Die Binsenweisheit, einen Passwort-Manager zur Vergabe und Verwaltung aller Passwörter zu verwenden (ausser dem Master-Passwort), überrascht niemanden mehr. Hand aufs Herz, gibt es in unserer Community Leser:innen, die keinen Passwort-Manager verwenden? Na egal, ihr würdet es nicht zugeben.
Welchen Passwort-Manager man verwenden sollte, ist auch geklärt:
Selbstverständlich gibt es weitere freie Passwort-Manager, aber KeePass kommt am häufigsten zum Einsatz (behaupte ich).
In diesem Artikel geht es nicht um KeePass an sich, sondern um die Art und Weise, wie Passwörter von KeePass in die Login-Fenster von Anwendungen (Web-Anwendungen) übertragen werden. KeePass bietet dafür vier Möglichkeiten:
- Copy & Paste
- Autotype manuell
- Autotype per Tastenkürzel
- Browser-Erweiterung
- und als Bonus, der nichts mit KeePass zu tun hat: Passwort-Verwaltung in Firefox
Copy & Paste
Die Copy & Paste Methode ist die unsicherste und aufwändigste. Sie funktioniert so: Du bist auf einer Webseite oder einer Anwendung im Login-Dialog. Dann startest du KeePass und suchst den gewünschten Account.
Dann klickt man auf das Icon für den Benutzernamen, wechselt zum Login-Dialog der Webseite und fügt ihn dort in das Feld ein. Nun geht es zurück zu KeePass, wo man auf das Icon für das Passwort klickt, zum Login-Dialog wechselt und das Passwort dort einfügt. Ihr seht es - das ist maximal unbequem. Ausserdem ist es unsicher, weil Benutzername und Passwort über die Zwischenablage eures Computers oder Smartphones durchgereicht werden. Wer weiss, welche Malware eure Zwischenablage abfängt?
- Sicherheit: ⭐
- Benutzerfreundlichkeit: ⭐
Autotype manuell
Im letzten Screenshot seht ihr das Tastatur-Icon. Damit kann man eine Übertragung von Benutzername und Passwort an einen Login-Dialog auslösen. Auch bei dieser Methode muss man vorher in KeePass den Account auswählen. Dann kommen zwei Abfragen:
KeePass fragt nach einer Bestätigung
Gnome (oder Wayland) fragt nach einer Bestätigung
Danach werden der Benutzername und das Passwort in den Anmeldedialog eingetragen und das Login ausgelöst. Das funktioniert noch lange nicht bei allen Login-Fenstern. Ausserdem leuchtet im Top-Panel von Gnome die Benachrichtigung über einen freigegebenen Bildschirm:
Diese Variante ist auch nicht befriedigend, weil zu viele Sicherheitsabfragen abgeklickt werden müssen. Der Vorteil dieser Methode ist, dass die Credentials nicht über die Zwischenablage geteilt werden, sondern direkt an den Login-Dialog gesendet werden (das ist meine unbestätigte Vermutung).
- Sicherheit: ⭐ ⭐
- Benutzerfreundlichkeit: ⭐
Autotype per Tastenkürzel
In den Einstellungen von KeePass kann man die Autotype-Funktion konfigurieren:
Die Idee ist, dass man in KeePass den Account nicht mehr auswählen muss, sondern dass dieser über den Titel oder die URL automatisch gewählt wird. Ausserdem gibt es ein Tastenkürzel, mit welchem diese Aktion ausgelöst werden kann. KeePass läuft; man befindet sich im Login-Dialog und drückt das Tastenkürzel. Bei mir funktioniert das nicht. Selbstverständlich habe ich überprüft, ob Meta+K nicht bereits belegt ist. Ausserdem habe ich in der Dokumentation von KeePassXC diesen Hinweis gefunden:
Also habe ich KeePass im Terminal so gestartet: keepassxc -platform xcb
Auch das hat nicht funktioniert. Ich freue mich, wenn ihr in den Kommentaren eure Erfahrung dazu mitteilt. Eine Bewertung zu dieser Methode kann ich nicht abgeben:
- Sicherheit: ?
- Benutzerfreundlichkeit: ?
