Passwortmanager: KeePass oder nix

Passwörter braucht man heutzutage ja an jeder Ecke, und im Umgang mit Passwörtern kann man so einiges falsch machen: Die Hitliste der am häufigsten verwendeten Passwörtern verschlägt einem die Sprache. Und das ist nur die Spitze des Eisbergs.

Was bisher geschah

Ganz so fahrlässig hatte ich das bisher nicht gehandhabt. Ich hatte schon ein ziemlich ausgeklügeltes System, bei dem ich… Lassen wir das besser. Immerhin hatte ich nicht bei jedem Dienst das selbe Passwort. Richtig verlässlich fand ich das alles trotzdem nicht. Vor allem kann man – vergibt man Passwörter nach einem System – nicht mal so einfach hier oder da ein Passwort ändern, nur weil von diesem Dienst gerade die Passwörter entwendet wurden. Ungefährlich ist ein sorgloser Umgang mit Passwörtern auch nicht, in regelmäßigen Abständen wird z.B. mit geklauten Passwörtern viel Schaden angerichtet (nicht nur finanzieller). Wenn du denkst, das wäre alles halb so wild, dann gib doch mal testweise nur ein einziges deiner Passwörter an deine fünf besten Freunde: Dein Mailpasswort. Na also.

Mein Plan

Ich wollte das endlich besser geregelt haben. Nein, nicht besser, sondern gut. Dazu braucht man 1) für jeden Dienst ein separates Passwort, welches 2) zufällig generiert und ausreichend lange ist. Wenn man diese Anforderungen stellt, führt kein Weg an einem Passwortmanager vorbei. Ein Passwortmanager funktioniert so, dass man alle seine tollen Passwörter in eine Art digitales Safe speichert und sich nur den einen (richtig gut ausgedachten!) Schlüssel dazu merken muss, das Masterpasswort.

Die Wahl des richtigen Passwortmanagers

Passwortmanager gibt fast es wie Sand am Meer. Stellt man aber gewisse Ansprüche, dann wird schnell klar: KeePass oder nix. Meine Anforderungen waren:

  • Das Programm sollte OpenSource sein.
  • Die Schlüsseldatei sollte selbst verwaltet werden können und nicht auf einem Server eines (am besten noch amerikanischen) Anbieters liegen.
  • Die Schlüsseldatei sollte lokal vorliegen (damit auch in Backups eingeschlossen sein) oder zumindest offline verfügbar sein und trotzdem zwischen verschiedenen Geräten und Plattformen synchronisiert werden können.
  • Es muss Clients für verschiedene Plattformen geben.
  • Die Clients sollten sich nahtlos in den üblichen Workflow integrieren, denn Sicherheit hin oder her, wenn es zu sehr nervt, dann zieht man es nicht durch.

KeePass oder nix

Ich habe mir die üblichen Verdächtigen angesehen (1Password, LastPass, RoboForm, Efficient Password Manager, KeePass, …), am Ende kam nur KeePass in Frage, auch wenn die Webseite erst mal ziemlich abschreckend wirkt…

Zur Einführung in die grundlegende Technik verweise ich mal auf drei Artikel meines Cousins Johannes, gelernter IT-Sicherheitsdings, und der muss es ja wissen:

Gerade der erste Artikel ist eine gute Einführung in das Programm, ich werde die Grundlagen daher hier nicht wiederholen.

KeePass-Integration in Windows

Da ich den Passwortmanager auf verschiedenen Windows-Systemen und auch unter Android benötige, habe ich meine Passwortdatei in meine Dropbox gelegt. Zur Erinnerung: Die Datei an sich ist ordentlich verschlüsselt, falls man dazu eben ein ordentliches Masterpasswort angelegt hat, sie kann also relativ sorglos dort liegen. Alternativ geht auch ein (S)FTP-Server oder ähnliches. Dazu braucht man dann ggf. eines der zahlreichen Plugins, die es für KeePass gibt.

Folgende Plugins habe ich bei mir eingerichtet:

  1. KeePass Favicon Downloader: Bringt ein bisschen Farbe und Ordnung in die Passwortlisten.
  2. QualityColumn: Zeigt in der Passwortübersicht eine Spalte an, die zeigt, wie gut das jeweilige Passwort ist.
  3. keepasshttp: Baut einen lokalen Server auf, über den dann z.B. ein Browser-Plugin nach Authentifizierung Zugangsdaten abfragen darf. Siehe unten.

KeePass-Integration in Chrome

Zur Zeit arbeite ich mit Chrome, zur Integration von KeePass in andere Browser kann ich daher wenig sagen. Bin mir aber sicher, dass es für die gängigen Browser gute Lösungen gibt. Für Chrome gibt es die Erweiterung chromeIPass, und diese Erweiterung braucht auf Seiten von KeePass dann die oben erwähnte Erweiterung keepasshttp. Die Einrichtung sollte selbsterklärend sein.

Bisher hatte ich viele Passwörter in Chrome gespeichert, und ich wollte natürlich nicht alle neu in KeePass anlegen. Man kann – wenn man mal seinen Virenscanner kurz den Dienst untersagt – mit einem Tool namens ChromePass seine Passwörter aus Chrome exportieren und (ggf. nach ein bisschen manueller Datenpflege) in KeePass importieren: Dazu in ChromePass die Daten als CSV exportieren und in KeePass über „File > Import > Generic CSV Importer“ wieder importieren. Wenn man anschließend dem KeePass Favicon Downloader etwas Zeit gibt, dann holt er zu den ganzen Einträgen noch die Icons und das Ganze ist schon relativ schick. Ich hatte vorher noch die CSV-Datei in Excel etwas bearbeitet, sodass als Bezeichnung immer die URL der jeweiligen Seite erscheint, aber das ist Spielerei ;o)

Hat man seine Passwörter in KeePass, dann sollte man unbedingt den Passwortspeicher von Chrome leeren und abschalten. Unter der Adresse chrome://settings/clearBrowserData kann man leicht alle gespeicherten Passwörter und Formulardaten löschen:

Chrome-Passwörter löschen

In den Einstellungen (chrome://settings/) deaktiviert man nun das Speichern von Passwörtern im Browser:

Chrome-Passwörter nicht speichern

Damit ist der Browser aus der Passwort-Sache erst mal raus. Kommt man nun auf eine Seite (sagen wir mal Amazon) und will sich einloggen, so erkennt ChromePass, dass für die Seiten Zugangsdaten benötigt werden, fragt diese (nach Nachfrage, die sich das Programm merken kann) über keepasshttp bei KeePass ab, und trägt die Daten in die Formularfelder ein. Hat man mehrere Accounts für eine Seite, so bekommt man in guter Dropdown-Manier eine Auswahl seiner Zugangsdaten und ist ruck-zuck drin. Wenn das ganze eingerichtet ist merkt man keinen Unterschied zu im Browser gespeicherten Zugangsdaten. Außer natürlich, wenn KeePass gerade gesperrt ist, dann muss man logischerweise erst noch sein Masterpasswort eingeben.

KeePass-Integration in Android

Will man KeePass auch auf dem mobilen Endgerät verwenden, dann braucht man auch dort die Passwortdatei. Liegt diese wie bei mir in der Dropbox, dann ist das kein Problem, wenn die Dropbox-App schon auf dem Androiden läuft. Der Zugriff auf die Passwörter ist auch offline möglich, stellt das Programm Änderungen fest, dann synchronisiert es die Passwort-Datenbanken.

Für Android gibt es verschiedene Clients für KeePass, die gängigsten sind wohl KeePassDroid und Keepass2Android, für welches ich mich entschieden habe. Der Grund: Keepass2Android ist einfach maximal sicher, was die Übergabe von Zugangsdaten zwischen KeePass und anderen Anwendungen angeht. Geschieht dies über die normale Zwischenablage, so stellt das eine grobe Sicherheitslücke dar, denn auf die Zwischenablage des Androiden haben Hinz und Kunz Zugriff.  KeePass2Android bringt daher seine eigene Tastatur mit. Wählt man in Keepass2Android einen Eintrag aus, so übergibt es intern die Zugangsdaten an die eigene Tastatur, von wo aus sie ganz einfach in diverse Eingabefelder eingefügt werden können:

Keepass2Android-Tastatur

In manchen Fällen (wie bei der IFTTT-App oben) werden die Zugangsdaten dann direkt eingetragen. Tippt man an der Tastatur auf „Los“, geht es nicht nur los, sondern es wird auch wieder auf die normale Tastatur umgeschaltet. Dieses Zurückschalten ist allerdings nur auf gerooteten Geräten möglich. Benötigt wird dazu die System-App Secure Settings, in der man das „System+ Modul“ noch aktivieren muss:

