Firefox 85: Passwörter aus KeePass und Bitwarden importieren
Firefox 85 erscheint am 26. Januar 2021 und wird für euch eine neue Möglichkeit mitbringen: den Import von Passwörtern aus den beiden Passwort-Managern KeePass und Bitwarden. Über beide haben wir hier im Blog ja auch schon mehrfach berichtet. An dieser Stelle erkläre ich euch kurz, wie der Import ablaufen soll.
Der eigentliche Dank für die kurze Erklärung gebührt aber, das sollte man offen zugeben, dem Firefox-Experten Sören Hentzschel. Aus anderen Browsern, wie Chrome, konntet ihr dabei schon vorher Passwörter und weitere Daten wie Lesezeichen übernehmen. Nun kommt aber eben die Chance dazu, auch aus den Passwort-Managern Bitwarden und KeePass Zugangsdaten zu übernehmen. Man legte das Fundament dafür bereits mit Firefox 79. Ab jener Browserversion existiert nämlich schon einmal eine Export-Funktion für in Firefox hinterlegte Zugangsdaten – aufrufbar via „about:logins“. Ihr könnt die Daten dann als CSV-Datei exportieren.
Ab Firefox 80 kam dann umgekehrt auch die Möglichkeit des Imports hinzu – als Standard allerdings deaktiviert. Über den Import könnt ihr CSV-Daten einlesen – nicht nur von Firefox selbst, sondern auch von z. B. Chrome. ist z. B. auch und gerade für Linux-Nutzer hilfreich, denn da funktioniert die direkte Übernahme von Passwörtern aus Chrome in Firefox nämlich nicht. Mit Bitwarden geht das seit Firefox 80 ebenfalls.
Zur Import-Funktion gelangt entweder über die Eingabe „about:logins“ in der Adresszeile (ohne Anführungszeichen) oder über das Menü ganz rechts in der Adresszeile, in welchem ihr „Zugangsdaten und Passwörter“ auswählt. Nun landet ihr in einem neuen Tab im Menü für Firefox Lockwise. Hier wählt ihr nun die drei Punkte ganz rechts an und nutzt für euch „Zugangsdaten importieren aus anderem Browser“.
Ab Firefox 85 stößt dann zusätzlich bald KeePass zu anderen Browsern und Bitwarden hinzu. Eingeschlossen sind da auch die Forks KeePassX und KeePassXC. Allerdings wird die Import-Funktion als Standard immer noch deaktiviert sein und muss von euch freigeschaltet werden. Dafür geht ihr in Firefox 85, sobald verfügbar, in den Bereich „about:config“ – einfach ohne Anführungszeichen in die Adresszeile übernehmen. Dort setzt ihr anschließend den Toggle bei „signon.management.page.fileImport.enabled“ per Doppelklick auf „true„. Anschließend werdet ihr im Unterbereich „about:logins„. Die Import-Funktion finden bzw. für KeePass verwenden können.
Ich vermute Mal, dass ich dann zumindest die www-Adressen in Keepass eingepflegt haben muss?
Warum das? Firefox importiert und exportiert doch pro Quelle bereits seit Langem alle möglichen Infos, darunter auch die url.
Lustig finde ich allerdings irgendwie, dass man Jahre gebraucht hat, um dem Anwender klar zu machen, dass das Speichern von Passwörter im Browser unsicher ist. Nun halten mit z.B. Lockwise neue Features in den Browsern Einzug, und man müsste die Geschichte nun komplett neu erzählen. Das dürfte beim normalen Anwender zu reichlich Verwirrung führen. 😉
Ach sorry, jetzt habe ich es verstanden. Wenn in der Quelle keine URL vorhanden sind, gibt es sie natürlich auch nicht im Ziel. Aber wieso speichert man Passwörter für Webseiten ohne die Webseiten-URL?
Für Auto-Type in Keepass braucht man keine URL
Ja, weil Keepass den User missbraucht, um die Verbindung zwischen URL und gespeicherten Userdaten herzustellen. Aber praktisch finde ich das nicht.
