Die Verwaltung von Passwörtern ist schon immer ein Problem gewesen. Ein Passwort für alle Dienste ist keine gute Option, sollte es einmal bekannt werden, wären gleich alle Dienste gefährdet. Einfache, leicht zu merkende Passwörter sind da auch keine Option, die meisten Systeme lehnen diese auch ab. Der Passwortmanager des Browsers ist durchaus eine Lösung. Allerdings sollte man die Sicherheit hier, selbst mit einem Masterpasswort, nicht allzusehr vertrauen. Da gab es viel zu oft schon Möglichkeiten die gespeicherten Daten remote zu erlangen.
KeePass war ein Passwortmanager, der ursprünglich nur für Windows verfügbar war. Eine Alternative dazu unter Linux entstand mit dem Namen KeePassX. Beide sind mittlerweile frei für beide Plattformen verfügbar. Allerdings stoppte die Entwickling von KeePassX, die letzte Version ist von 2016. Davon spaltete sich eine weitere Entwicklung ab: KeePassXC
KeePass selber ist zwar auch noch verfügbar, basiert aber auf C# und benötigt daher .NET von Microsoft.
Diese Variante ist auch für Windows und MacOS verfügbar, ist komplett Open Source und verwendet das gleiche Datenbankformat wie aktuelle KeePass-Versionen.
Die Einträge können, wenig überraschend, gruppiert werden. Es kann eine URL hinterlegt werden, die auch von KeePassXC direkt geöffnet werden kann.
Damit kann man nicht nur elegant die Passwörter verwalten, es gibt auch die Option Auto-Type, die füllt die Daten automatisch in das Login-Feld ein.
Noch besser geht es aber mit den Browser-Plugins. Die lassen sich mit dem KeePassX verbinden und darüber kann dann der Browser die Daten einfügen, nachdem man mit einem Mausklick dieses bestätigt hat. Das erleichtert das Leben doch ungemein.
Das Plugin erkennt dabei den richtigen Eintrag anhand der verwendeten
URL, diese sollte also auch beim Eintrag in KeePassX hinterlegt sein.
Wichtig: http und https werden unterschieden. Ist also nur ein
https-Eintrag in der der Datenbank und wird per http
zugegriffen, so wird der Eintrag nicht gefunden.
Wird er hingegen gefunden, erscheint beim Loginfeld ein grünes KeePassXC-Logo auf das man klicken kann.
Wichtig: KeePassXC muss dazu auf dem System laufen und die Datenbank muss auch per Passphrase entsperrt sein.
Wenn dem so ist, poppt eine Abfrage von KeePassXC auf, ob der Browser die gewünschten Daten abfragen darf. Diese muss man bestätigen und das Login- und Passwort-Feld werden befüllt. Diese Entscheidung kann auch permanent abgespeichert werden, so dass beim nächsten Mal nicht nachgefragt wird.
Ein Problem besteht oft darin, dass man die Datenbank nicht dabei hat. Wenn diese auf einem remote erreichbaren System liegt, so fehlt doch oft die grafische Oberfläche oder diese braucht mehr Ressourcen als im Moment zur Verfügung stehen.
Für diese Fälle, gibt es das Kommandozeilentool keepassxc-cli.
Das ist zwar nicht sonderlich komfortabel, die Passphrase für das
Öffnen der Datenbank muss bei jeder Aktion eingegeben werden. Aber
es besteht dennoch die Möglichkeit auf Einträge zuzugreifen.
Das ist leider ein offenes Problem, es gibt nur eine Passphrase um die Datenbank zu entsperren. Sollen sich also mehrere Benutzer eine Datenbank teilen, so geht das über Lese- und Schreibrechte der Gruppe, es müssen aber alle die gleiche Passphrase verwenden. Das ist etwas unschön.
Die Installation ist unter Debian sehr einfach:
apt install keepassxc
Nach dem Starten hat man die selbterklärenden Optionen
Da man in aller Regel noch nichts hat, ist es gut mit einer neuen Datenbank zu starten. Als erstes muss man sich dazu den Namen für die Datei auswählen und eine Passphrase wählen. Hier wird zwar nur nach einem Passwort gefragt, aber eine längere Passphrase ist doch ratsam, schließlich landen hier doch irgendwann sehr viele, wichtige Einträge die gut gesichert sein sollten.
Es gibt auch eine Option eine Schlüsseldatei zu verwenden, wenn die jedoch verloren geht, hat man verloren. Also dann ist doch eine gute Passphrase die bessere Option.
Danach ist die Datenbank geöffnet und man kann Einträge erstellen.
Um die Browserplugins zu unterstützen, gibt es unter Werkzeuge und Anwendungseinstellungen das Feld Browser-Integration. Dort muss diese aktiviert werden. Dort gibt es auch gleich die Links zu den Plugins für die Browser Firefox und Google Chrome / Chromium / Vivaldi.
Hat man diese installiert, erscheint oben rechts in der URL-Leiste das ausgegraute KeePassXC-Icon.
Vorher muss aber noch in KeePassX die Integration für den jeweiligen
Browsertyp aktiviert werden. Danach kann das Browser-Plugin mit
KeePassXC verbunden werden, dazu muss lediglich auf das Icon und dann
auf Verbinden geklickt werden. Anschließend muss noch ein
eindeutiger Name für den Zugriff vergeben werden und das war es schon.
Ein paar Einstellungen sind noch interessant, so kann ein Passwort kopiert werden, wird aber nach 10 Sekunden aus der Zwischenablage wieder gelöscht. Diesen Wert kann man konfigurieren, er passt aber in aller Regel. Es verhindert, dass aus Versehen das Passwort in ein anderes Feld eingefügt wird, wo es nicht hingehört.
Der Punkt Datenbank sperren nach einer Inaktivität von sollte eventuell angepasst werden. Dir Voreinstellung von 240 Sekunden ist doch etwas kurz und wer will schon so häufig die doch lange Passphrase eingeben.
Sinnvoll ist natürlich auch, dass die Datenbank geschlossen wird, wenn die Sitzung beendet wird.
Das ist ein kleines, sehr nützliches Tool. Gerade in der Kombination mit den Browser-Plugins ist es eine deutliche Erleichterung, vor allem auch, wenn man mehrere verschiedene Browser verwendet.