Anleitung: KeePass mit dem Browser verheiraten

Mittlerweile gibt es da draußen einen ganzen Schwung von Passwort-Managern. Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen. Ich selber bin jemand, der zwar für dieses Blog fast alles ausprobiert, doch wirklich lange genutzt habe ich bislang nicht viele Passwort-Manager. Angefangen hat das wohl mit KeePass, es folgten LastPass und danach 1Password.

KeePass

Um KeePass soll es hier auch gehen, das schon lange existente Open Source-Projekt, welches für jedermann kostenlos zu haben ist. Auf der Windows-Plattform gestartet, gibt es mittlerweile eine Menge Ports, die KeePass auf andere Plattformen bringen. Via Dropbox ist es so beispielsweise machbar, die Passwörter nicht nur auf dem Windows-PC zu nutzen, sondern auch auf dem Smartphone mit Android.

Doch darum soll es hier nicht gehen, sondern um das Verheiraten von KeePass mit dem Browser. Ich sprach neulich mit jemanden, der sagte mir, dass er aufgrund meiner Empfehlung (die schon zig Jahre zurück liegt) KeePass auf seinem Windows PC nutzt.

Mittlerweile ist das Ganze ja auch bequemer geworden: Passwörter lassen sich in Browsern speichern, sodass man bei vielen Sachen gar nicht mehr KeePass behelligen muss. Die Sache ist: mein Gesprächspartner ist jemand, der bislang immer die Passwörter aus KeePass heraus kopierte – umständlicher geht es ja eigentlich kaum. Ich hab ihm daraufhin ChromeIpass und PassIFox empfohlen – und für alle die, die das auch nicht kennen, gibt es hier einen kurzen Anriss, ein installiertes KeePass setze ich voraus.

ChromeIpass und PassIFox sind Erweiterungen für Chrome und Firefox, die KeePass anzapfen Können. Nutzer haben so die Möglichkeit, Passwörter aus KeePass heraus an den Browser übergeben zu können, oder aber die neuen Passwörter direkt in KeePass speichern zu können. Ich beschreibe die Vorgehensweise hier einmal anhand von ChromeIPass und Google Chrome, die Vorgehensweise lässt sich aber auch auf Firefox übertragen.

Screenshot_22_02_15_10_48

Zuerst einmal muss KeePass und das Plugin namens KeePassHTTP installiert sein. Dieses Plugin muss man nun in den Ordner kopieren, in welchem sich auch KeePass befindet. Damit KeePass das Plugin erkennt, muss die App einmal neu gestartet werden. Um die richtige Installation zu überprüfen, kann man im Menü von KeePass einfach unter „Tools“ schauen, da sollte der entsprechende Menüpunkt dann auftauchen.

KeePass_Anleitung_1

Nun müsst ihr die jeweiligen Erweiterungen im Browser installieren, ChromeIPass in Chrome und PassIFox in Firefox. Die Erweiterung muss nun mit dem Plugin verknüpft werden, sonst passiert erst einmal gar nichts. Hierfür klickt man auf das Symbol der Erweiterung und wählt „Connect“. Im folgenden Dialog werdet ihr nun aufgefordert, dem Encryption-Key einen Namen zu geben, damit ihr diesen später mal leichter identifizieren könnt.  ChromeIPass oder so wäre ja etwas, was man nachvollziehen kann.

KeePass_Anleitung_2

KeePass_Anleitung_5

Nachdem ihr die Erweiterung mit KeePass verknüpft habt, sollte auch das rote X verschwinden, welches über die Nichtverknüpfung informierte. Ab jetzt können Passwörter aus KeePass heraus in den Browser übergeben werden, aber auch neue Passwörter in KeePass übertragen werden. Erkennt die Erweiterung ein neues oder geändertes Passwort, dann blinkt sie rot – und ihr könnt das neue oder geänderte Passwort in KeePass übernehmen.

KeePass_Anleitung_4

Befindet ihr euch auf einer Seite, deren Anmeldeinformationen ihr in KeePass gespeichert habt, dann weist euch die Erweiterung auch darauf hin – so ist ein schnelles Einloggen möglich. Ebenfalls praktisch: selbst mehrere Accounts werden unterstützt, falls ihr also zwei Amazon- oder Google-Konten habt, könnt ihr hier schnell auswählen.

KeePass_Anleitung_3

Die Einbindung des Plugins in KeePass und den Browser ist eine Sache von wenigen Minuten, hebt aber die Nützlichkeit von KeePass auf ein komplett neues Level. Sollte sich also jeder anschauen, der KeePass nutzt. Fortgeschrittene Nutzer sollten auf jeden Fall auch einen Blick in die Einstellungen des Browser-Plugins werfen, hier lässt sich beispielsweise der mitgelieferte Passwort-Generator deaktivieren oder einstellen, ob die Browser-Erweiterung automatisch Benutzernamen einträgt.

