Anleitung: KeePass mit dem Browser verheiraten
von caschy | 71 Kommentare
Mittlerweile gibt es da draußen einen ganzen Schwung von Passwort-Managern. Viele arbeiten noch lokal auf einem System, andere wiederum haben die Zeichen der Zeit erkannt und setzen auf übergreifende Lösungen, die Passwörter auf allen Plattformen zur Verfügung stellen. Ich selber bin jemand, der zwar für dieses Blog fast alles ausprobiert, doch wirklich lange genutzt habe ich bislang nicht viele Passwort-Manager. Angefangen hat das wohl mit KeePass, es folgten LastPass und danach 1Password.
Um KeePass soll es hier auch gehen, das schon lange existente Open Source-Projekt, welches für jedermann kostenlos zu haben ist. Auf der Windows-Plattform gestartet, gibt es mittlerweile eine Menge Ports, die KeePass auf andere Plattformen bringen. Via Dropbox ist es so beispielsweise machbar, die Passwörter nicht nur auf dem Windows-PC zu nutzen, sondern auch auf dem Smartphone mit Android.
Doch darum soll es hier nicht gehen, sondern um das Verheiraten von KeePass mit dem Browser. Ich sprach neulich mit jemanden, der sagte mir, dass er aufgrund meiner Empfehlung (die schon zig Jahre zurück liegt) KeePass auf seinem Windows PC nutzt.
Mittlerweile ist das Ganze ja auch bequemer geworden: Passwörter lassen sich in Browsern speichern, sodass man bei vielen Sachen gar nicht mehr KeePass behelligen muss. Die Sache ist: mein Gesprächspartner ist jemand, der bislang immer die Passwörter aus KeePass heraus kopierte – umständlicher geht es ja eigentlich kaum. Ich hab ihm daraufhin ChromeIpass und PassIFox empfohlen – und für alle die, die das auch nicht kennen, gibt es hier einen kurzen Anriss, ein installiertes KeePass setze ich voraus.
ChromeIpass und PassIFox sind Erweiterungen für Chrome und Firefox, die KeePass anzapfen Können. Nutzer haben so die Möglichkeit, Passwörter aus KeePass heraus an den Browser übergeben zu können, oder aber die neuen Passwörter direkt in KeePass speichern zu können. Ich beschreibe die Vorgehensweise hier einmal anhand von ChromeIPass und Google Chrome, die Vorgehensweise lässt sich aber auch auf Firefox übertragen.
Zuerst einmal muss KeePass und das Plugin namens KeePassHTTP installiert sein. Dieses Plugin muss man nun in den Ordner kopieren, in welchem sich auch KeePass befindet. Damit KeePass das Plugin erkennt, muss die App einmal neu gestartet werden. Um die richtige Installation zu überprüfen, kann man im Menü von KeePass einfach unter „Tools“ schauen, da sollte der entsprechende Menüpunkt dann auftauchen.
Nun müsst ihr die jeweiligen Erweiterungen im Browser installieren, ChromeIPass in Chrome und PassIFox in Firefox. Die Erweiterung muss nun mit dem Plugin verknüpft werden, sonst passiert erst einmal gar nichts. Hierfür klickt man auf das Symbol der Erweiterung und wählt „Connect“. Im folgenden Dialog werdet ihr nun aufgefordert, dem Encryption-Key einen Namen zu geben, damit ihr diesen später mal leichter identifizieren könnt. ChromeIPass oder so wäre ja etwas, was man nachvollziehen kann.
Nachdem ihr die Erweiterung mit KeePass verknüpft habt, sollte auch das rote X verschwinden, welches über die Nichtverknüpfung informierte. Ab jetzt können Passwörter aus KeePass heraus in den Browser übergeben werden, aber auch neue Passwörter in KeePass übertragen werden. Erkennt die Erweiterung ein neues oder geändertes Passwort, dann blinkt sie rot – und ihr könnt das neue oder geänderte Passwort in KeePass übernehmen.
Befindet ihr euch auf einer Seite, deren Anmeldeinformationen ihr in KeePass gespeichert habt, dann weist euch die Erweiterung auch darauf hin – so ist ein schnelles Einloggen möglich. Ebenfalls praktisch: selbst mehrere Accounts werden unterstützt, falls ihr also zwei Amazon- oder Google-Konten habt, könnt ihr hier schnell auswählen.
Die Einbindung des Plugins in KeePass und den Browser ist eine Sache von wenigen Minuten, hebt aber die Nützlichkeit von KeePass auf ein komplett neues Level. Sollte sich also jeder anschauen, der KeePass nutzt. Fortgeschrittene Nutzer sollten auf jeden Fall auch einen Blick in die Einstellungen des Browser-Plugins werfen, hier lässt sich beispielsweise der mitgelieferte Passwort-Generator deaktivieren oder einstellen, ob die Browser-Erweiterung automatisch Benutzernamen einträgt.
Erwähnte Werkzeuge aus diesem Beitrag:
Wird geladen ...
