Viele der Leser:innen werden den Posten des "Familien-Admins" einnehmen. Sie installieren Anwendungen und richten Zugänge samt Passwörtern ein. Dabei kann es sich einfach nur um Accounts für Streamingdienste handeln, aber auch Passwörter für Pflegeunterlagen, Nextcloud-Konten usw. Auch bei Projekten oder in kleinen Teams sind geteilte Zugangsdaten nützlich. Bei unserem Campusradio mussten beispielsweise Redakteure und Techniker über die entsprechenden Informationen verfügen. Prinzipiell könnte man zwar für diesen Zweck gesonderte Passwortdateien erzeugen und über unterschiedliche Sync-Orten zugänglich machen, aber das bedeutet zusätzlichen Pflegeaufwand. KeepassXC bietet mit "KeeShare" eine elegante Funktion, die innerhalb der eigenen Hauptdatenbank funktioniert.
Vorgehen
Zunächst wird in den Einstellungen die KeeShare-Funktion aktiviert. Wenn nur geteilt wird, so genügt ein Häkchen bei "Export". Wenn ich auch von anderen geteilte Datenbanken integrieren möchte, dann zusätzlich "Import" ankreuzen. Die Felder für "Eigenes Zertifikat" können unausgefüllt bleiben, KeePassXC zertifiziert das für den internen Gebrauch selbstständig.
Für die zu teilenden Passwörter wird innerhalb der eigentlichen Datenbank eine gesonderte Gruppe angelegt. Wenn man unterschiedliche Sets mit unterschiedlichen Gruppen teilen möchte, so legt man entsprechend mehrere (Unter-)Gruppen an. Anschließend zieht man bestehende Einträge in die Gruppe oder erstellt direkt in der Gruppe neue Einträge.
Nun mit Rechtsklick "Gruppe bearbeiten" und dort den Punkt "KeeShare" auswählen:
Zunächst entscheidet man sich für die KeeShare-Variante (1). Wenn nur eine Person Einträge und Änderungen in der geteilten Datenbank vornehmen soll, so wählt man "Exportieren". Die Daten werden dann zentral gepflegt, jede Änderung findet auch automatisch bei den Empfängern Eingang, aber diese können selbst nicht die Datenbank ändern [1].
Arbeitet man mit Kommilitonen an einem Podcast-Projekt oder im Team, so kann die Einstellung "Synchronisieren" sinnvoll sein. Damit kann jede(r) Empfänger:in neue Daten eingeben oder Änderungen vornehmen, die dann auch bei den Gruppen der anderen Beteiligten synchronisiert werden.
Falls zufällig zeitgleich von mehreren Teilnehmern Änderungen vorgenommen werden, so hat KeepassXC im Unterschied zu anderen KeePass-Anwendungen einige Sicherheitsvorkehrungen (so wird die geöffnete Datenbank zunächst im Zwischenspeicher bearbeitet). Kommt es trotzdem zu Konflikten, so werden diese gemeldet und man kann entscheiden, was übernommen werden soll. Grundsätzlich ist es aber eine gute Idee, Sync-Datenbanken an einen Ort zu legen, der Versionierung beherrscht - also z. B. eine Nextcloud zu verwenden.
Unterschiedliche Speicherorte verwenden
Im gleichen Einstellungsfenster wird der Speicherort der Share-Datei angegeben (2). Das ist außerordentlich praktisch, denn damit können für verschiedene Zwecke unterschiedliche Speicherorte eingerichtet werden. Im Screenshot habe ich einen Sambaordner auf meinem Raspberry Pi-Heimserver eingetragen, um von meinem Linux-Mint-PC aus dort die Familiendatenbank abzulegen.
Gleichzeitig könnte ich meine Hauptdatenbank nur auf dem lokalen PC verwalten. Und für die Team-Datenbank einen Hoster mit Nextcloud eintragen. All dies wird nach der Einrichtung von KeepassXC automatisch geregelt - ich muss mich dann um nichts mehr kümmern.
Import auf der Empfängerseite
Auf der Empfängerseite sind die gleichen Schritte notwendig, nur dass diesmal "Import" bei den Einstellungen und bei den Gruppeneinstellungen aktiviert wird. Der Gruppenname, den der Empfänger in seinem eigenen KeepassXC wählt, ist dabei unerheblich ("Familienimport", "Liebe Leute" usw.). Im folgenden Screenshot wurde mit Windows-KeepassXC mit dem Laufwerk "W" auf die Datenbank zugegriffen, die auf dem Raspberry Pi liegt:
Der Sync im Heimnetz über WLAN zwischen unterschiedlichen Geräten dauerte bei mir jeweils 3 bis 4 Sekunden, das sollte für den Alltagsgebrauch in Ordnung sein - man gibt ja nicht ständig neue Passwörter ein.
