Ich könnte den Spiess ja umdrehen, wieso nutzt Du Keepass und nimmst die Unbequemlichkeit in Kauf?
Aus einem privaten Matrix-Chat mit einer Person im Internet.
Nun gut, ich möchte dieser Person den Artikel nicht schuldig bleiben. ;-)
Warum ich KeePass benutze
Dies hat wie so oft historische Gründe. Die erste Referenz zu KeePass in diesem Blog ist vom 8. Januar 2011. Etwas später, am 20.01.2011, hatte ich dem Thema einen eigenen Artikel gewidmet: Sichere Passwörter und wie man sie verwaltet. Der Artikel hat in meinen Augen nicht an Aktualität verloren, mit zwei kleinen Ausnahmen:
- Ich benutze heute keine Windows mehr, sondern KeePassXC unter Linux.
- Statt KeePassDroid verwende ich aktuell KeePassDX unter Android.
Bei der Wahl der KeePass-Projekte habe ich mich von diesem Artikel von Mike Kuketz beeinflussen lassen.
Ich bin privat dabei geblieben, weil ich die Nutzung gewohnt bin und bisher keinen Grund zu einem Wechsel sehe. Beruflich nutze ich inzwischen Bitwarden, da dies von meinem Arbeitgeber zur Verfügung gestellt wird und ich somit ein offiziell geprüftes und genehmigtes Werkzeug für dienstliche Zwecke verwende. Darüber hinaus finde ich Bitwarden genauso gut wie KeePassXC.
Wie ich KeePass benutze
KeePassXC ist auf allen meinen Geräten des Typs Laptop, Desktop-PC/Heimserver installiert. Auf meinem Tablet und Smartphone nutze ich KeePassDX, welcher auch im F-Droid-Store verfügbar ist.
Die KeePass-Datenbank halte ich mit einer selbstgehosteten Nextcloud auf allen Geräten synchron bzw. stelle sie dort zur Verfügung. Auf PC und Laptop ist dabei permanent eine lokale Kopie der Datenbank verfügbar. Auf dem Smartphone/Tablet steht diese nur zeitlich begrenzt zur Verfügung, nämlich bis der Android-Dateimanager der KeePassDX-App den Zugriff auf die gecachte KeePass-Datenbank-Datei entzieht bzw. diese aus dem Cache entfernt wird. Schaut für weitere Hinweise hierzu bitte in die englischsprachige FAQ des Projekts.
Der Ablauf auf dem Smartphone sieht bei mir so aus:
- Nextcloud-App öffnen.
- KeePass-Datenbank auswählen und mit KeePassDX öffnen.
- Datenbank-Passwort eingeben und mit der üblichen Nutzung fortfahren.
Sollte ich mein Telefon oder Tablet mal verlieren, widerrufe ich den Access-Token in meiner Nextcloud, womit das jeweilige Gerät den Zugriff auf die Nextcloud und damit auf die KeePass-Datenbank verliert. Wichtig: Dies minimiert das Risiko, dass mir eine Kopie der KeePass-Datenbank verloren geht, bietet aber keinen 100%-igen Schutz. Bei der Offline-Funktionalität von Bitwarden schätze ich das Risiko ähnlich ein.
Um die Sicherheit noch etwas zu steigern, kann ich eine Funktion zur Fernlöschung nutzen, mit der die Inhalte von meinem Gerät gelöscht werden. Achtung: Dies funktioniert nur, wenn das Gerät mit dem Internet verbunden ist.
Aktuell entsperre ich die KeePass-Datenbank nur mit einem Passwort. Ich habe mir angesehen, wie man einen YubiKey als zusätzlichen Faktor nutzen kann. Leider wurde mein YubiKey in der Kombination YubiKey 5 NFC, Fedora 43 und KeePassXC nicht erkannt. Ich habe das Troubleshooting nach kurzer Zeit abgebrochen und beschlossen, dass der YubiKey und die dazugehörige Software für Linux aus der Hölle kommen und das Thema in eine Schublade zur E-Mail-Verschlüsselung gesperrt. Falls euch diese Problem bekannt vorkommt und ihr eine einfache Lösung dafür habt, bitte lasst mich wissen, welchen Zauber ihr gewirkt habt.
Browsererweiterung vs. Zwischenablage
Ich nutze die KeePassXC-Browser-Erweiterung, um mir das Leben etwas zu erleichtern und Login-Formulare per Klick ausfüllen zu lassen. Natürlich besteht hierbei das Restrisiko, dass durch eine Schwachstelle im Browser oder der Erweiterung die Login-Informationen abgefangen werden können. Dessen bin ich mir bewusst.