Habe keine guten Erfahrungen mit dem Speichern von Passworten in Browsern, war in der Vergangenheit häufig genug Anlass zum Diebstahl von Credentials, Dafür habe ich schließlich meinen Passwortmanager. Jeder soll das machen, was er am besten kann.
Das ist altes Denken, die internen Mechanismen der Browser sind nicht stehengeblieben.
Das ist sicheres und vorausschauendes Denken.
Ach, kannst du Beispiele und Quellen nennen, wo Passwörter aus dem Browser gestohlen wurden, weil dieser unsicher ist?
Firefox (und Chrome?) hat die Passwörter, bevor es Lockwise gab, in Klartext abgespeichert. Es gibt Tools mit denen Du die auslesen kannst. Brauchst Du wirklich Beispiele um zu erkennen, dass das eher ungünstig ist?
So ein Blödsinn. Dass der Passwort-Manager in Firefox Lockwise heißt, ist eine Branding-Geschichte. Das hat an irgendwelchen Interna nicht das Geringste geändert. Und nein, die Passwörter wurden auch vorher schon nicht im Klartext gespeichert.
Du hast recht, wenn man das Masterpasswort gesetzt hat (was nicht Standard ist), sind die Passwörter wohl verschlüsselt. Sonst nicht. Chrome hat, soweit ich weiß, kein Masterpasswort, also unverschlüsselt. Es gibt wie gesagt Programme, die die Passwörter auslesen können. Dass ist vielleicht nicht Klartext aber verschlüsselt auch nicht.
Naja, aber auf Dienste die Lockwise treffen diese Erfahrungen ja nicht zu.
Warum in aller Welt sollte ich den Wunsch haben, Paßwörter aus Bitwarden nach Firefox zu übertragen? Bitwarden bietet doch eine Firefox-Extension an, mit der ich direkt Paßwörter aus Bitwarden in Firefox benutzen kann?
Hab ich mich auch gerade gefragt.
auch mein gedanke. es macht keinen sinn von browserübergreifend auf firefox oder edge oder oder oder zu gehen.
Zumal ich Bitwarden als Erweiterung auch in anderen Browsern nutzen kann.
Den Firefox Passwort-Manager gegen Bitwarden oder KeePass einzutauschen, ist ungefähr so sinnvoll wie ein Multitool durch ein Küchenmesser zu ersetzen.
Bitwarden oder KeePass gegen den Firefox PW-Manager eintauschen muss es natürlich heißen…
Das funktioniert mit KeePass und Firefox auch
https://github.com/smorks/keepasshttp-connector
Jepp. Bin auf alle Plattformen wie Windows, Mac, Android und IOS sehr zufrieden mit Keepass. Warum ich irgendwelche Daten exportieren sollte weiss ich nicht.
Eine zusätzliche Option, die hoffentlich niemand benutzt, denn Passwörter sind in einem sicheren und vertrauenswürdigen Passwort Manager wie Bitwarden viel besser aufgehoben. Für mich erschließt sich absolut kein Vorteil daraus, Passwörter im Firefox oder welchen Browser auch immer zu verwalten. Oder sieht das hier jemand anders? Würde mich mal echt interessieren…
Vielleicht bin ich zu naiv, aber ich habe Firefox benutzt und bin nun auf Brave umgestiegen. Passwörter synchronisieren problemlos und ich habe keine Notwendigkeit, ein weiteres Programm laufen zu lassen… Der Browser schützt die Passwörter doch ausreichend, nicht?
Nein.
Natürlich logisch wenn man Lockwise pushen will. Allerdings erscheint mir Lockwise funktionsarm und deutlich unsicherer als manch anderer Dienst. Werde also verzichten.
Lockwise erscheint dir jetzt genau unsicher(er) weil?