Erwähnte Werkzeuge aus diesem Beitrag:

KeePass

KeePassHTTP

ChromeIPass & PassIFox

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

71 Kommentare

  1. Für die Linuxuser gibt es Keepasshttp auch: https://github.com/pfn/keepasshttp/

  2. Thomas Baumann says:

    @caschy: Ääähm… Rechtsklick auf den KeePass Eintrag – Perform Auto-Type (Ctrl+V) ?
    Find ich einfach genug.

  3. @Thomas Baumann Finde ich ebenfalls umständlich – wozu auch in die App wechseln, wenn es auch völlig anders, leichter und schneller geht?

  4. Also bei mir kommt kein Plugin auf den Rechner das auf KeePass zugreift. Ich nutze die Auto-Type Funktion das reicht völlig aus und hier ist KeePass derjenige der steuert und nicht anders herum !

  5. Da müsste ich ja wahnsinnig sein ein Plugin Zugriff auf seine KeePass Datenbank zu gewähren.

  6. ICh benutze KeePass schon einige Jahre. Plugins sind überflüssig. Wenn man AutoType richtig konfiguriert hat, reicht STRG-ALT-A, egal ob im Browser oder einer anderen lokalen Anwendung, und dann ein Klick auf den richtigen Eintrag. Bisher habe ich weniger als eine Hand voll Programme gehabt, bei denen AutoType nicht funktioniert hat. Da hilft dann meistens Copy & Paste. Beim Rest muss man dann halt zu Fuß eintragen. Da helfen die PlugIns sicherlich auch nicht.
    Selbst unter Android benutze ich KeePass, mit dem ich meine kdbx aus KeePass 2 benutzen kann.

  7. Für MacUser gibt es hier einen Fork von KeepassX mit integriertem Plugin: https://github.com/keithbennett/keepassx/releases

  8. Thomas Baumann says:

    @Caschy Etwas leichter ist es, ja. Schattenseite: Der Browser hat halt irgendwie Zugriff drauf. Und kein Browser ist 100%ig sicher. Mich stört es so nicht. Klar, Benutzer kopieren – einfügen – Passwort anzeigen – kopieren – einfügen ist der Overkill. Zumal dann aus Vergesslichkeit häufig noch das Passwort in der Zwischenablage verweilt. Aber muss jeder wissen wie er/sie will.

  9. @Stefan: Die Zwischenablage von Windows (alles hat Zugriff) ist also sicherer?

  10. Ihr lernt es alle nicht, jeden Tag kommen neue Meldungen wie wir ausspioniert werden, und Ihr speichert Passwörter auf dem PC und wen dann jemand Euren Account nutzt ist das Geheule wieder groß!!
    tztztztz mehr fällt mir dazu echt nicht ein.

  11. @An0: Erhelle uns. Du nutzt was? Papier? Brain?

  12. Alternativ kann man auch FireFox mit einem eigenen SyncServer nutzen, dafür braucht man jedoch einen Linux Server und etwas Administrationsskills.

  13. Ich persönlich benutze KeeFox ( http://keefox.org/ ) für die Integration von KeePass mit Firefox. KeeFox installiert ein eigenes Plugin für KeePass genannt KeePassRPC.

  14. Vielen Dank für den Artikel Caschy.
    Bisher habe ich auch die Autotype Funktion benutzt, welche bei richtiger Konfiguration wirklich recht nahtlos funktioniert hat (mit globalem Shortcut).
    Das Plugin erleichtert das ganze noch ein wenig.

  15. @caschy. Wie schon richtig angemerkt ist Windows sicher nicht als sicher zu bezeichnen und wenn Keepass darunter läuft ist auch die Möglichkeit gegeben das dieses ausgelesen werden kann. (jeder sollte mindestens in Keepass den secure-desktop bei der Master-key Eingabe aktivieren was leider per Default deaktiviert ist)

    Sicherer fährt man nur wenn der Passwort-Manager auf einem anderen gerät läuft. Hier kann ich zum selber basteln Inputstick ( http://www.inputstick.com/ ) empfehlen mit Plugin für Keepass2Android. Man muss nur sichergehen das auch sein Android gerät nicht kompromittiert werden kann.

    Für die die ganz sicher gehen wollen gibt es noch Mooltipass ( https://www.indiegogo.com/projects/mooltipass-open-source-offline-password-keeper/ )
    was dann aber auch schon nichts mehr mit Keepass zu tun hat.

    Mit den letzten beiden varianten kann auf jedenfall niemals ein virus gleich die ganze keepass Datenbank auslesen und hätte dann gleich alle deine Passwörter.

