Anleitung: KeePass mit dem Browser verheiraten
von caschy | 71 Kommentare
Mittlerweile gibt es da draußen einen ganzen Schwung von Passwort-Managern. Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen. Ich selber bin jemand, der zwar für dieses Blog fast alles ausprobiert, doch wirklich lange genutzt habe ich bislang nicht viele Passwort-Manager. Angefangen hat das wohl mit KeePass, es folgten LastPass und danach 1Password.
Um KeePass soll es hier auch gehen, das schon lange existente Open Source-Projekt, welches für jedermann kostenlos zu haben ist. Auf der Windows-Plattform gestartet, gibt es mittlerweile eine Menge Ports, die KeePass auf andere Plattformen bringen. Via Dropbox ist es so beispielsweise machbar, die Passwörter nicht nur auf dem Windows-PC zu nutzen, sondern auch auf dem Smartphone mit Android.
Doch darum soll es hier nicht gehen, sondern um das Verheiraten von KeePass mit dem Browser. Ich sprach neulich mit jemanden, der sagte mir, dass er aufgrund meiner Empfehlung (die schon zig Jahre zurück liegt) KeePass auf seinem Windows PC nutzt.
Mittlerweile ist das Ganze ja auch bequemer geworden: Passwörter lassen sich in Browsern speichern, sodass man bei vielen Sachen gar nicht mehr KeePass behelligen muss. Die Sache ist: mein Gesprächspartner ist jemand, der bislang immer die Passwörter aus KeePass heraus kopierte – umständlicher geht es ja eigentlich kaum. Ich hab ihm daraufhin ChromeIpass und PassIFox empfohlen – und für alle die, die das auch nicht kennen, gibt es hier einen kurzen Anriss, ein installiertes KeePass setze ich voraus.
ChromeIpass und PassIFox sind Erweiterungen für Chrome und Firefox, die KeePass anzapfen Können. Nutzer haben so die Möglichkeit, Passwörter aus KeePass heraus an den Browser übergeben zu können, oder aber die neuen Passwörter direkt in KeePass speichern zu können. Ich beschreibe die Vorgehensweise hier einmal anhand von ChromeIPass und Google Chrome, die Vorgehensweise lässt sich aber auch auf Firefox übertragen.
Zuerst einmal muss KeePass und das Plugin namens KeePassHTTP installiert sein. Dieses Plugin muss man nun in den Ordner kopieren, in welchem sich auch KeePass befindet. Damit KeePass das Plugin erkennt, muss die App einmal neu gestartet werden. Um die richtige Installation zu überprüfen, kann man im Menü von KeePass einfach unter „Tools“ schauen, da sollte der entsprechende Menüpunkt dann auftauchen.
Nun müsst ihr die jeweiligen Erweiterungen im Browser installieren, ChromeIPass in Chrome und PassIFox in Firefox. Die Erweiterung muss nun mit dem Plugin verknüpft werden, sonst passiert erst einmal gar nichts. Hierfür klickt man auf das Symbol der Erweiterung und wählt „Connect“. Im folgenden Dialog werdet ihr nun aufgefordert, dem Encryption-Key einen Namen zu geben, damit ihr diesen später mal leichter identifizieren könnt. ChromeIPass oder so wäre ja etwas, was man nachvollziehen kann.
Nachdem ihr die Erweiterung mit KeePass verknüpft habt, sollte auch das rote X verschwinden, welches über die Nichtverknüpfung informierte. Ab jetzt können Passwörter aus KeePass heraus in den Browser übergeben werden, aber auch neue Passwörter in KeePass übertragen werden. Erkennt die Erweiterung ein neues oder geändertes Passwort, dann blinkt sie rot – und ihr könnt das neue oder geänderte Passwort in KeePass übernehmen.
Befindet ihr euch auf einer Seite, deren Anmeldeinformationen ihr in KeePass gespeichert habt, dann weist euch die Erweiterung auch darauf hin – so ist ein schnelles Einloggen möglich. Ebenfalls praktisch: selbst mehrere Accounts werden unterstützt, falls ihr also zwei Amazon- oder Google-Konten habt, könnt ihr hier schnell auswählen.
