]

dieser geht wohl den "Yubikey" von @Oli_P habe ich jetzt nicht gefunden aber einloggen wäre eine feine Sache .

 

[airwave]

Ich habe einen Fingerprintreader im Notebook eingebaut.
Die Erweiterung, die ich nutze heißt KeePassWinHello.
Dort ist es allerdings so, dass man zum ersten Start (z.B. nach dem Boot) trotzdem das Masterpasswort eingeben muss.
Danach (sofern man den Rechner nicht rebootet oder KeePass komplett beendet) kann man den Fingerprint oder die Pin von Windows Hello verwenden.

PS: Ganz nützlich, wenn man häufig mit Citrix/RDPs arbeitet und KeePass oft im Hintergrund ist: Das Elgato Streamdeck hat ein KeePass Plugin mit dem man per API auf KeePass zugreifen kann und dann Paramter auslesen kann (z.b. Username holen, Passwort holen, usw).

Hatte mir für MS Teams ursprünglich das StreamDeck Mini gekauft, nutze es jetzt z.B. auch für KeePass, feine Sache.

 

[Oli_P]

Yubikey

Info zur Nutzung von Keepass mit einem Yubikey.

 

[Janami25]

Die Erweiterung, die ich nutze heißt KeePassWinHello.
Dort ist es allerdings so, dass man zum ersten Start (z.B. nach dem Boot) trotzdem das Masterpasswort eingeben muss.
Danach (sofern man den Rechner nicht rebootet oder KeePass komplett beendet) kann man den Fingerprint oder die Pin von Windows Hello verwenden.

Genau das hatte ich auch getestet. Habe ich aber wieder verworfen, da ich nur gelegentlich KeePass brauche, vor allem nach Rechner Neustart, und genau dann bräuchte ich die Entsperrung mittels Fingerabdruck oder Pin, weil man Passwort ziemlich lang ist. Im Grunde gibt es also im Moment - jedenfalls für mich - nur unbefriedigende Lösungen. Deshalb bin ich auch beim Passwort geblieben. Aber das muss der TE ja selber wissen.

 

[Oli_P]

Und es würde dir nicht reichen, mit Keyfiles zu arbeiten? Die kannste auch auf nen USB-Stick kopieren. Damit kannst du dann Keepass entsperren. Ist aber nix mit Finger-Abdruck. Die Eingabe vom Master-Passwort kannste dir damit sparen (prinzipiell brauchste dann auch gar kein Master-Passwort mehr).

 

[airwave]

Habe ich aber wieder verworfen, da ich nur gelegentlich KeePass brauche, vor allem nach Rechner Neustart, und genau dann bräuchte ich die Entsperrung mittels Fingerabdruck oder Pin, weil man Passwort ziemlich lang ist.

Man kann es ein wenig verbessern, was aber sicherheitstechnisch nicht das gelbe vom ei wäre.
ich nutze z.b. AutoHotKey mit Scripten um per StreamDeck Teams zu steuern.
Man könnte natürlich das passwort (ggf. irgendwie verschlüsselt) ablegen und via Makro (z.b. durch tastenkombination) das Script ausführen, welches dann sich Keepass in den fokus hohlt und das passwort einträgt.
oder man hat eine tastatur die amkro kann und diese in einem nativen format speichert (so, dass sie mit einem texteditor nicht auslesbar sind) und dann per hotkey/maktro aus der tastatur das passwort eintragen lassen.

aber wie gesagt: die sicherheit ist da halt in gewisser weise kompromittiert

man könnte natürlich es verkomplizieren in dem man das passwort im script verschlüsselt abspeichert oder powershellscripte etc aufruft, die wiederrum mit elementen im speicher arbeiten und z.b. das passwort "verkompliziert" bauen indem man mathematische berechnungen und stringoperationen einbaut, das hält ein wenig auf, wer aber entwickelt schnappt sich einfach das script und schaut im debug in die letze variable fertig.

 

[MegaCayman]

ja mir gehts auch darum weil mein PW so lange ist und wenn ichs dennoch nach jedem Start einmal eingeben muss ist´s Quark, dachte es wir hier hinter dem abdruck und der Programmverknuepfung ggf was hinterlegt und das auf dauer weil alles sowiso im Hintergrund leauft

Ergänzung (16. Dezember 2021)

Keyfiles

waere auch eine idee, habe genuegend Sticks die Rumfahren mit 1 Gb oder so die ich nichtmehr brauche, wo setzte ich die Option bzw erstelle so einen stick ?

