KeePass mit OTP über YubiKey betreiben

“Was haben LinkedIn, eHarmony und Last.fm gemeinsam?”

So oder ähnlich könnte ein Witz über die drei Webplattformen beginnen, würde die Pointe nicht ein leeres Schlücken bei dem Zuhörer auslösen.

Um was geht es überhaupt? Den drei genannten Unternehmen wurden im grossen Umfang Passwörter Kunden entwendet, eine Tragödie für jedes Unternehmen und deren PR Abteilung. Was ich bei eHarmony und LinkedIn noch mit einem müden Lächeln quittierte, hat mich bei Last.fm schlagartig aufgeweckt – “Da habe ich ich doch auch einen Account!”. Warum ich aber keine E-Mail mit der Aufforderung zum Passwortwechsel von Last.fm erhielt, kann ich nicht verstehen. Wenn ich solche Dinge erst über die Medien erfahren muss, dann müssen nachher wieder die Jungs von der PR-Abteilung den Schaden begrenzen.

Das Passwörter in der Regel als Hash vorliegen ist normal, dies war bei den “verloren” gegangenen Passwörtern auch der Fall. Leider verwenden immer noch viele Firmen die inzwischen nicht mehr sichere MD5 Hashfunktion und was der Tragik noch eines daraufsetzt: Die Hashes sind häufig nicht mal “gesalzen” (Salt), also ohne zusätzliches Einfügen von einer unbekannten Anzahl Zeichen, was der Angriff über ein Wörterbuch oder einer Rainbow-Table zu einem Kinderspiel macht. Wer jetzt glaubt, Kennwörter werden immer als Hashes – mit oder ohne Salt – bei den Unternehmen gespeichert, muss ich enttäuschen. Ein wirklich trauriges Beispiel ist die Firma MobiWee!, welche die Passwörter im Klartext(!) in der Datenbank speichert. Dies lässt sich leicht auf der Homepage über den Link “Forgot your Password?” überprüfen, über diesen MobiWee! einem das ursprüngliche Passwort per E-Mail zusendet – Gruselig! In solchen Fällen hilft auch die Wahl eines noch so starken Passwortes nicht viel und wie wir alle wissen, sollten nur starke Passwörter eingesetzt werden und zwar für jeden Dienst ein anderes. Ach ja, merken sollte man sich die unterschiedlichen Passwörter auch noch können, denn aufschreiben ist hässlich.
Wer benutzt immer die gleichen 3-5 Passwörter im Internet? Es dürften die Mehrheit der Personen sein, kein Wunder bei der Fülle der Dienste, bei denen man heutzutage angemeldet ist.

Als ich meine Liste mit den Diensten, bei denen ich angemeldet bin hervor kramte, zählte ich 91 Eintragungen!
Nach dem Ereignis mit Last.fm wollte ich das Problem endlich mal bei den Wurzeln anpacken, zu lange habe ich mich davor gescheut für jeden einzelnen Dienst ein eigenes Passwort zu verwenden. Einerseits weil ich heute schon recht starke Passwörter verwende, andererseits weil ich die wenigen Passwörter sortiert nach Zugänge wie Foren, Newsletter, Webshops, E-Mail Accounts usw. benutze, was bei einer Kompromittierung eines Passwortes den Schaden eingrenzt. Der aber wichtigste Grund dafür, warum ich bis anhin keine “unique” Passwörter für jeden Dienst verwendete, war schlicht und einfach Faulheit!

Es gibt verschiedene Lösungen um Passwörter zu erstellen die relativ sicher sind und diese vor unbefugtem Zugriff zu schützen.

Passwortkarten

Bei Passwortkarten werden unterschiedliche Zahlen, Buchstaben und Sonderzeichen in einer Matrix dargestellt, die durch eine bestimmte Leserichtung – die nur dem Inhaber der Passwortkarte bekannt sein sollte – das Passwort ergibt. Solche Passwortkarten können z.B. hier erstellt und ausgedruckt werden.

Bild: Passwordkarte

Wie ein Passwort lautet bestimmt der Inhaber selber, merken muss er sich lediglich den Startwert, die Leserichtung und die Anzahl Felder welche das Passwort ergeben soll. So könnte ein Passwort aussehen, welches bei C1 anfängt und fünf Felder lang ist: M-geZi8iP0

Passwortkarten mögen auf den ersten Blick scheinbar die Lösung sein, um das Problem, sich viele Passwörter zu merken, organisieren zu können. Aber wer kann sich schon 30 oder 50 Startwerte, Leserichtungen und Anzahl Felder merken? Zudem: Wenn die Passwortkarte abhanden kommt, besteht das Risiko, dass mittels Brute-Force Methode, und Kombinatorik Passwörter herausgefunden werden können, da alle Informationen die ein Passwort ausmacht auf der Passwortkarte vorhanden sind. Eine Variante welche etwas mehr Sicherheit verspricht ist die Kombination der Passwortkarte mit einem Passwort, das sich nicht auf der Passwortkarte finden lässt und nur dem Inhaber bekannt ist. Dennoch kommt für mich diese Variante nicht in Frage.

LastPass – Passwort Manager

Bei LastPass kann der Benutzer seine Passwörter online abspeichern. Dabei braucht man nur noch ein Passwort um an seine Passwörter zu gelangen – das LastPass Passwort. LastPass ist für verschiedene Betriebssysteme wie Windows, Mac, Linux, aber auch für Android oder das iPhone, verfügbar. LastPass lässt sich daher auch unterwegs benutzen, was eine grosse Stärke dieser Lösung ist.

Bild: LastPass

Wie das Sprichwort so schön sagt: “Vertrauen ist gut, Kontrolle ist besser”, bei LastPass fehlt letzteres. Natürlich verspricht LastPass die Passwörter sicher, verschlüsselt und geschützt vor Fremdzugriff zu lagern. Überprüfen lässt sich dies nicht und da die Firma LastPass in den USA registriert ist, gilt amerikanisches Recht, auch für die Passwörter, die irgendwo in der Welt auf einem Server liegen können. Ob LastPass genug vertrauenswürdig ist um ihr die Verantwortung der eigenen Passwörter zu übertragen, muss jeder selbst entscheiden. Für mich kommt diese Lösung auf jeden Fall nicht in Frage.

KeePass – Passwort Manager

KeePass ist ein Open Source Passwort Manager für das Betriebssystem Windows, zudem gibt es Ports für Linux, Mac, Android, iPhone und BlackBerry.

Bild: KeePass

Da KeePass für den mobilen Gebrauch ausgelegt wurde, lässt sich dieses Programm auch ohne Installation betreiben, einfach die KeePass Daten auf den UBS Stick kopieren, fertig. KeePass gibt es als Version 1.x und 2.x. Während Version 1.x sich ohne das Microsoft .NET Framework begnügt, ist dies in der Version 2.x Pflicht, was aber heute auf jeden Windows Rechner installiert sein sollte. Die Version für Linux und Mac brauchen zudem noch Mono.

Was mir gleich sehr gefallen hat, war die Möglichkeit KeePass mittels One-Time-Password (OTP) betriben zu können. Das Plugin OptKeyProv bietet diese Möglichkeit.

Für mich kommt KeePass als Lösung in Frage. Es ist Open Source, lässt sich transportieren und bietet Unterstützung für OTP.

Die grosse Arbeit

An einem regnerischen Tag nahm ich die Aufgabe in Angriff, alle Benutzerdaten in KeePass zu übernehmen und gleichzeitig alle Passwörter zu ändern, ein Arbeit die gut sieben Stunden in Anspruch nahm. Man sollte sich die Zeit nehmen möglichst starke Passwörter auszuwählen. Da die einzelnen Passwörter nicht mehr einprägsam sein müssen, kann bei der Wahl der Passwortlänge und der Zahl der Zeichenklassen aus den Vollen geschöpft werden.

Der Passwort Generator in KeePass hilft bei der Auswahl von starken Passwörtern. Als starkes Passwort gilt, wenn dieses mindestens 8 Zeichen lang ist und folgende Zeichenklassen beinhaltet: Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen. Weitere Informationen zu starken Passwörtern, finden sich hier.

Wie gut ein Passwort ist, lässt sich z.B. bei rumkin.com überprüfen. Bei Password Meter ist es interessant zu sehen, ob die Menge der Zeichenklassen und deren Häufigkeit einem sicheren Passwort genügen. Schlussendlich sieht man hier, wie lange ein handelsüblicher PC voraussichtlich braucht das eingegebene Passwort zu erraten.