Die Einbindung des Plugins in KeePass und den Browser ist eine Sache von wenigen Minuten, hebt aber die Nützlichkeit von KeePass auf ein komplett neues Level. Sollte sich also jeder anschauen, der KeePass nutzt. Fortgeschrittene Nutzer sollten auf jeden Fall auch einen Blick in die Einstellungen des Browser-Plugins werfen, hier lässt sich beispielsweise der mitgelieferte Passwort-Generator deaktivieren oder einstellen, ob die Browser-Erweiterung automatisch Benutzernamen einträgt.
Erwähnte Werkzeuge aus diesem Beitrag:
Wird geladen ...
Ich diese ganzen Passwortmanager nicht wirklich verstanden.
Ihr gebt jemand anderen unbekannten eure Passwörter in die Hand, aber bei Irgend welchen Messenger (Threema, WhatsApp usw.) seid ihr am meckern das die Verschlüsselung gar nicht existiert oder trotzdem geknackt werden kann und es werden irgendwelche nicht Sicherheitsrelvanten daten (Sprüche uws.) übermittelt.
Wer Garantiert mir die Sicherheit meiner Passwörter?
Ich verweise mal auf den SIM Karten Skandal oder auf das Thema Lenovo (Superfish).
Und die Online gespeicherte Datenbank bei Dropbox oder wo auch immer ist sicher?
Ihr glaubt wirklich das eure Passwörter nicht gelesen werden können?
Nutze ich seit einigen Jahren bereits genau so. Sehr praktisch, kann ich nur empfehlen.
Ich hab nicht ganz verstanden, warum Auto-Type (Ctrl-Alt-A) nicht ausreicht? Damit konnte ich bisher alle Fälle abarbeiten.
Was mich bei dieser Variante ein wenig stört:
Wenn meine Datenbank gesperrt ist und ich auf eine Seite mit Login komme:
Es gibt eine Einstellung in den KeePassHttp Optionen, welche es erlauft, die Datenbank bei Bedarf zu entsperren. Wenn dies allerdings der Fall ist, wird KeePass gestartet.
Ich hätte das gerne so:
Wenn meine KeePass Datenbank gesperrt ist und ich auf eine Login Seite komme soll das Masterpasswort abgefragt werden und die Loginfelder ausgefüllt werden. KeePass soll dabei weiterhin im Hintergrund (minimiert im Tray) bleiben.
Geht das irgendwie?
Überflüssigstes Plugin! Wie andere schon erwähnt haben kann KeePass von Hause aus schon [STRG]+[A] – und das ohne Konfiguration … Und das funktioniert bei mir mit ca. 50 Passwörtern überall (auf jeder Website und in jeder Desktop-Anwendung). Wofür soll man sich dann noch ein Plugin installieren?!?!
@cashy, Passo:
Muss ich meine Keepass-DB immer selber entsperren oder speichert das Plugin mein Masterpasswort. Was ist der „Encryption key“ im Text?
Cashy, ich vertraue der Open Source-Anwendung, dass sie richtig verschlüsselt und kann sehen, dass sie keine Hintertüren hat. Mein Masterpasswort, das zum Entschlüsseln benötigt wird, bleibt aber bei mir. Das ist ein ziemlich wichtiger Punkt. Wenn du das Masterpasswort speicherst, kannst du es dir auch gleich sparen, ob OSS oder nicht.
@Dirk K.
Im Falle von KeePass könnte ich diese Sicherheit sogar selbst garantieren – der Sourcecode ist frei verfügbar.
@Sascha
Jede Art von Passwortspeicher kann kompromitiert werden – lediglich der nötige Aufwand ist unterschiedlich.
Wenn schon ein Firefox-Plugin dann KeeFox.
@Dirk K.: Wir sprechen hier über einen OpenSource-Passwortmanager, der auf einer verschlüsselten lokalen DB-Kopie (USB-Stick) arbeiten kann, die mit Master-Passwort und Schlüsseldatei gesichert ist.
Was wären die Alternativen? ClostSource-Passwortmanager, Papierbüchlein, nur wenige Passwörter? Mit KeePass kann man sich zB. erinnern lassen, dass man die Passwörter wöchentlich/monatlich ändert und man hat für jede Seite ein eigenes Passwort. Natürlich opfert man etwas Sicherheit für den Komfort. Aber ist es sicherer nur wenige Passwörter einzusetzen, die dann bei einem Leak alle anderen Dienste auch angreifbar machen oder ein Buch, welches man schnell mal verliert und dann kommt man nirgendwo mehr rein?
