Immer wieder liest man in Security-Checklisten, dass man sichere Passwörter benutzen sollte. Denn leider sind beliebte Standardpasswörter immer noch "12345678" oder einfach nur "Passwort". Wirklich sichere Passwörter sollten lang sein, Zahlen und Sonderzeichen enthalten und am besten zufällig zusammengewürfelt sein. Nur wer kann sich ein Passwort wie z.B. "G/2M,(`q8$]P*q2z9`,XM1vYa*a$c4" merken? Und dann soll man bei jedem Account noch ein eigenes kryptisches Passwort benutzen? Wie soll das funktionieren?
Um diese schwere Aufgabe bewältigen zu können, benutzt man am besten einen Passwortmanager. Ein Passwortmanager speichert eure Passwörter (am besten sicher lokal auf eurem Gerät) in einer verschlüsselten Datenbank, auf die ihr nur mit eurem Masterpasswort Zugriff erhaltet.
Wollt ihr euch zum Beispiel bei eurem Email Anbieter anmelden, braucht ihr nur in eurem Passwortmanager das Masterpasswort eingeben und eventuell noch den richtigen Eintrag auswählen. Das Programm gibt nun sowohl Benutzernamen, als auch das richtige Passwort in die Eingabefelder ein und meldet euch ganz automatisch an. Ihr müsst euch also von nun an nur noch euer Masterpasswort merken und der Rest erledigt der Passwortmanager für euch.
Doch welchen benutze ich am besten? Immerhin vertraue ich ihm alle meine Passwörter an. Er sollte also frei, einfach bedienbar und möglichst sicher sein. Und genau hier kommt die Android App KeePassDX ins Spiel.
KeePassDX ist ein Fork von KeePass und wird unter der GPL-3.0 Lizenz angeboten. Die App ist im F-Droid Store, aber auch im Google Play Store erhältich. Ihr könnt sie aber auch direkt auf Github herunterladen. Außerdem kann man die dabei erstellte Passwortdatenbank mit dem .kdbx Dateiformat auf vielen Betriebsystemen (wie z.B. Linux, BSD, Mac, IOS, Android, Windows) bearbeiten und öffnen.
Erste Schritte
Die App begrüßt uns in einem schönem grün-orangefarbenem Theme. Öffnet ihr die App zum ersten Mal, begleitet euch KeePassDX durch die Einstellungen. Dies finde ich besonders schön, da Anfänger so gut an die Hand genommen werden und gleich die wichtigsten Funktionen kennenlernen.
Wenn ihr eine neue Passwortdatenbank erstellen wollt, tippt nun unten im Startbildschirm auf "Neue Datenbank erstellen". Möglicherweise fragt KeePassDX demnächst noch nach der Berechtigung auf euren Speicher zugreifen zu dürfen, andere Berechtigungen benötigt KeePassDX jedoch nicht. Im nächsten Schritt wählt ihr also den Speicherort eurer Datenbank und den Namen aus. Er sollte aber nicht zu offensichtlich sein.
Habt ihr den Speicherort für eure Datenbank ausgewählt, werdet ihr nun nach dem Masterpasswort gefragt. Das Masterpasswort ist wie oben schon beschrieben das Passwort, womit ihr in Zukunft eure Datenbank öffnen könnt. Es sollte möglichst lang, zufällig generiert, aber auch einfach zu merken sein. Eine gute Anleitung für ein einfach merkbares und gleichzeit sicheres Passwort findet ihr hier oder hier.
Merkt euch euer Masterpasswort unbedingt gut, denn ohne dieses habt ihr keine Chance an eure Passwörter zu gelangen! Ihr könnt es euch zur Sicherheit auch aufschreiben und den Zettel an einem sicheren Ort bewahren. Ladet es aber auf keinen Fall im Internet hoch und gebt es niemandem weiter, dem ihr nicht vertraut, denn wenn es jemandem Kriminellen in die Hände fiele, hätte dieser Zugriff auf all eure Accounts und Passwörter.
