Viele von euch nutzen bereits einen Passwortmanager. Dieser dient der Verwaltung der schieren Flut hoffentlich unterschiedlicher Anmeldedaten mit komplexen Zeichenketten. Ob ein sicheres Passwort nun aus Sonderzeichen, Nummern und Buchstaben oder aus längeren Merksätzen bestehen soll, darüber streiten sich bis heute die Geister. Klar ist jedoch, dass ein einfaches 6–8-8 stelliges Passwort nicht mehr ausreicht, um die benötigte Sicherheit zu gewährleisten, selbst wenn ein 2. Faktor wie eine Authenticator-App zum Einsatz kommt. Wobei die Sicherheit Letzterer grundsätzlich eher fragwürdig ist.
Wer indessen Passwörter nicht im Notizblock speichern möchte, sondern über mehrere Geräte in einer App ablegen will, der ist mit KeePassXC gut bedient. Und genau darum geht es in diesem Video.
Passwortmanager, die in der Cloud liegen, also über eine öffentliche Webseite zugänglich sind, gelten hinlänglich als unsicher. Dies wurde kürzlich auch von Forschenden der ETH Zürich bestätigt.
KeePassXC bietet diese Funktionalität nicht an, und man muss sich daher um den Aspekt der Synchronisation selbst bemühen. Gut geeignet ist dazu beispielsweise eine Nextcloud. Wer keine eigene Nextcloud betreiben möchte, hat die Möglichkeit, bei Woelkli einen gratis Account mit 1 GB zu beziehen. Dieser hat den Vorteil, dass die dort abgelegten Daten auch serverseitig verschlüsselt werden. Eine Funktion, welche nur sehr wenige Anbieter aktiviert haben.
Die benötigten Applikationen lassen sich auf einem Debian-basierten Linux-System wie folgt installieren:
sudo apt install keepassxc-full webext-keepassxc-browser nextcloud-desktop
Die Webextension ermöglicht die Nutzung von KeePassXC in einem Webbrowser. Für den Firefox-Browser lässt sich diese alternativ auch über addons.mozilla.org herunterladen und integrieren.
Nachdem die Nextcloud eingerichtet worden ist, kann die Passwortdatenbank im Verzeichnis, welches für die Nextcloud-Synchronisation eingerichtet wurde, abgelegt werden. Für den Zugriff darauf muss ein starkes Passwort vergeben werden, welches man sich gut merken kann, denn es wird zukünftig zum Entsperren der Datenbank benötigt.
Die Browsererweiterung muss daraufhin noch mit der KeePassXC-Installation verbunden werden. Dazu vergibt man einen entsprechenden Namen, und schon können Anmeldedaten auf Webseiten in der Passwortdatenbank abgespeichert werden.
Um auf diese Passwörter auch unterwegs zugreifen zu können, kann unter Android die Applikation KeePassDX genutzt werden. Diese lässt sich wahlweise über F-Droid (empfohlen) oder den PlayStore installieren.
Der Zugriff auf die Passwortdatenbank kann entweder über den Nextcloud-Client für Android oder besser noch über eine WebDAV-Verbindung mit der Nextcloud erfolgen. Letztere bietet einen direkten Zugriff und so werden mögliche Synchronisationskonflikte vermieden. Dazu eignet sich die Anwendung DAVx5, welche bevorzugt aus dem F-Droid Store installiert werden kann
Die so eingerichtete Passwortdatenbank ist nicht nur vor unliebsamen Blicken geschützt, sondern wird auch über verschiedene Endgeräte hinweg synchron gehalten. Wer bis anhin noch Passwörter im Notizblock ablegt, hat hiermit zumindest eine Möglichkeit, dies in Zukunft digital zu tun.
Tuxwiz
Hast du Lust, das Linux-Betriebssystem auf eine unterhaltsame Weise kennenzulernen? Dann schau unbedingt auf meinem Peertube-Kanal Tuxwiz vorbei! ✨
Meine Videos führen dich Schritt für Schritt durch die aufregende Welt von Linux, Selfhosting und Freier Software.
Ich freue mich auch, wenn du mir auf Mastodon folgst. Dort erfährst du immer sofort, wenn es etwas Neues zu entdecken gibt.
Die Spacefun-Community findest du auf Telegram via XMPP und ganz neu auch auf Delta Chat. Falls du Delta Chat bisher nicht kennst, schaue dir gerne den ausführlichen Messenger Testbericht dazu an.