Wie wäre es in diesem Zuge mit einem Alltagstest der U2F-Sticks oder anderen hardwareseitigen Lösungen für die Mehrwege-Authentifizierung? Sprich, welche Dienste unterstützen das, wie ist der Komfort, Sicherheitsgefühl und so.
gibt es auch eine Einbindung unter Mac OS X ? Unter Windows nutze ich KeeFox
Ganz ehrlich, man kann es auch einfach mal übertreiben mit dem Sicherheitsgedanken. Ja, Passwörter im Browser speichern ist per se unsicher, eine (ürbigens verschlüsselte) Passwortdatenbak bei einem Anbieter wie Dropbox abzulegen auch, ebenso wohl auch, einem Plugin den Zugriff darauf zu gewähren. Aber ernsthaft, man kann sich auch verrückt machen und es macht das Leben nicht leichter, wenn man hinter jedem Busch einen Verbrecher vermutet. Sicherheit und Datenschutz? Ja, klar! Aber der Aufwand muss auch in einem vernünftigen Verhältnis zum Nutzen stehen. Und das ist bei einigen hier eher nicht der Fall.
@2cent: “ Muss ich meine Keepass-DB immer selber entsperren oder speichert das Plugin mein Masterpasswort. Was ist der “Encryption key” im Text?“ <- Du musst deine KeePass-Datenbank immer selber entsperren. Der "Encryption Key" dient zur Kommunikation zwischen dem Browser und der KeePass-Datenbank.
Danke für den Shortcut-Tip, wußte ich noch gar nicht 😉 Sehr bequem! Ich hab auch irgendwie ein flaues Gefühl im Magen einem unbekannten Plugin hier zu vertrauen. Ich habe meine KeePass DB so umgestellt, daß die Eingabe des Masterpassworts im Secure Desktop erfolgt und die wirklich wichtigen Zugangsdaten über „Two-Channel Auto-Type Obfuscation“ (http://keepass.info/help/v2/autotype_obfuscation.html) an die Loginfelder übergeben werden.
@Passo
Dann ist das absolut in Ordnung. Hab ich es über lesen oder geht der Artikel da nicht drauf ein?
Also ich benutze das Auto-Type Feature von KeePass und finde es mehr als audreichend. Den Auto-Type Hotkey habe ich mir auf einen Button meiner Gaming Mouse gelegt. Um es etwas sicherer zu machen und Einträge nach Host zu übergeben, nutze ich lediglich noch die Chrome Erweiterung „HostTitle“. Die im Artikel genannte Erweiterung habe ich mir kurz angesehen und mir kommen da zu viele Abfragen und Buttons etc. Wenn für KeePass einmal alles für die Verwendung mit Auto-Type eingerichtet ist, lüppt das wunderbar. Zusätzlich kann man noch „Two-Channel Auto-Type Obfuscation“ aktivieren, wie Timo das schon anmerkte. Wenn man die Anwesendheit von Keyloggern befürchtet.
@2cent: Da geht der Artikel nicht drauf ein.
Um es meinen Beitrag kurz zu ergänzen: Die Erweiterung „HostTitle“ ergänzt den Titel des Fensters um den Host der geöffneten Seite. Das ist echt praktisch, wenn ich Seiten per drag & drop auf den Desktop ziehe, oder etwas ausdrucke, dann ist auch dort hinten dran der Host zu finden. Wenn ich nun div. Auto-Type Einträge erstelle, die vielleicht nicht nur Benutzer & Passwort erfordern, sondern auch Stringfelder oder OTP Erweiterungen, dann kann ich diese auf den Host begrenzen und noch mit Wildcards arbeiten. PayPal wäre zB. nicht bloß „Confirm your identity by answering security questions – PayPal“, sondern „Confirm your identity by answering security questions – PayPal [www.paypal.com]“. Ohne den passenden Host, kann mir eine betrügerische Seite weniger was vormachen. Würde eine Seite es einfach im Titel anhängen, wäre es etwas wie „Confirm your identity by answering security questions – PayPal [www.paypal.com] [www.paypal.com]“ und somit auch ungültig, weil der tatsächliche Host ja dennoch hinten angehangen werden würde.