    Gegen einen Keylogger gibt es aber keinen Schutz. Hier müsste ein ganz anderes System statt Passwörter eingeführt werden.

  16. AutoType ist genug, ein zusätzlich Plugin benötige ich da nicht!

  17. Man soll dem Plugin also erstmal sein Masterpasswort anvertrauen. Das ist natürlich sinnvoll… m(

    Wie immer sind Komfort und Sicherheit einfach zwei gegensätzliche Dinge. Ich nutzte ebenfalls Autotype. Mit dem hier vorgestellten kann man die Passwörter auch direkt im Browser speichern, weil man alles an Sicherheit ohnehin aufgibt.

  18. @2cent. Richtig, du vertraust einem Open Source-Plugin zur Übergabe das an, so wie du einer Open Source-Anwenung alle deine Passwörter anvertraust.

  19. @2cent: „Man soll dem Plugin also erstmal sein Masterpasswort anvertrauen. Das ist natürlich sinnvoll… m(“ <- Du verknüpfst den Browser nur mit KeePass. Das Masterpasswort für deine Datenbank bleibt bei dir. Soweit ich weiß wird nur darauf hingewiesen, dass KeePass nicht läuft und bei einem Klick auf das Icon wird KeePass gestartet und du musst deine Datenbank selber(!) mit deinem Masterpasswort öffnen.

  20. Wenn ein Plugin, dann höchstens noch „Url in title“ für Chrome (https://chrome.google.com/webstore/detail/url-in-title/ignpacbgnbnkaiooknalneoeladjnfgb?utm_source=chrome-app-launcher-info-dialog). Damit lassen sich dann die Auto-Type-Regeln noch genauer definieren. Sehr praktisch, wenn man z.B. mehrere phpmyadmin-Logins hat und den Seitentitel nicht anpassen kann/darf.

  21. Ich diese ganzen Passwortmanager nicht wirklich verstanden.
    Ihr gebt jemand anderen unbekannten eure Passwörter in die Hand, aber bei Irgend welchen Messenger (Threema, WhatsApp usw.) seid ihr am meckern das die Verschlüsselung gar nicht existiert oder trotzdem geknackt werden kann und es werden irgendwelche nicht Sicherheitsrelvanten daten (Sprüche uws.) übermittelt.
    Wer Garantiert mir die Sicherheit meiner Passwörter?
    Ich verweise mal auf den SIM Karten Skandal oder auf das Thema Lenovo (Superfish).
    Und die Online gespeicherte Datenbank bei Dropbox oder wo auch immer ist sicher?
    Ihr glaubt wirklich das eure Passwörter nicht gelesen werden können?

  22. Nutze ich seit einigen Jahren bereits genau so. Sehr praktisch, kann ich nur empfehlen.

  23. Ich hab nicht ganz verstanden, warum Auto-Type (Ctrl-Alt-A) nicht ausreicht? Damit konnte ich bisher alle Fälle abarbeiten.

  24. Was mich bei dieser Variante ein wenig stört:
    Wenn meine Datenbank gesperrt ist und ich auf eine Seite mit Login komme:
    Es gibt eine Einstellung in den KeePassHttp Optionen, welche es erlauft, die Datenbank bei Bedarf zu entsperren. Wenn dies allerdings der Fall ist, wird KeePass gestartet.

    Ich hätte das gerne so:
    Wenn meine KeePass Datenbank gesperrt ist und ich auf eine Login Seite komme soll das Masterpasswort abgefragt werden und die Loginfelder ausgefüllt werden. KeePass soll dabei weiterhin im Hintergrund (minimiert im Tray) bleiben.
    Geht das irgendwie?

  25. Überflüssigstes Plugin! Wie andere schon erwähnt haben kann KeePass von Hause aus schon [STRG]+[A] – und das ohne Konfiguration … Und das funktioniert bei mir mit ca. 50 Passwörtern überall (auf jeder Website und in jeder Desktop-Anwendung). Wofür soll man sich dann noch ein Plugin installieren?!?!

  26. @cashy, Passo:
    Muss ich meine Keepass-DB immer selber entsperren oder speichert das Plugin mein Masterpasswort. Was ist der „Encryption key“ im Text?

    Cashy, ich vertraue der Open Source-Anwendung, dass sie richtig verschlüsselt und kann sehen, dass sie keine Hintertüren hat. Mein Masterpasswort, das zum Entschlüsseln benötigt wird, bleibt aber bei mir. Das ist ein ziemlich wichtiger Punkt. Wenn du das Masterpasswort speicherst, kannst du es dir auch gleich sparen, ob OSS oder nicht.

  27. @Dirk K.
    Im Falle von KeePass könnte ich diese Sicherheit sogar selbst garantieren – der Sourcecode ist frei verfügbar.

    @Sascha
    Jede Art von Passwortspeicher kann kompromitiert werden – lediglich der nötige Aufwand ist unterschiedlich.