Aktivierung des System+ Moduls in Secure Settings

Was auch noch nett ist an KeePass2Android ist die QuickUnlock-Funktion: Hat man die Datenbank schon verwendet, so kann man sie nur grob sperren und man braucht dann zum entsperren nur die letzten n Zeichen seines Masterpassworts angeben. Wenn man die noch so legt, dass sie auf der Smartphone-Tastatur gut erreichbar sind, so ist der Umgang mit Passwörtern auf dem mobilen Endgerät gut machbar.

Nicht nur Passwörter

Eine Sache noch am Schluss: Ein Passwortmanager eignet sich nicht nur zum Speichern von Zugangsdaten von z.B. Webdiensten, sondern man kann darin prima auch andere Dinge speichern: Kreditkartendaten, die PIN der EC-Karte, die PIN für die Tankstellenkarte, irgendwelche Mitgliedsnummern etc. Das kann unter Umständen die Kartensammlung im Geldbeutel etwas verkleinern und hier und da bei überhandnehmender Vergesslichkeit die Situation retten.

19 Gedanken zu „Passwortmanager: KeePass oder nix

  1. Christoph Schmitter

    Ich bin erst nach drei Viertel des Textes ausgestiegen. Ehrlich. Aber dann beschloss ich, es doch nochmal mit meinem Gehirn als Datenspeicher zu probieren. Oder einem Zettel.

    Antworten
    1. dasaweb Beitragsautor

      Um sicher zu gehen: 1pw und 1password sind zwei verschiedene Dinge, wir reden von dem ersten, oder?

      Ich finde es wichtig, sich überhaupt in Richtung Passwortmanagement zu bewegen. Damit ist schon mal viel gewonnen. Die Wahl des Tools ist dann zweitrangig, ich dachte mir nur, wenn schon, dann richtig. Und das heißt für mich gerade an dieser Stelle OpenSource und (auch dadurch bedingt) eine ordentliche Community. Und das habe ich nur bei KeePass gefunden.

      Antworten
      1. crishn

        Danke für den Artikel!
        Ich kann mich da nur anschließen. Open Source ist im Bereich Passwortmanagement und Verschlüsselung unabdingbar. Nur so kann die verwendete Software ausreichend gegen Angriffe und potentielle Hintertüren geschützt sein.
        Keepass an sich kann ich nur empfehlen!

        Antworten
  2. Stefan

    Jetzt muss ich doch nochmal nachfragen, ob du keine Bedenken hast, alle Passwörter auf einem gerootetem Handy zu speichern?

    Grüß’le, Stefan

    Antworten
    1. dasaweb Beitragsautor

      Hm, irgendwie nicht. Die Passwörter liegen ja in einer verschlüsselten Datei auf dem Handy. Die Verschlüsselung sollte so gut sein, dass du die Datei fast öffentlich machen kannst. Liegt bei mir ja z.B. auch in der Dropbox, auch nicht gerade der sicherste Ort für sensible Daten. Die Datei wird dann auf dem Handy nach Eingabe des Passworts entschlüsselt, dieser App muss ich vertrauen, klar. Andere Apps sollten – wenn sie dazu Root-Zugriff brauchen – keinen Zugriff auf die Datei haben, denn ich muss jeder App ja explizit Root-Zugriff gewähren. Und das sollte immer mit einer gewissen Sorgfalt passieren.

      Oder übersehe ich da was?

      Antworten
  3. Pingback: 16 Zeichen | dasaweb

  4. Petra

    Hallo,

    genauso eine Anleitung hab ich seit ewig gesucht, vielen Dank!

    Jetzt muss es nur noch klappen, mit Firefox und mit dem Synchronisieren zwischen Windows, Mac und Android 🙂

    Viele Grüße!

    Antworten
  5. Angel

    Erst einmal, guter Artikel =)
    Ich nutze KeePass nun schon seit drei Jahren und bin verdammt zufrieden. Bin vor Kurzem dann auch endlich über das Plugin schlechthin gestolpert, das ich nur empfehlen kann. „KPEnhancedEntryView“.

    Greetz, Angel

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.