Mobiler Abruf
Mit mobilen Apps wird auf die Share-Datenbank wie auf jede reguläre KeePass-Datenbank zugegriffen. Mit Android kenne ich mich nicht aus, da ich iOS nutze - dort nehme ich die App KyPass, die u. a. WebDAV beherrscht.
Damit ist ein Nextcloud-Sync problemlos möglich, aber auch der Sync über den Raspberry Pi Homeserver klappt, wenn man dort WebDAV einrichtet. Es gibt andere Apps, die direkt auf Samba-Laufwerke zugreifen können, aber die habe ich nicht getestet. [2]
Sind zwar ein paar Schritte, wenn man das erste Mal KeeShare verwendet. Aber danach läuft alles reibungslos und unauffällig.
Bildnachweis:
Titelbild/Screenshots vom Artikelautor
[1] Ein Empfänger kann zwar Ergänzungen und Änderungen an der empfangenen Share-Datenbank vornehmen, aber diese verbleiben in seiner privaten Datenbank. Ohne Sync-Einstellung wird die Original-Share-Datenbank nicht geändert.
[2] Nebenbei: Auf meinem Raspberry Pi 4 läuft problemlos für kleine Aufgaben eine Nextcloud ohne große Erweiterungen. Kann man mit einem kurzen Befehl einrichten und ist ideal für derartige Sync-Aufgaben im Heimnetz.
Und wieder ein Beispiel von KI-Diebstahl im Titelbild.
Wie gesagt, ich werde es immer und immer wieder erwähnen bis ihr selbst offiziell sagt "jo wir unterstützen Diebstahl, akzeptiere es" oder ihr eure Praxis anpasst. Bei ersterem werde ich dann schlussendlich gehen.
Quelle des Bildes. LEADTOOLS v22.0 Powered by patented artificial intelligence and machine learning https://www.leadtools.com/
Nein. Ich habe das Ausgangsfoto selbst gemacht und einen - auf dem Gerät arbeitenden - Fotofilter auf meinem iPhone benutzt: QVektor.
Und wieder ein Beispiel einer unbewiesenen Anschuldigung, ohne Nachfrage mal einfach so was rausgehauen. Kannst du mal bitte deine Vorgehensweise überarbeiten und deinen unfreundlichen Tonfall mäßigen?
Da der vom Kommentator angegebene Link nichts mit dem Foto zu tun hat, frage ich mich langsam, ob es nicht einfach um eine Spam-Masche geht, damit Leser auf den Link klicken. :-) Ich denke, wir werden derartige Kommentare künftig einfach in den Spam-Ordner schieben und fertig ... Na, geben wir ihm noch eine Chance zur Antwort, falls es sich nicht um einen Bot handelt. Ansonsten lösche ich demnächst.
Danke. Super Artikel, kannte ich noch nicht. Müssen die unterschiedlichen Speicherorte zur Hauptdatenbank immer ereichbar sein? Oder reicht die temporäre Verbindung nur bei Synchronisation. (Laptop: Sync über sshfs zu Hauptrechner mit Datenbank)
Grundsätzlich muss KeepassXC auf die Datenbank zugreifen können. Ist diese gerade geöffnet und nimmt man keine Änderungen vor, die ein Speichern notwendig machen, sollte man die Einträge lesen können, auch wenn z. B. die Verbindung zum Samba-Laufwerk gerade unterbrochen ist. Sofern man die Datenbank via Nextcloud-Desktop-Client synchronisiert, ist die Sache einfacher: Eine lokale Version der Datenbank bleibt ja auch dann im Dateisystem, wenn die Verbindung zum Hoster gerade gestört ist. Änderungen werden dann später mit der Nextcloud automatisch synchronisiert, wenn wieder alle Verbindungen stehen. Zu Samba und Co.: Man könnte als "Notfallplan" durch ein Tool oder ein Skript die Datenbank in einer Ecke des Dateisystems speichern und nur nutzen, wenn es unbedingt sein muss. Für das korrekte Einspielen au dem Netzwerklaufwerk muss man dann sorgen, wenn alles wieder klappt.
Vielen Dank für den tollen Artikel! Von meiner Datenbank mache ich regelmäßig Backups - zum beschriebenen Anwendungsfall habe ich deshalb eine Frage: Wird beim Exportieren von Passwörtern mittel KeyShare (z.B. eine Familiengruppe) nur eine Kopie dieser Gruppe als eigene zusätzliche Datenbank angelegt (d.h. die Passwörter bleiben auch vollständig in der Original-Datenbank erhalten) - oder wird die ursprüngliche Datenbank beim Exportieren mit KeyShare in zwei separate Datenbanken aufgeteilt (d.h. die Familiengruppe wäre nun vollständig in einer eigenen Datenbank, möglicherweise an einem anderen Ort)?
Da habe ich gute Nachrichten: Die Einträge werden dupliziert - nicht aufgespalten. Deine Haupt-Datenbank behält also alle Einträge (bei Sync-Einstellung zusätzlich die Änderungen von anderen). Für die Share-Datenbank werden die Einträge gedoppelt.
Vielen Dank für die Rückmeldung! Und auch nochmals ein dickes Dankeschön für den Artikel. Das klingt nach der idealen Lösung für meine Familie - mit teils technisch uninteressierten Anwendern. ;-)
Bisher habe ich die Passwörter der Familienmitglieder teilweise in meine Datenbank mit aufgenommen, da deutlicher Unwille zum Einrichten und Pflegen einer eigenen Datenbank zum Ausdruck gebracht wurde. KeeShare bietet für meinen Anwendungsfall eine gute Möglichkeit den Rest der Familie langsam an die Nutzung von KeePassXC zu gewöhnen.
Ich kann in einem Umfeld, bei dem zahlreiche Nutzer auf dieselbe Datenbank zugreifen, nur davon abraten Keyshare zu nutzen. Das Hauptproblem sind die Synchronisationsdienste, wie OneDrive, Nextcloud oder Google Drive. Ändert sich ein Eintrag, werden diese sehr oft nicht an die Datenbank und damit an die anderen Nutzer verteilt. Das tritt bereits auf, wenn man eine Datenbank auf dem Android Handy und dem PC nutzen will. Meiner Erfahrung nach funktioniert es auf dem Handy noch gut, dass Aktualisierungen direkt an die Cloud übertragen werden. Am PC sollte man jedoch aktivieren, dass Änderungen direkt in die Datenbank geschrieben werden. Entsprechend sollte man am PC die Warnung dazu in den Einstellungen von KeePass zur Kenntnis nehmen. Fragte mich nach einiger Zeit nämlich, wieso Passwörter auf dem Handy fehlten, die am PC verfügbar waren.
Danke für Deine Erfahrungen. Für den Artikel hatte ich ein kleinen Testaufbau mit Samba-Share und drei, vier Geräten gemacht - da lief es tadellos, fast in "Echtzeit". Kann bei zeitgleicher intensiver Nutzung von vielen Personen je nach Sync-Methode anders aussehen. Im Familienbereich wird es aber in der Regel um gelegentliche Aktualisierungen gehen, da sollte es zu keinen großen Problemen kommen.
Hallo Herbert,
könntest Du vielleicht etwas zu KeePassXC und TOTP schreiben? Ich komme damit nicht so richtig klar. Ich habe mir KeePassXC zwar installiert (Ubuntu MATE 24.04), aber wie geht es dann weiter?
Claus
Gerne. Hier ein paar Stichpunkte:
Wenn Keepass auch auf Windows Rechnern verwendet wird, klappt das leider nicht reibungslos. Problem sind die Pfadangaben (Linux: "/home/user/...." Windows "C:....") Bin noch nicht daraufgekommen. wie man das behebt. Wenn ich den Fehler unter Linux korrigiere, tritt er dann beim nächsten Mal unter Windows auf.... Meine Lösung: ich öffne weitere Keepass Datenbanken bei Bedarf (Keeshare benötigt ja auch eine KDBX Datei und hägt sie ja "nur" als Gruppe ein). Nachteil: man muss immer das PW eingeben und man darf überall schreibend zugreifen.
Eigentlich sollten unterschiedliche Systeme keine Rolle spielen. Ob Linux auf den Samba-Ordner nun mit /mnt, /media, smb: usw. zugreift und Windows auf den gleichen Ort mit y:\192 ... sollte keine Rolle spielen. Aber vielleicht verstehe ich nicht richtig, was Du meinst.