Kennt sich jemand mit KeepassXC + TOTP (eventuell auch Passkey)aus?

    Ich habe mal eine Frage in die Runde.
    Ich verwende jetzt einige Zeit KeepassXC und leider muss ich einen Zugang mit 2FA oder Passkey einrichten.
    Eine App aufs Smartphone wollte ich zudem nicht.
    Ich habe mich ein wenig belesen und würde meine Annahme einfach von jmd. mit Ahnung bestätigen lassen.
    Wenn ich ein 2FA via TOTP über KeepassXC einrichte, oder einen Passkey speichere, kann ich dann diese KeepassXC Datenbank überall an jedem Endgerät mit KeepassXC öffnen und verwenden?
    Es ist also nicht an ein Gerät gebunden?

    KeepassXC inkl. des eingebauten TOTP funktioniert gut auch über Gerätegrenzen hinweg. Allerdings vergibst du dir damit eigentlich den 2. Faktor, den man ja eigentlich mit dem TOTP einrichten will. Was spricht denn für dich gegen z.B. FreeOTP+ auf dem Handyß

    Linux Mint Mate auf ASUS Zenbook Flip UX360U; Armbian auf Banana Pi

    Eine KeepassXC Datenbank ist immer unabhängig vom Gerät und kann auf allen Geräten durch ein Programm geöffnet werden, das mit dem KeePass 2.x (.kdbx) Datenbankformat klarkommt.

    Bedenke aber bitte, einen zweiten Faktor mit dem Passwort zusammen in der Datenbank zu speichern hebelt natürlich den zweiten Faktor aus. In anderen Worten, er ist dann nicht länger wirklich ein zweiter Faktor.

    Ich will ja kein 2FA oder Passkey, jedoch eines davon muss ich nehmen.
    Und vom Smartphone will ich, wenn die Kids größer sind, irgendwann mal weg.
    Und wenn ich sowieso KeepassXC verwende, brauch ich nicht noch eine extra App.

    Quote from Debian2go

    Ich will ja kein 2FA oder Passkey, jedoch eines davon muss ich nehmen.
    Und vom Smartphone will ich, wenn die Kids größer sind, irgendwann mal weg.
    Und wenn ich sowieso KeepassXC verwende, brauch ich nicht noch eine extra App.

    Du kannst das schon machen, nutze ich auch so. Keypassxc mit TOTP zusammen. Eine Trennung ist sicher besser, aber keinen 2.Faktor zu nutzen ist schlechter.

    Ich nutze das eh nur auf meinen PCs/Lappies.
    D.h. die db bleibt im Haus. Da ist der 2. Faktor schon gegeben, denn zum einen das Passwort für den Login und der 2. Faktor funktioniert ja nur wenn man das Passwort für die DB hat.
    ich würde sogar sagen, dass ein Freischalten eines Smartphones mit Gesicht oder Fingerprint + Passkeys, wesentlich unsicherer ist.
    Mal ganz zu schweigen davon dass dies der feuchte Traum von Behörden wäre ;)

    2FA war halt immer eine unperfekte Lösung für das Problem Login mit Benutzername und Passwort.

    2FA - absolut korrekt angewendet ist halt unpraktisch - weil man eben im Grunde ein Art zweites Gerät braucht. Ich hoffe wirklich das in den nächsten Jahren diese uralt Login Methode Stück für Stück hinfällig wird.

    Passwörter waren noch nie eine gute Idee.

    Ich sehe die Zukunft tatsächlich in Passkeys. Weder Benutzernamen, noch Passwort. Einfach Login per Passkey - sehr sehr sehr viel sicherer, schneller und einfacher und bin froh das immer mehr Dienste das unterstützen.

