Sesam öffne dich – Passwort-Management mit KeePassXC

Verfasst von

Gastbeitrag von Lennart Diener

Safe | Foto: Rob Pongsajapan | Lizenz: CC BY 2.0

Es ist ein leidiges Thema: die Passwörter. Vor allem im Internet braucht man sie an jeder Ecke. Trotzdem haben viele Menschen Probleme damit, ein sicheres Passwort zu wählen. Das Hasso-Plattner-Institut zählt im Augenblick fast elf Milliarden geleakte Nutzerkonten.

Dumme Passwörter überwiegen

Die beliebtesten Passwörter daraus sind 123456, 123456789 oder password. In fast 14 % aller Fälle (oder zumindest jener, wo die Passwörter der Leaks gar im Klartext vorlagen), werden sie verwendet. Das stellt nun auch erstmals der Weisenrat für Cyber-Sicherheit fest. Aber nicht nur die Nutzer tragen Schuld, sondern auch Entwickler, die ihre Passwort-Datenbanken nicht ausreichend schützen, wenn sie beispielsweise veraltete Hash-Verfahren nutzen.

Überholte Regeln

Im Bericht zitierte Studien kommen zu dem Schluss, dass viele Passwort-Richtlinien wenig bringen. Das regelmäßige Ändern von Passwörtern ist schon seit längerer Zeit aus der Mode gekommen, mittlerweile stehen aber auch andere der häufig aufgestellten Regeln in der Kritik: Das betrifft vor allem eine festgelegte Anzahl an Groß- und Kleinbuchstaben sowie an Zahlen und Sonderzeichen.

Viel wichtiger ist eine ausreichende Passwortlänge (mindestens 8 Zeichen) und wo möglich eine Zwei-Faktor-Authentisierung (diese aber möglichst nicht per SMS). Auch muss sich das Passwort von Account zu Account signifikant unterscheiden und bestenfalls zufallsgeneriert sein.

Installation und Einrichtung

Nun, so sinnvoll das auch klingt, bei den Dutzenden Accounts, die man so hat, klingt das sehr unpraktikabel. Und an dieser Stelle kommen Passwort-Manager ins Spiel. Prominenter Vertreter im Linux-Kosmos ist KeePassXC. Es ist der Fork eines Forks. Ursprung ist das Windows-Programm KeePass, welches die .NET Platform benötigt. KeePassX lief dann auch nativ unter Linux.

Nachfolger KeePassXC

Nachdem es nicht mehr weiterentwickelt wird, ist KeePassXC an die Stelle getreten. Hat man bereits eine Datenbank aus einem anderen Programm oder einem anderen Dienst, so lassen sich diese einfach importieren. Sonst ist eine neue Datenbank schnell angelegt, bietet allerdings auch spezielle Verschlüsselungseinstellungen. Geschützt wird diese Datenbank mit einem Master-Passwort. Verbessern kann man den Schutz dann noch durch eine Schlüsseldatei oder einen Sicherheitsschlüssel.

In der Datenbank kann man seine Accounts nach Gruppen sortieren und so den Überblick behalten. Will man einen Eintrag hinzufügen, kann man sich auch ein Passwort, oder aber eine Passphrase generieren lassen, samt Einschätzung zur Sicherheit.

Browser-Integration

Wirklich bequem ist das Wechseln zwischen Browser und KeePassXC zum Kopieren von Nutzernamen und Passwort nicht. Zumindest im Vergleich zum Passwort-Manager des Browsers. Dem kann allerdings Abhilfe geschaffen werden: KeePassXC verfügt über eine Browser-Integration. Diese muss in den Einstellungen für den jeweiligen Browser aktiviert und das entsprechende Plug-in für den Browser installiert werden. Die Verbindung zwischen Passwort-Manager und Browser ist verschlüsselt.

Andere Plattformen

Auch die Nutzung auf anderen Plattformen ist möglich. So gibt es KeePassXC nicht nur in den Paketquellen, als AppImage oder Snap für alle gängigen Linux-Distributionen, sondern auch für macOS und Windows. Für Smartphones ist die Datenbank mit Keepass2Android und Strongbox
kompatibel. Um die Synchronisation muss man sich allerdings selbst kümmern. Das kann über das Ablegen in der eigenen Nextcloud oder bei Dropbox, Google Drive und ähnlichem eingerichtet werden. Ob das allerdings eine gute Idee ist, muss jeder selbst entscheiden.

Backup

Definitiv eine gute Idee ist es allerdings ein Backup anzulegen. Denn wenn man das Master-Passwort verliert, die Datenbank beschädigt oder seinen Sicherheitsstick verlegt, kommt man an seine Passwörter sonst nicht mehr ran. Für die analoge Welt kann man dafür auch die Exportfunktion zu einer CSV oder HTML-Datei nutzen und den Ausdruck sicher abheften. Das
generierte Passwort muss man in näherer Zukunft eh nicht mehr wechseln.

Einmal-Passwörter unterstützt

Darüber hinaus bietet KeePassXC noch weitere praktische Funktionen. So werden neben SSH-Agenten auch Einmal-Passwörter (TOTP), wie sie häufig für die 2-Faktor-Authentifizierung benötigt werden, unterstützt. Diese kann man bei Rechtsklick auf den Account hinzufügen. Allerdings sollte
man sich bewusst sein, dass man damit durchaus den Sinn des zweiten Faktors konterkariert. Deshalb lautet die Empfehlung, für Einmal-Passwörter zumindest eine separate Datenbank anzulegen.

Dank an Lennart Diener für diesen Communitybeitrag!

Kommentare

17 Antworten zu „Sesam öffne dich – Passwort-Management mit KeePassXC“

2020-06-27

Calabi-Yau

Die entscheidende Frage ist doch: Wie sicher sind die Passwörter in Passwort-Managern? Wird er gehackt, sind mit einem Schlag alle Accounts kompromittiert. Ich persönlich vertraue da einer anderen Strategie: Meine Passwörter sind separat in mit GnuPG verschlüsselten Textdateien abgespeichert, die wiederum gemeinsam in einem VeraCrypt-Container liegen. Es wird jeweils nur das fürs Einloggen notwendige Passwort entschlüsselt. Das erleichtert auch das Backup und den Transport der Passwörter, ist obendrein unter Windows, Linux oder Mac möglich. Gewiss, etwas unbequem, weil ich vor dem Einloggen jedes Mal zwei Passwörter eingeben muss (eins für VeraCrypt, eins für GnuPG). Hundertprozentige Sicherheit gibt es nicht, aber ich halte meine Strategie für sicherer, als die Passwörter Browsern oder Passwort-Managern anzuvertrauen.

Antworten
1. 2020-06-27
  
  Ferdinand
  
  So oft wie ich mich täglich irgendwo einloggen muss, wäre das nicht praktikabel. Meines Erachtens kommt es auf 2 Dinge an: die Qualität des Master-Passworts und die Frage, ob bei der Synchronisation für verschiedene Plattformen ein Server involviert ist, der nicht unter deiner Kontrolle ist.
  
  Antworten
  1. 2020-06-27
    
    kamome
    
    Und auf die Sicherheit des eigenen (Desktop-/Handheld-) Systems.
    
    Antworten
2. 2020-06-27
  
  0byte
  
  Die Datenbank ist doch verschlüsselt. Jemqnd muss in meinen Rechner einbrechen, die Datenbank stehlen und knacken. Das ist alles sehr unwahrscheinlich.
  
  Antworten
2020-06-27

Sven

Moin,

habe ich das richtig verstanden, ich soll von keepass2 nach keepassxc wechseln, weil keepass2 nicht mehr aktualisiert wird?

Antworten
1. 2020-06-27
  
  Ferdinand
  
  KeePassXC ist ein Fork von KeePassX, das nicht mehr entwickelt wird und seinerseits ein Fork der Windows-Software KeePass(2) war. KeePassXC wird sehr aktiv entwickelt und bietet Zusatzfunktionen.
  
  Antworten
  1. 2020-06-29
    
    Jochen Geyer
    
    Heißt das im Umkehrschluss, dass KeePassXC als Abhängigkeit mono mitbringt?
    Oder anders gefragt, auf welches Framework setzt KeePassXC eigentlich?
    
    Edit: Habe es gefunden: Qt5.
    
    Dann bleibe ich bei meiner Lösung, die weder mono, noch Qt voraussetzt.
    
    Antworten
    1. 2020-06-29
      
      Ferdinand
      
      KeePassXC braucht kein Mono, Keepass2 schon:
      apt depends keepass2
      Hängt ab von: mono-runtime (>= 3.0~) Hängt ab von: libgcrypt20 (>= 1.8.5) Hängt ab von: libmono-corlib4.5-cil (>= 5.18.0.240) Hängt ab von: libmono-system-drawing4.0-cil (>= 5.12.0.309) Hängt ab von: libmono-system-security4.0-cil (>= 5.18.0.240) Hängt ab von: libmono-system-windows-forms4.0-cil (>= 5.16.0.220) Hängt ab von: libmono-system-xml4.0-cil (>= 4.6.1.3) Hängt ab von: libmono-system4.0-cil (>= 5.18.0.240) Hängt ab von: libx11-6 (>= 2:1.6.0) Empfiehlt: xsel Schlägt vor: keepass2-doc Schlägt vor: Schlägt vor: xdotool
      
      Antworten
2020-06-27

Atalanttore

Die Browser-Integration von KeePassXC unter Linux ist schon ziemlich hakelig.

Antworten
1. 2020-06-27
  
  0byte
  
  Fand ich früher auch, aber mittlerweile läuft es stabil bei mir. Vielleicht nutzst du eine ältere Version?
  
  Antworten
2. 2020-06-27
  
  Jonn
  
  Es geht auch mit Auto Type, die Browser-Erweiterung ist nicht nötig.Kann verstehen wenn bei so etwas Bedenken auftreten
  
  Antworten
2020-06-27

harley-peter

Ich benutze seit einiger Zeit Enpass, das ähnliche Features zur Verfügung stellt. Da wäre mal ein Vergleich interessant.

Antworten
1. 2020-06-27
  
  kamome
  
  enpass nutzt zwar teilweise offene Technologie ist aber selbst nicht Frei.
  In Mobil-Apps nur bis 20 Passwörter kostenfrei.
  apt search -n enpass liefert nix 😉
  
  Antworten
2020-06-27

Raider700

Ich hatte lange Zeit für KeePass Dateien den KeeWeb Client am eigenen Server im Einsatz. Dank Sync zu einem WebDav Share den ich am selben Server hatte waren auf allen Geräten immer die aktuellste Kennwörter verfügbar. Der Webclient selbst läuft außerdem nur lokal im Browser und brauch nach der Initialisierung keine Verbindung mehr zum Server.

Seit ein paar Monaten bin ich auf Bitwarden umgestiegen. Die Funktionen und Möglichkeiten gefallen mir sehr gut und auch die Browser Integration funktioniert aus meiner Sicht besser. Die Clients synchronisieren sich alle mit dem Server und funktionieren daher auch offline. Außerdem können neben dem eigenen Passwortsafe auch mit ausgewählten Usern am selben Server Pfade geteilt werden. Zum selbst hosten empfiehlt sich bitwarden_rs, welches auch problemlos auf einem Raspberry funktioniert.

Bei Bitwarden ist außerdem wichtig zu erwähnen, dass der Server nie ein entschlüsselten Passwort hat. Alle Vorgänge werden, gleich wie bei KeeWeb, immer nur am lokalen Rechner durchgeführt und der Server ist nur für die Verteilung zuständig.

Antworten
2020-06-27

kamome

keepass2 läuft auch nativ unter Linux – nur eben mit mono.

Antworten
2020-06-28

Matthias Böhm

KeePass wird doch kontinuierlich weiterentwickelt und das auch für Linux, einige Distributionen haben es in den Repositories; https://keepass.info/

Antworten
1. 2020-06-28
  
  Ferdinand
  
  Das ist aber die Version, die Mono voraussetzt. Muss ich auf meinen Rechnern nicht haben.
  
  Antworten