Hallo,

mir kam die Idee, dass man das Passwort für das Entschlüsseln des jameica Profils mit einem zweiten Faktor absichern könnte bzw. das entsperren an einen Hardwaretoken mit Nutzerinteraktion verknüpft.

Ist das möglich oder schon in Betracht gezogen worden? Eine Suche nach den Begriffen '2FA' und "Hardwaretoken" in Verbindung mit jameica bzw hibiscus war nicht erfolgreich

Pack doch dein Benutzerprofil einfach in einen Veracrypt-Container, dann hast du einen zweiten Faktor.

Den Hype um Hardwaretoken bei jeder Gelegenheit (gerne auch zum Einloggen ins E-Mail-Konto, von wo aus man dann unverschlüsselte Mails versendet) habe ich noch nie verstanden.

Das erhöht sicherlich den Schutz vor Verlust und böte sich an, sofern man es offline speichert und händisch synchronisiert. Schützt aber nicht die eigentliche Passworteingabe in jameica.
Der Hardwaretoken würde grundsätzlich das komplexe Passwort in meinem Kopf ablösen. Stattdessen muss ich mir nur einen kurzen PIN merken. (Bei welchem EMail Dienst loggt man sich per Hardwaretoken ein? Und unverschlüsselt ist man selbst schuld, gnuk auf einem STM32 absolut ausreichend)
Ich kann jameica/hibiscus auch per read only medium nutzen. Erhöht sicherlich nochmal die Sicherheit und den Schutz. Ist aber weniger komfortabel. Trotzdem Danke für deinen Lösungsweg

Ich weiss ehrlich gesagt gar nicht, wie eine Verschlüsselung mit 2FA aussehen soll. 2FA wird zur Absicherung von Logins verwendet. Der Login-Prozess prüft den Hash des Passwortes und zusätzlich den zweiten Faktor. Sowohl Server als auch Client kennen das "Geheimnis" des zweiten Faktors und können daher zu jedem Zeitpunkt einen gemeinsamen Wert (quasi die TAN) ausrechnen.

Das bezieht sich aber auf Logins. Das Master-Passwoet von Jameica ist aber kein Login sondern das Verschlüsselungspasswort des Datencontainers. Ich wüsste nicht, wie ein zweiter Faktor in die Verschlüsselung mit einfließen soll. Aus meiner Sicht geht das schon prinzip bedingt nicht. Denn wir reden hier von zwei völlig verschiedenen Sachen. Das eine ist ein Login. Das andere eine Verschlüsselung.

Die einzige Möglichkeit wären sog. PKI-Tokens. Also Crypto-Zertifikate, die in Hardware gegossen sind. Also auf einem USB-Stick oder eine Chipkarte. Das ist aber was völlig anderes. Und die Dinger sind so exotisch, dass sicher nicht mal jeder tausendste User sowas besitzt. Dafür ist es mit den Aufwand nicht wert. Die Lösung mit einem extra verschlüsselten Laufwerk oder Container wie Kleinsparschwein schreibt, ist da bei weitem pragmatischer und praxistauglicher.

Nicht überall, wo ein Passwort eingegeben wird, macht ein zweiter Faktor aus meiner Sicht Sinn.

Ok, dann ergibt das 2FA begrenzt Sinn, wenn jameica das nur als Passphrase für einen verschlüsselten Container nutzt. Ich hatte im Hinterkopf noch so etwas wie einen jameica Server, der der Instanz Zugriff auf den Container gibt und deswegen das Passwort genutzt wird. Allerdings in fast allen Ausführung als lokales Server-Client Konzept (https://www.willuhn.de/products/hibiscus-server/). Hatte ich dann falsch in Erinnerung, zumindest was den üblichen Endanwenderfall angeht.

Ich sehe natürlich den speziellen Charakter von PKI Token und die beschränkte Unterstützung innerhalb von Betriebssystemen außerhalb einer PKI Infrastruktur.
Es war mehr im Gedankengang von TOTP oder HOTP und bezog auf hierbei auf die Benutzerauthentisierung gegenüber der Software. Bei der aufkommenden Unterstützung für FIDO2 bieten einige Token auch andere Nutzungsmöglichkeiten an.

Wie gesagt, ich hatte eine leicht andere Ausgangslage für meinen Gedankengang und sehe die Funktionserweiterung in keinster Weise als dringend an, weil es genügend Workarounds dafür gibt. Mein Gedanke war lediglich die Erweiterung des Wissens eines Geheimnisses um Besitz von und Interaktion mit einem weiteren Geheimnisses.

Wenn du den Faktor "Besitz" mit drin haben willst, kannst du einfach die Keystore-Datei .jameica/cfg/jameica.keystore auf einem USB-Stick speichern und nur per Symlink in den Benutzerordner verlinken, damit die Datei physisch auf einem mobilen Datentraeger liegt. Das Masterpassword wird legiglich verwendet, um Zugriff auf die Keystore-Datei zu erhalten. In ihr sind die X509-Zertifikate enthalten, auf denen die eigentliche Verschlüsselung basiert. Ohne die Datei nutzt auch das Passwort nichts.

Danke für den Hinweis

So betrachtet, läßt sich mit Veracrypt sogar ein dritter und vierter Faktor einführen:
zusätzliches Wissen mit einem individuellen PIM, Besitz mit einer Schlüsseldatei statt oder neben Paßwort.