Ich verstehe nicht den Sinn dahinter es gibt doch mit keefox eine perfekte Erweiterung die seit langem im KeePass funktioniert ich bin froh dass ich meine Passwörter nicht mehr in Firefox speichern muss
Warum soll man die Flexibilität des Passwortmanagers aufgeben und Passwörter in Firefox speichern? Mit Bitwarden habe ich die Passwörter nicht nur in JEDEM Browser (es gibt für alle eine Erweiterung), sondern kann sie mit der Bitwarden-App auf meinem Handy mitnehmen, mit Familienmitgliedern teilen und auf sämtlichen Rechnern (mehrere Laptops mit Windows und Linux) verwenden.
Da stelle ich mir schon die Frage, was es sinnloseres geben kann, als Passwörter wieder nur in genau einem Browser zu speichern und mit proprietären Diensten wenigstens die von mir verwendeten Firefox-Browser zu synchronisieren. Mit Lockwise bekomme ich die Passwörter wenigstens wieder auf das Handy, aber dann bin ich soweit wie vorher.
Das ist immer eine Frage der Perspektive. Ein im Browser integrierter Passwortmanager funktioniert wahrscheinlich nachhaltiger und zuverlässiger als die Erweiterung eines externen Anbieters. Zudem bietet Lockwise mit dem Passwort-Monitor Funktionen kostenlos an, für die man bei Bitwarden (durchaus fair kalkuliert) bezahlen muss.
Ich kenne den PW-Manager in Firefox nicht, kann deshalb also nicht sagen, ob er in Firefox besser funktionieren würde. Er funktioniert aber ganz sicher schlechter in Chrome, Opera, Edge und was es sonst noch so gibt. Mit der Weboberfläche von Bitwarden kann ich mit jedem beliebigen Browser Passwörter eintragen und auslesen und habe überall Zugriff darauf.
Ich betreibe einen Bitwarden-Server auf einem Raspberry Pi (https://github.com/dani-garcia/bitwarden_rs), sodass für mich keine Kosten entstehen.
Lockwise/Firefox ist sicher nicht schlecht (und sicher genug), aber warum man Bitwarden damit ersetzten soll, kann ich nicht nachvollziehen.
Alles völlig in Ordnung. Deshalb sagte ich auch, dass alles eine Frage der Perspektive ist. Wenn Du mit Deiner Lösung zufrieden bist, warum solltest Du dann wechseln? Wahrscheinlich eher gar nicht und das ist ja okay.
Ich denke aber, dass es genug andere User gibt, für die Lockwise prima passt. Zum Beispiel, weil sie nicht wie Du eine beliebige Anzahl unterschiedlicher Browser nutzen, sondern einen, z.B. Firefox. Auch gibt es wahrscheinlich viele Leute, die keinen Bitwarden-Server erstellen können oder wollen, z.B. auch die, für die „Raspberry“ irgendwas mit Kuchen zu tun hat. Für solche User ist es doch super, dass die ehemaligen Passwortspeicher im Browser ihre Klartextspeicherung gegen einen vernünftig konzipierten Passwortmanager ausgetauscht haben. Und ihm auch noch Funktionen spendieren, die auch bei Self-Hosting in Bitwarden kostenpflichtig sind. Zum Beispiel die Überprüfung von Logins, Passwörter oder anderen Daten auf Kompromittierung.
Aber in einer Sache hast Du natürlich recht. Man kann sich schon die Frage stellen, ob Bitwarden- oder Keepass-User wirklich die Zielgruppe für Lockwise sind. Ich denke eher, dass man mit solchen Meldungen Lockwise bekannt machen will, gerade bei Usern, die sensibilisiert für Security-Themen sind. Dass das nicht nur Vorteile hat, kann man aber aktuell an dem Feedback im Google Play Store sehen. Allerdings kann man auch das positiv sehen und so die App immer besser machen.
„… für die „Raspberry“ irgendwas mit Kuchen zu tun hat.“ Da musste ich glatt schmunzeln, aber du hast natürlich Recht, nicht jeder kann – und vor allem will – sich seinen Raspberry aufsetzen.
