1 month ago
Die Binsenweisheit, einen Passwort-Manager zur Vergabe und Verwaltung aller Passwörter zu verwenden (ausser dem Master-Passwort), überrascht niemanden mehr. Hand aufs Herz, gibt es in unserer Community Leser:innen, die keinen Passwort-Manager verwenden? Na egal, ihr würdet es nicht zugeben.
Welchen Passwort-Manager man verwenden sollte, ist auch geklärt:
Selbstverständlich gibt es weitere freie Passwort-Manager, aber KeePass kommt am häufigsten zum Einsatz (behaupte ich).
In diesem Artikel geht es nicht um KeePass an sich, sondern um die Art und Weise, wie Passwörter von KeePass in die Login-Fenster von Anwendungen (Web-Anwendungen) übertragen werden. KeePass bietet dafür vier Möglichkeiten:
- Copy & Paste
- Autotype manuell
- Autotype per Tastenkürzel
- Browser-Erweiterung
- und als Bonus, der nichts mit KeePass zu tun hat: Passwort-Verwaltung in Firefox
Copy & Paste
Die Copy & Paste Methode ist die unsicherste und aufwändigste. Sie funktioniert so: Du bist auf einer Webseite oder einer Anwendung im Login-Dialog. Dann startest du KeePass und suchst den gewünschten Account.
Dann klickt man auf das Icon für den Benutzernamen, wechselt zum Login-Dialog der Webseite und fügt ihn dort in das Feld ein. Nun geht es zurück zu KeePass, wo man auf das Icon für das Passwort klickt, zum Login-Dialog wechselt und das Passwort dort einfügt. Ihr seht es - das ist maximal unbequem. Ausserdem ist es unsicher, weil Benutzername und Passwort über die Zwischenablage eures Computers oder Smartphones durchgereicht werden. Wer weiss, welche Malware eure Zwischenablage abfängt?
- Sicherheit: ⭐
- Benutzerfreundlichkeit: ⭐
Autotype manuell
Im letzten Screenshot seht ihr das Tastatur-Icon. Damit kann man eine Übertragung von Benutzername und Passwort an einen Login-Dialog auslösen. Auch bei dieser Methode muss man vorher in KeePass den Account auswählen. Dann kommen zwei Abfragen:
KeePass fragt nach einer Bestätigung
Gnome (oder Wayland) fragt nach einer Bestätigung
Danach werden der Benutzername und das Passwort in den Anmeldedialog eingetragen und das Login ausgelöst. Das funktioniert noch lange nicht bei allen Login-Fenstern. Ausserdem leuchtet im Top-Panel von Gnome die Benachrichtigung über einen freigegebenen Bildschirm:
Diese Variante ist auch nicht befriedigend, weil zu viele Sicherheitsabfragen abgeklickt werden müssen. Der Vorteil dieser Methode ist, dass die Credentials nicht über die Zwischenablage geteilt werden, sondern direkt an den Login-Dialog gesendet werden (das ist meine unbestätigte Vermutung).
- Sicherheit: ⭐ ⭐
- Benutzerfreundlichkeit: ⭐
Autotype per Tastenkürzel
In den Einstellungen von KeePass kann man die Autotype-Funktion konfigurieren:
Die Idee ist, dass man in KeePass den Account nicht mehr auswählen muss, sondern dass dieser über den Titel oder die URL automatisch gewählt wird. Ausserdem gibt es ein Tastenkürzel, mit welchem diese Aktion ausgelöst werden kann. KeePass läuft; man befindet sich im Login-Dialog und drückt das Tastenkürzel. Bei mir funktioniert das nicht. Selbstverständlich habe ich überprüft, ob Meta+K nicht bereits belegt ist. Ausserdem habe ich in der Dokumentation von KeePassXC diesen Hinweis gefunden:
Also habe ich KeePass im Terminal so gestartet: keepassxc -platform xcb
Auch das hat nicht funktioniert. Ich freue mich, wenn ihr in den Kommentaren eure Erfahrung dazu mitteilt. Eine Bewertung zu dieser Methode kann ich nicht abgeben:
- Sicherheit: ?
- Benutzerfreundlichkeit: ?
Browser-Erweiterung
Bei der vierten Variante installiert man im Webbrowser die Erweiterung für KeePassDX. Damit greift Firefox direkt auf die in KeePassXC gespeicherten Konten zu. Dafür muss KeePassXC laufen; die Erweiterung startet KeePass nicht automatisch. Die Einstellmöglichkeiten dieser Browser-Erweiterung sind sehr umfangreich. Ich habe dort keine Änderungen vorgenommen; es läuft mit den Standardeinstellungen.
Allerdings muss man in den Einstellungen von KeePassXC die Browser-Integration einschalten und ggf. konfigurieren:
Auch hier darf man faul sein und lediglich den Haken bei "Browserintegration aktivieren" setzen. Jetzt könnt ihr ausprobieren, ob es funktioniert und wie es sich anfühlt. Als Beispiel verwende ich die Anmeldung bei meiner Nextcloud:
Im ersten Eingabefeld seht ihr nun das KeePass-Icon mit einem roten Kreuz und dem Hinweis, dass die Verbindung zu KeePassXC getrennt ist und das, obwohl KeePassXC läuft. Nach einem Klick auf dieses Icon verschwindet zwar das rote Kreuz, dafür erscheint eine Fehlermeldung, die darauf hinweist, dass die Erweiterung noch nicht mit der Datenbank verbunden ist. Ein Klick auf das Icon der Erweiterung (rechts oben im Browser) verrät, wie es weitergeht:
Nach dem Klick auf "Verbinden" öffnet sich ein Dialog von KeePassXC:
Man beachte, dass dieser Dialog die gerade aktive KeePass-Datenbank (tresor) vorschlägt. Somit wird die Interaktion mit mehreren Datenbanken möglich. Nun gibt man der Verbindung einen Namen und klickt auf "Speichern und Zugriff erlauben". Damit ist die einmalige Einrichtung abgeschlossen. Wenn man jetzt auf das Icon im Anmeldedialog klickt, erhält man einen Vorschlag, der sich aus der Suche nach Titel und/oder URL der Webseite ergibt:
Das erstmalige Einrichten ist ein wenig nervig, aber danach läuft die Integration problemlos.
- Sicherheit: ⭐ ⭐ ⭐
- Benutzerfreundlichkeit: ⭐ ⭐
Wer mehr über die Browser-Erweiterung wissen möchte, kann einen Blick in die gute Dokumentation werfen.
Passwort-Verwaltung in Firefox
Als Bonus-Kapitel und Alternative möchte ich noch auf die integrierte Passwort-Verwaltung von Firefox eingehen. Die Funktion könnt in unter Einstellungen, Datenschutz & Sicherheit aktivieren:
Wer seine so gespeicherten Passwörter über mehrere Geräte synchronisieren möchte, kann die Synchronisation in Firefox einschalten. Die Accounts werden von Firefox Ende-zu-Ende verschlüsselt. In den letzten zehn Jahren habe ich von keinem Fall gehört, bei dem diese Passwort-Verwaltung kompromittiert wurde. Im Vergleich zu den oben genannten Methoden halte ich die Passwort-Verwaltung in Firefox für sehr benutzerfreundlich.
Insbesondere in Kombination mit der Synchronisation sollte sich jede:r überlegen, wie weit man einem Webbrowser und der Mozilla-Cloud vertraut. Selbst wenn man dem gewogen ist, ist das kein Ersatz für einen separaten Passwort-Manager wie KeePassXC (oder KeePassDX auf Android).
- Sicherheit: ⭐ ⭐
- Benutzerfreundlichkeit: ⭐ ⭐ ⭐
Fazit
Die Verwendung eines separaten Passwort-Managers ist ein Muss. Dafür bietet sich KeePassXC/DX an. Der Einsatz der im Browser integrierten Passwort-Verwaltung sehe ich als bequemen Zusatz, jedoch nicht als Ersatz. Die Browser-Integration von KeePass ist beim erstmaligen Einrichten ein wenig nervig, bietet danach aber fast den gleichen Komfort wie die Passwort-Verwaltung von Firefox.
KeePass bietet bewusst keine eingebaute Cloud-Synchronisation an. Wer das haben möchte, kann die KeePass-Datenbank selbst über Nextcloud (oder Ähnliches) synchronisieren. Dabei ist darauf zu achten, dass man seine Nextcloud selbst kontrolliert oder bei einem vertrauenswürdigen Hoster betreibt.
In KeePass könnt ihr die Passwort-Stärke auf "volle Pulle" drehen. Dabei seid ihr nur durch das begrenzt, was die Dienste als maximale Passwort-Länge akzeptieren. Ausserdem bietet die Anwendung Funktionen, um gleiche Accounts bei verschiedenen Diensten aufzuspüren. Wer bei mehreren Diensten dasselbe Passwort verwendet, hat verloren.
Die Sicherheit von Passwort-Managern (egal ob KeePass oder in Firefox) steht und fällt mit der Stärke des Master-Passworts. Hierbei gilt es, einen Kompromiss zwischen Sicherheit und Merkbarkeit zu finden. Als Daumenregel sollte euer Master-Passwort eine Entropie von mindestens 100 Bit haben. Der Datenschutzbeauftragte des Kantons Zürich bietet dafür die Webseite https://www.passwortcheck.ch/ an. Wenn ich mein Master-Passwort dort prüfe, erhalte ich:
Tja, 87 Bit ist nicht gut genug. Es ist an der Zeit, mir ein Neues zu überlegen. Und jetzt bin ich auf eure Kommentare gespannt.
Titelbild: https://keepassxc.org/
Quellen:
https://keepassxc.org/docs/KeePassXC_GettingStarted#_browser_integration
https://support.mozilla.org/de/kb/passworter-verwalten-speichern-loeschen-aendern
GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.
