KeePassXC¶
Diese Anleitung beschreibt, wie Sie eine KeePassXC Passwortdatenbank mit Nitrokey 3 schützen und verschlüsseln.
Bemerkung
KeePassXC Version 2.7.6 oder neuer ist erforderlich.
Nitrokey App 2 Version 2.2.2 oder neuer ist erforderlich.
Erster Schritt: Generieren eines HMAC-Geheimnisses mit der Nitrokey-App 2¶
Öffnen Sie Nitrokey App 2
Wählen Sie den Nitrokey 3
Wählen Sie die Registerkarte
PASSWORDS
Klicken Sie auf
ADD
, um eine neue Berechtigung zu erstellen.Wählen Sie
HMAC
aus dem Dropdown-Menü des AlgorithmusBemerkung
Der Berechtigungsnachweis wird automatisch in
HmacSlot2
genannt.Für den HMAC-Berechtigungsnachweis können keine zusätzlichen Attribute gespeichert werden.
Das HMAC-Geheimnis muss genau 20 Byte lang und im Format Base32 sein. Das sind genau 32 Zeichen.
Es ist möglich, genau ein HMAC-Geheimnis auf einem Nitrokey 3 zu speichern.
Um ein Geheimnis zu generieren, gibt es eine Schaltfläche im Feld auf der rechten Seite. Es ist auch möglich, ein eigenes Geheimnis einzugeben, sofern es konform ist.
Warnung
Die Datenbank kann nicht mehr entsperrt werden, wenn der Nitrokey 3 verloren geht oder nicht mehr verfügbar ist! Es empfiehlt sich daher, einen zweiten Nitrokey 3 mit demselben HMAC-Geheimnis als Backup-Gerät einzurichten.
Wichtig
Das Geheimnis kann nur vor dem Speichern eingesehen werden. Wenn die KeePassXC-Datenbank mit einem anderen Nitrokey 3 verwendet werden soll, muss das HMAC-Geheimnis kopiert werden, was nur ** vor dem Speichern** der Zugangsdaten möglich ist.
Klicken Sie auf
SAVE
, um die Zugangsdaten zu speichern.
Erste Option: Schützen Sie eine bestehende KeePassXC-Datenbank mit einem Nitrokey 3¶
KeePassXC öffnen
Öffnen Sie die bestehende KeePassXC-Datenbank, die mit einem Nitrokey 3 geschützt werden soll.
Wählen Sie
Database
->Database Security...
in der MenüleisteWählen Sie
Security
auf der linken SeiteKlicken Sie auf die Schaltfläche
Add additional protection...
auf der RegisterkarteDatabase Credentials
.Blättern Sie nach unten zu
Challenge-Response
und klicken Sie aufAdd Challenge-Response
Wenn nun der Nitrokey 3 eingesteckt ist und zuvor ein HMAC generiert wurde, sollte der Nitrokey 3 im Feld angezeigt werden.
Klicken Sie auf
OK
, um den Nitrokey 3 zur bestehenden KeePassXC-Datenbank hinzuzufügen
Bemerkung
Standardmäßig wird der Nitrokey 3 als zweiter Faktor zusätzlich zur Passphrase verwendet. Um die Datenbank ausschließlich durch den Nitrokey 3 zu schützen, löschen Sie die Passphrase durch Anklicken der Schaltfläche Remove Password
.
Tipp
Wenn der Nirokey 3 nicht erkannt wird, schließen Sie KeePassXC vollständig. Schließen Sie dann den Nitrokey 3 an Ihren Computer an, bevor Sie KeePassXC neu starten.
Zweite Option: Erstellen einer KeePassXC-Datenbank, die durch Nitrokey 3 geschützt ist¶
KeePassXC öffnen
Wählen Sie
Database
->New Database...
in der Menüleiste, um eine neue KeePassXC-Datenbank zu erstellen.Geben Sie den Anzeigenamen und eine optionale Beschreibung für Ihre neue Datenbank ein und klicken Sie auf
Continue
Weitere Einstellungen zur Datenbankverschlüsselung können nun hier konfiguriert werden oder die Standardeinstellungen können beibehalten werden. Die Einstellungen können auch später in den Datenbankeinstellungen geändert werden.
Klicken Sie auf
Continue
, um die Einstellungen zu bestätigen.Datenbank-Berechtigungsnachweis
Hier können Sie ein Passwort als zweiten Faktor zum Entsperren der Datenbank eingeben. Um den Nitrokey 3 (mit dem das HMAC-Geheimnis erzeugt wurde) mit der neuen KeePassXC-Datenbank zu verbinden, klicken Sie auf
Add additional protection...
Blättern Sie nach unten zu
Challenge-Response
und klicken Sie aufAdd Challenge-Response
Wenn nun der Nitrokey 3 eingesteckt ist und zuvor ein HMAC generiert wurde, sollte der Nitrokey 3 im Feld angezeigt werden. Klicken Sie auf
Continue
, um die Erstellung der neuen KeePassXC-Datenbank abzuschließen.
Bemerkung
Wenn die Passphrase leer gelassen wird, wird die Datenbank ausschließlich durch den Nitrokey 3 geschützt. Wenn eine Passphrase eingegeben wird, wird die Datenbank durch die Passphrase und des Nitrokey 3 geschützt.
Tipp
Wenn der Nitrokey 3 nicht erkannt wird, schließen Sie KeePassXC vollständig. Schließen Sie dann den Nitrokey 3 an Ihren Computer an, bevor Sie KeePassXC neu starten.
Fehlersuche für Linux¶
Wenn das Nirokey 3-Gerät von KeePassXC auf einem Linux-System nicht erkannt wird:
Vorausgesetzt, die udev-Regeln wurden wie unter beschrieben gesetzt..
Vorausgesetzt, dass die
pcscd service
mit gestartet wurde:
sudo systemctl start pcscd.service
Installieren Sie die neueste Version von KeePassXC mit flatpak:
flatpak install flathub org.keepassxc.KeePassXC
Installieren Sie
ccid
auf Arch Linux basierten Systemen. Siehe auch: Arch-Wiki: Nitrokey.