Getreu dem Motto «Raus aus der Bubble» bin ich mit meinem Kanal auch auf YouTube vertreten. Indem du mir dort folgst und ein Daumen hoch auf meine Videos gibst, hilfst du, die Sichtbarkeit zu steigern. So können wir gemeinsam Menschen erreichen, die bisher noch keinen Kontakt mit Freier Software hatten.
Mein Kanal auf YouTube: https://www.youtube.com/@tuxwiz
Die Einsteiger-Playlist auf YouTube: https://www.youtube.com/playlist?list=PLJlnbs0kQiZiWks57CPOoCOnUlFwbZWQp
Meine Linux-Distribution Spacefun: https://www.spacefun.ch
Die beliebten Fediverse-Shirts gibt es hier: https://spacefun.tpopsite.com

Hallo Lioh, schönes Thema. Wie immer gut aufbereitet. Vielen Dank dafür🤗. KeePassXC nutze ich schon eine ganze Zeit. Funktioniert super. Auch die Autofillin Funktion für meine Browser (Brave, Firefox) funktioniert hervorragend. Bisher nutze ich den KeePassXC nur auf dem Desktop und Laptop und sehe von der Synchronisation ab, da überschaubar. Meine Vorstellung ist eher gar keine Informationen nach außen zu reichen. Daher würde ich eine Synchronisation über das heimische NAS anstreben. Das könnte zb mit Synchthing realisiert werden. Gibt auch noch gefühlt 1.000 andere Möglichkeiten. Voraussetzung wäre natürlich, dass du dann häufig genug zu Hause bist😉. Wie gesagt, bisher habe ich davon abgesehen, werde das aber irgendwann in Angriff nehmen. Für jemanden der keine Nextcloud hat und nicht haben möchte, vielleicht eine Alternative. Ich finde eine Nextcloud immer einen großen Schritt und Dinge die mir wichtig sind nach außen zu verlagern (verschlüsselt hin oder her), finde ich auch überdenkenswert. Schönes Wochenende
Ich benutze tatsächlich für einige Daten Nextcloud, aber für sowas sensibles nur Peer-To-Peer Syncthing. Mehr traue ich da nicht!
Hinweis: der Nextcloud -Instanz sollte man natürlich vertrauen bzw. die eigene, gut geschützte sein. Zwar ist die KeePass Datenbank verschlüsselt, hat aber keine Zeit zwischen Passwort-Eingaben. D.h. Bruteforce ist möglich.
Ich synchronisiere nur mit SyncThing Peer-To-Peer zwischen meinen Geräten, da ich der Cloud in dem Punkt nicht vertraue.
Gibt es eigentlich mittlerweile einen guten Weg, die Browser-Bridge in Flatpak Apps reinzuziehen? Gerade bei debian-basierten Distributionen kommt man aus Sicherheits- und Kompatibilitätsgründen um Flatpak nicht herum.
Danke für den Artikel. Ich nutze KeepassXC und KeepassDX schon seit vielen Jahren und verwalte damit sämtliche Passwörter, also nicht nur Logins im Browser. Die dazu verwendete Funktion nennt sich Autotype und funktioniert unter X11 problemlos. Unter Wayland lässt sie sich momentan nicht verwenden. An einer Lösung wird laut gitrepo aber gearbeitet. (Ich halte das für eine wichtige Info.) LG
Ich verwenden KeePassXC unter GNOME und Wayland. Was funktioniert den nicht? Browser (Brave + Firefox) läuft🤓. Für was anderes wie Browser benötige ich das nicht. Sag mal und ich teste das gerne.
Kommt halt sehr auf die Distribution an, bzw. die Version von GNOME, die bestimmte Wayland Protokolle unterstützt oder nicht. Dazu ist es eine Frage, wie die Browser installiert sind. Snap scheint ein Problem zu sein, Flatpak lässt sich lösen:
https://codeberg.org/sockenklaus/keepassxc-flatpak-browser-fix
Debian Stable, Brave aus dem eigenem Repo. Flat, Snap, Appimage, ...für Browser besser nicht. Ich verstehe es nicht! Wenn das nicht funktionieren würde, dann würde ich Debian nicht schon so lange nutzen😁
GFlatpaks haben halt den großen Vorteil, dass sie in einer Sandbox laufen und nur bestimmte Rechte haben. Eine per Paketmanager installierte App ist per Root installiert und kann erst mal alles lesen und vieles schreiben. Unter X11 kann jede App sogar jed Tastatureingabe abfangen und auch den Bildschirm jederzeit abfilmen.
