Mit KeePass einen synchronisierenden, kostenlosen Passwortmanager einrichten

Mit KeePass einen synchronisierenden, kostenlosen Passwortmanager einrichten

September 25, 2020 0 By Andrew Delay

Bei wie vielen Webseiten sind Sie registriert? Verwenden Sie für jeden Dienst ein eigenes Passwort? Diese und andere Fragen zu Passwortsicherheit haben Sie sich sicher einmal stellen müssen und haben – vielleicht weil Sie unangenehme Technikfragen gerne umgehen – sich nie damit befasst.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfielt in seinen Leitlinien zum sicheren Umgang mit Passwörtern sehr eindrücklich, für jeden Dienst ein eigenes Passwort zu setzen. Und es macht ja auch Sinn, denn hat ein Hacker ihr Passwort beim Fressnapf Onlineshop herausgefunden, wäre es fatal wenn er damit ebenfalls auch in ihr Email-Konto gelangen könnte.

Ich möchte Ihnen heute den Passwortmanager KeePass vorstellen, der selbst von der Bundesregierung empfohlen ist und dazu als freie Software kostenlos zur Verfügung steht.

Den einzige Vorteil den kommerzielle Passwortmanager noch über dieser kostenlosen Lösung haben, nämlich die Synchronisation über mehrere Geräte, werden wir mit KeePass und einem Cloudspeicher-Anbieter erreichen können, ohne die Sicherheit Ihrer Passwörter zu gefährden – ich zeige Ihnen wie!

KeePassXC auf dem Computer

Zunächst beginnen wir mit der Einrichtung von KeePass auf dem Rechner. Hiermit meine ich Ihren Laptop/Desktopcomputer, auf dem Windows, Linux oder Mac OSX laufen darf. Die ganze Bandbreite an Betriebssystemen wird mit dem Programm KeePassXC abgedeckt, welches eine Implementierung und Weiterentwicklung des ursprünglichen KeePass ist, welches 2003 von einem Herrn Dominik Reichl aus Metzingen programmiert wurde.

KeePassXC, welches von einem Team um Janek Bevendorff aus Weimar aktiv weiterentwickelt wird, ist meiner Recherche und Meinung nach die nutzerfreundlichste und vom Design her ansprechendste Weiterentwicklung des ursprünglichen KeePass. Wie das originale KeePass auch ist KeePassXC durch die Lizenz bedingt zwingend kostenlos, die Entwicklung der Software und der Bierkonsum der Entwickler wird erfolgreich durch Spenden finanziert.

Laden Sie sich also nun KeePassXC herunter und installieren Sie es. Beim Öffnen der Anwendung sollten sie ein ähnliches Fenster zu Gesicht bekommen:

Erstellen Sie eine neue Datenbank. Lassen Sie die empfohlenen Einstellungen ausgewählt. Bei der Eingabe des Passworts klicken Sie bitte auf “Zusätzlichen Schutz hinzufügen” um die Option “Schlüsseldatei” sehen zu können, wie in diesem Bild:

Auch ohne Schlüsseldatei ist die Datenbank außerordentlich sicher. Da ich in dieser Anleitung aber auch die Synchronisation mittels einer Cloud demonstieren möchte, schätze ich die zusätzliche Sicherheit, die eine Schlüsseldatei bietet. Dazu später mehr.

Füllen wir zunächst das “Passwort eingeben” Feld aus. Dieses Passwort wird “Master Passwort” genannt, und das aus gutem Grund. Dieses Passwort ist das Passwort aller Passwörter. Es ist ungeheuer wichtig, dass Sie dieses Passwort mit Bedacht wählen und es sich merken. Es sollte nirgends aufgeschrieben sein, außer vielleicht in den ersten paar Tagen wenn Sie es sich noch einprägen müssen.

Für das Passwort selbst gilt: Besser lang als kompliziert. Es muss keine Sonderzeichen haben wenn es 50 Zeichen lang ist. Haben Sie eine Zeile aus einem Liedtext, die Sie besonders gern haben? Dies kann Ihr Passwort werden. Besser noch Sie ändern die Wörter etwas ab, indem Sie z.B. Vokale durch Zahlen ersetzen (a,e,i,o,u = 1,2,3,4,5) oder jedes ‘s’ durch ein ‘$’ ersetzen. Dadurch gehorchen Sie der wichtigsten Regel der Passwortsicherheit: Ihr Passwort sollte nicht in einem Lexikon stehen. Es geht hier immerhin um ihr Master-Passwort!

Was ist die Schlüsseldatei? Die Schlüsseldatei ergänzt ihr Passwort. Nur mit der Kombination aus Passwort und Schlüsseldatei kann man Ihre Passwortdatenbank entschlüsseln. Die Schlüsseldatei können Sie getrost auf ihrem Rechner liegen lassen. Aber wozu die Schlüsseldatei? Nun, wenn wir später unsere Passwortdatenbank auf eine Cloud von Google oder Microsoft stellen, können wir uns trotzdem sicher fühlen. Sogar wenn die Passwortdatenbank in falsche Hände gerät, kann die Datenbank selbst bei erratenem Passwort ohne die Schlüsseldatei nicht geöffnet werden. Merken Sie sich: Die Datenbank wird auf die Cloud gestellt – die Schlüsseldatei nicht!

Ein Beispiel für ein Passwort und den Ablageort der Schlüsseldatei. Ich verwende einen Mac, bei Ihnen kann es ähnlich aussehen. Die Option “Yubikey Challenge-Response” brauchen wir nicht.

Klicken Sie auf “Fertig” und speichern Sie die Datenbank dort ab, wo Sie sie sicher wiederfinden werden. Sie können Datenbank und Schlüsseldatei getrost am gleichen Ort speichern. Später, wenn wir die Cloud-Synchronisation einrichten, werden wir die Datenbank aber verschieben.

Tipps und Tricks zur Verwendung von KeePassXC werde ich am Ende dieses Artikels anhängen. Zunächst wollen wir uns ja mit der Einrichtung beschäftigen. Wenn Sie wollen können Sie schon mal ein Passwort in die Datenbank eintragen. Nehmen Sie sich 10 Minuten Zeit, um das Programm kennen zu lernen. Werfen Sie auch einen Blick in die Einstellungen.

Haben Sie einen USB-Stick übrig? Speichern Sie die Schlüsseldatei auf diesen ab und legen Sie ihn zu den Akten. Die Schlüsseldatei wird sich nie ändern, aber wenn diese verloren geht kommen Sie nicht mehr an Ihre Passwörter.

Schließen Sie KeePassXC bevor Sie fortfahren.

Einrichten der Cloud-Synchro

Nun wollen wir unsere Datenbank-Datei auf eine Cloud setzen, damit wir unsere Passwörter auf mehreren Geräten synchronisieren können.

Sie können unter diesen Cloud-Anbieter wählen: Dropbox, Google Drive, OneDrive, OwnCloud, Nextcloud oder PCloud. Die Wahl ist nur begrenzt von der Android-App, mit der wir später auf die Datenbank zugreifen wollen. Bei fast jedem Cloud-Anbieter gibt es ein kostenloses Speicherkontingent, welches für unsere Datenbank-Datei völlig ausreicht. Ich selbst habe 170 Passwort-Einträge in meiner Datenbank und die Datei ist gerade mal 61KB groß.

Zu jeder Cloud gibt es einen sogenannten “Client”, den man sich auf den Laptop/Desktop installieren kann. Dadurch bekommt man einen Ordner auf den Computer, der immer den Cloud-Inhalt lokal auf Ihren Computer synchronisiert. Wählen Sie sich also ihre Cloud aus und installieren Sie den dazu gehörigen Client.

Kurze Werbeunterbrechung: Ich verwende Nextcloud auf meinem eigenen Webspace, auf dem auch dieser Blog läuft. Der Vorteil dieser sogenannten “self-hosted” Cloud-Lösung ist, dass ich genau weiß wo die Daten abgespeichert sind. Dazu kann man mit Nextcloud auch seine Kontakte auf dem Handy synchronisieren und braucht dazu kein Google mehr. Sind Sie ein Bekannter von mir und möchten einen Account auf meiner Nextcloud unter cloud.andrewdelay.com? Sprechen Sie mich an, ich bin gerne behilflich im Kampf um die Privatsphäre des kleinen Netznutzers.