Ich finde solche Lösungen wie Lockwise schlecht, weil sie im Gegensatz zu allgemeinen Passwortmanagern zu sehr an ein Produkt binden, andererseits können solche Lösungen auf Grund der einfachen Verwendung auch „normalen“ Anwendern (das ist nicht negativ gemeint) die Verwendung besserer Lösungen wie schlechte Passwörter ermöglichen. Für Leute, die bisher keinen Passwortmanager verwendet haben, ist Lockwise definitiv ein Gewinn und kann ja den Einstieg in eine allgemeinere Lösung darstellen. Und wenn Passwortmanager einen Wechsel mit Import- und Exportfunktionen unterstützen, umso besser.
Hat vielleicht jemand einen Tipp für mich? Ich nutze aktuell Keepass, mich stört es dabei jedoch, dass ich für das Autotype unbedingt den Titel der Webseite benötige und das nicht rein mit der URL geht. Ist natürlich sehr hilfreich, wenn die Webseiten-Entwickler sich gedacht haben, dass „Login“ genau der passende Titel für die Login-Seite ist.
Ich suche auf jeden Fall eine Alternative, die das auch mit der URL hinbekommt. Auto-Type sollte auch bei Programmen wie Steam etc. funktionieren. Synchronisierung über Geräte sollte ebenfalls dabei sein sowie eine Möglichkeit, das Ganze sowohl unter Windows als auch auf dem Mac zu nutzen.
Ich würde ja Bitwarden testen, aber ich weiß nicht, ob ich mir gleich einen Account erstellen will, nur, um das mal auszuprobieren.
Für Tipps wäre ich auf jeden Fall dankbar.
Hallo Lasse,
wie in einem anderen Kommentar geschrieben, habe ich mir einen Bitwarden-Server auf einem Raspberry Pi installiert (https://github.com/dani-garcia/bitwarden_rs), weshalb ich keinen offiziellen Account bei Bitwarden benötige. Steht dir ein System mit installiertem Docker zur Verfügung, hast du das in wenigen Minuten eingerichtet, da ein Docker-Image existiert, welches nahezu out-of-the-box verwendet werden kann.
Bei mir ist die ganze Familie auf Bitwarden umgestiegen (worden :-)) und es war nie einfacher Passwörter aktuell zu halten und diese zu verwenden (auch wenn der Android-Client manchmal etwas „Nachhilfe“ benötigt). Wenn du keinen Server installieren willst, würde ich dir – nach meinen positiven Erfahrungen – empfehlen, einen offiziellen Account anzulegen und mit ein paar Passwörtern zu testen. Wenn es passt, kannst du immer noch überlegen ob du bei Bitwarden bleibst oder einen eigenen Server betreibst (dann auch an ein Backup denken).
Danke dir und Tandeki für die Antworten.
Die Sache mit dem Server erscheint mir schon wieder ein wenig seltsam. Warum muss ich denn für einen Passwort-Safe einen Server (oder einen Account auf dem Server)? Ich muss doch nur irgendwo die Datei mit den Kennwörtern ablegen können, bei Keepass geht das auf dem heimischen NAS (oder Dropbox, iCloud etc.)
Aber ich werde mir Bitwarden wohl trotzdem mal ansehen. Vielleicht funktioniert es ja besser als erwartet.
Hallo Lasse,
als ich noch Keepass verwendet habe, habe ich es genau so gemacht. Die Datei lag zentral auf meinem NAS und habe die Datei auf meine mobilen Geräten (Laptops, Handys) synchronisiert, damit ich nicht nur im heimischen Netzwerk darauf zugreifen kann, sondern auch unterwegs. Dann hatte ich aber immer das Problem, welches die aktuelle Datei ist und ein Teilen innerhalb der Familie mit unterschiedlichen Berechtigungen war auch nicht möglich (meine Kinder müssen nicht alle Accounts der Eltern mit Passwörtern kennen :-)). Deshalb hatten meine Kinder eigene Keepass-Container, was die Verwaltung nicht gerade vereinfachte.