  28. Wenn schon ein Firefox-Plugin dann KeeFox.

  29. @Dirk K.: Wir sprechen hier über einen OpenSource-Passwortmanager, der auf einer verschlüsselten lokalen DB-Kopie (USB-Stick) arbeiten kann, die mit Master-Passwort und Schlüsseldatei gesichert ist.

    Was wären die Alternativen? ClostSource-Passwortmanager, Papierbüchlein, nur wenige Passwörter? Mit KeePass kann man sich zB. erinnern lassen, dass man die Passwörter wöchentlich/monatlich ändert und man hat für jede Seite ein eigenes Passwort. Natürlich opfert man etwas Sicherheit für den Komfort. Aber ist es sicherer nur wenige Passwörter einzusetzen, die dann bei einem Leak alle anderen Dienste auch angreifbar machen oder ein Buch, welches man schnell mal verliert und dann kommt man nirgendwo mehr rein?

  30. Wie wäre es in diesem Zuge mit einem Alltagstest der U2F-Sticks oder anderen hardwareseitigen Lösungen für die Mehrwege-Authentifizierung? Sprich, welche Dienste unterstützen das, wie ist der Komfort, Sicherheitsgefühl und so.

  31. gibt es auch eine Einbindung unter Mac OS X ? Unter Windows nutze ich KeeFox

  32. Ganz ehrlich, man kann es auch einfach mal übertreiben mit dem Sicherheitsgedanken. Ja, Passwörter im Browser speichern ist per se unsicher, eine (ürbigens verschlüsselte) Passwortdatenbak bei einem Anbieter wie Dropbox abzulegen auch, ebenso wohl auch, einem Plugin den Zugriff darauf zu gewähren. Aber ernsthaft, man kann sich auch verrückt machen und es macht das Leben nicht leichter, wenn man hinter jedem Busch einen Verbrecher vermutet. Sicherheit und Datenschutz? Ja, klar! Aber der Aufwand muss auch in einem vernünftigen Verhältnis zum Nutzen stehen. Und das ist bei einigen hier eher nicht der Fall.

  33. @2cent: “ Muss ich meine Keepass-DB immer selber entsperren oder speichert das Plugin mein Masterpasswort. Was ist der “Encryption key” im Text?“ <- Du musst deine KeePass-Datenbank immer selber entsperren. Der "Encryption Key" dient zur Kommunikation zwischen dem Browser und der KeePass-Datenbank.

  34. Danke für den Shortcut-Tip, wußte ich noch gar nicht 😉 Sehr bequem! Ich hab auch irgendwie ein flaues Gefühl im Magen einem unbekannten Plugin hier zu vertrauen. Ich habe meine KeePass DB so umgestellt, daß die Eingabe des Masterpassworts im Secure Desktop erfolgt und die wirklich wichtigen Zugangsdaten über „Two-Channel Auto-Type Obfuscation“ (http://keepass.info/help/v2/autotype_obfuscation.html) an die Loginfelder übergeben werden.

  35. @Passo
    Dann ist das absolut in Ordnung. Hab ich es über lesen oder geht der Artikel da nicht drauf ein?

  36. kondolenzbuchhalter says:

    Also ich benutze das Auto-Type Feature von KeePass und finde es mehr als audreichend. Den Auto-Type Hotkey habe ich mir auf einen Button meiner Gaming Mouse gelegt. Um es etwas sicherer zu machen und Einträge nach Host zu übergeben, nutze ich lediglich noch die Chrome Erweiterung „HostTitle“. Die im Artikel genannte Erweiterung habe ich mir kurz angesehen und mir kommen da zu viele Abfragen und Buttons etc. Wenn für KeePass einmal alles für die Verwendung mit Auto-Type eingerichtet ist, lüppt das wunderbar. Zusätzlich kann man noch „Two-Channel Auto-Type Obfuscation“ aktivieren, wie Timo das schon anmerkte. Wenn man die Anwesendheit von Keyloggern befürchtet.

  37. @2cent: Da geht der Artikel nicht drauf ein.

  38. kondolenzbuchhalter says:

    Um es meinen Beitrag kurz zu ergänzen: Die Erweiterung „HostTitle“ ergänzt den Titel des Fensters um den Host der geöffneten Seite. Das ist echt praktisch, wenn ich Seiten per drag & drop auf den Desktop ziehe, oder etwas ausdrucke, dann ist auch dort hinten dran der Host zu finden. Wenn ich nun div. Auto-Type Einträge erstelle, die vielleicht nicht nur Benutzer & Passwort erfordern, sondern auch Stringfelder oder OTP Erweiterungen, dann kann ich diese auf den Host begrenzen und noch mit Wildcards arbeiten. PayPal wäre zB. nicht bloß „Confirm your identity by answering security questions – PayPal“, sondern „Confirm your identity by answering security questions – PayPal [www.paypal.com]“. Ohne den passenden Host, kann mir eine betrügerische Seite weniger was vormachen. Würde eine Seite es einfach im Titel anhängen, wäre es etwas wie „Confirm your identity by answering security questions – PayPal [www.paypal.com] [www.paypal.com]“ und somit auch ungültig, weil der tatsächliche Host ja dennoch hinten angehangen werden würde.