Hinweis: Die getesteten Passwörter sollten nachher nicht mehr weiterverwendet werden.

Bild: KeePass Passwort Generator

Die Datenbank von KeePass beinhaltet nun alle Passwörter in verschlüsselter Form und muss nun selbst gegen unerlaubten Zugriff abgesichert werden. Wer hier test123 als Master Passwort nimmt hat schon verloren und hätte sich die Mühe sparen können. Für das Master-Passwort von KeePass sollte man sich ein schwer zu erratenes Passwort aussuchen, ohne es aufschreiben zu müssen.

Eine Möglichkeit wäre die Bildung von Wortgruppen wie: AchWieSchoen, was nicht sehr sicher ist und durch eine Wörterbuch-Attacke relativ schnell geknackt werden kann.

Schwieriger wird es das Passwort zu erraten, wenn gewisse Buchstaben durch Zahlen und Sonderzeichen ersetzt werden, die auf das Ursprungszeichen schliessen lässt. So wird aus einem “S” eine “5” oder ein “O” wird zu einem “0”: 4chW135ch03n
Dieses Passwort ist eigentlich ziemlich stark, aber das Benutzen von Leetspeak ist eine Methode die weit verbreitet ist und auch viele Wörterbuch-Attacken können solche Passwörter erraten.

Dennoch sollte man sich nicht davon abschrecken lassen Wortgruppen mit Zahlen und Sonderzeichen zu benutzen und intelligent zu kombinieren. Fünf zusätzliche Zeichen machen dieses Passwort schon sehr sicher: [4chW13-*-$ch03n]

Ich habe mich entschieden KeePass in Verbindung mit einem One-Time-Password (OTP) zu benutzen. Neben einem starken Passwort, muss zusätzlich noch ein OTP eingegeben werden, sonst bekommt man keinen Zugriff auf die Datenbank. Um OTP benutzen zu können gibt es spezielle USB OTP-Keys die am Computer wie Tastaturen funktionieren. OTP-Keys besitzen einen oder mehrere Buttons um gespeicherte Daten mittels Knopfdruck auszulösen. Mittels Konfigurationssoftware lassen sich die OTP-Keys konfigurieren. Ich habe mich für den YubiKey der Firma Yubico entschieden und gleich zwei YubiKey’s für 50 Dollar bestellt.
Obwohl auf der Webseite eine Lieferfrist von 7 – 14 Tagen angegeben wurde, hatte ich die beiden YubiKey’s schon nach vier Tagen im Briefkasten! Top Service!

Bild: YubiKey

Um den YubiKey zu konfigurieren gibt es zwei Programme, das Configuration Utility (Link angepasst am 19.06.2015) und das Personalization Tool. Ich habe die Konfiguration mit dem Configuration Utility durchgeführt, welches ich nachfolgend beschreiben werde.

Wir stecken den YubiKey in einen freien USB Anschluss und starten das Configuration Utility Programm.
Beim ersten Start des YubiKeys kann es durchaus einen Moment dauern bis das Betriebssystem den Key erkannt hat.

Bild: Startbildschirm

 

Bild: OATH-HOTP

Hier OATH-HOTP auswählen.

 

Bild: OTP Länge und Startposition

Die OTP Länge sollte man hier auf 8 Stellen setzen was die Sicherheit zusätzlich erhöht. Wichtig ist der Moving factor seed, dieser definiert nämlich ab welcher OTP-Nummer zu zählen begonnen wird. Hier den Wert Fixed zero auswählen.

 

Bild: Secret Key

Hier wird der Schlüssel definiert mit dem die OTP’s generiert werden. Über den Button Single rand können neue Schlüssel “zufällig” erzeugt werden. Hat man den Button ein paar mal gedrückt muss man den 160bit Schlüssel irgendwo zwischenspeichern, denn diesen brauchen wir später noch für KeePass. Dieser Schlüssel ist sehr wichtig, denn ohne diesen lässt sich die KeePass Datenbank nicht mehr öffnen, sollte irgendwann mal der YubiKey verloren gehen. Am besten schreibt man den Schlüssel auf und verwahrt diesen an einem sicheren(!) Ort.