Da traue ich den Browsern und v.a. den Webseiten zu wenig, als dass ich das gut finden würde.
Ich benutze Keepass auch um Passwörter im Terminal einzugeben. In der Dokumentation von KeepassXC heisst es zum Thema AutoType: "Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb commandline flag." Das funktioniert aber nur bei Programmen die unter Wayland einen Fallback auf X11 zulassen. Auto-Type hat aber nichts mit der Browserintegration mittels Firefoxplugin zu tun.
Ich verwende KeepassXC z. B. auch um Passwörter im Terminal einzutragen. Dazu nutze ich die Auto-Type-Funktion. Da diese auch im Browser funktioniert und ich so wenig Plugins wie möglich in meinen Browsern nutze (Browserfingerprinting), habe ich das Plugin bisher noch nicht benutzt. Keepassxc schreibt in der Dokumentation dazu folgendes: "Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb command-line flag." Das setzt aber voraus, dass das jeweilige Programm den Fallback auf X11 unterstützt. Daher nutze ich unter Debian Stable mit KDE weiterhin X11.
Ich kann deinem letzten Punkt nicht zustimmen. Ich erhalte unter Debian Sid immer aktuelle Versionen. Falls du Stable nutzt, kannst du Firefox aus den offiziellen Repos von Mozilla installieren: https://fediserve.de/preview.php?v=oD4dqUkXOEk
Ich benutze garnichts debian-basiertes mehr aufgrund zu schlechter Erfahrungen mit den Paketen und der Community. Aber das hatten wir ja schon mal.
Aber was hilft mir ein aktueller FireSlop, wenn der Rest des Systems uralt und ohne Support ist?
Ich möchte hier keine Diskussion eröffnen, aber als Debian User mit über 22 Jahren Debian Erfahrung, kann ich solch unqualifizierte Aussagen nicht stehen lassen. Du musst ja echt mal schlechte Erfahrungen gemacht haben im Vergleich zu den Millionen von Debian Usern die scheinbar zufrieden sind.
Ja, leider kann man die nicht anders als katastrophal bezeichnen. Aber das geht hier in der Kommentarspalte zu weit.
Aber zur Grundfrage: gibt es eine einfache Möglichkeit, die KeePass Browser Extension unter Wayland mit einem Flatpak zu betreiben?
Habe die Antwort im Github-Issue gefunden:
https://codeberg.org/sockenklaus/keepassxc-flatpak-browser-fix
Ist ein Skript, dass man je nach Browser ausführen lassen kann. Funktioniert auch mit KeePassXC als Flatpak installiert.
Hallo, ich nutze aktuell noch Enpass für meine/unsere Passwörter. Die Synchronisation läuft über meine Hetzner StorageShare (Nextcloud).
Aktuell teste ich Vaultwarden als Ersatz für Enpass. Vaultwarden läuft im Homelab und ist über einen kleinen Server mit Pangolin erreichbar. Der Server und über newt angebundene Dienste sind mit https Zertifikaten ausgestattet, gehärtet und erreicht A+. Neue Vaultwarden Anmeldungen sind in der Konfiguration unterbunden. User erhalten einen Link als Einladung.
Komplexe Passwörter und MFA sind obligatorisch. Das erfordert etwas Aufwand und ist sicher nicht für jeden geeignet. Kostenfrei ist das dann auch nicht und man muss sich selbst darum kümmern.
Grüße Toolted
@Lioh: Ich ziehe gerade auf einen neuen Rechner um. Leider lässt sich keepassxc-full unter Debian Sid bei mir nicht installieren. Ich habe folgende Fehlermeldung:
libbotan-3-10 ist bei mir installiert. Vielleicht kannst du mir helfen. 🙏
"Passwortmanager, die in der Cloud liegen gelten hinlänglich als unsicher .... Wer keine eigene Nextcloud betreiben möchte, hat die Möglichkeit, bei Woelkli einen gratis Account mit 1 GB zu beziehen."
Ist das nicht ein Widerspruch? Und muss bei serverseitiger Verschlüsselung dem Anbieter vertraut werden oder ist das egal? Beim Thema Sicherheit hatte ich es bisher immer so verstanden gehabt, dass man seine Daten vor einen Upload in die Cloud selber verschlüsselt.
Hallo Lioh, gut erklärt, aber warum nutzt du im Jahr 2026 immer noch das Terminal statt einer GUI und warum ein extra Programm, um sichere Passwörter zu generieren? Das funktioniert mit KeePass doch genauso gut. Ergänzend zu deiner Anleitung möchte ich Folgendes anmerken: Es ist sinnvoller, zuerst KeePassXC – mit oder ohne Browser‑Erweiterung – zu installieren. Achtung: Auto‑Type ohne Browser‑Erweiterung funktioniert immer noch nicht unter Wayland. Da ich und viele andere sich bestimmt auch kein komplexes Passwort für den KeePass‑Login merken können, ist es sehr sinnvoll, zusätzlich eine Schlüsseldatei zu nutzen. Diese soll jedoch nicht in die Cloud gestellt, sondern lokal gespeichert werden. Die Schlüsseldatei kann jede beliebige Datei sein; wichtig ist nur, dass sie auf allen Endgeräten identisch bleibt. Jetzt könnt ihr den Login z. B. bei Woelkli starten und gleichzeitig KeePass für die Passworterstellung verwenden.
Ich habe den Text von Lioh zweimal durch gelesen aber nichts dazu gefunden, dass die Keepass-Datei (Datenbank) durch einen zweiten Faktor (Schlüsseldatei) abgesichert werden kann.
Ich betreibe Keepass so schon eine ganze Weile. Die Datenbank selbst liegt bei mailbox.org. Die Schlüsseldatei (zweiter Faktor) auf den jeweiligen Geräten. Ich bilde mir ein damit relativ sicher zu sein.
Wieso ist die Sicherheit grundsätzlich fragwürdig wenn ein 2. Faktor wie eine Authenticator-App zum Einsatz kommt?? Meines Wissens nach stimmt das so nicht. Es ist nur dann etwas fragwürdig, wenn der 2. Faktor auf demselben Gerät erzeugt wird, mit dem man sich auch einloggen tut. Grund: Es muss nur 1 Gerät, statt 2 Geräte kompromitiert werden.
Nimm ein Passwort, z.B. "So1Passw0rt!" und hänge die Domain hinten dran. Also "So1Passw0rt!gnulinux" - gespeichert wird der Hash, da laufen Änderungen in Passwort und Hash vollständig auseinander.
Ich habe drei Passworte - damit bestimmte Sphären des Vertrauens prinzipiell getrennt sind. Die kann ich mir merken. ;)
Danke, die Browser-Integration halte ich nicht für besonders unsicher, aber mit etwas mehr Aufwand kann man sie sich dennoch sparen (auch das Auto-Typing), bei Systemen wie QubesOS funktioniert das ohnehin nicht (m. W.):
[Ctrl]+[B], [Alt]+[Tab], [Ctrl]+[V], [Tab] oder [Enter] (je nach Anwendung), [Alt]+[Tab], [Ctrl]+[C], [Alt]+[Tab], [Crtl]+[V], [Enter]
Ja, ist nicht ganz so einfach wie ein Klick ;), aber selbst bei 100x Logins am Tag bremst mich das nicht wirklich aus. Die größte Gefahr dabei ist, dass man mit schellen Tataturkürzeln versehentlich an flascher Stelle postet – am Schluss immer noch mal eine halbe Sekunde abwarten und schauen!
Ich nutze seit Jahren keepassxc auf den Desktop Rechnern (Windows wie Linux), die Datei liegt in einer Nextcloud. Synchronisiert wird mit den Nextcloud Desktop Apps. Auf dem mobilen Gerät greife ich per Keepass2Android App via WebDav auf die Datenbank zu. Ich hatte, was dieses Szenario angeht, noch nie Probleme mit der Synchronisierung, bin jedoch auch der einzige User dieses Konstrukts und vermeide es die Datenbank 2 mal gleichzeitig offen zu haben. Das Masterpasswort habe ich im Kopf und eine zusätzliche Schlüssel Datei liegt lokal auf den Geräten. Für mich eine praktikable Lösung und macht mich autark von irgendwelchen online Diensten oder der Notwendigkeit es selbst hosten zu müssen.