Hyper Backup Einzelne Files aus alten Backups automatisch löschen

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Servus zusammen,

folgendes Szenario:
Ich speichere per HyperBackup seit langer Zeit auf alle möglichen Ziele (Cloud, diverse lokale Festplatten) meine Backups mit natürlich zwischenzeitlich sehr vielen Versionen. Darunter befindet sich auch mein Keepass Passwortsafe (wäre schließlich extrem ungünstig, wenn der Safe verloren geht). Nun möchte ich das Passwort ändern bzw. 2FA einrichten. Das ist natürlich kein Problem.
Eigentliche Frage bzw. Problemstellung:
In meinen Backups und alten Versionen ist dann nach wie vor das alte Passwort (und eben kein 2FA) in Keepass vorhanden. Das stellt natürlich eine Sicherheitslücke dar. Wie könnte ich denn nun diese eine spezielle Datei (mit spezieller Dateiendung) aus allen Backups automatisiert entfernen (lassen)? Von Hand ist das ein ziemlich großer Aufwand und die Chance, dass eine Altversion übersehen wird ist zudem gegeben.

Danke vorab

Grüße
 

stefann42at

Benutzer
Mitglied seit
17. Jun 2020
Beiträge
122
Punkte für Reaktionen
19
Punkte
18
Wenn du Passwort änderst und 2FA aktivierst, gilt das alte Passwort ja eh nicht mehr, und man kann mit diesem eh nicht mehr ‚arbeiten‘…. Sehe das Problem da nicht so eigentlich…

Stichwort Versionen - behältst du denn alle, oder lässt du zb nur 20 Versionen zu?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Wieso sollte in den alten Containern/Passwortsafes das alte Passwort nicht mehr vorhanden sein? Das Passwort ist ja mit dem Container verknüpft und dieser wird eigenständig in jede Version jedes Backups geschrieben..
Ich lasse unbegrenzt viele Versionen zu, da ich auch nahezu unbegrenzt Speicher zur Verfügung habe
 

stefann42at

Benutzer
Mitglied seit
17. Jun 2020
Beiträge
122
Punkte für Reaktionen
19
Punkte
18
Du hast mich bezüglich des Passworts falsch verstanden… Natürlich wäre es in den alten Backups weiterhin vorhanden, lässt sich aber im Live-System aber nicht mehr verwenden, da du das Passwort ja bereits verändert hast….
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Ahso.. Genau - im Live System kein Problem.. Aber wenn jemand an die Backups kommt? Wenn ich da nen höheren Sicherheitsstandard mit 2FA einbaue, dann möchte ich das auch lückenlos umsetzen
 

Bernd_Eifel

Benutzer
Mitglied seit
28. Okt 2021
Beiträge
63
Punkte für Reaktionen
16
Punkte
14
Hmm - wieso unbedingt 2FA ?
  • Ich nutze als 2. Faktor zur Authentifizierung für die Keepass-DB eine SchlüsselDATEI, die jeweils ausschließlich auf den Clients ( WIN-PC, Mac, Androids ) gespeichert ist. Sowie natürlich jeweils die für das System passende Keepass-App an sich...
  • Die zentrale Keepass-Datenbank, die von allen Clients aufgerufen wird, liegt ausschließlich auf meinem NAS - zur Sicherheit bei Änderungen automatisch syncronisiert mit einer Cloud.
Somit kann bei Angriffen auf die Clients die Keepass-DB nicht abgezogen werden, da dort nicht vorhanden. Und bei Angriffen auf das NAS/die Cloud würde dem Angreifer die zusätzlich erforderliche Schlüsseldatei fehlen...
Natürlich muss ich dann mit den Clients jeweils Online sein, um Keepass nutzen zu können, jedoch haben doch die Anwendungsfälle zur Nutzung der Passworte in aller Regel auch stets einen Online-Bezug... ;)

In Deinem Fall müsstest Du dann somit keine tiefgreifende Änderung an Deiner Keepass-DB (und den bereits gespeicherten Backups hiervon) vornehmen, sondern lediglich eine beliebige Schlüsseldatei (z.B. eine große Bilddatei ) zur Identifizierung beim Aufruf der App hinzufügen.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Naja das lässt sich einfach beantworten. Die Schlüsseldatei muss einfach in die Hände des Angreifers kommen (wie auch immer).
Ich nutze als 2FA einen Yubikey der als Hardwarestick vorliegt (somit müsste der Angreifer den physischen Stick haben) und zudem muss ich dann noch per Tastendruck auf den Knopf des Yubikeys die Eingabe bestätigen. Da in meinem Passwortsafe absolut alle relevanten Informationen gespeichert sind, muss hier auch die höchste Sicherheitsstufe angelegt werden - und da ist eine Schlüsseldatei für mich kein adäquater zweiter Faktor.
 

Bernd_Eifel

Benutzer
Mitglied seit
28. Okt 2021
Beiträge
63
Punkte für Reaktionen
16
Punkte
14
Ich nutze als 2FA einen Yubikey der als Hardwarestick vorliegt
Was, wenn der Yubikey mal den Geist aufgibt ? Ich bin zu wenig vertraut mit dem Konzept "Yubikey" , vertraue Hardware jedoch grundsätzlich nur soweit wie ich sie werfen kann :oops:
Kann man den Yubikey denn auch mit den unterschiedlichsten Systemen ( WIN-PC, LINUX-PC, MAC, Smartphone ) verwenden ?
Die Schlüsseldatei muss einfach in die Hände des Angreifers kommen (wie auch immer).
Wie bereits geschrieben - die Sicherheit gibt mir die separate Speicherung von Schlüssel und Daten auf verschiedenen Systemen.
Zudem: Woher sollte ein Angreifer wissen, was er auf welchen anderen Systemen mit welchen Zugängen noch suchen muss :unsure:
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Wenn der Yubikey kaputt geht, hab ich noch ein Backup hier..
Und ja, kompatibel mit allen von dir aufgeführten Systemen.

Na ein Angreifer könnte das zb wissen, weil er dein System beobachtet und du ja den Pfad von deiner Schlüsseldatei angeben musst beim Entsperren von Keypass.. Das sind natürlich alles unrealistische Szenarien aber dadurch, dass du alles durch Software regelst (Keypass Datenbank / / Schlüsseldatei), muss eben auch nur ein System kompromittiert werden. Da fühle ich mich mit einem zusätzlichen Stück Hardware schon sicherer.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat