KeepassXC ist ein verschlüsselter Passwortspeicher und ein Fork vom bekannten Keepass. Warum stelle ich hier nicht das Original vor? Weil KeepassXC einige Annehmlichkeiten hat, welche es deutlich vom Original abhebt.
Eine Regel bei Anmeldedaten: Für jeden Dienst andere Passwörter verwenden. Aber die muss man sich ja auch erstmal merken, weshalb das dann nicht gemacht wird. Mit KeepassXC gibt es allerdings keine Ausreden.
Installation
Die Installation unter Windows ist einfach. Man lädt sich erstmal die neueste Version von https://keepassxc.org/ herunter.
Dann wird die Setup Datei gestartet und installiert. Ich empfehle den Autostart von KeepassXC aktiviert zu lassen. Das beschleunigt später die allgemeine Verwendung, weil es immer direkt sichtbar ist. Man vergisst es sozusagen nicht. Nach einem Klick auf „Finish“ ist man dann auch fertig und KeepassXC startet.
Die erste Meldung des Programms ist die Frage, ob auf Programmupdates geprüft werden soll. Das sollte mit „Ja“ bestätigt werden.
Datenbank erstellen
Anschließend wird mit einem Klick auf „Neue Datenbank erstellen“ der Assistent geöffnet. Zuerst wird ein Name für die Datenbank benötigt. Lasst diesen im Zweifel auf Passwörter und klickt „Weiter“. Dieser Name wird intern verwendet und ist nicht öffentlich einsehbar.
Im nächsten Schritt wird die Verschlüsselung eingestellt. Wer möchte kann dort in die fortgeschrittenen Einstellungen wechseln, um die Verschlüsselungsstärke zu erhöhen, muss dies aber nicht. Wichtig ist, dass die aktuellste Version KDBX 4 ausgewählt ist. Ein Klick auf „Weiter“ öffnet die nächste Seite.
Als letztes wird das Passwort für den Passwortsafe eingegeben. Man kann sich hier eins mit dem Würfel-Symbol zufällig erstellen lassen. Davon würde ich aber für diesen speziellen Fall abraten. Man muss sich dieses Passwort merken und es nützt nichts, wenn man sich schon das Passwort zum Passwortsafe nicht merken kann. Verwendet also ein Passwort, dass zwar die normalen Passwortrichtlinien einhält, dass ihr euch aber dennoch merken könnt.
Benutzt beispielsweise einen Satz mit 8 oder mehr Wörtern bzw. Zahlen und verwendet die ersten Buchstaben eines jeden Wortes: „Ich will zum Mittag um 12 13 Hamburger, aber ohne Gurken!“ = IwzMu1213H,aoG!
Ihr seht einfach einfach. ABER! Wenn ihr das Passwort vergesst, ist der Safe nicht mehr zu retten. Ihr kommt dann nicht mehr an eure Passwörter.
Mit einem Klick auf „Fertig“ wird gefragt, wo die Datenbank gespeichert werden soll. Hier kann man das jetzt halten wie man will. Sinnig ist natürlich bei Verwendung mehrere Geräte den Safe auf einem NAS oder allgemeinen Share zu speichern. Man kann ihn allerdings auch in den Eigenen Dateien ablegen.
Ich persönlich nenne die Datei nicht direkt Passwörter. Wenn dann doch mal der Computer von einer Malware durchsucht wird, wird der Datenbank-Container zumindest darüber nicht direkt gefunden. Wenn man es auf die Spitze treiben will, kann man natürlich auch die Endung „.kdbx“ in eine „.bmp“ umändern. Aber das würde hier jetzt zu weit führen.
Konfiguration
Viel umkonfigurieren muss man tatsächlich nicht bei KeepassXC, es läuft out-of-the-box bereits sehr gut. Für die Browser Erweiterung von KeepassXC muss allerdings noch die Browser Integration aktiviert werden.
Ein Klick auf das Zahnrad öffnet die Einstellungen, wo unter der Kategorie „Browser-Integration“ der Haken bei „Browserintegration aktivieren“ gesetzt wird. Zum Schluss wird noch der verwendete Browser angehakt. Die Einstellungen können dann mit „OK“ bestätigt werden.
Browser Erweiterung installieren
Ich gehe hier am Beispiel Microsoft Edge vor, es funktioniert aber ähnlich mit allen Chromium-basierenden Webbrowsern oder auch mit Firefox.
Zuerst klickt man auf die drei Punkt im Browser (1) und klickt anschließend auf „Erweiterungen“ (2). Im neuen Fenster muss dann noch „Erweiterungen für Microsoft Edge abrufen“ (3) angeklickt werden.
Auf der Webseite sucht man nach Keepass und klickt dann bei KeePassXC-Browser auf „Abrufen“. Ist dies erledigt taucht oben im Browser neben der Adresszeile das KeepassXC Logo auf – da klickt man rauf und anschließend auf „Verbinden“. Im nächsten Fenster gibt man der Verbindung noch einen Namen und klickt auf „Speichern und Zugriff erlauben“.
Verwendung
Manuelle Eintragung
Keepass XC kann nun verwendet werden. Um einen neuen Eintrag zu erstellen klickt man oben in der Menüleiste auf das Plus. Es öffnet sich eine Seite, wo man die Daten zu dem Eintrag hinterlegen kann. Diese muss man entsprechend der Felder ausfüllen. Wichtig ist in dem URL Feld die URL zu hinterlegen, worüber die Login-Maske aufgerufen wird, anderenfalls kann die Browser-Erweiterung die Zuweisung nicht korrekt durchführen.
Im Passwortfeld kann man sich über das Auge das eingetragen Passwort in Klartext anzeigen lassen. Mit dem Würfel kann man sich vom Programm ein zufälliges Passwort erstellen lassen, welches man in dem jeweiligen Dienst hinterlegen kann.
Wie man sieht wird unter dem angegebenen zufälligen Passwort angezeigt, wie gut die Passwort Qualität ist. Diese sollte so hoch wie möglich sein, meistens durch die Länge des Passworts erreichbar, aber auch zusätzliche Sonderzeichen können die Schwierigkeit des Passworts erhöhen. Mit einem Klick auf „Passwort anwenden“ wird das Passwort für den entsprechenden Eintrag hinterlegt.
Und mit einem Klick auf „OK“ ist das erste Passwort in der Datenbank hinterlegt. Gespeichert wird in KeepassXC automatisch. Das heißt auch jegliche Änderung an dem Eintrag wird ohne Nachfragen mit „OK“ gespeichert.
Verlauf der Änderungen anzeigen
Und was, wenn ich einen Fehler gemacht habe?
Sollte man eine falsche Änderung durchgeführt haben, findet man unter dem Dateneintrag den Verlauf. Dort kann man sich die alte Version anzeigen lassen und auch wiederherstellen.
Manuelles kopieren der Daten
Niemand möchte nun immer in der Datenbank nachschauen und die Anmeldedaten abtippen. Das braucht man auch nicht, mit [STRG]+[B] wird beispielsweise der Benutzername des markierten Eintrags für 10 Sekunden kopiert und kann mit [STRG]+[V] in das benötigte Anmeldefeld eingetragen werden. Wenn man auf dem markierten Eintrag [STRG]+[C] drückt, wird für 10 Sekunden das Passwort im Zwischenspeicher gehalten und kann im benötigten Feld hinterlegt werden.
Browser Erweiterung
Wenn man im Edge nun auf account.google.com geht wird man vom Browser-Plugin mit einem Fenster begrüßt.
Dieses Fenster muss für jede neue Webseite einmalig erlaubt werden. Klickt also unbedingt auf „Merken“, wenn man das nicht ständig wiederholen will. Nach einem Klick auf „Auswahl erlauben“ kann der Passworteintrag verwendet werden.
Dazu einfach auf das Schlüsselsymbol klicken und, falls mehrere Anmeldedaten für die Webseite vorhanden sind, die benötigte Anmeldung auswählen.
Einträge über die Browser Erweiterung erstellen
Natürlich können auch Anmeldendaten über das Browser-Plugin in KeepassXC abgelegt werden. Wenn man sich bei einer Webseite anmeldet erscheint oben im Fenster ein Hinweis.
Dort klickt man nun auf „Neu“ und die Daten werden hinterlegt, auch wenn man sich wie hier nicht anmelden konnte. Die Anmeldedaten werden im Keepass unter dem automatisch erstellten Ordner „KeePassXC-Browser Passwords“ abgelegt.