 

[tuccler]

Ich hab es so in Erinnerung das man eine zweite Auth-Methode der Datenbank hinzugefügt hat.
Also PW und dann noch die Windows Hello credentials. Bei mir war das dann mein Win10-Login.
Das Plugin müsste es gewesen sein: WinHelloUnlock

Hat eig gut funktioniert. Ich bin auch nur wegen dem nativen Yubikey-Support zu KeepassXC gewechselt.

Edit: Jap, das Plugin wars.

With this plugin you may:
Unlock your database using Biometric via Windows Hello. Even after completely closing KeePass or rebooting your PC.

https://github.com/Angelelz/WinHelloUnlock

 

[Oli_P]

waere auch eine idee, habe genuegend Sticks die Rumfahren mit 1 Gb oder so die ich nichtmehr brauche, wo setzte ich die Option bzw erstelle so einen stick ?

Das stellste einfach ein, wenn du Keepass startest und dich einloggen musst. Klickst du "Schlüsseldatei" an und rechts daneben auf das Ordner-Symbol. Dort browst du dann zu deinem USB-Stick und wählst das Keyfile aus.
Um das Keyfile zu erstellen, öffnest du deine Datenbank und dann auf "Datei" => "Hauptschlüssel ändern" => "Experten-Optionen anzeigen". Dort kannst du deine Datenbank mit einem Keyfile verschlüsseln.
Mach aber voher ein Backup deiner Passwort-Datenbank
Und Achtung: Ist das Keyfile weg, kommste nicht mehr in deine Datenbank. Vom Keyfile auf jeden Fall eine Kopie machen und an einem sicheren Ort lagern (nicht zusammen mit Datenbank auf einem Datenträger!).

 

[MegaCayman]

Dort browst du dann zu deinem USB-Stick und wählst das Keyfile aus.

Muss ich das jedes mal machen oder nur bei der ersteinrichtung dass er weis er muss die USB Ports absuchen ?

Mach aber voher ein Backup deiner Passwort-Datenbank

Ja habe auf der NAS Extra einen BackupOrdner da kommt alles vorsichtshalber rein

Ist das Keyfile weg, kommste nicht mehr in deine Datenbank. Vom Keyfile auf jeden Fall eine Kopie

Dito → Halt im Keepass Ordner nochmal zwei Unterordner

gibts hier also nicht die Option: PW Schreiben oder USB Stick anstecken ?

Interessant waerer noch was passiert hier mit einer Android app ? Hier benutzt ich den Fingerabdruckscanner vom Handy und greife wie der PC auf meine Datenbank auf Drive zu.
Oder ist die Option fuer den USB Stick Key nur am PC hinterlegt sprich nicht in der Datenbank die hier auf Drive liegt ?

 

[Oli_P]

Normalerweise ist Keepass so eingestellt, dass der sich den Pfad zur zuletzt geöffneten Keyfile merkt. Genauso wie der sich den Speicherort der zuletzt geöffneten Datenbank merkt.
Du kannst entweder nur ein Master-Passwort nutzen oder nur ein Keyfile oder du nutzt beides zusammen. Das Keyfile muss ja nicht zwangsläufig auf dem USB-Stick sein. Aber das macht Sinn, dann haste nen einfachen Schlüssel für Keepass.
Wie du dich einloggst bei Keepass am PC und am Handy... das eine hat mit dem anderen nix zu tun. Sprich fürs Handy musste dir was separates überlegen. Wobei Keepass2Android sich auch mit Keyfiles entsperren lässt. Am Handy nutz ich aber ein klassisches Master-Passwort und sowieso eine abgespeckte Passwort-Datenbank.
Online synche ich nix... das ist alles auf meinem Rechner/Handy und NAS.

 

[MegaCayman]

Hallo, jetzt melde ich mich mal, ich habe das nochmal in Angriff genommen und habe mir diesen Fingerprintsensor von Aliexpress gekauft, und er funktioniert.

Wenn also jemand das selbe Projekt verfolgt und über das Thema stolpert 👉🏻