 

Bild: Output Format Flags

Da YubiKey wie eine Tastatur funktioniert, können verschiedene Tastaturbefehle, wie Tabulator oder Zeilenumbruch mit übergeben werden. Dies ist praktisch, da bei der Eingabe eines OTP’s über mehrere Felder hinweg auf die normale Tastatur verzichtet werden kann. Wir lassen die Einstellungen hier alle leer, denn wir definieren die Tastaturbefehle später in KeePass.

 

Bild: YubiKey schützen

Hier kann der YubiKey gegen das Überschreiben seiner Konfigurationen geschützt werden. Vorläufig lassen wir den YubiKey ungeschützt.

 

Bild: Konfiguration schreiben

YubiKey besitzt zwei Speicherbänke um Bspw. ein Passwort und ein OTP Schlüssel abzuspeichern. Wir nehmen die Konfiguration 1 und betätigen den Run Button.

Hinweis: Um die Konfiguration der beiden Speicherbänke abrufen zu können, drückt man den Gold-Button auf dem YubiKey unterschiedlich lange.

KeePass mit OTP aktivieren

Um OTP in KeePass verwenden zu können, muss erst OptKeyProv heruntergeladen und seinen Inhalt in das Hauptverzeichnis von KeePass entpackt werden.

Wir öffnen nun KeePass und geben das Master Passwort ein.

Bild: Master Key

Danach gehen wir zu File -> Change Master Key und geben unseres Master Passwort ein oder definieren ein neues. Unter Key file / provider wählen wir One-Time Passwords (OATH-HOTP) aus und bestätigen mit OK.

 

Bild: OTP

Die Passwortlänge setzen wir auf 8 Zeichen fest, so wie wir dies im Configuration Utility Tool definiert haben. Unter Secret key kommt der zwischengespeicherte 160bit Schlüssel rein, der Counter ist der Moving factor seed aus dem Configuration Utility Tool, diesen lassen wir auf 0. Bei Number of OTPs required to open the database definieren wir, wie viele OTP’s es braucht um KeePass zu öffnen. In diesem Beispiel müsste sechs mal auf den YubiKey gedrückt werden, damit sich KeePass öffnet.

Den Loock-ahead count muss ich an dieser Stelle kurz erklären. Da der YubiKey und KeePass den identischen Secret Key haben und sich daraus alle nachfolgenden OTP-Nummern mathematisch ergeben, müssen beide synchron laufen. Nun ist es aber möglich den YubiKey auch unabhängig von KeePass zu benutzen, was sich mit einem Texteditor und dreimal auf den YubiKey drücken auch rasch überprüfen lässt. In diesem Fall wäre der YubiKey jetzt schon um drei OTP-Nummern weiter als KeyPass. Der Loock-ahead count ermöglicht es KeyPass einen Versatz zu definieren, um diese “Diskrepanz” auszugleichen. Genauer gesagt: KeePass erkennt anhand der eingegebenen OTP-Nummern wie weit der YubiKey voraus ist und passt die neue Startposition an. An der Reihenfolge der einzugebenden OTP-Nummern ändert sich nichts, diese müssen in jedem Fall immer die korrekte Abfolge besitzen, lediglich die Startposition wird angepasst. Dieser Look-ahead count lässt sich nicht unendlich nach Vorne verschieben und sollte zudem mit einem sinnvollen Wert gesetzt werden, denn je höher der Wert ist, desto grösser ist der mögliche Angriffsvektor. Würde man in diesem Beispiel mit dem YubiKey 13 mal in das Leere ein OTP erzeugen, so könnte KeePass nur noch mit dem – hoffentlich zuvor notierten – Secret Key geöffnet werden.

Wir speichern das Ganze und beenden KeePass.

Nach einem Restart von KeePass lässt sich unter Key File das One-Time Password auswählen.

 

Bild: Login mit OTP

Nun geben wir unser Master Password ein und drücken auf OK.

 

Bild: OPT

Als erstes gehen wir gleich mal in die Options und aktivieren Auto-Accept und Auto-Tab. Damit brauchen wir bei der Eingabe der OTP-Nummer nicht die Tabulator- und Zeilenumbruchtaste zu betätigen.

