Mit KeePass einen synchronisierenden, kostenlosen Passwortmanager einrichten

Mit KeePass einen synchronisierenden, kostenlosen Passwortmanager einrichten

September 25, 2020 0 By Andrew Delay

Bei wie vielen Webseiten sind Sie registriert? Verwenden Sie für jeden Dienst ein eigenes Passwort? Diese und andere Fragen zu Passwortsicherheit haben Sie sich sicher einmal stellen müssen und haben – vielleicht weil Sie unangenehme Technikfragen gerne umgehen – sich nie damit befasst.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfielt in seinen Leitlinien zum sicheren Umgang mit Passwörtern sehr eindrücklich, für jeden Dienst ein eigenes Passwort zu setzen. Und es macht ja auch Sinn, denn hat ein Hacker ihr Passwort beim Fressnapf Onlineshop herausgefunden, wäre es fatal wenn damit ebenfalls der Zugang zu Ihrem Email-Konto frei wäre. Generell empfielt das BSI die Verwendung eine Passwort-Managers.

Ich möchte Ihnen heute den Passwortmanager KeePass vorstellen, der von der Bundesregierung empfohlen ist und dazu als freie Software kostenlos zur Verfügung steht.

Der einzige Vorteil, den kommerzielle Passwortmanager noch über dieser kostenlosen Lösung haben, nämlich die Synchronisation über mehrere Geräte, können wir mit KeePass und einem Cloudspeicher-Anbieter erreichen ohne die Sicherheit Ihrer Passwörter zu gefährden – ich zeige Ihnen wie!

Was setze ich voraus?

Diese Anleitung ist für Menschen geschrieben, die sicher im Umgang mit ihrem PC und ihrem Smartphone sind. Sie sollten sich in den Ordnern Ihres PCs zurecht finden können und auch die Navigation der Ordnerstruktur auf Ihrem Smartphone sollte kein Problem sein. Sie sollten in der Lage sein, einzelne Dateien auf Ihrem Handy zu verschieben, wie Sie es auch auf Ihrem PC tun.

Falls Sie sich bei einer Aufgabe überfordert fühlen sollten, führt in diesen Dingen eine gezielte Suchanfrage im Netz meist zu einer gut geschriebenen Anleitung.

KeePassXC für den PC

Zunächst beginnen wir mit der Einrichtung von KeePass auf dem Rechner. Hiermit meine ich Ihren Laptop/Desktopcomputer, auf dem Windows, Linux oder Mac OSX laufen darf. Sucht man nach KeePass im Netz, so wird man auf dutzende Programme stoßen, die alle irgendwie mit KeePass assoziiert zu sein scheinen. Welches nimmt man?

Das Original ist ganz klar das ursprüngliche KeePass, welches 2003 von einem Herrn Dominik Reichl aus Metzingen programmiert wurde und noch immer weiterentwickelt wird. Da der Hr. Reichl so nett ist, hat er KeePass unter einer Open Source Lizenz veröffentlicht, die es erlaubt den Code einzusehen und darauf aufzubauen. Ich persönlich habe viele KeePass-Varianten ausprobiert und empfehle KeePassXC.

KeePassXC, welches von einem Team um Janek Bevendorff aus Weimar aktiv weiterentwickelt wird, ist meiner Recherche und Meinung nach die nutzerfreundlichste und vom Design her ansprechendste Weiterentwicklung des ursprünglichen KeePass. Wie das originale KeePass auch ist KeePassXC durch die Lizenz bedingt zwingend kostenlos, die Entwicklung der Software und der Bierkonsum der Entwickler wird erfolgreich durch Spenden finanziert.

Ist KeePassXC sicher? Da KeePassXC ein Open Source Programm ist, ist der Quellcode für jeden einsehbar. Mehrere hundert Programmierer haben schon zu diesem Quellcode beigetragen und schauen sich jede vorgeschlagene Verbesserung genau an. Da die Programmierer sich so aufmerksam gegenseitig auf die Finger gucken entsteht ein Programm das genau das tut was es angibt zu sein: Ein sicherer Passwortmanager.

Aber was macht KeePassXC genau?

Bei der Einrichtung erstellt KeePassXC eine Datenbank, wo Ihre Passwörter drin gespeichert werden. Diese Datenbank wird durch ein Passwort und eine Schlüsseldatei gesichert, welche beide im Grunde Dateien sind, die lokal auf Ihrem PC liegen. Sie können selbst bestimmen, wo die Dateien auf Ihrem PC liegen sollen. Öffnen Sie das Programm KeePassXC, so werden Sie nach dem Passwort für Ihre Datenbank gefragt und die Datenbank wird entschlüsselt.

Deinstallieren Sie KeePassXC, so geht Ihre Datenbank & Schlüsseldatei nicht verloren! Sie müssen jedoch aufpassen, dass Sie die Dateien dort ablegen, wo Sie sie schnell wiederfinden.

Die Schlüsseldatei bietet einen extra Schutz über das Passwort hinaus ohne zusätzlichen Aufwand für Sie. Ohne Schlüsseldatei ist die Datenbank nämlich unbrauchbar. Das ist unser Vorteil, denn diese Tatsache erlaubt es uns die Datenbank über eine Cloud mit dem Handy zu synchronisieren ohne Angst haben zu müssen, dass die Cloud gehackt und die Datenbank geknackt wird, denn die Schlüsseldatei bleibt lokal auf den Geräten und wird nie ins Internet gestellt!

KeePassXC installieren

Laden Sie sich also nun die neuste Version von KeePassXC herunter und installieren Sie es. Beim Öffnen der Anwendung sollten sie ein ähnliches Fenster zu Gesicht bekommen:

2.6.1 war die neuste Version als ich diese Anleitung verfasst habe. Nehmen Sie bitte die neuste Version.

Erstellen Sie eine neue Datenbank. Lassen Sie die empfohlenen Einstellungen ausgewählt. Bei der Eingabe des Passworts klicken Sie bitte auf “Zusätzlichen Schutz hinzufügen” um die Option “Schlüsseldatei” sehen zu können, wie in diesem Bild:

Auch ohne Schlüsseldatei ist die Datenbank außerordentlich sicher. Da ich in dieser Anleitung aber die Synchronisation mittels einer Cloud demonstrieren möchte, schätze ich die zusätzliche Sicherheit, die eine Schlüsseldatei bietet. Dazu später mehr.

Füllen wir zunächst das “Passwort eingeben” Feld aus. Dieses Passwort wird “Master Passwort” genannt und das aus gutem Grund. Dieses Passwort ist das Passwort aller Passwörter. Es ist ungeheuer wichtig, dass Sie dieses Passwort mit Bedacht wählen und es sich merken. Es sollte nirgends aufgeschrieben sein, außer vielleicht in den ersten paar Tagen wenn Sie es sich noch einprägen müssen.

Für das Passwort selbst gilt: Besser lang als kompliziert. Es muss keine Sonderzeichen haben wenn es 50 Zeichen lang ist. Haben Sie eine Zeile aus einem Liedtext, die Sie besonders gern haben? Dies kann Ihr Passwort werden. Besser noch Sie ändern die Wörter etwas ab, indem Sie z.B. Vokale durch Zahlen ersetzen (a,e,i,o,u = 1,2,3,4,5) oder jedes ‘s’ durch ein ‘$’ ersetzen. Dadurch gehorchen Sie der wichtigsten Regel der Passwortsicherheit: Ihr Passwort sollte nicht in einem Lexikon stehen und auch nicht zu den 10.000 beliebtesten Passwörtern gehören. Es geht hier immerhin um ihr Master-Passwort!

Klicken Sie bei dem Feld “Schlüsseldatei” auf “Erzeugen” und wählen Sie für den Pfad einen Ort, den Sie schnell wiederfinden.

Zur Erinnerung: Was ist die Schlüsseldatei? Die Schlüsseldatei ergänzt ihr Passwort. Nur mit der Kombination aus Passwort und Schlüsseldatei kann man Ihre Passwortdatenbank entschlüsseln. Die Schlüsseldatei können Sie getrost auf ihrem Rechner liegen lassen. Aber wozu die Schlüsseldatei? Nun, wenn wir später unsere Passwortdatenbank auf eine Cloud von Google oder Microsoft stellen, können wir uns trotzdem sicher fühlen. Sogar wenn die Passwortdatenbank in falsche Hände gerät, kann die Datenbank selbst bei erratenem Passwort ohne die Schlüsseldatei nicht geöffnet werden. Merken Sie sich: Die Datenbank wird auf die Cloud gestellt – die Schlüsseldatei nicht!

Ein Beispiel für ein Passwort und den Ablageort der Schlüsseldatei. Ich verwende einen Mac, bei Ihnen kann es ähnlich aussehen. Die Option “Yubikey Challenge-Response” brauchen wir nicht.

Klicken Sie auf “Fertig” und speichern Sie die Datenbank dort ab, wo Sie sie sicher wiederfinden werden. Sie können Datenbank und Schlüsseldatei getrost am gleichen Ort abspeichern. Später, wenn wir die Cloud-Synchronisation einrichten, werden wir die Datenbank aber verschieben.

Tipps und Tricks zur Verwendung von KeePassXC werde ich am Ende dieses Artikels anhängen. Zunächst wollen wir uns ja mit der Einrichtung beschäftigen. Wenn Sie wollen können Sie schon mal ein Passwort in die Datenbank eintragen.

Tipp: Haben Sie einen USB-Stick übrig? Speichern Sie die Schlüsseldatei auf diesen ab und legen Sie ihn zu den Akten. Die Schlüsseldatei wird sich nie ändern, aber wenn diese verloren geht kommen Sie nicht mehr an Ihre Passwörter.

Schließen Sie KeePassXC bevor Sie fortfahren.

Einrichten der Cloud-Synchronisation

Nun wollen wir unsere Datenbank-Datei auf eine Cloud setzen, damit wir unsere Passwörter auf mehreren Geräten synchronisieren können.

Sie können unter diesen Cloud-Anbieter wählen: Dropbox, Google Drive, OneDrive, OwnCloud, Nextcloud oder PCloud. Die Wahl ist nur begrenzt von der Android-App, mit der wir später auf die Datenbank zugreifen wollen. Bei fast jedem Cloud-Anbieter gibt es ein kostenloses Speicherkontingent, welches für unsere Datenbank-Datei völlig ausreicht. Ich selbst habe 170 Passwort-Einträge in meiner Datenbank und die Datei ist gerade mal 61KB groß.

Jeder Cloudanbieter bietet einen sogenannten “Client” an, den man sich auf den Laptop/Desktop installieren kann. Dadurch bekommt man einen Ordner auf den Computer, der immer den Cloud-Inhalt lokal auf Ihren Computer synchronisiert. So einen Client brauchen wir. Wählen Sie sich also ihre Cloud aus und installieren Sie den dazu gehörigen Client.

Kurze Werbeunterbrechung: Ich verwende Nextcloud und kann es wärmstens empfehlen. Mit Nextcloud hat man im wahrsten Sinne eine ganz persönliche Cloud. Darüber hinaus kann man mit Nextcloud auch seine Kontakte und den Kalender auf dem Handy synchronisieren und braucht dazu kein Google mehr. Dabei bleiben Ihre Daten unter Ihrer Kontrolle und werden weder analysiert noch verkauft. Nextcloud wird in Stuttgart entwickelt.

Verschieben Sie nun Ihre Datenbank-Datei in den Syncronisations-Ordner, den der Cloud-Client auf Ihrem Computer für Sie eingerichtet hat. Vergewissern Sie sich, dass dieser auch erfolgreich synchronisiert wurde, indem Sie z.B. sich im Browser in Ihre Cloud einloggen und dort sehen, ob die Datenbank vorhanden ist.

Öffnen Sie KeePassXC wieder und öffnen Sie die Datenbank an ihrem neuen Speicherplatz. Die Schlüsseldatei muss an ihrem alten Platz geblieben sein und darf nicht in der Cloud landen.

Hinweis: Der Client Ihrer Cloud muss ständig im Hintergrund aktiv sein, damit Ihre Datenbank auch laufend synchronisiert wird, wenn Sie Passwörter hinzufügen oder ändern. Überprüfen Sie, ob beim Einschalten Ihres Rechners der Client auch automatisch gestartet wird.

KeePass auf dem Handy

Für das Smartphone müssen wir nun eine andere App finden, KeePassXC ist für das Handy nicht erhältlich. Das gute ist, dass es hier genügend Auswahl gibt. Aber kann eine andere App die Datenbank von KeePassXC überhaupt öffnen? Ja, denn fast alle KeePass Implementierungen sind miteinander kompatibel. Sie alle verwenden das gleiche Format für die Datenbank und sind nur in ihrem Aussehen und zusätzlichen Funktionalitäten verschieden.

Für Android

Meiner Recherche und Meinung nach ist Keepass2Android die beste KeePass App für Android. Sie wird von einem Herrn Philipp Crocoll aktiv weiterentwickelt und lässt sich sehr einfach mit unserer Cloud-Synchronisation verbinden.

Als ich zum ersten Mal den Namen Philipp Crocoll las, dachte ich mir, kenne ich den Namen nicht? Hieß so nicht mal ein Übungsleiter von mir an der Uni? Und tatsächlich, der Mann war mein “Felder und Wellen” Übungsleiter! Hr. Crocoll finanziert seine App-Entwicklung und seinen Bierkonsum ebenfalls über Spenden.

Bevor wir die App installieren, wollen wir noch die Schlüsseldatei auf unser Handy kopieren. Am besten nutzen Sie hierfür eine Verbindung über ein USB-Kabel oder einen USB Stick. Egal wie sie die Schlüsseldatei auf ihr Handy tun, sie sollten mit einem Datei-Explorer die Schlüsseldatei danach in das Hauptverzeichnis ihres Handys verschieben, damit Sie diese gleich einfach wiederfinden.

Installieren Sie nun die App aus dem Playstore und öffnen Sie die App. Da wir ja schon eine Datenbank haben, wählen wir “Datei öffnen” aus. Wählen Sie die Kachel Ihres gewählten Cloud-Anbieters aus und folgen Sie den Anweisungen.

Wenn Sie die App erfolgreich auf Ihre Datenbank verwiesen haben, müssen Sie noch die Schlüsseldatei auswählen. Diese ist ja lokal auf Ihrem Gerät abgespeichert und lässt sich mit dem “Android-Dateibrowser” im Hauptverzeichnis ihres Handys finden.

Nun sollten Sie Ihr Passwort eingeben können und Ihre auf dem Computer gespeicherten Passwörter sehen können. Änderungen, die Sie in der App machen, werden automatisch auf ihre Cloud synchronisiert von wo aus sie auch automatisch auf Ihren Computer übertragen werden.

Nehmen Sie sich auch hier Zeit, um die App kennen zu lernen. Es gibt viele tolle, hilfreiche Features, wie z.B. das Entsperren der Datenbank mit dem Fingerabdruck.

Tipps und Tricks

Auto-Type

Auto-Type ist eine sehr praktische Unterstützung zum Eintragen von Benutzername und Passwort, die KeePassXC für den PC bietet. KeePassXC schaut auf den Titel des Fensters Ihrer Anwendung und tippt den Eintrag ab, bei dem Sie genau diesen Fenstertitel als Kennung hinterlegt haben. Klingt kompliziert, ist es aber nicht. Fangen wir an!

Öffnen Sie zunächst KeePassXC auf Ihrem PC und gehen Sie unter den Einstellungen auf “Allgemein” und weiter auf den Reiter “Auto-Type”. Klicken Sie auf das Feld für das Tastenkürzel und drücken Sie die Tasten, die Sie für das Tastenkürzel verwenden möchten, z.B. ‘Strg Alt V’. Sie haben nun Auto-Type aktiviert.

Öffnen Sie den Webbrowser und gehen Sie auf eine Seite, bei der Sie sich einloggen möchten. Im Feld, in das Sie Ihren Benutzernamen eingeben sollen, drücken Sie das Tastenkürzel – es wird eine Meldung erscheinen: “Konnte keinen Eintrag finden, der mit dem Fenstertitel übereinstimmt:” gefolgt vom Fenstertitel.

Kopieren Sie diesen Fenstertitel und gehen Sie zu dem Passwort-Eintrag, den Sie auf der Webseite gerne eingetragen hätten. Klicken Sie den Eintrag doppelt an, um Ihn zu bearbeiten und gehen Sie zum Reiter “Auto-Type”. Klicken Sie auf das ‘+’ bei “Fenster-Zuordnungen” und fügen Sie dort ihren kopierten Fenstertitel ein.

Probieren Sie erneut, auf der Webseite das Auto-Type auszuführen – es sollte nun gehen.

Bei manchen Webseiten wird zuerst nach dem Benutzer gefragt und auf der nächsten Seite erst das Passwort. Oder es wird nur nach dem Passwort gefragt, wenn man sich schon mal bei der Seite angemeldet hatte. In diesen Fällen kommt bei den “Fenster-Zuordnungen” das Feld “Spezielle Sequenz für dieses Fender verwenden” ins Spiel. Hier kann man bestimmen, was getippt werden soll. Man kann so z.B. zwei Mal den gleichen Fenstertitel zuordnen mit verschiedenen Tipp-Sequenzen – im Zweifel fragt KeePass welche Sequenz gewünscht ist.