@Detlutz: Ich nutze Keepass nahezu täglich, auch mehrfach, da würde so ein USB-Stick so oft zum EInsatz kommen, dass er am Ende ohnehin dauerhaft am Rechner bleiben würde. Das mag Sicherheit bedeuten, ist für den privaten Sektor aber völlig überzogen.
@Tom: Auf iPhone und iPad nutze ich MiniKeePass.
@Fraggle: Ja, bei Opensource können mehr Nutzer den Code kontrollieren. Die entscheidende Frage ist doch aber, ob das auch tatsächlich so geschieht. Gerade die jüngere Vergangenheit hat gezeigt, dass Opensource nicht automatisch mehr Sicherheit bedeutet. Da hat sich die „Intelligenz der Masse“ offenbar über Jahre zurückgehalten.
Hachja, das böse, unbekannte Plugin. Völlig unsicher, weil kennt man nicht. Und Keepass ist Open Source, da kann man voll vertrauen.
Wer hat denn schon mal den Keepass Quellcode durchgearbeitet? Und glaubt, technisch kompetent genug zu sein, dass er/sie ausschließen kann, dass es dort nirgendwo ne Hintertür gibt. In keiner Library, nicht in den Kryptoroutinen, nirgendwo?
Und die Nummer mit „Ist Open Source, gucken viele Leute drauf“ – daran kann man spätestens seit openssl irgendwie kaum noch glauben – das war noch unendlich viel verbreiteter und blieb trotzdem jahrelang unentdeckt.
Viel besser noch – Shellshock in bash. DIE Shell.
Lücke existierte seit 1989, gefunden in 2014. Are you kidding me?
BTW, der Code des Plugins ist auch Open Source. Aber, genau wie Keepass – Mono, also net Framework, also Microsoft. Dem vertraut ihr? 😉
Die Frage ist doch: Wozu noch unnötig Plugins installieren, wenn Keepass bereits Auto-Type über globalen Hotkey mitbringt?
Ohje der Troll Faktor in den Comments ist heute mal wieder hoch.
Kurz nur zu dem „Cloud Platformen“
Ich bin vor 2 Jahren von Lastpass zu Keepass in zusammenhang mit einer SSH Shell gewechselt. Dies Synce ich automatisch per SCP:// auf Laptop, PC und Android. Der Server ist meiner und die Datenbank ist zusätzlich mit Masterpassword und einem nur lokal liegendem 1024 Bit Keyfile geschützt.
Die Einrichtung ist zwar einmalig etwas aufwändiger als Lastpass aber wenn es einmal läuft, läufts.
@Sutadur:
Vergleich bitte Heartbleed und den anderen mit den Sicherheitslücken, die seit XP existierten. Davon gibt es deutlich mehr und waren vergleichsweise lange nicht gefixt.
Ich habe meinen Stick auch dauerhaft dran, aber Keepass schließt sich bei mir automatisch. Die Secure Desktoplösung funktioniert übrigens seltenst im Büro, weil UAC 😉
Danke für den Beitrag, den genau das hatte mir noch gefehlt bei KeePass.
Die absolute Sicherheit gibt es nicht, dies gilt auch für Opensource. Man kann aber das Risiko deutlich minimieren. Gerade die großen Projekte werden von vielen Leuten gepflegt und kontrolliert. Ein Projekt wie Keepass gibt es sehr lange, es gibt auch einige inoffizelle Ableger für verschiednene Systeme wie iOS, Android oder Mac. Zumindest diese paar Programmierer schauen sich sehr intensiv den Code an. Natürlich würde ich gerne das selber kontrollieren können, aber da muß leider ich in der Tat dem Schwarm als Kontrollfunktion vertrauen.
Gerade noch schnell nachgeschaut, laut Sourceforge wurde nur in der letzten Woche der Sourcecode der 2.2.8er Version knapp 160 mal heruntergeladen. Die Code ist von Mitte Oktober, d.h. auch schon etwas älter. Ein paar Augen dürften den Code also schon mal gesehen haben 😉
DA IST JA WAS LOS GETRETEN WORDEN MIT DEM ARTIKEL 🙂
…( caps off )…
Würde gerne KeePass antesten, jedoch Händisch alle PW’s von Lastpass in KeePass exportieren?! Habs mit dem Phyton-Tut versucht, haut nicht hin.
Wenn mir jemand einen Tip geben kann wie ich ganz Unumständlich bewerkstelligen kann wie ich meine Daten von LP nach KP exportiere, dann teste ich das gerne. Im übrigen = knapp 200 Passwörter sind gemeint (Login, URL ect.), wäre also eine m enge zu tun.
@RaMo: mit Lastpass kenne ich mich nicht aus, aber KeePass bietet beim Import doe Option eines LastPass CSV Imports! Also NIX händisch!
Wenn LastPass keine CSV exportieren kann, dann hattest wohl echt aufs falsche Pferd gesetzt! 😉
@RaMo: Vielleicht ist das eine gute Gelegenheit, mal etwas aufzuräumen, da sind doch sicher Passworte dabei, die nicht mehr benötigt werden, oder? :o)