Verschieben Sie nun Ihre Datenbank-Datei in den Syncronisations-Ordner, den der Cloud-Client auf Ihrem Computer für die eingerichtet hat. Vergewissern Sie sich, dass dieser auch erfolgreich synchronisiert wurde, indem Sie z.B. sich im Browser in Ihre Cloud einloggen und dort sehen, ob die Datenbank vorhanden ist.

Öffnen Sie KeePassXC wieder und öffnen Sie die Datenbank an ihrem neuen Speicherplatz. Die Schlüsseldatei muss an ihrem alten Platz geblieben sein und darf nicht in der Cloud landen.

Hinweis: Der Client Ihrer Cloud muss ständig aktiv sein, damit Ihre Datenbank auch immer sofort synchronisiert wird, wenn Sie diese ändern. Überprüfen Sie, ob beim Einschalten Ihres Rechners der Client auch automatisch gestartet wird.

KeePass auf dem Handy

Für das Smartphone müssen wir nun eine andere App finden, KeePassXC ist für das Handy nicht erhältlich. Das gute ist, dass es hier genügend Auswahl gibt. Aber kann eine andere App die Datenbank von KeePassXC überhaupt öffnen? Ja, denn alle KeePass Implementierungen sind miteinander kompatibel. Sie alle verwenden das gleiche Format für die Datenbank und sind nur in ihrem Aussehen und zusätzlichen Funktionalitäten verschieden.

Meiner Recherche und Meinung nach ist Keepass2Android die beste KeePass App für Android. Sie wird von einem Herrn Philipp Crocoll aktiv weiterentwickelt und lässt sich sehr einfach mit unserer Cloud-Synchronisation verbinden.

Als ich zum ersten Mal den Namen Philipp Crocoll las, dachte ich mir, kenne ich den Namen nicht? Hieß so nicht mal ein Übungsleiter von mir? (ich studiere Elektro- und Informationstechnik am KIT in Karlsruhe) Und tatsächlich, der Mann war mein “Felder und Wellen” Übungsleiter! Hr. Crocoll finanziert seine Appentwicklung und seinen Bierkonsum ebenfalls mit Spenden.

Bevor wir die App installieren, wollen wir noch die Schlüsseldatei auf unser Handy kopieren. Dafür können Sie Bluetooth oder ein USB Kabel verwenden. Ich muss zugeben, dass ich die Schlüsseldatei kurz auf die Cloud getan habe, um sie dann auf dem Handy lokal abzuspeichern um sie dann sofort wieder aus der Cloud zu löschen. Egal wie sie die Schlüsseldatei auf ihr Handy tun, sie sollten mit einem Datei-Explorer die Schlüsseldatei danach in das Hauptverzeichnis ihres Handys verschieben, damit Sie diese gleich einfach wiederfinden.

Installieren Sie nun die App aus dem Playstore und öffnen Sie die App. Da wir ja schon eine Datenbank haben, wählen wir “Datei öffnen” aus. Je nach Cloud-Anbieter wählen Sie eines der Kacheln aus und folgen Sie den Anweisungen.

Wenn Sie die App erfolgreich auf Ihre Datenbank verwiesen haben, müssen Sie noch die Schlüsseldatei auswählen. Diese ist ja lokal auf Ihrem Gerät abgespeichert und lässt sich mit dem “Android-Dateibrowser” im Hauptverzeichnis ihres Handys finden.

Nun sollten Sie Ihr Passwort eingeben können und Ihre auf dem Computer gespeicherten Passwörter sehen können. Änderungen, die Sie in der App machen, werden automatisch auf ihre Cloud synchronisiert von wo aus sie auch automatisch auf Ihren Computer übertragen werden.

Nehmen Sie sich auch hier 10 Minuten Zeit, um die App kennen zu lernen. Es gibt viele tolle, hilfreiche Features, wie z.B. das Entsperren der Datenbank mit dem Fingerabdruck.

Tipps und Tricks

Dieser Absatz ist noch in Bearbeitung…