Ich nutze auch die Auto-Type Option und für jedes noch so umfangreiche Login-Formular kann man Auto-Type so umkonfigurieren, dass es auch Usereingaben berücksichtigt, um zum Beispiel noch Captcha-Eingaben durch den User zu ermöglichen. Der Charme bei Auto-Type ist, dass man in Kombination mit der Kommando-Zeilen-Funktion mit einem simplen Klick KeePass dazu bringen kann, z.B. PuTTY zu öffnen und sich automatisch einzuloggen, das ist ein Vorteil gegenüber den Online-Diensten. Man muss natürlich immer schauen und abwägen zwischen Komfort und Sicherheit. Für sensible Passwörter benutze ich nicht mal KeePass ssondern lieber ein eigenes Schema nachdem ich meine Passwörter bilde und gebe sie lieber selbst ein. Wer lieber faul ist, soll einen systemübergreifenden Dienst nutzen mit Browser-Plugins, z.B. LastPass. Wer aber ein bisschen selbst das Gefühl der Kontrolle über seine Passwörter haben möchte und sich mit Funktionen auseinandersetzen will, dem lege ich doch KeePass ans Herz. Denn leider scheren sich seit der Social-Media-Generation immer weniger Menschen um ihre Daten und Privatsphäre, deswegen werden auch immer mehr Menschen bequeme Dienste nutzen, damit man sich mit sowas nervigem wie Passwörter oder Kreditkarten eingeben nicht mehr selbst beschäftigen muss. Man stumpft ab mit der Zeit, auch durch die Hilflosigkeit bei all den Meldungen über Sicherheitslöcher, infizierte Festplatten-Firmware oder ausgehebelten Verschlüsselungen… „man kann ja eh nix dagegen machen“… doch man kann, mit ein bisschen Nachdenken und etwas Verzicht auf mehr Komfort und generell sorgfältigerem Umgang mit seinen Daten, wie heißt es so schön: einmal im Netz, immer im Netz.
Wer die Zwischenablage in KeePass nutzen möchte, hier ein Tipp: man kann eine Tastenkombination einstellen, die KeePass in den Vordergrund bringt, und KeePass ebenfalls so einstellen, dass ein Doppelklick auf Username oder Passwort, den Inhalt jeweils in die Zwischenablage kopiert (standardmäßig so eingestellt) und zusätzlich, dass KeePass sich nach dem Doppelklick wieder in den Hintergrund (nicht Systray sondern Fenster-Hintergrund) verabschiedet. Die Zeitspanne, nach der KeePass den Inhalt aus der Zwischenablage löscht sollte man auch auch aktivieren und die Zeit drastisch verkürzen, z. B. auf 3 Sekunden. Wenn man sich nun irgendwo einloggen möchte klickt man ins Usernamen-Feld, drückt die Tastenkombination für KeePass, klickt doppelt auf den Usernamen, KeePass springt wieder in den Hintergrund, Strg+V auf der Webseite, Tab drücken, dann wieder die Tastenkombination für KeePass oder besser Alt+Tab, in KeePass wieder Doppelklick aufs Passwort, der Browser kommt wieder automatisch hervor, Strg+V, Enter.
Wichtig: ich möchte anmerken, dass Auto-Type auch nicht vor Key-Loggern schützt, da es Tasteneingaben simuliert und die Lösung über die Zwischenablage ist anfällig für Schadsoftware, die eben jene ausspioniert. Wessen System jedoch soweit schon mit dem einen oder anderen oder sogar beider Sorten Trojaner befallen ist der hat eh gelitten und das Master-Passwort ist bereits irgendeiner Person oder Bot bekannt ☺ da ist es dann egal ob man KeePass, LastPass oder Konsorten nutzt.
Ich wage mal zu behaupten, dass viele KeePass nutzen, weil sie mehr Kontrolle und „Besitz“ über ihre Passwörter haben wollen anstatt sie einem Online-Dienst anzuvertrauen. Die Browser-Plugins funktionieren zwar nicht über den Online-Weg aber sie sind nun mal ne Art „Man in the Middle“ und das macht dann die bewusste Entscheidung für KeePass wieder absurd.
„Ich wage mal zu behaupten, dass viele KeePass nutzen, weil sie mehr Kontrolle und “Besitz” über ihre Passwörter haben wollen anstatt sie einem Online-Dienst anzuvertrauen.“
Ja. Mit KeePass kann man wirklich so ziemlich alles realisieren was man haben möchte. Da ich für jede Seite / jeden Dienst ein eigenes Passwort generiere und sich nach einigen Jahren einige Hundert darin befinden, teils noch mit etlichen Stringfeldern usw. käme für mich ohnehin kein Wechsel mehr in Frage.