    Ich möchte keine Grundsatzdiskussion anfangen, aber wenn ich für einen Login am PC ein Smartphone mit Passkeys brauche....
    Ich ich könnte diese wohl redundant speichern, muss aber immer dafür sorgen dass irgendwo alle Passkeys vorhanden sind.
    Denn was passiert wenn ich für irgendeinen Login, oder gar alle, auch den letzten Passkey verliere?
    Das ist schon umständlich, denn man muss als Ottonormalverbraucher ja nun immer mehrere Endgeräte vorhalten.

    @Debian2go Also für Dinge die für mich super kritisch sind, habe ich tatsächlcih zwei verschiedene physiche Keys (einer auf der Arbeit und einer zuhause).

    Für Dinge die nicht so wichtig sind - oder ich halt im Zweifel einfach einen neuen Account mache nutze ich die Passkey Funktion von meinem Passwort Manager. Der synchronisiert alle Inhalte E2E verschlüsselt quer über meine Geräte.

    Aber diese physischen Keys können kaputt gehen, auch beide.
    Ich hab ca. 120 Logins und da macht man mal nicht eben einen neuen Account für alles ;)
    Am Rande, was für einen PW Manager hast du? Sebst gehostet oder einen Dienst?
    Und trotzdem, was passiert im worst case Scenario und deine Passkeys sind weg.

    Ich nutze einen Dienst. In meiner Signatur steht nicht umsonst das ich "Proton Botschafter" bin. Läuft bei mir alles über ProtonPass (früher - als es ProtonPass noch nicht gab war es 1Password).

    Naja in der Regel generiert man ja einen Recovery Key (bei der Passkey einrichtung) - auch der ist bei mir in einer E2E verschlüsselter Cloud gespeichert.

    Quote from kim88

    Ich sehe die Zukunft tatsächlich in Passkeys. Weder Benutzernamen, noch Passwort. Einfach Login per Passkey - sehr sehr sehr viel sicherer, schneller und einfacher und bin froh das immer mehr Dienste das unterstützen.

    Ich finde, da passiert fast nichts! Ich habe keinen einzigen Login, den ich mit einem Passkey nutzen könnte!

    Per aspera ad astra

    Hardware: MEG X570 UNIFY | AMD Ryzen 9 5950X | 64 GB Ram | AMD Radeon RX 6600 | Hauppauge Starburst 2

    System: MX Linux (Plasma) im Dualboot mit Win11

    Ach stimmt ja, ich wollte mir Proton ja auch mal anschauen.
    Aber du musst mir recht geben, man müsste alles redundant speichern.
    Und für den Fall das die wichtigen Dienste irgendwann nur noch Passkeys ohne einem PW für den Notfall anbieten, ist man
    als Normalbürger aufgeschmissen.
    Nehmen wir mal an die Bank macht nur noch via Passkey...was das für ein Aufwand wäre, wenn öfter mal ein Passkey weg ist etc.
    Von google will ich da mal gar nicht anfangen.
    Egal, wir schweifen ab, ich finde Passkeys unsicher ab dem Momant wo man nur noch per Face oder Fingerprint den Generalschlüssel zu allem hat.

    Ich hoffe soweit wird es zu meinen Lebzeiten nicht kommen ;)
    Und Statistiken zeigen, dass die Bevölkerung Passkeys nicht will.

    Meine Antwort habe ich ja bekommen und in meinem Fall, da ITler, nicht so tragisch, wenn doch Passkeys Pflicht sind und ich diese in KeypassXC oder sonst einem PWManager speichern kann und dann eben auf den PCs verteile, oder gar einer Cloud....mit Cryptomator versteht sich ;)

    Quote from Debian2go

    Ach stimmt ja, ich wollte mir Proton ja auch mal anschauen.
    Aber du musst mir recht geben, man müsste alles redundant speichern.
    Und für den Fall das die wichtigen Dienste irgendwann nur noch Passkeys ohne einem PW für den Notfall anbieten, ist man
    als Normalbürger aufgeschmissen.
    Nehmen wir mal an die Bank macht nur noch via Passkey...was das für ein Aufwand wäre, wenn öfter mal ein Passkey weg ist etc.
    Von google will ich da mal gar nicht anfangen.