  39. Ich nutze auch die Auto-Type Option und für jedes noch so umfangreiche Login-Formular kann man Auto-Type so umkonfigurieren, dass es auch Usereingaben berücksichtigt, um zum Beispiel noch Captcha-Eingaben durch den User zu ermöglichen. Der Charme bei Auto-Type ist, dass man in Kombination mit der Kommando-Zeilen-Funktion mit einem simplen Klick KeePass dazu bringen kann, z.B. PuTTY zu öffnen und sich automatisch einzuloggen, das ist ein Vorteil gegenüber den Online-Diensten. Man muss natürlich immer schauen und abwägen zwischen Komfort und Sicherheit. Für sensible Passwörter benutze ich nicht mal KeePass ssondern lieber ein eigenes Schema nachdem ich meine Passwörter bilde und gebe sie lieber selbst ein. Wer lieber faul ist, soll einen systemübergreifenden Dienst nutzen mit Browser-Plugins, z.B. LastPass. Wer aber ein bisschen selbst das Gefühl der Kontrolle über seine Passwörter haben möchte und sich mit Funktionen auseinandersetzen will, dem lege ich doch KeePass ans Herz. Denn leider scheren sich seit der Social-Media-Generation immer weniger Menschen um ihre Daten und Privatsphäre, deswegen werden auch immer mehr Menschen bequeme Dienste nutzen, damit man sich mit sowas nervigem wie Passwörter oder Kreditkarten eingeben nicht mehr selbst beschäftigen muss. Man stumpft ab mit der Zeit, auch durch die Hilflosigkeit bei all den Meldungen über Sicherheitslöcher, infizierte Festplatten-Firmware oder ausgehebelten Verschlüsselungen… „man kann ja eh nix dagegen machen“… doch man kann, mit ein bisschen Nachdenken und etwas Verzicht auf mehr Komfort und generell sorgfältigerem Umgang mit seinen Daten, wie heißt es so schön: einmal im Netz, immer im Netz.

    Wer die Zwischenablage in KeePass nutzen möchte, hier ein Tipp: man kann eine Tastenkombination einstellen, die KeePass in den Vordergrund bringt, und KeePass ebenfalls so einstellen, dass ein Doppelklick auf Username oder Passwort, den Inhalt jeweils in die Zwischenablage kopiert (standardmäßig so eingestellt) und zusätzlich, dass KeePass sich nach dem Doppelklick wieder in den Hintergrund (nicht Systray sondern Fenster-Hintergrund) verabschiedet. Die Zeitspanne, nach der KeePass den Inhalt aus der Zwischenablage löscht sollte man auch auch aktivieren und die Zeit drastisch verkürzen, z. B. auf 3 Sekunden. Wenn man sich nun irgendwo einloggen möchte klickt man ins Usernamen-Feld, drückt die Tastenkombination für KeePass, klickt doppelt auf den Usernamen, KeePass springt wieder in den Hintergrund, Strg+V auf der Webseite, Tab drücken, dann wieder die Tastenkombination für KeePass oder besser Alt+Tab, in KeePass wieder Doppelklick aufs Passwort, der Browser kommt wieder automatisch hervor, Strg+V, Enter.

    Wichtig: ich möchte anmerken, dass Auto-Type auch nicht vor Key-Loggern schützt, da es Tasteneingaben simuliert und die Lösung über die Zwischenablage ist anfällig für Schadsoftware, die eben jene ausspioniert. Wessen System jedoch soweit schon mit dem einen oder anderen oder sogar beider Sorten Trojaner befallen ist der hat eh gelitten und das Master-Passwort ist bereits irgendeiner Person oder Bot bekannt ☺ da ist es dann egal ob man KeePass, LastPass oder Konsorten nutzt.

    Ich wage mal zu behaupten, dass viele KeePass nutzen, weil sie mehr Kontrolle und „Besitz“ über ihre Passwörter haben wollen anstatt sie einem Online-Dienst anzuvertrauen. Die Browser-Plugins funktionieren zwar nicht über den Online-Weg aber sie sind nun mal ne Art „Man in the Middle“ und das macht dann die bewusste Entscheidung für KeePass wieder absurd.

