Anleitung: KeePass mit dem Browser verheiraten
von caschy | 71 Kommentare
Mittlerweile gibt es da draußen einen ganzen Schwung von Passwort-Managern. Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen. Ich selber bin jemand, der zwar für dieses Blog fast alles ausprobiert, doch wirklich lange genutzt habe ich bislang nicht viele Passwort-Manager. Angefangen hat das wohl mit KeePass, es folgten LastPass und danach 1Password.
Um KeePass soll es hier auch gehen, das schon lange existente Open Source-Projekt, welches für jedermann kostenlos zu haben ist. Auf der Windows-Plattform gestartet, gibt es mittlerweile eine Menge Ports, die KeePass auf andere Plattformen bringen. Via Dropbox ist es so beispielsweise machbar, die Passwörter nicht nur auf dem Windows-PC zu nutzen, sondern auch auf dem Smartphone mit Android.
Doch darum soll es hier nicht gehen, sondern um das Verheiraten von KeePass mit dem Browser. Ich sprach neulich mit jemanden, der sagte mir, dass er aufgrund meiner Empfehlung (die schon zig Jahre zurück liegt) KeePass auf seinem Windows PC nutzt.
Mittlerweile ist das Ganze ja auch bequemer geworden: Passwörter lassen sich in Browsern speichern, sodass man bei vielen Sachen gar nicht mehr KeePass behelligen muss. Die Sache ist: mein Gesprächspartner ist jemand, der bislang immer die Passwörter aus KeePass heraus kopierte – umständlicher geht es ja eigentlich kaum. Ich hab ihm daraufhin ChromeIpass und PassIFox empfohlen – und für alle die, die das auch nicht kennen, gibt es hier einen kurzen Anriss, ein installiertes KeePass setze ich voraus.
ChromeIpass und PassIFox sind Erweiterungen für Chrome und Firefox, die KeePass anzapfen Können. Nutzer haben so die Möglichkeit, Passwörter aus KeePass heraus an den Browser übergeben zu können, oder aber die neuen Passwörter direkt in KeePass speichern zu können. Ich beschreibe die Vorgehensweise hier einmal anhand von ChromeIPass und Google Chrome, die Vorgehensweise lässt sich aber auch auf Firefox übertragen.
Zuerst einmal muss KeePass und das Plugin namens KeePassHTTP installiert sein. Dieses Plugin muss man nun in den Ordner kopieren, in welchem sich auch KeePass befindet. Damit KeePass das Plugin erkennt, muss die App einmal neu gestartet werden. Um die richtige Installation zu überprüfen, kann man im Menü von KeePass einfach unter „Tools“ schauen, da sollte der entsprechende Menüpunkt dann auftauchen.
Nun müsst ihr die jeweiligen Erweiterungen im Browser installieren, ChromeIPass in Chrome und PassIFox in Firefox. Die Erweiterung muss nun mit dem Plugin verknüpft werden, sonst passiert erst einmal gar nichts. Hierfür klickt man auf das Symbol der Erweiterung und wählt „Connect“. Im folgenden Dialog werdet ihr nun aufgefordert, dem Encryption-Key einen Namen zu geben, damit ihr diesen später mal leichter identifizieren könnt. ChromeIPass oder so wäre ja etwas, was man nachvollziehen kann.
Nachdem ihr die Erweiterung mit KeePass verknüpft habt, sollte auch das rote X verschwinden, welches über die Nichtverknüpfung informierte. Ab jetzt können Passwörter aus KeePass heraus in den Browser übergeben werden, aber auch neue Passwörter in KeePass übertragen werden. Erkennt die Erweiterung ein neues oder geändertes Passwort, dann blinkt sie rot – und ihr könnt das neue oder geänderte Passwort in KeePass übernehmen.
Befindet ihr euch auf einer Seite, deren Anmeldeinformationen ihr in KeePass gespeichert habt, dann weist euch die Erweiterung auch darauf hin – so ist ein schnelles Einloggen möglich. Ebenfalls praktisch: selbst mehrere Accounts werden unterstützt, falls ihr also zwei Amazon- oder Google-Konten habt, könnt ihr hier schnell auswählen.