Nun ist KeePass bereit für das erste OTP Login, viel Spass!

36 thoughts on “KeePass mit OTP über YubiKey betreiben

  1. Schöne Anleitung, hat mir durchaus weitergeholfen!

    Zum Look-ahead count könnte man noch erwähnen, dass der Count nach einer erfolgreichen Authentifizierung “zurückgesetzt” wird.
    Wenn ich also 11x einen Key ins Leere generieren lasse, dann eine erfolgreiche Authentifizierung durchführe und wieder mehrmals einen Key ins Nirvana generiere bleibt die Loginmöglichkeit erhalten.

  2. Merci für’s Teilen der gemachten Erfahrungen!

    Perfekt wäre jetzt noch die Kombination YubiKey+Keepass auf Android. Dort läuft ja nur Keepass v1. Gibt’s da trotzdem einen Weg?

  3. Finde ich sehr interessant… wobei ich in mir drinnen dann auch wieder diesen Widerstand verspüre, der mir sagt: je mehr Komponenten mitspielen, umso mehr steigt die Ausfallsquote. Verwendet man TrueCrypt plus KeePass – muss man darauf vertrauen, dass beide Datenbanken bzw. Container stabil sind und bleiben. So ein zusätzlicher USB-Stick ist für mich ein weiterer Faktor… A) brauche ich ihn immer irgendwie dabei oder zumindest in meiner Nähe, B) muss ich hoffen, dass der Stick nicht in einem ungünstigen Moment einfach einen Fehler aufweist und C) mehr Software und Tools zu betreuen, zu aktualisieren und mitsyncen überall bzw. bei Systems-Switch im Alltag auch aufwendig.

    Aber ansonsten finde ich das Prinzip spannend.

  4. Hallo,

    vielen Dank für die schöne Anleitung. Ich habe noch 2 fragen dazu, vielleicht kannst du Sie mir beantworten?

    1. Mir ist leider noch nicht ganz klar geworden was der Use-Case ist, wenn ich den Yubi-Key verliere?
    2. Ich nutze Keepass auch mobil auf dem Android, wenn ich da jedoch kein Yubikey anschließen kann, kann ich meine Datenbank nicht mehr öffnen, richtig? Ich müsste also dazu einen Yubikey Neo haben, damit ich eventuell mit NFC das OTP genereiere, oder?

  5. Hallo Stefan

    1.) Solltest du kein Passwort im “Recovery mode” gesetzt haben, dann kannst du nicht mehr auf deine Daten zugreifen. (Brute Force mal ausgenommen 🙂 )

    2.) Auf deinem Android Gerät kannst du natürlich die gleiche Datenbank wie auf deinem PC benutzen, einfach ohne die OTP Funktion. Dazu erstellst du am besten ein Backup deiner KeePass Datenbank auf deinem PC, generierst für diese Datenbank ein neues Passwort und deaktivierst das OTP. Danach kopierst du die neue Datenbank auf dein Android Gerät. Ich würde für das Android Gerät ein längeres Passwort wählen, da du keine OTP Funktion verwenden kannst.

    Gruss,
    Dani

  6. Wenn ich versuche mit OTP geschützte Datenbank (KeePassDatabase.kdbx) auf einem anderen PC zu öffnen erhalte ich die Fehlermeldung:
    “Failed to load auxiliary OTP info file: KeePassDatabase.otp.xml”
    Kann ich die Datenbank nicht ohne die XML Datei öffnen?

    Gruß Sven

  7. Hallo,

    Danke für Deine ausführliche Anleitung! Ich habe versucht es genau so zu machen wie beschrieben, allerding bleibe ich im Utility beim Schreiben hängen. Drücke ich den Button “Run” tut sich nichts! Hast Du eine Idee, was da schief läuft?

    Danke

  8. Hallo,

    also ich habe einen Yubico 2 und die Konfiguaration 2 auch schon getestet. Funktioniert einwandfrei mit dem Personalization Tool. Ich habe dort die Einstellungen dieser Webseite verwendet, aber Lastpass bringt mir einen Fehler beim Speichern. Ich habe diesen an Lastpass gesendet und warte jetzt auf die Antwort.

    vg

  9. Hallo,

    vielen Dank für die ausführlichen Infos!