Als nächstes müsst ihr eurer Passwort noch einmal in dem Feld darunter bestätigen. Um eure Datenbank zusätzlich abzusichern, könntet ihr darunter auch noch eine Schlüsseldatei hinzufügen, die ihr im nächsten Schritt auswählen könnt. Nur wenn der Angreifer auch diese Datei besitzt, kann er eure Datenbank öffnen. Nachteil dabei ist natürlich, dass auch ihr diese Datei immer bereit haben müsst, sonst könnt ihr eure Datenbank selbst nicht mehr öffnen.
Euer Masterpasswort ändern, könnt ihr jederzeit in den Einstellungen unter "Hauptschlüssel" und "Hauptschlüssel ändern", nachdem ihr sie entsperrt habt.
Klickt nun auf "OK" und öffnet zum ersten mal eure neue Passwortdatenbank. Um nun den ersten Eintrag zu erstellen, tippt nun unten rechts auf das "Plus" und dann auf "Eintrag hinzufügen". Ihr könnt einen Titel für euren Eintrag wählen und darunter euren Benutzernamen, Passwort und den Link zu der Login-Seite von eurem Account eintragen. Ihr könnt auch ein Ablaufdatum definieren. In der Regel braucht ihr dies jedoch nicht.
Ihr könnt euch auch zu eurem Eintrag Notizen machen und wenn ihr auf das Symbol oben klickt, sogar das Icon für euren Eintrag verändern. So ist es bei vielen Einträgen einfacher den Überblick zu behalten.
Neben dem Feld "Passwort" seht ihr auch noch ein Symbol mit zwei Würfeln. Wenn ihr darauf tippt könnt ihr euch auch ein sicheres Passwort generieren lassen. Ihr könnt dort Länge und die Art der verwendetetn Zeichen wählen. Tippt am Ende auf "Passwort generieren" und wenn das generierte Passwort euren Vorstellungen entspricht auf "Akzeptieren".
Seid ihr soweit mit dem Eintrag zufrieden, dann tippt unten auf der grünen Leiste auf das orangene Häckchen und der Eintrag wird gespeichert. Ihr könnt den Eintrag natürlich jederzeit nocheinmal bearbeiten. Alternativ bietet KeePassDX auch Vorlagen an, die ihr in der Übersicht über eure Einträge ganz oben findet.
Automatisches Ausfüllen von Passwörtern
Nun wollen wir natürlich noch, dass unsere Passwörter von KeePassDX automatisch eingegeben werden. Damit umgehen wir auch den unsicheren Weg über die Zwischenablage von Android, denn aus der Zwischenablage könnten die meisten Apps das kopierte Passwort auslesen. Genau das wollen wir ja gerade nicht. Aus Sicherheit löscht KeePassDX aber nach 20 Sekunden das aus Versehen kopierte Passwort wieder aus der Zwischenablage. Um das automatische Ausfüllen zu aktivieren, gibt es zwei Möglichkeiten. Ich werde euch beide zeigen.
Die erste Möglichkeit benutzt den Autofill-Dienst von Android. Diese Variante ist zwar einfacher, aber auch unsicherer, weil KeePassDX die über den Auto-Fill-Dienst übermittelten Passwörter nicht ausreichend gegen böswillige Apps schützen kann. Dazu müsst ihr in KeePassDX in den Einstellungen im Reiter "Formularausfüllung" den Schieberegler bei "Standarddienst für automatisches Ausfüllen festlegen" einschalten. Ihr werdet danach automatisch zu den Android Einstellungen weitergeleitet, wo ihr KeePassDX als Autofill-Dienst wählen müsst. Es kommt noch eine Bestätigungsabfrage, bei der ihr auf "Ok" klickt.
Nun könnt ihr in jeder beliebigen App oder im Internet-Browser in Anmeldefenstern eure Zugangsdaten automatisch eingeben lassen. Falls es euch KeePassDx noch nicht anzeigt, tippt dazu länger auf das Eingabefeld und wählt "Autofill". Nun sollte KeePassDX einen Eintrag vorschlagen oder ihr könnt mit "Eintrag auswählen" einen anderen Eintrag suchen. Falls ihr noch nicht eure Datenbank geöffnet habt, wird euch "Mit KeePassDX anmelden" angezeigt und ihr werdet zum Entsperren der Datenbank zu KeePassDX weitergeleitet. In meinem Beispiel ist das die Tutanota E-Mail App, im Browser funktioniert dies aber natürlich genauso.
In den Einstellungen unter "Formularausfüllung" und "Einstellungen für automatisches Ausfüllen" findet ihr weiter Einstellungen dazu. Die meisten Einstellungen sind meiner Meinung nach schon gut voreingestellt. Mit der Option "Datenbank schließen" könntet ihr jedoch noch einstellen, dass eure Datenbank automatisch nach einem Login bei einer Webseite geschlossen wird. Oder ihr lasst unter dem Kapitel "Filter" verschiedene Anwendungen oder Webseiten von dem Automatischen Ausfüllen sperren. Dort wird dann das Automatischen Ausfüllen verhindert. Schön finde ich auch an KeePassDX, dass nahezu alle Einstellungen erklärt und möglicherweise auch ihre Konsequenzen aufgezeigt werden.
Das Magikeyboard von KeePassDX
Die sichere Alternative zum Autofill-Dienst von Android ist das KeePassDX eigene Magikeyboard. Um es zu aktivieren geht in die Einstellungen in den Reiter "Formularausfüllung" und dann auf "Gerätetastatur-Einstellungen". Dort aktiviert ihr den Schieberegler bei "Magikeyboard (KeePassDX). Es erscheint noch ein kleiner Sicherheitshinweis, denn ihr mit "Ok" bestätigt. Danach kommt ein zweiter Hinweis, dass ihr nun euer Smartphone neustarten solltet, um das Magikeyboard zu aktivieren. Tippt auch hier auf "Ok" und startet bitte jetzt eurer Smartphone neu. 
Wollt ihr euch nun wieder anmelden tippt länger auf die Leertaste von eurer Smartphone-Tastatur. Jetzt sollte sich ein Fenster öffnen, in dem ihr die Tastatur ändern könnt. Tippt hier auf "Magikeyboard (KeePassDX)". Falls dies nicht bei euch funktionieren sollte, gibt es dazu im Wiki ein paar Tipps, woran es liegen könnte. (Link: https://github.com/Kunzisoft/KeePassDX/wiki/Magikeyboard). Sollte es immer noch nicht funktionieren, könnt ihr auch den oben beschriebenen Auto-Fill-Dienst von Android benutzen.
Unten erscheint jetzt eine kleine schwarze Leiste, in der ihr zuerst auf das Passwortsymbol tippt, um den richtigen Eintrag zu wählen. Ich würde euch empfehlen, euch vorher in eure Datenbank über KeePassDX direkt einzuloggen, damit ihr nicht jetzt unpraktischerweise eure Tastatur wieder wechseln müsst, um euer Passswort für eure Passwortdatenbank zu öffnen. Wählt nun den Eintrag aus, in dem die entsprechenden Zugangsdaten stehen.
Habt ihr dies gemacht, tippt nun auf das Eingabefeld für den Benutzernamen und danach auf das Symbol mit der Person. Das Magikeyboard gibt nun den Benutzernamen aus dem gespeicherten Eintrag aus, welchen ihr vorhin ausgewählt habt. Seid ihr nun in dem Eingabefeld für das Passwort, tippt ihr auf dem Magikeyboard auf die drei Sternchen. Das Magikeyboard fügt nun das Passwort ein und loggt euch automatisch ein. Wollt ihr wieder zurück zu eurer normalen Tastatur, könnt ihr unten links auf das Tastatur-Symbol tippen. (Natürlich falls eure normale Tastatur nicht erscheinen sollte).
Weitere nützliche Einstellungen
KeePassDX bietet euch auch die Möglichkeit, eure Datenbank mit Hilfe eines Fingerabdrucksensores zu entsperren. Davon würde ich euch aber abraten, da man immer wieder in Berichten liest, dass der Fingerabdruck aus Bildern ausgelesen werden konnte und somit der Sensor mit Hilfe eines künstlichen Fingerabdruckes ausgetrickst werden konnte.
Auch wenn dies natürlich nicht gänzlich unsicher ist, ist ein pures Passwort trotzdem sicherer. Deaktivieren könnt ihr dies in den Einstellungen im Reiter "Modernes Entsperren" unter "Biometrische Entsperrung".
Außerdem könnt ihr auch noch einstellen, wann KeePassDX die Datenbank wieder sperren soll. Standardmäßig sperrt KeePassDX eure Datenbank direkt, wenn das Handy gesperrt wird oder nach fünf Minuten. Wollt ihr dies anpassen, geht dafür in die Einstellungen und unter dem Reiter "Einstellungen" findet ihr etwas weiter unten den Punkt "Inaktivitätszeit". Fünf Minuten sind aber auch schon eine gute Einstellung. Manchmal ist es etwas nervig, wenn man den Bildschirm vom Smartphone hat aus Versehen ausgehen lassen und schon ist die Datenbank gesperrt. Dieses Verhalten könnt ihr unter der Einstellung für die Inaktivitätszeit mit dem Schieberegler bei "Bildschirmsperre" ausschalten.
Die Synchronisation
Der einzige wirkliche Nachteil ist die Synchronisation. Ihr habt nun einen tollen Passwortmanager für das Smartphone, doch wie können wir diese Datenbank nun auch auf auf dem PC nutzen? Unbedingt vermeiden würde ich den Weg über eine Cloud, denn auch wenn eure Datenbank verschlüsselt ist, würde ich alle meine Passwörter nicht irgendwo im Internet hochladen, wo ich keine Kontrolle mehr habe. Eine Ausnahme wäre natürlich, wenn ihr eure eigene Nextcloud benutzt.
Ihr könntet auch die vorhin angesprochene Schlüsseldatei verwenden, um eure Datenbank zusätzlich abzusichern, doch wie gesagt braucht ihr dann immer die entsprechende Schlüsseldatei, um eure Datenbank zu öffnen. Oder ihr könntet eure Datenbank in ein verschlüsseltes Zip-Archiv (z.B. 7-Zip) verpacken. Eine andere tolle Möglichkeit ist das freie Programm Syncthing. Dazu gibt es hier eine gute Anleitung.
KeePassDX ist eine tolle App mit vielen Funktionen, die ich hier aus Platzgründen leider nicht alle vorstellen konnte, denn dies hätte den Rahmen eindeutig gesprengt. Und wäre der Einsatz von sicheren Passwörter nicht auch ein guter Vorsatz für 2022?
Quellen:
https://github.com/Kunzisoft/KeePassDX/wiki
Titelbild: https://www.keepassdx.com/
Wie ist denn "KeePassDX" im Vergleich zu "Keepass2Android" zu sehen? Hat eine der beiden Varianten bedeutende Vorteile? Welche wird denn besser maintained?
Über das Maintaining kann ich leider nicht viel sagen, außer dass KeePassDX häufiger geupdated wird.
Keepass2Android bietet (außer in der offline Version) auch automatisch an, deine Passwortdatenbank in einer Cloud, wie z.B. Dropbox oder Google Drive zu synchronisieren, wovon ich aber dringend abraten muss. (Außer natürlich, wenn es deine eigene Nextcloud ist).
Keepass2Android hat im Gegensatz eine eigene Tastatur mit integrierter Passwort-Funktion. Da musst du nicht, wie bei KeePassDX immer umständlich wechseln.
Außerdem bietet dir Keepass2Android auch noch mehrere Plugins an. Die gibt es bei KeePassDX nicht.
Dafür hat KeePassDX meiner Meinung nach ein schöneres Design, aber das ist natürlich Geschmackssache. :)
Schöner Artikel. Ich selbst benutze Keepass2Android und habe meine Passwortdatei bei einem deutschen Anbieter gespeichert. Zusätzlich habe ich noch einen zweiten Faktor, der die Datei schützt. Für mich ist es einfach praktisch, die Datei zentral zu haben und von überall darauf zugreifen zu können. Ein weiterer Vorteil ist das Backup, dass ich durch die Cloud habe. Natürlich muss ich dem Cloudanbieter, den Entwicklern von KeePass und dem Entwickler von Keepass2Android, usw. vertrauen.
Sehr verständlich geschrieben.