  40. kondolenzbuchhalter says:

    „Ich wage mal zu behaupten, dass viele KeePass nutzen, weil sie mehr Kontrolle und “Besitz” über ihre Passwörter haben wollen anstatt sie einem Online-Dienst anzuvertrauen.“

    Ja. Mit KeePass kann man wirklich so ziemlich alles realisieren was man haben möchte. Da ich für jede Seite / jeden Dienst ein eigenes Passwort generiere und sich nach einigen Jahren einige Hundert darin befinden, teils noch mit etlichen Stringfeldern usw. käme für mich ohnehin kein Wechsel mehr in Frage.

  41. @Caschy: Was spricht für das Plugin und gegen AutoTyp?

  42. Ich nutze auch den auto-type Hotkey. Man braucht dafür nicht in die Keepass-App zu wechseln, hat eine sichere Zwischenablage und es ist sehr umfangreich konfigurierbar.
    http://keepass.info/help/base/autotype.html

  43. Sorry – bei mir hat’s nicht funktioniert …
    Nach Installation/Connect vom KeePassHttp und Restart vom KeePass und Firefox (vorher natürlich PassIFox installiert) wurden ca. 200 Password-Einträge vom Firefox gelöscht, jedoch nur ca. 20 in KeePass übernommen – ein Bombenerfolg!
    Gut, dass ich mit FEBE sichere …

  44. Sysadmin Margarethe says:

    Geht übrigens auch prima per OneDrive + 7Pass auf Windows Phone

  45. Danke Carsten. Solche Artikel waren es, warum ich das Blog abonniert habe. (Schade, dass die in letzter Zeit Ausnahme statt Regel sind)

  46. TutnichtszurSache says:

    Ich sage einfach nur mal Danke für diesen Artikel. Mir hilft es und die ganzen Meckerer und Zauderer kann ich nicht ganz verstehen. Sicherheit ja, aber alles muss in einem guten Verhältnis stehen.

  47. Frage am Rande:
    Hat jemand keepass 2 für Mac zum Laufen bekommen?
    Ich tue mich da schwer mit.
    Das Monoframework will einfach nicht laufen…

  48. @kondolenzbuchhalter: wieso bin ich da nicht drauf gekommen? 🙂 hab den Autotype-Hotkey jetzt auf die Daumentaste meiner Logitech G500 gelegt. Funktioniert wunderbar 🙂

  49. Ich traue nur meinen Einstellungen..ich gebe niemals meine Daten online frei. Last mich altmodisch aussehen…aber ich kopiere lieber aus KeePass meine Kennwörter. Die Datenbank ist auf ein USB Stick…der eingesteckt wird, wenn ich KeePass brauche, das ist ist Sicherheit!

  50. Hallo zusammen
    Wie meine Vorredner schon erwähnt habe ist es vermutlich die sicherste Variante nixht auf ein Browser Plugin zusetzten. Kennt jemand eine Beschreibung wie KeePass am sichersten konfiguriert wird unter der Verwendung von Autotype?
    Gibt es auch unter Verwendung von Autotype eine Möglichkeit, dass z.B Mitarbeiter die User (außerder Admin) die Passwörter nicht sehen können?

  51. Noch was dazu: man kann die Datei hervorragend (auch über mehrere Rechner incl. Android) mit Owncloud synchronisieren, per Webdav lautet die URL dann:
    https://owncloud.domain.tld/remote.php/webdav/Verzeichnis/Dateiname.kdbx

    Unter Android ist dann Keepass2Android die erste Wahl, wahlweise auch als Offline-Version ohne Internetzugriff:
    https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de
    https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet&hl=de

    Besser geht es auch mit LastPass etc. nicht – und das völlig kostenlos !

  52. Mal eine ganze andere Frage: Welche Apps verwendet ihr, um eure KeePass-Datenbanken auch auf iPad/iPhone im Zugriff zu haben?

  53. Ich hab mal eine Frage an all Diejenigen, die OpenSource als Sicherheitsgarant anschleppen.

    Versteht ihr denn auch den jeweiligen Sourcecode?
    Ich würde ihn nicht verstehen. Ergo auch keinen Schadcode im Quellcode erkennen. Kompilieren könnte ich ihn vielleicht. Was mir das nützen soll, weiß ich allerdings nicht.

    Denn ich muss also entweder demjenigen vertrauen, der den Code zur Verfügung stellt, oder jemandem, der nach jedem Update den Quellcode eigenhändig prüft und ihn für sicher befindet. Oder ich setze auf kommerzielle Lösungen, wo der Code nicht frei einsehbar ist und vertraue dem Versprechen des Entwicklers, seine Software sei sicher.