    Auf deinen Haustür- Safe- und Autoschlüssel musst Du doch genauso aufpassen. Wo ist das Problem?

    Quote from Debian2go

    Ich hoffe soweit wird es zu meinen Lebzeiten nicht kommen ;)
    Und Statistiken zeigen, dass die Bevölkerung Passkeys nicht will.

    Was der Bauer nicht kennt, frisst er nicht!

    Per aspera ad astra

    Hardware: MEG X570 UNIFY | AMD Ryzen 9 5950X | 64 GB Ram | AMD Radeon RX 6600 | Hauppauge Starburst 2

    System: MX Linux (Plasma) im Dualboot mit Win11

    Also ich nutze KeyPassXC auf allen meinen Rechnern und habe diese auf zwei Sticks eingerichtet, bzw. dort die Datenbank abgelegt. 2 Sticks weil einer beruflich und einer privat. Das ist für mich die sinnvollste Lösung auch für unterwegs mit dem Laptop. Am Abend, außer im Urlaub, landen die Sticks dann im Tresor. Dort liegt auch immer noch ein zweiter Stick als Backup. Ich weiß nicht ob das dir weiter hilft, aber für mich persönlich ist das die beste Lösung seit über einem Jahr!

    Gruß Stephan

    Berliner in Seefeld / Tirol - seit 2024 auf Linux unterwegs - mit Fokus auf Bild-, Grafik- & Videobearbeitung - GuideOS Core Team

    Desktop: 6-core model: Intel Core i5-8400 / CachyOS- Laptop T490: 4-core model: Intel Core i7-8665U / GuideOS

    Mit KeepassXC funktionieren die Passkeys super, ABER...

    • Du brauchst dafür zwingend das Browser-Plugin.
    • Es wird, wenn es unterstützt wird, nur rudimentär unterstützt. Will heißen, du benötigst weiterhin dein Paßwort.
    • Es wird auch nur von KeepassXC unterstützt. Wenn du, wie ich am Smart Phone mit KeepassDX arbeitest, funktioniert es nicht.

    • PayPal zeigt die den Stinkefinger, wenn du nicht Google Chrome benutzt. Zu mindest war das bei meinem letzten Versuch so.


    Mainboard: MSI Z170-A Pro

    Prozessor: Intel i7 6700K

    Grafikkarte: AMD RX 7800 XT

    OS: EndeavourOS

    Desktop: KDE

    Das Browser Plugin braucht man ja sowieso wenn man die Logins nicht händisch eintragen will.
    Nein auf dem Handy nux ich nix.
    Ums kurz zu machen, ich muss was an die Arbeitsagentur einreichen, und dort kann man nichts mehr per Mail senden.
    Diese wurden kürzlich abgeschalten, wie ich heute feststellen musste.
    Und da ich nichts ausdrucken will und per Brief senden, bleibt mir bloß der Weg eines solchen Accounts.
    Und da gibts für mich nur 2FA oder Passkey. Weil Bundi oder wie das heißt mit E-Perso...wieder ein extra Acc.

    Quote from Debian2go

    Das Browser Plugin braucht man ja sowieso wenn man die Logins nicht händisch eintragen will.

    Es geht auch per Global Key.

    Mainboard: MSI Z170-A Pro

    Prozessor: Intel i7 6700K

    Grafikkarte: AMD RX 7800 XT

    OS: EndeavourOS

    Desktop: KDE

    Wenn du das Plugin nicht installierst hast, kannst du eine Tastenkombination benutzen um die Daten in die Felder eintragen zu lassen. In der Regel ist das Strg+ALT+A. Dies kann man jedoch ändern.

    Mainboard: MSI Z170-A Pro

    Prozessor: Intel i7 6700K

    Grafikkarte: AMD RX 7800 XT

    OS: EndeavourOS

    Desktop: KDE

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login