Durch den Bitwarden-Server ist das kein Problem mehr, da dort Benutzer eingerichtet werden können und die Passwörter entsprechend aufgeteilt werden. Im Netzwerk daheim synchronisieren die Browser-Erweiterungen und die Handy-App. Ist man nicht im Netzwerk, werden die Einträge gecached. Man hat also immer den aktuellen Stand dabei und muss sich nicht um irgendwelche Dateien kümmern.
Wie Tandeki geschrieben hat, ist das Autofill unter Android leider nicht das beste, weshalb man Benutzer/Passwort manchmal mit Copy/Paste selber übertragen muss. Aber diesen Nachteil nehme ich für die Vorteile bei der familienweiten Verwaltung in Kauf.
Seit Bitwarden installiert ist, verwenden auch meine Kinder konsequent auf allen Geräten einen Passwortmanager, der zentral verwaltet und gesichert wird. Durch ein VPN klappt dies auch, wenn die Kinder länger außer Haus sind (z.B. beim Studium). Selbst für iOS gibt es eine App, sodass auch auf dem iPhone immer die aktuellen Passwörter zur Verfügung stehen.
Das mit VPN und heimischen Netzwerk spielt natürlich keine Rolle, wenn du keinen eigenen Server hast, sondern einen offiziellen Bitwarden-Account verwendest. Dort ist es noch einfacher, da man immer Zugriff darauf hat.
Ich bin mit Bitwarden sehr zufrieden — so zufrieden, daß ich dafür sogar bezahle. Der zentrale Server ist deswegen nötig, weil man eben nicht nur eine Datei rumschiebt oder synchronisiert, sondern die Synchronisierung ist genau auf den Anwendungsfall „Paßwörter“ spezialisiert. Bei Dropbox hast Du ja auch einen zentralen Server — aber der ist eben nicht spezialisiert. Der Vorteil an Bitwarden ist, daß, wer will, diesen Server eben auch unter eigener Regie betrieben kann (sich dann aber auch um alles kümmern muß, inklusive störungsfreier Betrieb und Backup), was bei Dropbox eben nicht geht.
Ich würde Dir unbedingt empfehlen, Bitwarden mal auszuprobieren. Falls es Dir nicht gefällt, kannst Du Deinen Account problemlos selber in den Kontoeinstellungen auf der Website löschen.
Auto-Type gibt es so meiner Meinung nach in keinem anderen Passwortmanager. Die meisten Lösungen verwenden hier Auto-Fill, was sie aufgrund der Beschränkungen in Android und iOS mal gut, mal weniger gut hinbekommen. Bei mir haben folgende Passwortmanager beim Auto-Fill besonders gut funktioniert: 1Password (solide), Dashlane (mit Einschränkungen), Lastpass (beherrscht Auto-Fill seit langer Zeit zuverlässig) und Sticky Password (besonders eifrig). Bitwarden imponiert mir als Projekt, weshalb ich den Fortschritt alle zwei Monate verzweifelt teste. Verzweifelt, denn Auto-Fill unter Android hat bei mir noch nie zuverlässig funktioniert. Aber da das bei Dir anders sein kann, lass Dich nicht von meiner Erfahrung abhalten.
Bei allen Vorschlägen kannst Du mir URL arbeiten, meist sogar mit mehreren. Das kann hilfreich sein, wenn Du zum Beispiel Services wie Amazon in verschiedenen Ländern nutzt. Dann fügt man einfach zwei URL hinzu, amazon.de und amazon.com und das Auto-Fill funktioniert.
Einige Dienste haben übrigens auch noch Zusatzfunktionen, wie z.B. die Erkennung, ob Logins, E-Mails oder Passwörter kompromittiert sind. Nur Sticky Password bietet so etwas nicht an und bei Lastpass habe ich diese Funktion als fehlerhaft implementiert wahrgenommen.
Wie muss ich mir das mit Auto-Fill vorstellen? Bleibt die Passwort-Datenbank dann die ganze Zeit entsperrt, solange der Browser läuft?
Das kann man einstellen, aber Autofill kann ja ohne nicht funktionieren.