Browser-Erweiterung
Bei der vierten Variante installiert man im Webbrowser die Erweiterung für KeePassXC. Damit greift Firefox direkt auf die in KeePassXC gespeicherten Konten zu. Dafür muss KeePassXC laufen; die Erweiterung startet KeePass nicht automatisch. Die Einstellmöglichkeiten dieser Browser-Erweiterung sind sehr umfangreich. Ich habe dort keine Änderungen vorgenommen; es läuft mit den Standardeinstellungen.
Allerdings muss man in den Einstellungen von KeePassXC die Browser-Integration einschalten und ggf. konfigurieren:
Auch hier darf man faul sein und lediglich den Haken bei "Browserintegration aktivieren" setzen. Jetzt könnt ihr ausprobieren, ob es funktioniert und wie es sich anfühlt. Als Beispiel verwende ich die Anmeldung bei meiner Nextcloud:
Im ersten Eingabefeld seht ihr nun das KeePass-Icon mit einem roten Kreuz und dem Hinweis, dass die Verbindung zu KeePassXC getrennt ist und das, obwohl KeePassXC läuft. Nach einem Klick auf dieses Icon verschwindet zwar das rote Kreuz, dafür erscheint eine Fehlermeldung, die darauf hinweist, dass die Erweiterung noch nicht mit der Datenbank verbunden ist. Ein Klick auf das Icon der Erweiterung (rechts oben im Browser) verrät, wie es weitergeht:
Nach dem Klick auf "Verbinden" öffnet sich ein Dialog von KeePassXC:
Man beachte, dass dieser Dialog die gerade aktive KeePass-Datenbank (tresor) vorschlägt. Somit wird die Interaktion mit mehreren Datenbanken möglich. Nun gibt man der Verbindung einen Namen und klickt auf "Speichern und Zugriff erlauben". Damit ist die einmalige Einrichtung abgeschlossen. Wenn man jetzt auf das Icon im Anmeldedialog klickt, erhält man einen Vorschlag, der sich aus der Suche nach Titel und/oder URL der Webseite ergibt:
Das erstmalige Einrichten ist ein wenig nervig, aber danach läuft die Integration problemlos.
- Sicherheit: ⭐ ⭐ ⭐
- Benutzerfreundlichkeit: ⭐ ⭐
Wer mehr über die Browser-Erweiterung wissen möchte, kann einen Blick in die gute Dokumentation werfen.
Passwort-Verwaltung in Firefox
Als Bonus-Kapitel und Alternative möchte ich noch auf die integrierte Passwort-Verwaltung von Firefox eingehen. Die Funktion könnt in unter Einstellungen, Datenschutz & Sicherheit aktivieren:
Wer seine so gespeicherten Passwörter über mehrere Geräte synchronisieren möchte, kann die Synchronisation in Firefox einschalten. Die Accounts werden von Firefox Ende-zu-Ende verschlüsselt. In den letzten zehn Jahren habe ich von keinem Fall gehört, bei dem diese Passwort-Verwaltung kompromittiert wurde. Im Vergleich zu den oben genannten Methoden halte ich die Passwort-Verwaltung in Firefox für sehr benutzerfreundlich.
Insbesondere in Kombination mit der Synchronisation sollte sich jede:r überlegen, wie weit man einem Webbrowser und der Mozilla-Cloud vertraut. Selbst wenn man dem gewogen ist, ist das kein Ersatz für einen separaten Passwort-Manager wie KeePassXC (oder KeePassDX auf Android).
- Sicherheit: ⭐ ⭐
- Benutzerfreundlichkeit: ⭐ ⭐ ⭐
Fazit
Die Verwendung eines separaten Passwort-Managers ist ein Muss. Dafür bietet sich KeePassXC/DX an. Der Einsatz der im Browser integrierten Passwort-Verwaltung sehe ich als bequemen Zusatz, jedoch nicht als Ersatz. Die Browser-Integration von KeePass ist beim erstmaligen Einrichten ein wenig nervig, bietet danach aber fast den gleichen Komfort wie die Passwort-Verwaltung von Firefox.
KeePass bietet bewusst keine eingebaute Cloud-Synchronisation an. Wer das haben möchte, kann die KeePass-Datenbank selbst über Nextcloud (oder Ähnliches) synchronisieren. Dabei ist darauf zu achten, dass man seine Nextcloud selbst kontrolliert oder bei einem vertrauenswürdigen Hoster betreibt.
In KeePass könnt ihr die Passwort-Stärke auf "volle Pulle" drehen. Dabei seid ihr nur durch das begrenzt, was die Dienste als maximale Passwort-Länge akzeptieren. Ausserdem bietet die Anwendung Funktionen, um gleiche Accounts bei verschiedenen Diensten aufzuspüren. Wer bei mehreren Diensten dasselbe Passwort verwendet, hat verloren.
Die Sicherheit von Passwort-Managern (egal ob KeePass oder in Firefox) steht und fällt mit der Stärke des Master-Passworts. Hierbei gilt es, einen Kompromiss zwischen Sicherheit und Merkbarkeit zu finden. Als Daumenregel sollte euer Master-Passwort eine Entropie von mindestens 100 Bit haben. Der Datenschutzbeauftragte des Kantons Zürich bietet dafür die Webseite https://www.passwortcheck.ch/ an. Wenn ich mein Master-Passwort dort prüfe, erhalte ich:
Tja, 87 Bit ist nicht gut genug. Es ist an der Zeit, mir ein Neues zu überlegen. Und jetzt bin ich auf eure Kommentare gespannt.
Titelbild: https://keepassxc.org/
Quellen:
https://keepassxc.org/docs/KeePassXC_GettingStarted#_browser_integration
https://support.mozilla.org/de/kb/passworter-verwalten-speichern-loeschen-aendern
Bei "Autotype manuell" sollte man immer darauf achten dass man {PASSWORD} auswählt und dann selbst mit Enter bestätigt. Mit der Kombination {PASSWORD}+{ENTER} kann ein Passwort auch mal in ungewünschte Stellen eingefügt und direkt weggeschickt werden.
Hallo,
danke für den Artikel. Der ist interessant und wird vielen eine gute Starthilfe sein.
Ich verwende keepass und mittlerweile die oben verwendeten Derivate seit über 20 jahren privat wie beruflich. Seit einiger Zeit habe ich mich genau mit diesen Optionen im Artikel beschäftigt und alles außer Autotyp ausgeschlossen. Dazu gleich noch mehr.
Woran es vermutlich gelegen hat ist, dass es im Browser nicht funktioniert da die Zuordnung nicht eindeutig klappt. Dazu gibt's ein Plugin namens "URL in Titel" das man dazu verwenden kann (es gibt auch andere aber das wurde genau für Keepasser geschrieben)
für Chrome: https://chromewebstore.google.com/detail/url-in-title/ignpacbgnbnkaiooknalneoeladjnfgb
Für Firefox: https://addons.mozilla.org/en-US/firefox/addon/title-has-url/
Sobald das läuft kann man den passenden Browser Tab eindeutig als "Anwendung" auswählen und dann geht das mit sehr vielen logins sehr zuverlässig. Zudem kann man die tastenkombinationen anpassen.
Um bei Logins mit Seitenwechsel von user dann auf Passwort Eingabe zu kommen braucht man in der Regel ein nochein {Delay=1000}. Die hilfe ist da ganz gut. Zudem habe ich auch überall die optionale twoway confiscation unten im Autotype tab eingeschaltet. Das macht das ganze erheblich sicherer aber etwas wenigerrobust.
Wie sicher und zuverlässig die Browser Plugins für keepass sind kann niemand 100%tig sagen. Aber eins ist klar, sie haben vollumfänglich Zugriff auf die geöffnete Datenbank. Die Überlegung so etwas zu verwenden hat bei mir ca 200 ms überlebt und seitdem war für mich klar das ich mehr Komfort nicht brauche.das verbieten der gesunde Menschenverstand...
7brigens, unter Windows hat das Original Keepass ende 2024 einen Sicherheits Audit des BSIs ohne Beanstandung überstanden! Allein dafür kann man dem Entwickler mit gesenktem Haupt gratulieren! Voller Respekt!
Die Browser option die dafür sorgt das ich meine aller wertvollsten Daten, meine gesammelten Passwörter und Zugänge Mozilla, Google Microsoft oder Apple anzuvertraue kommen schon gleich gar nicht in Frage.
Mein Keepass synchronisiere ich aktuell Lokal mit einem virtuellen syncthing Server und wenn ich unterwegs bin schalte ich mich per vpn ins Netzwerk um zu synchronisieren. Das klappt zuverlässig und ist wirklich sehr bequem auf allen Geräten OS unabhängig alles synchron zu halten selbst wenn diese nur im lokalen WLAN und nicht im Internet verbunden sind.
Bin ich gespannt auf das Update deines Artikels...
Wenn man seine Passwort-Datenbank synchronisiert, macht es Sinn, nicht nur ein Master-Passwort zu verwenden sondern als zweiten Faktor noch ein Keyfile. Und das wird natürlich nicht synchronisiert und liegt nur auf den Endgeräten vor.
X11 funktioniert Autotype per Tastenkürzel wunderbar aber unter Wayland (Manjaro Sway) funktioniert Autotype per Tastenkürzel noch nicht. Dazu gibt es bei KeypassXC ein offenen Bug bzw. Feature Request. Das Problem ist wohl, dass globale Shortcuts und Autotype unter Wayland nicht so einfach funktionieren wie unter X11. (https://github.com/keepassxreboot/keepassxc/issues/2281) Ich warte schon sehnsüchtig darauf, dass es wieder funktioniert, denn damit kann man auch im Terminal verschiedene Passwörter eingeben lassen, denn die meisten Terminals können den aktuellen Befehl oder Server in der Titelleiste anzeigen. Das erkennt dann KeepassXC und wählt den passenden Eintrag aus oder gibt eine auswahl, falls mehrere zutreffen.
Hallo, zur Info. Am Anfang auf Debian 12 Stable mit KDE Plasma (Wayland) hat Auto Type mit dem Parameter "keepassxc -platform xcb" funktioniert.
Nach einem Kernelupdate nicht mehr!
Weiß leider nicht mehr mit welcher Version es nicht mehr funktioniert hat.
grEEtZ, gongoscho
Auch bei mir läuft KeepassXC schon seit Ewigkeiten, aber nur als Standalone. Den Browserplugins vertraue ich nicht. Ich kopiere normalerweise Nutzer und Passwort einzeln in die entspr. Felder (gerade weil, wie Chris es schon vor mir geschrieben hat), bei Autotype ein Passwort auch mal da eingefügt wird, wo es nicht hin soll.
Je nachdem, wer wie wo ein Passwort prüft, kommen andere Werte dabei raus. Die empfohlene Seite Passwortcheck ist nur eine von vielen...
Im in dem Artikel erwähnten Passwort-Manager gibt es die Funktion "Passwortgenerator" unter dem Reiter "Werkzeuge". Wenn ich ein Passwort auf Sicherheit prüfen wollen würde, könnte ich mir vorstellen, diese doch naheliegende Funktion an erster Stelle dort zu nutzen als das Passwort zur Prüfung auf eine Webseite einzutragen ;-) Die Entropie wird dort auch angezeigt - in Verbindung mit einem (wenn sicher) grünen Balken...
Das ist richtig. KeePassXC bietet einen guten Passwort- und Passphrase-Generator, der dir die Entropie der Passwort-Stärke anzeigt. Mit dem Aufruf einer Webseite zur Prüfung der Passwort-Stärke, kannst du dir eine zweite Meinung einholen.
Das verstehe ich ehrlich gesagt nicht. Das ist doch reine Mathematik - wozu brauche ich da eine (zweite) Meinung?
> die Erweiterung für KeePassDX.
Da sollte wohl eigentlich KeePassXC stehen. :)
Danke. Ist korrigiert.
Und wie schaut das bitte aus, wenn ich mich von "irgendeinem" anderen PC, laptop, Handy in meine accounts einloggen will / muss? Z.B. öffentlich zugänglicher PC in einer Bibliothek, der laptop von meinem Kumpel, weil mein laptop noch in der Bahn fährt und ich schon ausgestiegen bin, etc. Mein Passwort-Tresor ist (noch) mein Kopf :)
Ich verstehe deinen Kommentar als Übung für Medienkompetenz. Selbstverständlich möchtest du dich nicht über einen fremden Computer mit deinen Accounts anmelden.