100%-ige Sicherheit gibt es nicht. Wenn sich ein Keylogger auf meinem System befindet oder eine Schadsoftware, welche die Zwischenablage mitschneidet, verliere ich die Informationen ebenfalls.
Da ich dank Passwort-Manager für alle Dienste unterschiedliche Passwörter und wo möglich Mehrfaktor-Authentisierung verwende, hält sich der Schaden selbst dann in Grenzen, wenn einzelne Passwörter kompromittiert werden.
Da ich kein IT-Sicherheitsexperte bin, möchte ich es hiermit aber auch gut sein lassen.
Viele Grüße ins Internet und an die Personen an den heimischen Datensichtgeräten.
Vielen Dank für den Artikel.
Du gibst lokal immer ein Passwort ein? Keine Biometrie? Wie lang ist denn das Passwort? Gross-/Kleinschreibung, Ziffern und Sonderzeichen?
Das Passwort ist mit einer echten Tastatur kein Problem. Auf dem Smartphone ist es allerdings die Pest und die Eingabe dauert ziemlich lange.
Ich verwende aktuell bewusst keine Biometrie, da ich dann mit dem gleichen Merkmal das Telefon und die Passwort-Datenbank entsperren könnte. Ich habe den YubiKey-Versuch gestartet, um dann ggf. mit einem externen Faktor (Besitz) einen etwas angenehmer zu tippendes Passwort zu nehmen (Wissen). Aktuell überlege ich, ob ich dies mit einem USB on-the-go Gerät löse, da KeePass ja auch ein Key-File unterstützt. Nachteil daran ist mein Talent USB-Sticks zu verlieren. Das gilt aber gleichermaßen für YubiKeys.
Es wäre eigentlich cool, wenn man ein anderes biometrisches Merkmal für unterschiedliche Zwecke verwenden könnte. Das fehlt.
Überlege aus dem Grund, mein Handy mit PIN zu entsperren und Passwort mit Biometrie.
Wir hätten ja PIN, zehn Finger und Gesicht – das sind zwölf Merkmale mit sehr vielen Variationen (PIN).
Ja, unterschiedliche Merkmale für unterschiedliche Zwecke sind sehr wünschenswert. Zum Entsperren des Telefons wieder auf die PIN zurückzukehren überlege ich mir auch nochmal. Oder eine Wischgeste. Das würde den Komfort sicherlich enorm steigern.
So häufig verwende ich die KeePass-Datenbank bisher nicht auf dem Telefon. Daher siegt Wechsel-Faulheit aktuell noch über Nutzungs-Faulheit.
Ich weiss zumindest, dass man Bitwarden lokal auf eine PIN umstellen könnte.
> Natürlich besteht hierbei das Restrisiko, dass durch eine Schwachstelle im Browser oder der Erweiterung die Login-Informationen abgefangen werden können.
Das Risiko wird minimiert, wenn du jede Eingabe zuvor in KeePassXC freigeben/auswählen/bestätigen musst. Ohne die Freigabe kommt die Browsererweiterung nicht an die Passwörter.
Unter Android sorgt der AutoFill-Service dafür, dass die Daten nicht von anderen Apps abgegriffen werden können. (Solange das Android-System sicher ist.)
Noch mehr Sicherheit gibt es mit Passkeys, die ebenfalls von KeePassXC und KeePassDX unterstützt werden.
Hast Du schon erste Erfahrungen gesammelt, in der KeePass-DB auch Passkeys zu speichern?
Ich nutze dies recht gern, weil ich diese nicht im Browser bzw. OS geschweige denn Google oder Apple gespeichert wissen will.
… und ja, mir ist bewußt, daß ich damit die Zahl der ggfs. notwendigen Faktoren reduziere.
Hallo Henning,
mit Passkeys habe ich noch keine praktische Erfahrung.
Ich benutze meist Passwort und OTP oder Biometrie. Manchmal auch den YubiKey.
Viele Grüße
Jörg
Auch von mir vielen Dank für den Artikel!
Auch ich nutze KeePassXC schon seit Jahren.
… für einen als Flatpak installierten Firefox war es aber ein echter Krampf, die Browser-Erweiterung zum Laufen zu kriegen, siehe:
https://github.com/flathub/org.keepassxc.KeePassXC/issues/29
https://web.archive.org/web/20230905224108/https://www.vastactive.com/posts/keepassxc-firefox-flatpak/
Und danke Dir für die Links. Ich bin froh da nicht direkt reingelaufen zu sein.
Viele Grüße
Jörg
Es gibt auch KeeWeb für Nextcloud. Damit kann man die Datenbanken in NC öffnen.