    Vertrauen muss ich persönlich also immer einer anderen Person. Und irgendwie habe ich das Gefühl, dass ich da nicht der Einzige bin…

  54. Thomas Baumann says:

    @Nico:
    Ja, heute. Bisher aber leider nur über die Kommandozeile. Über GUI (wie öffnen mit…) leider noch nicht. Ich bin in der Mac Welt aber auch noch recht neu.
    Vom Prinzip einfach. Konsole auf und in das KeePass Verzeichnis rein navigieren. Dann nur noch „mono ./KeePass.exe“.
    Der erste Start dauert sehr lange, weitere denn aber nicht mehr.

  55. DancingBallmer says:

    Benutze auch kein Plugin, nur Keepass 2 unter Windows und KeepassX auf dem Mac. Android wird be mir über FolderSync lokal synchronisiert, da wird nichts in der Cloud abgelegt oder über das Internet ausgetauscht. Einzig bei unwichtigen Seiten wie Foren oder Spam-Mailaccount speichere ich die Passwörter in Firefox.

    Zum Thema Extensions allgemein: Je weniger Programme involviert sind, desto sicherer ist es. Da ich selber nicht programmieren kann, bin ich von anderen abhängig. Falls jemals Keepass gehackt wird oder in anderer Form jemand Schindluder treibt, wird das aufgrund der Verbreitung von Keepass relativ schnell auffallen und auch die Runde durch die Blogs machen. Bei kleineren Erweiterungen wäre ich mir da nicht so sicher, zumal die dank Auto-Updates der Browser auch schneller verteilt werden.

  56. Habe die Kombination aus Keepass Plugin und Browser Extension auch eine Zeit lang benutzt. Leider funktioniert das Plugin nur für Keepass2.x, womit man einige Vorteile der Plattformunabhängigkeit aufgibt. Deshalb habe ich lange Zeit Autotype benutzt.

    Das Dumme an Keepass ist, dass man sich selbst um die Synchronisierung zwischen Smartphone und Desktop kümmern muss und die Android-App potthässlich ist. Deshalb habe ich die Synchronisation aufgeben und nutze jetzt eine lokale App mit Material Design. Ein Dateimanager kümmert sich um das Backup in die Cloud. Passwörter speichere ich in Chrome dann ab, die hab ich dann am PC und Smartphone.

  57. @icancompute: Ich kann zwar die meisten Source-Codes verstehen, habe bei KeePass noch nicht rein geschaut. Hast du schon von Intelligenz der Masse gehört? Durch mehrere Kontrolleure kann etwas entdeckt werden. Dieses kann bei ClosedSource nicht passieren, ergo ist OS sicherer als CS, weil externe den Code kontrollieren können.

  58. Noch was dazu: man kann die Datei hervorragend (auch über mehrere Rechner incl. Android) mit Owncloud synchronisieren, per Webdav lautet die URL dann:
    owncloud.domain.tld/remote.php/webdav/Verzeichnis/Dateiname.kdbx

    Unter Android ist dann Keepass2Android die erste Wahl, wahlweise auch als Offline-Version ohne Internetzugriff.

    Besser geht es auch mit LastPass etc. nicht – und das völlig kostenlos !

  59. @info: Welche APP hattest du unter Android verwendet?

  60. @icancompute:
    Zum Thema Sicherheit: Bei OS können einfach mehr nachschauen. Eine Lücke bleibt solange unveröffentlicht, solange nur die die Lücke kennen, die sie nicht publik machen. Dabei steigt die Wahrscheinlichkeit der Offenlegung mit der Zahl der Betrachter. Weiter ist z.B. bei OS möglich, daß eine Lücke entdeckt wird, weil jemand einfach um zu lernen einen Code analysiert. Bei CS unmöglich. Bei CS kann nur ein Mitglied der Firma nachsehen, und das dürfte andere Sorgen haben als just for fun nachzuschauen. Sprich, funktionierende Code wird bei CS sicher seltener kontrolliert.

    @Caschy:
    „Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen.“
    Ich denke, der Satz ist falsch 😉 Sollte er nicht eher nach Snowden lauten: Viele haben die Zeichen der Zeit erkannt und setzen nicht mehr auf übergreifende Lösungen, weil die auf Fremdservern liegen und oft auf Closed-Source setzen, die, wenn US-Firmen, Masterkeys bereithalten müssen oder den Laden dicht machen können (vgl US- Emailprovider, der sich weigerte einen Masterkey einzubauen)?

  61. @Detlutz: Ich nutze Keepass nahezu täglich, auch mehrfach, da würde so ein USB-Stick so oft zum EInsatz kommen, dass er am Ende ohnehin dauerhaft am Rechner bleiben würde. Das mag Sicherheit bedeuten, ist für den privaten Sektor aber völlig überzogen.

    @Tom: Auf iPhone und iPad nutze ich MiniKeePass.