    Weiss jemand, ob man auch 2 yubikeys in keypass registireren kann (falls einer verloren geht)? Ich beabsichtige künftig keypass am PC und Android Smartphone mit yubikey (Phone via NFC) einzusetzen.

    Danke und viele Grüße,
    Rudi

  10. Kann man sein OTP Passwort zurücksetzten ? Mein PC hatte den Yubikey Neo nicht erkannt, deshalb habe ich das setup mehrmals durchgführt.
    Mein Passwort funktioniert wenn ich auf diese Seite gehe: http://start.yubico.com/
    Aber das OTP Passwort ist falsch.
    Was kann ich nun machen und wokann ich den Yubikey zurücksetzten ?Habe noch nichtmaletwas an Daten drauf gepackt.
    Hoffe jemand kann mir ein Tip geben.

  11. Hi Daniel,
    nach Deiner Interessanten Anleitung habe ich mir den Yubikey bestellt und Modell 2.4 erhalten.
    Meine Keypass Version ist 1.27. Ich hatte schon ein Master passwort vergeben und auch einiges in der db gespeichert.
    Jetzt wollte ich wie in Deiner Anleitung beschrieben zusaetzlich ein OTP per Yubikey zu meinem Masterpasswort hinzufuegen. Allerdings kann ich den Dialog wie unter ” KeePass mit OTP aktivieren” von Dir beschrieben nicht finden. Wenn ich im KeyPass auf “change Master Key” gehe, kann ich nur ein file waehlen, die Dialog Box wie im Bild oben hatte ich ja nur, als ich das 1. Mal ein master pw vergeben habe. Wie kann ich das denn nachtraeglich hinbekommen.
    lg
    tom

  12. Vielen Dank für die tolle Anleitung.
    Eine Kleinigkeit funktioniert bei mir leider nicht.
    Trotz Aktivierung der Optionen Auto-Accept und Auto-Tab wird das Passwort nicht durchgehend in die 6 Reihen eingetragen.
    Der YubiKey füllt jeweils nur einen Block aus. Für jeden weiteren starte ich den YubiKey neu.
    Gruss, Leo

  13. Hi Daniel,

    vielen Dank für Deine Anleitung. Ich habe mir daraufhin auch einen yubikey gekauft. Ich habe es nach Anleitung von yubikey https://www.yubico.com/applications/password-management/consumer/keepass/ eingerichtet. Aktuell versuche ich die Android Variante keepass2android einzurichten und bekomme ebenfalls die Fehlermeldung bezüglich des Hilfsdatei beim Druck des Buttons “Load auxiliary OTP file”. Ich gehe davon aus, dass hier die XML Datei gemeint ist. Wo bekomme ich denn so eine Datei her?

    Danke und cu em.tie

  14. hi,

    an alle die sich oben die frage gestellt haben was passiert wenn man den yubikey verliert.
    kein problem! man bestellt sich 2 oder mehr der yubikey’s und kopiert einfach den master-yubi. sollte man ihn also verlieren oder wenn er defekt ist, nimmt man einfach die kopierten yubi 😉

  15. Ich find das Tool nicht 🙁 ich hab mir einen yubikey neo gelauft (Juni 2015) also einen relativ neuen. Aber es gibt keine Anleitung, im Päckchen war nur der Stick ohne irgendwas.

    Der Link hier (zu dem Configuration Tool) funktioniert nicht 🙁

    Ich hab auf der yubico Webseite (auch alles nur in englisch) nirgends was gefunden.

    Irgendjemand eine Idee was ich tun soll?

  16. Ok, der Link geht jetzt, aber entweder ich bin echt zu blöd, oder mach was falsch.

    1) ich find das beschriebene ‘Configurator Tool’ nicht, bzw. der NEO den ich hab geht nur mit dem Personalization Tool. Das schaut aber komplett anders aus.

    2) Ich hab mir das Plugin für KeePass 2.2.9 runtergeladen, brav ins Verzeichnis zum keepass.exe reinkopiert, aber das Plugin is nicht da?

    Ansonst finde ich es toll, das du diese anleitung gemacht hast. Nicht jeder ist des Englischen perfekt mächtig (schon gar ned wenn man älter ist) deine Anleitung ist die einzige die ich gefunden habe.

    Anregung: ich würd das gerne mit Joomla verwenden, aber da fehlt mir noch so ein Ding. Nämlich wie registrier ich mich bei yubico? und wie prüfe ich ob das mit den OPT funktioniert?

  17. Hi Daniel,

    obwohl deine Anleitung schon älter ist, hat sie mir am meisten geholfen, herzlichen Dank.

    Ich hätte eine Verstzändnisfrage zur Sybnchronität zwischen dem Keepass-Plugin und dem Yubikey. Du schreibst: “Würde man in diesem Beispiel mit dem YubiKey 13 mal in das Leere ein OTP erzeugen, so könnte KeePass nur noch mit dem – hoffentlich zuvor notierten – Secret Key geöffnet werden.”
    Wie kommast du auf 13? Du schlägst vor, den WEert für den Moving Factor Seed “Fixed Zero” und “0” zu belassen — so habe ich es gemacht.
    Dann habe ich mich 5 x erfolgreich angemeldet und sehr aufgepasst, ja nicht ein OTP ins Leere zu “verschießen”.
    Dann habe ich absichtlich ein OTP verschossen, und bereits jetzt schon klappte die Anmeldung nicht mehr.
    So wie ich es verstehe: Wenn 0 eingestellt ist, dann hat man keine “Freischüsse”, man darf also keine OTPs ins Leere erzeugen.
    Und wenn ich z.B. 5 eingebe, dann darf ich 5 x ein OTP unabhängig von Keepass erzeugen, und b eim 6. hätte ich dann wieder ein Problem …
    Verstehe ich das richtig — oder gar nicht ;-)?

  18. Danke! Der Tipp zum Neustart von KeyPass hatte mir gefehlt! Gute Doku. Die URL zur Passwortkarte ist wohl nicht mehr gültig. Jetzt kann ich loslegen und meine Passworte nach KeePass importieren.

  19. Gute Anleitung. Lief bei mir so Wochenlang problemlos. Was macht man, wenn alle OTP Keys “verschossen” sind? Mittels Secret Key komme ich zwar an meine Passwörter ran, aber sobald ich die Datenbank sperre geht wieder nichts…

    Auch das Zurücksetzen des Counters und / oder das erneute Abspeichern der Datenbank bringt nichts.

  20. Hi zusammen,

    bei mir funktioniert das alles leider nicht.

    Sobald ich zu dem Punkt “Enter OPT” komme bekomme ich folgende Fehlermeldung: “Failed to create OTp Key” – auch nach Anleitung von YubiKey: https://www.yubico.com/applications/password-management/consumer/keepass/ und nach deiner Anleitung

    Ich besitzte den Neo 4 YubiKey. Puglin für KeePass schon x mal neuinstalliert. In verschiedenen Foren heißt es: Plugin und YubiKey laufen nicht im sync… Ich verstehe es nicht. Ich frikel schon seit x Tagen rum.

    Der Recovery Key funktioniert immer. Ist aber nicht Sinn der Sache. Kennt ihr das Phänmoen ? Programm etc alles das aktuellste, Firmware vom YubiKey, diverse Tools von YubiKey die aktuellsten, Mein USB YubiKey untersützt auch OATh-HOTP. Ich hoffe hier wird mir geholfen.

    Gruß und einen guten Rutsch !

  21. Hi,

    ich habe gestern auch meinen Yubikey mit Keepass eingerichtet. Bei mir hat es aber nur funktioniert, wenn ich den Look-ahead count auf > 0 (in meinem Fall auf 1) stelle. Habe bei 0 auch immer deine Fehlermeldung erhalten. Auf welchen Wert hast du den Look-ahead count gesetzt?

  22. Hab die gleichen probleme “faiked to create otp…”.
    1) Loesung laut yubikey: “Den look-ahead auf mindestens 5 setzen (zwischen 5 und 10)”
    2) im internet ueber Google fand ich: “look ahead auf 12 und 6 otp’s einstellen.”

    Link: http://forum.yubico.com/viewto.....038;t=2273

    P.s.: keepass 2.34 erschienen. Waere toll wenn man yubikey mit keepass-plugin “optkeyprov” verbessern koennte.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert