KeePassXC - Passwörter sicher und synchronisiert abspeichern

  Lioh Möller   Lesezeit: 3 Minuten  🗪 24 Kommentare Auf Mastodon ansehen

Mit diesem Passwortmanager hast du alle deine Passwörter im Griff und über die Browsererweiterung kannst du Passwörter im Webbrowser ganz einfach automatisch ausfüllen.

keepassxc - passwörter sicher und synchronisiert abspeichern

Viele von euch nutzen bereits einen Passwortmanager. Dieser dient der Verwaltung der schieren Flut hoffentlich unterschiedlicher Anmeldedaten mit komplexen Zeichenketten. Ob ein sicheres Passwort nun aus Sonderzeichen, Nummern und Buchstaben oder aus längeren Merksätzen bestehen soll, darüber streiten sich bis heute die Geister. Klar ist jedoch, dass ein einfaches 6–8-8 stelliges Passwort nicht mehr ausreicht, um die benötigte Sicherheit zu gewährleisten, selbst wenn ein 2. Faktor wie eine Authenticator-App zum Einsatz kommt. Wobei die Sicherheit Letzterer grundsätzlich eher fragwürdig ist.

Wer indessen Passwörter nicht im Notizblock speichern möchte, sondern über mehrere Geräte in einer App ablegen will, der ist mit KeePassXC gut bedient. Und genau darum geht es in diesem Video.

Passwortmanager, die in der Cloud liegen, also über eine öffentliche Webseite zugänglich sind, gelten hinlänglich als unsicher. Dies wurde kürzlich auch von Forschenden der ETH Zürich bestätigt.

KeePassXC bietet diese Funktionalität nicht an, und man muss sich daher um den Aspekt der Synchronisation selbst bemühen. Gut geeignet ist dazu beispielsweise eine Nextcloud. Wer keine eigene Nextcloud betreiben möchte, hat die Möglichkeit, bei Woelkli einen gratis Account mit 1 GB zu beziehen. Dieser hat den Vorteil, dass die dort abgelegten Daten auch serverseitig verschlüsselt werden. Eine Funktion, welche nur sehr wenige Anbieter aktiviert haben.

Die benötigten Applikationen lassen sich auf einem Debian-basierten Linux-System wie folgt installieren:

sudo apt install keepassxc-full webext-keepassxc-browser nextcloud-desktop

Die Webextension ermöglicht die Nutzung von KeePassXC in einem Webbrowser. Für den Firefox-Browser lässt sich diese alternativ auch über addons.mozilla.org herunterladen und integrieren.

Nachdem die Nextcloud eingerichtet worden ist, kann die Passwortdatenbank im Verzeichnis, welches für die Nextcloud-Synchronisation eingerichtet wurde, abgelegt werden. Für den Zugriff darauf muss ein starkes Passwort vergeben werden, welches man sich gut merken kann, denn es wird zukünftig zum Entsperren der Datenbank benötigt.

Die Browsererweiterung muss daraufhin noch mit der KeePassXC-Installation verbunden werden. Dazu vergibt man einen entsprechenden Namen, und schon können Anmeldedaten auf Webseiten in der Passwortdatenbank abgespeichert werden.

Um auf diese Passwörter auch unterwegs zugreifen zu können, kann unter Android die Applikation KeePassDX genutzt werden. Diese lässt sich wahlweise über F-Droid (empfohlen) oder den PlayStore installieren.

Der Zugriff auf die Passwortdatenbank kann entweder über den Nextcloud-Client für Android oder besser noch über eine WebDAV-Verbindung mit der Nextcloud erfolgen. Letztere bietet einen direkten Zugriff und so werden mögliche Synchronisationskonflikte vermieden. Dazu eignet sich die Anwendung DAVx5, welche bevorzugt aus dem F-Droid Store installiert werden kann

Die so eingerichtete Passwortdatenbank ist nicht nur vor unliebsamen Blicken geschützt, sondern wird auch über verschiedene Endgeräte hinweg synchron gehalten. Wer bis anhin noch Passwörter im Notizblock ablegt, hat hiermit zumindest eine Möglichkeit, dies in Zukunft digital zu tun.