    @Fraggle: Ja, bei Opensource können mehr Nutzer den Code kontrollieren. Die entscheidende Frage ist doch aber, ob das auch tatsächlich so geschieht. Gerade die jüngere Vergangenheit hat gezeigt, dass Opensource nicht automatisch mehr Sicherheit bedeutet. Da hat sich die „Intelligenz der Masse“ offenbar über Jahre zurückgehalten.

  62. Hachja, das böse, unbekannte Plugin. Völlig unsicher, weil kennt man nicht. Und Keepass ist Open Source, da kann man voll vertrauen.

    Wer hat denn schon mal den Keepass Quellcode durchgearbeitet? Und glaubt, technisch kompetent genug zu sein, dass er/sie ausschließen kann, dass es dort nirgendwo ne Hintertür gibt. In keiner Library, nicht in den Kryptoroutinen, nirgendwo?

    Und die Nummer mit „Ist Open Source, gucken viele Leute drauf“ – daran kann man spätestens seit openssl irgendwie kaum noch glauben – das war noch unendlich viel verbreiteter und blieb trotzdem jahrelang unentdeckt.

    Viel besser noch – Shellshock in bash. DIE Shell.
    Lücke existierte seit 1989, gefunden in 2014. Are you kidding me?

    BTW, der Code des Plugins ist auch Open Source. Aber, genau wie Keepass – Mono, also net Framework, also Microsoft. Dem vertraut ihr? 😉

  63. Die Frage ist doch: Wozu noch unnötig Plugins installieren, wenn Keepass bereits Auto-Type über globalen Hotkey mitbringt?

  64. Ohje der Troll Faktor in den Comments ist heute mal wieder hoch.

    Kurz nur zu dem „Cloud Platformen“

    Ich bin vor 2 Jahren von Lastpass zu Keepass in zusammenhang mit einer SSH Shell gewechselt. Dies Synce ich automatisch per SCP:// auf Laptop, PC und Android. Der Server ist meiner und die Datenbank ist zusätzlich mit Masterpassword und einem nur lokal liegendem 1024 Bit Keyfile geschützt.

    Die Einrichtung ist zwar einmalig etwas aufwändiger als Lastpass aber wenn es einmal läuft, läufts.

  65. @Sutadur:
    Vergleich bitte Heartbleed und den anderen mit den Sicherheitslücken, die seit XP existierten. Davon gibt es deutlich mehr und waren vergleichsweise lange nicht gefixt.

    Ich habe meinen Stick auch dauerhaft dran, aber Keepass schließt sich bei mir automatisch. Die Secure Desktoplösung funktioniert übrigens seltenst im Büro, weil UAC 😉

  66. Danke für den Beitrag, den genau das hatte mir noch gefehlt bei KeePass.

  67. DancingBallmer says:

    Die absolute Sicherheit gibt es nicht, dies gilt auch für Opensource. Man kann aber das Risiko deutlich minimieren. Gerade die großen Projekte werden von vielen Leuten gepflegt und kontrolliert. Ein Projekt wie Keepass gibt es sehr lange, es gibt auch einige inoffizelle Ableger für verschiednene Systeme wie iOS, Android oder Mac. Zumindest diese paar Programmierer schauen sich sehr intensiv den Code an. Natürlich würde ich gerne das selber kontrollieren können, aber da muß leider ich in der Tat dem Schwarm als Kontrollfunktion vertrauen.

    Gerade noch schnell nachgeschaut, laut Sourceforge wurde nur in der letzten Woche der Sourcecode der 2.2.8er Version knapp 160 mal heruntergeladen. Die Code ist von Mitte Oktober, d.h. auch schon etwas älter. Ein paar Augen dürften den Code also schon mal gesehen haben 😉

  68. DA IST JA WAS LOS GETRETEN WORDEN MIT DEM ARTIKEL 🙂

    …( caps off )…

  69. Würde gerne KeePass antesten, jedoch Händisch alle PW’s von Lastpass in KeePass exportieren?! Habs mit dem Phyton-Tut versucht, haut nicht hin.

    Wenn mir jemand einen Tip geben kann wie ich ganz Unumständlich bewerkstelligen kann wie ich meine Daten von LP nach KP exportiere, dann teste ich das gerne. Im übrigen = knapp 200 Passwörter sind gemeint (Login, URL ect.), wäre also eine m enge zu tun.

  70. @RaMo: mit Lastpass kenne ich mich nicht aus, aber KeePass bietet beim Import doe Option eines LastPass CSV Imports! Also NIX händisch!
    Wenn LastPass keine CSV exportieren kann, dann hattest wohl echt aufs falsche Pferd gesetzt! 😉

  71. besucherpete says:

    @RaMo: Vielleicht ist das eine gute Gelegenheit, mal etwas aufzuräumen, da sind doch sicher Passworte dabei, die nicht mehr benötigt werden, oder? :o)

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.