Absicherung KeePassXC mit YubiKey

KeePassXC ist ein beliebter Open Source Passwortmanager. Er ist Plattformunabhängig und läuft somit auf Linux, MacOS und Windows.

Dieser kann neben dem Masterpasswort zusätzlich mit einem YubiKey abgesichert werden.

So ähnlich wie eine 2-Faktor-Authentisierung 2FA. Es sollte aber erwähnt werden, dass dies kein 2FA bedeutet, beschreiben auch die Entwickler.

Der YubiKey wird mit KeePassXC mittels einem sogenannten HMAC-SHA1 Challenge-Response-Verfahren gekoppelt. Das bedeutet der YubiKey weist einen HMAC-SHA1 Hashwert aus und wird bei der Einrichtung mit KeePassXC vorgestellt.

Bei der ganzen Sache muss unbedingt erwähnt werden, ein zweiten YubiKey einzurichten, um einen Verlust des YubiKey abzusichern. Denn wenn der YubiKey weg ist, hat man definitiv ein Problem…

Für die Einrichtung des HMAC-SHA1 Hashwert wird die Software Yubikey Manager benötigt. Dazu könnt ihr mit der darunter befindlichen Anleitung per GUI oder CLI ein Challenge-Response generieren.

In der GUI unter Application/OTP/“Freier Slot”/Configure/Challenge-response einen Secret-Key erzeugen und die Option Require touch auswählen. Die Berührfunktion ist eine persönliche Sache, ganz nach eigenem Geschmack. Nach der Generierung ist der Secret-Key auf dem Slot gespeichert. Dieser Secret-Key ist auch für den zweiten YubiKey zu übertragen, um ein YubiKey-Backup zu besitzen. Den ersten YubiKey entfernen, den zweiten anschließen und unter der gleichen Einstellung den Secret-Key in einem freien Slot abspeichern.

Darauf hin kann ein Yubikey KeePassXC vorstellig gemacht werden, indem unter Datenbank/Datenbank-Sicherheit ein Challenge-response hinzugefügt werden kann. Es reicht nur ein YubiKey, da ja beide dasselbe Challenge-response besitzen.