Theoretisch gibt es auch die Möglichkeit sich beim Erstellen eines Accounts Passwörter von KeepassXC zufällig generieren zu lassen, dies funktionierte bei mir aber nicht. Es kann dafür aber auch kurz zu KeepassXC gewechselt und über das bekannte Würfel-Symbol ein Passwort generieren werden lassen.
TOTP – Zwei-Faktor Authentifizierung
Im KeepassXC können auch TOTP Token erzeugt werden. Die Hauptmethode sollte allerdings weiterhin über einen separaten Authenticator stattfinden.
Für KeepassXC wird dafür der TOTP-Sicherheitsschlüssel benötigt, da der QR-Code nicht gescannt werden kann. Dazu gibt es beim Dienst normalerweise einen kleinen Link der sich meist „Du kannst den QR-Code nicht scannen?“ heißt.
Diesen scannt man zunächst mit der richtigen Authenticator-App und klickt anschließend auf den Link. Es wird der Sicherheitsschlüssel angezeigt.
Diesen geben wir nun in KeepassXC ein. Dazu einfach einen Rechtsklick auf den Eintrag, für den der TOTP Schlüssel bestimmt ist, auf „TOTP“ und auf „TOTP einrichten“.
Es öffnet sich ein Fenster wo nun der Sicherheitsschlüssel hinterlegt wird. Normalerweise kann die Einstellung auf „Standardeinstellungen (RFC 6238)“ gelassen werden. Herzlichen Glückwunsch, dein Account ist nun mit einem zweiten Faktor geschützt.
Man sieht neben dem Datenbankeintrag nun eine Uhr. Wenn man auf dem markierten Eintrag nun [STRG]+[UMSCHALT]+[T] drückt wird einem der momentan aktuelle Token angezeigt, welcher bei der Anmeldung mit übergeben werden muss.
Mit [STRG]+[T] speichert man den momentan aktuellen Token in den Zwischenspeicher und kann ihn für 10 Sekunden in das benötigte Feld kopieren. Im Browser wird zu 80% korrekt erkannt, dass ein TOTP Token benötigt wird, welchen man mit Hilfe des Symbols einer Blase und drei Punkten darin einfügen lassen kann.
Falls der TOTP Sicherheitsschlüssel einem anderen Authenticator nachträglich hinzufügt werden soll, kann man sich wieder mit einem Rechtsklick und „TOTP“ über „TOTP einrichten“ den Sicherheitsschlüssel anzeigen lassen aber auch ändern und über „QR-Code anzeigen“ den entsprechenden QR-Code zum scannen für die App anzeigen lassen.
Backup? Unbedingt!
Der Passwortsafe ist der wichtigste Schlüsselbund zu euren digitalen Habseligkeiten. Macht unbedingt regelmäßig ein Backup von dem Passwortsafe. Wenn dieser weg ist, kommt ihr nirgends mehr rein und müsst erstmal überall die „Passwort vergessen“-Funktion bei den Diensten durchgehen. Wenn ihr denn überhaupt so schnell wisst, wo ihr überall Konten hattet.
Und auch nochmal zum Passwort, merkt es euch. Wenn das Passwort weg ist, ist die Passwort-Datenbank nur ein Haufen zufälliger Bits mit denen ihr nichts mehr anfangen könnt.
Fazit
Das klingt sicherlich erstmal viel, wenn man das ganze Prozedere aber erstmal eingerichtet hat, ist es sehr leicht einzusetzen. Man muss sich dann nicht mehr so viele Passwörter merken und kann beruhigt auch etwas schwierigere Passwörter verwenden.
Natürlich stellt KeepassXC die „Selfhost“-Variante da. Möchte man ein immer verfügbares und wartungsarmes Produkt verwenden, benutzt man eher Passwortspeicher von Cloud-Providern. Wie ich schon mal schrieb, ein Passwortsafe in der Cloud ist allemal besser als kein Safe oder noch schlimmer, Anmeldedaten, welche auf einem Blatt Papier aufgeschrieben wurden.
Also viel Spaß beim Verwenden!
Pingback: IT-Sicherheit im privaten Umfeld - Teil 1 | LierschIT