Die Einbindung des Plugins in KeePass und den Browser ist eine Sache von wenigen Minuten, hebt aber die Nützlichkeit von KeePass auf ein komplett neues Level. Sollte sich also jeder anschauen, der KeePass nutzt. Fortgeschrittene Nutzer sollten auf jeden Fall auch einen Blick in die Einstellungen des Browser-Plugins werfen, hier lässt sich beispielsweise der mitgelieferte Passwort-Generator deaktivieren oder einstellen, ob die Browser-Erweiterung automatisch Benutzernamen einträgt.
Erwähnte Werkzeuge aus diesem Beitrag:
Wird geladen ...
@Caschy: Was spricht für das Plugin und gegen AutoTyp?
Ich nutze auch den auto-type Hotkey. Man braucht dafür nicht in die Keepass-App zu wechseln, hat eine sichere Zwischenablage und es ist sehr umfangreich konfigurierbar.
http://keepass.info/help/base/autotype.html
Sorry – bei mir hat’s nicht funktioniert …
Nach Installation/Connect vom KeePassHttp und Restart vom KeePass und Firefox (vorher natürlich PassIFox installiert) wurden ca. 200 Password-Einträge vom Firefox gelöscht, jedoch nur ca. 20 in KeePass übernommen – ein Bombenerfolg!
Gut, dass ich mit FEBE sichere …
Geht übrigens auch prima per OneDrive + 7Pass auf Windows Phone
Danke Carsten. Solche Artikel waren es, warum ich das Blog abonniert habe. (Schade, dass die in letzter Zeit Ausnahme statt Regel sind)
Ich sage einfach nur mal Danke für diesen Artikel. Mir hilft es und die ganzen Meckerer und Zauderer kann ich nicht ganz verstehen. Sicherheit ja, aber alles muss in einem guten Verhältnis stehen.
Frage am Rande:
Hat jemand keepass 2 für Mac zum Laufen bekommen?
Ich tue mich da schwer mit.
Das Monoframework will einfach nicht laufen…
@kondolenzbuchhalter: wieso bin ich da nicht drauf gekommen? 🙂 hab den Autotype-Hotkey jetzt auf die Daumentaste meiner Logitech G500 gelegt. Funktioniert wunderbar 🙂
Ich traue nur meinen Einstellungen..ich gebe niemals meine Daten online frei. Last mich altmodisch aussehen…aber ich kopiere lieber aus KeePass meine Kennwörter. Die Datenbank ist auf ein USB Stick…der eingesteckt wird, wenn ich KeePass brauche, das ist ist Sicherheit!
Hallo zusammen
Wie meine Vorredner schon erwähnt habe ist es vermutlich die sicherste Variante nixht auf ein Browser Plugin zusetzten. Kennt jemand eine Beschreibung wie KeePass am sichersten konfiguriert wird unter der Verwendung von Autotype?
Gibt es auch unter Verwendung von Autotype eine Möglichkeit, dass z.B Mitarbeiter die User (außerder Admin) die Passwörter nicht sehen können?
Noch was dazu: man kann die Datei hervorragend (auch über mehrere Rechner incl. Android) mit Owncloud synchronisieren, per Webdav lautet die URL dann:
https://owncloud.domain.tld/remote.php/webdav/Verzeichnis/Dateiname.kdbx
Unter Android ist dann Keepass2Android die erste Wahl, wahlweise auch als Offline-Version ohne Internetzugriff:
https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de
https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet&hl=de
Besser geht es auch mit LastPass etc. nicht – und das völlig kostenlos !
Mal eine ganze andere Frage: Welche Apps verwendet ihr, um eure KeePass-Datenbanken auch auf iPad/iPhone im Zugriff zu haben?
Ich hab mal eine Frage an all Diejenigen, die OpenSource als Sicherheitsgarant anschleppen.
Versteht ihr denn auch den jeweiligen Sourcecode?
Ich würde ihn nicht verstehen. Ergo auch keinen Schadcode im Quellcode erkennen. Kompilieren könnte ich ihn vielleicht. Was mir das nützen soll, weiß ich allerdings nicht.
Denn ich muss also entweder demjenigen vertrauen, der den Code zur Verfügung stellt, oder jemandem, der nach jedem Update den Quellcode eigenhändig prüft und ihn für sicher befindet. Oder ich setze auf kommerzielle Lösungen, wo der Code nicht frei einsehbar ist und vertraue dem Versprechen des Entwicklers, seine Software sei sicher.
Vertrauen muss ich persönlich also immer einer anderen Person. Und irgendwie habe ich das Gefühl, dass ich da nicht der Einzige bin…
@Nico:
Ja, heute. Bisher aber leider nur über die Kommandozeile. Über GUI (wie öffnen mit…) leider noch nicht. Ich bin in der Mac Welt aber auch noch recht neu.
Vom Prinzip einfach. Konsole auf und in das KeePass Verzeichnis rein navigieren. Dann nur noch „mono ./KeePass.exe“.
Der erste Start dauert sehr lange, weitere denn aber nicht mehr.
Benutze auch kein Plugin, nur Keepass 2 unter Windows und KeepassX auf dem Mac. Android wird be mir über FolderSync lokal synchronisiert, da wird nichts in der Cloud abgelegt oder über das Internet ausgetauscht. Einzig bei unwichtigen Seiten wie Foren oder Spam-Mailaccount speichere ich die Passwörter in Firefox.
Zum Thema Extensions allgemein: Je weniger Programme involviert sind, desto sicherer ist es. Da ich selber nicht programmieren kann, bin ich von anderen abhängig. Falls jemals Keepass gehackt wird oder in anderer Form jemand Schindluder treibt, wird das aufgrund der Verbreitung von Keepass relativ schnell auffallen und auch die Runde durch die Blogs machen. Bei kleineren Erweiterungen wäre ich mir da nicht so sicher, zumal die dank Auto-Updates der Browser auch schneller verteilt werden.
Habe die Kombination aus Keepass Plugin und Browser Extension auch eine Zeit lang benutzt. Leider funktioniert das Plugin nur für Keepass2.x, womit man einige Vorteile der Plattformunabhängigkeit aufgibt. Deshalb habe ich lange Zeit Autotype benutzt.
Das Dumme an Keepass ist, dass man sich selbst um die Synchronisierung zwischen Smartphone und Desktop kümmern muss und die Android-App potthässlich ist. Deshalb habe ich die Synchronisation aufgeben und nutze jetzt eine lokale App mit Material Design. Ein Dateimanager kümmert sich um das Backup in die Cloud. Passwörter speichere ich in Chrome dann ab, die hab ich dann am PC und Smartphone.
@icancompute: Ich kann zwar die meisten Source-Codes verstehen, habe bei KeePass noch nicht rein geschaut. Hast du schon von Intelligenz der Masse gehört? Durch mehrere Kontrolleure kann etwas entdeckt werden. Dieses kann bei ClosedSource nicht passieren, ergo ist OS sicherer als CS, weil externe den Code kontrollieren können.
Noch was dazu: man kann die Datei hervorragend (auch über mehrere Rechner incl. Android) mit Owncloud synchronisieren, per Webdav lautet die URL dann:
owncloud.domain.tld/remote.php/webdav/Verzeichnis/Dateiname.kdbx
Unter Android ist dann Keepass2Android die erste Wahl, wahlweise auch als Offline-Version ohne Internetzugriff.
Besser geht es auch mit LastPass etc. nicht – und das völlig kostenlos !
@info: Welche APP hattest du unter Android verwendet?
@icancompute:
Zum Thema Sicherheit: Bei OS können einfach mehr nachschauen. Eine Lücke bleibt solange unveröffentlicht, solange nur die die Lücke kennen, die sie nicht publik machen. Dabei steigt die Wahrscheinlichkeit der Offenlegung mit der Zahl der Betrachter. Weiter ist z.B. bei OS möglich, daß eine Lücke entdeckt wird, weil jemand einfach um zu lernen einen Code analysiert. Bei CS unmöglich. Bei CS kann nur ein Mitglied der Firma nachsehen, und das dürfte andere Sorgen haben als just for fun nachzuschauen. Sprich, funktionierende Code wird bei CS sicher seltener kontrolliert.
@Caschy:
„Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen.“
Ich denke, der Satz ist falsch 😉 Sollte er nicht eher nach Snowden lauten: Viele haben die Zeichen der Zeit erkannt und setzen nicht mehr auf übergreifende Lösungen, weil die auf Fremdservern liegen und oft auf Closed-Source setzen, die, wenn US-Firmen, Masterkeys bereithalten müssen oder den Laden dicht machen können (vgl US- Emailprovider, der sich weigerte einen Masterkey einzubauen)?