Am 05.09.21 um 16:50 schrieb Ulf Volmer:
On 05.09.21 14:25, Bernd Nachtigall wrote:
Der Start sieht im Moment aber so aus:
1. Einschalten 2. Pwd der Boot-Partition eingeben (Root-Partition wird automatisch entschlüsselt) 3. Pwd für GUI (KDE) eingeben 4. Pwd für kwallet eingeben 5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Wie viele Passworteingaben kann ich mir sparen ohne das die Sicherheit all zu sehr leidet?
Das ist schwer zu beantworten und hängt von Deiner persönlichen Paranöia ab.
Als Anregung schildere ich mal mein Setup, das soll aber wirklich nur eine Anregung sein:
- Das Grundsetup ist LUKS2 verschlüsselt, der Key hierzu kommt aus dem TPM, somit ist keine Passwort- Eingabe erforderlich. Das erfordert allerdings ein neueres systemd, als es in Leap 15.3 enthalten ist. Um das als leidlich sicher zu bezeichnen, ist sowohl das UEFI als auch der grub Passwort geschützt. Das User Passwort beim Login ist ebenfalls zwingend.
- für die wirklich wichtigen Daten habe ich ein weiteres 20GB LUKS Volume, welches per Passwort aufgesperrt wird.
- kwallet habe ich nicht, stattdessen ein Keepass XC, welches per Plugin mit dem Firefox verbunden ist. Der Firefox speichert hier selbst nur unwichtige Passwörter.
- Thunderbird speichert seine Passwörter (auf dem zweiten LUKS) und hat kein Master- Passwort aktiv.
In der Summe habe ich hier also 3 Passwörter, die ich im Zweifel eingeben muß.
Ja, drei Passwörter wären hier auch OK. Bei näherem Hinsehen ist es eigentlich nur die wiederholte Eingabe der Pwd. am FF und am TB die Missfallen auslöst. Es wäre gut wenn das im kwallet integriert wäre. Aber das ist ja kein openSUSE-Problem. Das gehört eher in die Schublade KDE (-Integration) oder Mozilla. Es scheint nicht ganz so einfach zu sein openSUSE ONU-tauglich (und komfortabel) zu machen. fingerprint-gui ist bei 15.3 auch nicht mehr vorhanden ... Im Moment habe ich es so eingerichtet das man für die Boot-Partition ein Passwort eingeben muss, die Root-Partition wird dann automatisch entschlüsselt und der (einzige) Benutzer automatisch angemeldet. Dann kommen noch die Passwörter für kWallet, FF und TB. Wobei letztere eben mehr dem Komfort als der Sicherheit dienen, aber eben trotzdem 'sicher' sein müssen. Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.