Tuxwiz

Hast du Lust, das Linux-Betriebssystem auf eine unterhaltsame Weise kennenzulernen? Dann schau unbedingt auf meinem Peertube-Kanal Tuxwiz vorbei! ✨

Meine Videos führen dich Schritt für Schritt durch die aufregende Welt von Linux, Selfhosting und Freier Software.

Ich freue mich auch, wenn du mir auf Mastodon folgst. Dort erfährst du immer sofort, wenn es etwas Neues zu entdecken gibt.

Die Spacefun-Community findest du auf Telegram via XMPP und ganz neu auch auf Delta Chat. Falls du Delta Chat bisher nicht kennst, schaue dir gerne den ausführlichen Messenger Testbericht dazu an.

Getreu dem Motto «Raus aus der Bubble» bin ich mit meinem Kanal auch auf YouTube vertreten. Indem du mir dort folgst und ein Daumen hoch auf meine Videos gibst, hilfst du, die Sichtbarkeit zu steigern. So können wir gemeinsam Menschen erreichen, die bisher noch keinen Kontakt mit Freier Software hatten.

Mein Kanal auf YouTube: https://www.youtube.com/@tuxwiz

Die Einsteiger-Playlist auf YouTube: https://www.youtube.com/playlist?list=PLJlnbs0kQiZiWks57CPOoCOnUlFwbZWQp

Meine Linux-Distribution Spacefun: https://www.spacefun.ch

Die beliebten Fediverse-Shirts gibt es hier: https://spacefun.tpopsite.com

Tags

KeePassDX, KeePassXC, Android, did

Christopher
Geschrieben von Christopher am 21. Februar 2026 um 09:29

Hallo Lioh, schönes Thema. Wie immer gut aufbereitet. Vielen Dank dafür🤗. KeePassXC nutze ich schon eine ganze Zeit. Funktioniert super. Auch die Autofillin Funktion für meine Browser (Brave, Firefox) funktioniert hervorragend. Bisher nutze ich den KeePassXC nur auf dem Desktop und Laptop und sehe von der Synchronisation ab, da überschaubar. Meine Vorstellung ist eher gar keine Informationen nach außen zu reichen. Daher würde ich eine Synchronisation über das heimische NAS anstreben. Das könnte zb mit Synchthing realisiert werden. Gibt auch noch gefühlt 1.000 andere Möglichkeiten. Voraussetzung wäre natürlich, dass du dann häufig genug zu Hause bist😉. Wie gesagt, bisher habe ich davon abgesehen, werde das aber irgendwann in Angriff nehmen. Für jemanden der keine Nextcloud hat und nicht haben möchte, vielleicht eine Alternative. Ich finde eine Nextcloud immer einen großen Schritt und Dinge die mir wichtig sind nach außen zu verlagern (verschlüsselt hin oder her), finde ich auch überdenkenswert. Schönes Wochenende

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 21:26

Ich benutze tatsächlich für einige Daten Nextcloud, aber für sowas sensibles nur Peer-To-Peer Syncthing. Mehr traue ich da nicht!

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 10:14

Hinweis: der Nextcloud -Instanz sollte man natürlich vertrauen bzw. die eigene, gut geschützte sein. Zwar ist die KeePass Datenbank verschlüsselt, hat aber keine Zeit zwischen Passwort-Eingaben. D.h. Bruteforce ist möglich.

Ich synchronisiere nur mit SyncThing Peer-To-Peer zwischen meinen Geräten, da ich der Cloud in dem Punkt nicht vertraue.

Gibt es eigentlich mittlerweile einen guten Weg, die Browser-Bridge in Flatpak Apps reinzuziehen? Gerade bei debian-basierten Distributionen kommt man aus Sicherheits- und Kompatibilitätsgründen um Flatpak nicht herum.

trurl
Geschrieben von trurl am 21. Februar 2026 um 10:29

Danke für den Artikel. Ich nutze KeepassXC und KeepassDX schon seit vielen Jahren und verwalte damit sämtliche Passwörter, also nicht nur Logins im Browser. Die dazu verwendete Funktion nennt sich Autotype und funktioniert unter X11 problemlos. Unter Wayland lässt sie sich momentan nicht verwenden. An einer Lösung wird laut gitrepo aber gearbeitet. (Ich halte das für eine wichtige Info.) LG

Christopher
Geschrieben von Christopher am 21. Februar 2026 um 14:28

Ich verwenden KeePassXC unter GNOME und Wayland. Was funktioniert den nicht? Browser (Brave + Firefox) läuft🤓. Für was anderes wie Browser benötige ich das nicht. Sag mal und ich teste das gerne.

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 21:25

Kommt halt sehr auf die Distribution an, bzw. die Version von GNOME, die bestimmte Wayland Protokolle unterstützt oder nicht. Dazu ist es eine Frage, wie die Browser installiert sind. Snap scheint ein Problem zu sein, Flatpak lässt sich lösen:

https://codeberg.org/sockenklaus/keepassxc-flatpak-browser-fix

Christopher
Geschrieben von Christopher am 21. Februar 2026 um 23:46

Debian Stable, Brave aus dem eigenem Repo. Flat, Snap, Appimage, ...für Browser besser nicht. Ich verstehe es nicht! Wenn das nicht funktionieren würde, dann würde ich Debian nicht schon so lange nutzen😁

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 22. Februar 2026 um 21:24

GFlatpaks haben halt den großen Vorteil, dass sie in einer Sandbox laufen und nur bestimmte Rechte haben. Eine per Paketmanager installierte App ist per Root installiert und kann erst mal alles lesen und vieles schreiben. Unter X11 kann jede App sogar jed Tastatureingabe abfangen und auch den Bildschirm jederzeit abfilmen.

Da traue ich den Browsern und v.a. den Webseiten zu wenig, als dass ich das gut finden würde.

trurl
Geschrieben von trurl am 22. Februar 2026 um 11:39

Ich benutze Keepass auch um Passwörter im Terminal einzugeben. In der Dokumentation von KeepassXC heisst es zum Thema AutoType: "Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb commandline flag." Das funktioniert aber nur bei Programmen die unter Wayland einen Fallback auf X11 zulassen. Auto-Type hat aber nichts mit der Browserintegration mittels Firefoxplugin zu tun.

trurl
Geschrieben von trurl am 22. Februar 2026 um 13:41

Ich verwende KeepassXC z. B. auch um Passwörter im Terminal einzutragen. Dazu nutze ich die Auto-Type-Funktion. Da diese auch im Browser funktioniert und ich so wenig Plugins wie möglich in meinen Browsern nutze (Browserfingerprinting), habe ich das Plugin bisher noch nicht benutzt. Keepassxc schreibt in der Dokumentation dazu folgendes: "Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb command-line flag." Das setzt aber voraus, dass das jeweilige Programm den Fallback auf X11 unterstützt. Daher nutze ich unter Debian Stable mit KDE weiterhin X11.

Lioh Möller
Geschrieben von Lioh Möller am 21. Februar 2026 um 10:42

Ich kann deinem letzten Punkt nicht zustimmen. Ich erhalte unter Debian Sid immer aktuelle Versionen. Falls du Stable nutzt, kannst du Firefox aus den offiziellen Repos von Mozilla installieren: https://fediserve.de/preview.php?v=oD4dqUkXOEk

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 16:40

Ich benutze garnichts debian-basiertes mehr aufgrund zu schlechter Erfahrungen mit den Paketen und der Community. Aber das hatten wir ja schon mal.

Aber was hilft mir ein aktueller FireSlop, wenn der Rest des Systems uralt und ohne Support ist?

Christopher
Geschrieben von Christopher am 21. Februar 2026 um 17:41

Ich möchte hier keine Diskussion eröffnen, aber als Debian User mit über 22 Jahren Debian Erfahrung, kann ich solch unqualifizierte Aussagen nicht stehen lassen. Du musst ja echt mal schlechte Erfahrungen gemacht haben im Vergleich zu den Millionen von Debian Usern die scheinbar zufrieden sind.

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 20:15

Ja, leider kann man die nicht anders als katastrophal bezeichnen. Aber das geht hier in der Kommentarspalte zu weit.

Aber zur Grundfrage: gibt es eine einfache Möglichkeit, die KeePass Browser Extension unter Wayland mit einem Flatpak zu betreiben?

Stefan Draxlbauer
Geschrieben von Stefan Draxlbauer am 21. Februar 2026 um 20:53

Habe die Antwort im Github-Issue gefunden:

https://codeberg.org/sockenklaus/keepassxc-flatpak-browser-fix

Ist ein Skript, dass man je nach Browser ausführen lassen kann. Funktioniert auch mit KeePassXC als Flatpak installiert.

Toolted
Geschrieben von Toolted am 21. Februar 2026 um 11:15

Hallo, ich nutze aktuell noch Enpass für meine/unsere Passwörter. Die Synchronisation läuft über meine Hetzner StorageShare (Nextcloud).

Aktuell teste ich Vaultwarden als Ersatz für Enpass. Vaultwarden läuft im Homelab und ist über einen kleinen Server mit Pangolin erreichbar. Der Server und über newt angebundene Dienste sind mit https Zertifikaten ausgestattet, gehärtet und erreicht A+. Neue Vaultwarden Anmeldungen sind in der Konfiguration unterbunden. User erhalten einen Link als Einladung.

Komplexe Passwörter und MFA sind obligatorisch. Das erfordert etwas Aufwand und ist sicher nicht für jeden geeignet. Kostenfrei ist das dann auch nicht und man muss sich selbst darum kümmern.

Grüße Toolted

Herr Hülfe
Geschrieben von Herr Hülfe am 21. Februar 2026 um 21:42

@Lioh: Ich ziehe gerade auf einen neuen Rechner um. Leider lässt sich keepassxc-full unter Debian Sid bei mir nicht installieren. Ich habe folgende Fehlermeldung:

Nichterfüllte Abhängigkeiten:
 keepassxc-full : Hängt ab von: libbotan-3-7 (>= 3.7.1+dfsg) ist aber nicht installierbar
Fehler: Unable to satisfy dependencies. Reached two conflicting assignments:
   1. keepassxc-full:amd64=2.7.10+dfsg1-2 is selected for install
   2. keepassxc-full:amd64 Hängt ab von libbotan-3-7 (>= 3.7.1+dfsg)
      but none of the choices are installable:
      [no choices]

libbotan-3-10 ist bei mir installiert. Vielleicht kannst du mir helfen. 🙏

Danni
Geschrieben von Danni am 22. Februar 2026 um 02:03

"Passwortmanager, die in der Cloud liegen gelten hinlänglich als unsicher .... Wer keine eigene Nextcloud betreiben möchte, hat die Möglichkeit, bei Woelkli einen gratis Account mit 1 GB zu beziehen."

Ist das nicht ein Widerspruch? Und muss bei serverseitiger Verschlüsselung dem Anbieter vertraut werden oder ist das egal? Beim Thema Sicherheit hatte ich es bisher immer so verstanden gehabt, dass man seine Daten vor einen Upload in die Cloud selber verschlüsselt.

Sonne
Geschrieben von Sonne am 22. Februar 2026 um 11:17

Hallo Lioh, gut erklärt, aber warum nutzt du im Jahr 2026 immer noch das Terminal statt einer GUI und warum ein extra Programm, um sichere Passwörter zu generieren? Das funktioniert mit KeePass doch genauso gut. Ergänzend zu deiner Anleitung möchte ich Folgendes anmerken: Es ist sinnvoller, zuerst KeePassXC – mit oder ohne Browser‑Erweiterung – zu installieren. Achtung: Auto‑Type ohne Browser‑Erweiterung funktioniert immer noch nicht unter Wayland. Da ich und viele andere sich bestimmt auch kein komplexes Passwort für den KeePass‑Login merken können, ist es sehr sinnvoll, zusätzlich eine Schlüsseldatei zu nutzen. Diese soll jedoch nicht in die Cloud gestellt, sondern lokal gespeichert werden. Die Schlüsseldatei kann jede beliebige Datei sein; wichtig ist nur, dass sie auf allen Endgeräten identisch bleibt. Jetzt könnt ihr den Login z. B. bei Woelkli starten und gleichzeitig KeePass für die Passwort­erstellung verwenden.

Apu
Geschrieben von Apu am 22. Februar 2026 um 13:12

Ich habe den Text von Lioh zweimal durch gelesen aber nichts dazu gefunden, dass die Keepass-Datei (Datenbank) durch einen zweiten Faktor (Schlüsseldatei) abgesichert werden kann.

Ich betreibe Keepass so schon eine ganze Weile. Die Datenbank selbst liegt bei mailbox.org. Die Schlüsseldatei (zweiter Faktor) auf den jeweiligen Geräten. Ich bilde mir ein damit relativ sicher zu sein.

Marvin
Geschrieben von Marvin am 22. Februar 2026 um 19:45

Wieso ist die Sicherheit grundsätzlich fragwürdig wenn ein 2. Faktor wie eine Authenticator-App zum Einsatz kommt?? Meines Wissens nach stimmt das so nicht. Es ist nur dann etwas fragwürdig, wenn der 2. Faktor auf demselben Gerät erzeugt wird, mit dem man sich auch einloggen tut. Grund: Es muss nur 1 Gerät, statt 2 Geräte kompromitiert werden.

spriggins
Geschrieben von spriggins am 23. Februar 2026 um 14:44

Nimm ein Passwort, z.B. "So1Passw0rt!" und hänge die Domain hinten dran. Also "So1Passw0rt!gnulinux" - gespeichert wird der Hash, da laufen Änderungen in Passwort und Hash vollständig auseinander.

Ich habe drei Passworte - damit bestimmte Sphären des Vertrauens prinzipiell getrennt sind. Die kann ich mir merken. ;)

kamome
Geschrieben von kamome am 24. Februar 2026 um 15:18

Danke, die Browser-Integration halte ich nicht für besonders unsicher, aber mit etwas mehr Aufwand kann man sie sich dennoch sparen (auch das Auto-Typing), bei Systemen wie QubesOS funktioniert das ohnehin nicht (m. W.):

[Ctrl]+[B], [Alt]+[Tab], [Ctrl]+[V], [Tab] oder [Enter] (je nach Anwendung), [Alt]+[Tab], [Ctrl]+[C], [Alt]+[Tab], [Crtl]+[V], [Enter]

Ja, ist nicht ganz so einfach wie ein Klick ;), aber selbst bei 100x Logins am Tag bremst mich das nicht wirklich aus. Die größte Gefahr dabei ist, dass man mit schellen Tataturkürzeln versehentlich an flascher Stelle postet – am Schluss immer noch mal eine halbe Sekunde abwarten und schauen!

Stefan
Geschrieben von Stefan am 26. Februar 2026 um 22:39

Ich nutze seit Jahren keepassxc auf den Desktop Rechnern (Windows wie Linux), die Datei liegt in einer Nextcloud. Synchronisiert wird mit den Nextcloud Desktop Apps. Auf dem mobilen Gerät greife ich per Keepass2Android App via WebDav auf die Datenbank zu. Ich hatte, was dieses Szenario angeht, noch nie Probleme mit der Synchronisierung, bin jedoch auch der einzige User dieses Konstrukts und vermeide es die Datenbank 2 mal gleichzeitig offen zu haben. Das Masterpasswort habe ich im Kopf und eine zusätzliche Schlüssel Datei liegt lokal auf den Geräten. Für mich eine praktikable Lösung und macht mich autark von irgendwelchen online Diensten oder der Notwendigkeit es selbst hosten zu müssen.