Okay, ich mag KeypassXC und benutze es auch. Auf dem Linux-Desktop, dem Linux-Laptop und dem "Ausrutscher", einem Windows-Convertible. Und ja, mit der Firefox-Erweiterung. Auch die Synchronisierung der Datenbank mit Syncthing läuft seit Jahren ohne Probleme.
Allerdings gibt es zwei Dinge, dich mich in der täglichen Arbeit am Laptop und Convertible (der oft genutzten "Unterwegs-Schreibmaschine") ungeheuer nerven:
Laptop und Convertible werden gefühlt 50 mal am Tag auf- und zugeklappt. Schlafmodus. Aufklappen. Wieder anmelden. Und dann jedes Mal wieder an KeepassXC denken und das lange Master-Passwort neu eingeben. Es nervt. Ungeheuer. Mit dem Erfolg, dass ich doch wieder die Firefox-Passwortverwaltung nutze, die so wunderbar benutzerfreundlich ist und sich mit den anderen Geräten synchronisiert. Ohne Nachdenken – einfach produktiv sein. Dabei wollte ich doch eigentlich genau die mit KeepassXC ablösen …
Warum zum Henker kann eine Passwortverwaltung nicht erkennen, dass man sich bereits erfolgreich als legitimer Benutzer eingeloggt hat und dann auf die erneute Eingabe des Master-Passworts nach dem Aufwachen verzichten?
Auf inzwischen sehr vielen Websites funktioniert das KeepassXC-Popup zum Eintragen/Ändern von Zugangsdaten nicht (mehr). Das macht es enorm schwer, neue bzw. geänderte Zugangsdaten in KeepassXC zu übernehmen. Die Passwortverwaltung von Firefox kann das deutlich besser. Und schon wieder landet man beim "falschen" System … einfach, weil's viel bequemer ist.
So, genug geschimpft. KeepassXC ist toll. Wirklich. Irgenwie sollte aber doch die Benutzerfreundlichkeit der Firefox-Lösung erreicht werden. Das wäre dann wirklich toll. Weil es mehr Leute benutzen würden – nicht nur Nerds, sondern auch Normalos. ;-)
Übrigens lieben Dank für die schöne Übersicht "Was gibt es? Wie funktioniert es?" Dieser Artikel dürfte für viele hilfreicher sein als die komplexe Dokumentation.
"Warum zum Henker kann eine Passwortverwaltung nicht erkennen, dass man sich bereits erfolgreich als legitimer Benutzer eingeloggt hat und dann auf die erneute Eingabe des Master-Passworts nach dem Aufwachen verzichten?"
Du kannst doch KeepassXC so einstellen, dass die Datenbank beim Zuklappen/Sperren/etc. nicht gesperrt wird. Ist ganz einfach...
Du hast recht, das habe ich bei den vielen Optionen tatsächlich jahrelang übersehen! Dankeschön, dieser Tipp hilft ungemein und invalidiert den Haupt-Kritikpunkt meines Beitrags. I stand corrected.
War bei mir zu finden unter Anwendungseinstellungen -> Sicherheit -> Datenbanken sperren, wenn Sitzung gesperrt oder Deckel zugeklappt wird. KeePassXC macht schlagartig wieder mehr Freude.
Das mit der Datenbank sperren müsstest anpassen können, dass er diese beim Zuklappen nicht sperrt. Das ist halt das allgemein bekannte Dilemma Sicherheit vs Bequemlichkeit und musst eh mit dir selber ausmachen.
Das mit dem "Popup" meinst wohl die Autotype Funktion? Die geht wegen Wayland derzeit nicht und sie arbeiten an einem fix.
Ich wundere mich eigentlich warum hier immer nur über KeePass berichtet wird. Ich bin vor vier Jahren von KeePass auf Bitwarden + Vaultwarden (beides OpenSource) umgestiegen und bereue keine Sekunde. Wenn ihr nur irgendwie die Möglichkeit habt einen TLS-terminierten Web-Service auf eurem Homeserver oder in der Cloud zu hosten dann nehmt lieber Vaultwarden als Passwort-Safe.
Hier nur ein paar Gründe: