KeepassXC & Keepass2Android

Old Knitterhemd

Lt. Commander
Dabei seit
Jan. 2016
Beiträge
1.036
Da sich im Forum die Anfragen zu Passwortmanagern und co häufen (vermutlich wegen der Collection #1 Veröffentlichung ), wollte ich mal einen schnellen Einstieg in Keepass zeigen.


Keepass war ursprünglich eine reine Windows Software und wurde damals als KeepassL auf Linux portiert.

Aus KeepassL wurde wiederum die Crossplattform Version "KeepassX" und mit "KeepassXC" wurde die Community Version der Software präsentiert.

Auf letztere möchte ich mich hier konzentrieren, da sie (m.M.n.) am einfachsten bei Bedienung und Einrichtung ist.
Als Android Pendant empfehle ich Keepass2Android.


KeepassXC

wichtigste Features im Überblick:
  • verschlüsselte Datenbank mit Ordnerstruktur
  • Crossplattform -> MacOS, Linux, Windows
  • abwärtskompatibel (andere keepass Datenbanken können einfach damit geöffnet werden)
  • Passwort, Keyfile, YubiKey und mehr möglich, zum Schutz der Datenbank
  • eigene Browseraddons zur automatischen oder bequemeren Anmeldung/Ausfüllung auf Webseiten
  • alles offline falls gewünscht -> verschlüsselte Datenbank kann aber auch in einer Cloud (Dropbox, G-Drive, owncloud, nextcloud usw) abgelegt werden
DOWNLOAD:
HINWEIS:
Wer es richtig machen will, der legt sich sogar mehrere Datenbanken an!
Serverzugänge, Onlinebanking und andere sensible Daten müssen nicht unbedingt auf euer Android Phone.

Die sensible Datenbank bleibt auf eurem Arbeitsgerät daheim (zum Beispiel euer Linux Desktop PC :) ) und wird nur noch mal aufs Schrankbackup kopiert (nix cloud! ).

Es sollte sich angewöhnt werden regelmäßig eure Passwörter zu ändern.

ABER DAS WICHTIGSTE:

Gesunder Menschenverstand und wo immer möglich 2FA nutzen!


Ersteinrichtung und Nutzung:


Das Programm wie gewohnt downloaden und installieren.

Ihr werdet mit folgendem Bildschirm begrüßt:
keep1.png



Dort wählt ihr "Neue Datenbank erstellen" (oder falls ihr von einer anderen Keepass Version kommt "Existierende Datenbank öffnen").

Im sich öffnenden Fenster legt ihr einen Namen und den Speicherort fest (Ihr könnt die Datenbank jetzt schon in euren Cloudordner legen oder später dorthin verschieben, falls ihr Keepass synchronisiert auf mehreren Geräten nutzen wollt).

Anschließend legt ihr in folgendem Fenster eure Zugangsschlüssel fest:

kep2.png


Ich empfehle euch ein gut zu merkendes, einzigartiges Passwort (1) zu wählen UND eine Schlüsseldatei (2) anzulegen!

Für die Schlüsseldatei sucht ihr euch, wie schon für die Datenbank selbst, einen Namen und Speicherort aus (Kann auch ein USB Stick sein) und speichert ihn.
Dazu 2 Dinge:
1) MACHT EIN BACKUP VON DIESEM SCHLÜSSEL! <- z.Bsp auf eurem Offline Daten-Backup, dass ihr ja sowieso alle im Schrank liegen habt

2) DIESER SCHLÜSSEL GEHÖRT NIEMALS NIE IN EINE CLOUD!
Das heißt auch, dass ihr ihn nicht per Messenger, Email oder sonstwas auf euer Handy schickt oder kurz ebenfalls in eure Cloud legt und dann wieder löscht! <- PFUI!

Hier kann man ruhig mal ein bisschen Alufolie zum schicken Hütchen falten und das gute alte USB Kabel nehmen oder einen USB Stick, um den Schlüssel auf eure anderen Geräte zu kopieren.

Ich möchte an der Stelle betonen, dass es noch Challenge-Response und auch (mehr oder weniger) YubiKey Support gibt aber dazu kann sich jeder selber in der KeepassXC Dokumentation informieren.



HINWEIS ZUR VERSCHLÜSSELUNG:
Da öfter danach gefragt wurde, erkläre ich noch wie man die Verschlüsselungseinstellungen der Datenbank und des Schlüssels anpasst.

Öffnet eure Datenbank in KeepassXC und wählt oben Datenbank -> Datenbankeinstellungen


Hier könnt ihr Metadaten für die Datenbank vergeben, wie einen Standard Nutzernamen:

metaDB.png


Unter dem Punkt Verschlüsselung findet man die Datenbank und Key-Encryption:

schlussel.png



Ihr könnt euch ausrechnen lassen, wie viele Durchläufe euren PC, beim Öffnen der DB, um eine Sekunde verzögern würden.

Beachtet, dass euer Smartphone dafür wesentlich länger brauchen wird - hier gilt es ein Mittelmaß zu finden, sollte die Datenbank synchronisiert genutzt werden.


Wenn Datenbank und gesicherter Zugang erstellt wurden, begrüßt euch das Programm mit einer leeren Datenbank.

Ihr könnt Gruppen (Ordner) und Einträge anlegen.

Hier schon mit 2 Beispielgruppen, dem Papierkorb und einem Eintrag:

keepassDB.png


Um einen Eintrag manuell zu kopieren, könnt ihr auch Auto-Type konfigurieren oder einfach in der Liste doppelt auf den Eintrag zu Benutzername und/oder Passwort klicken, um den jeweiligen Inhalt für kurze Zeit in die Zwischenablage zu legen.



Wenn ihr einen neuen Eintrag erstellt, braucht ihr nur die Felder entsprechend ausfüllen.

kpEintrag.png



Über die URL ist das PW mit der Seite verknüpft.

Ihr könnt euch weitere Notizen dazuschreiben aber auch eigene Felder anlegen.

Es ist sogar möglich Dateien an Einträge anzuhängen und mehr.

Passwörter lasst ihr euch generieren!
Der Passwortgenerator ist relativ simpel zu konfigurieren:

passwortgenerator.png



Es sei noch anzumerken, dass ihr auch Datensätze als CSV importieren könnt!
(gespeicherte Zugangsdaten aus Browser und co exportieren, in passendem CSV Format!)




Einstellungen:


Die Standardkonfiguration dürfte für die meisten schon in Ordnung sein.

Die jeweiligen Einstellungen zum Verhalten muss jeder selbst festlegen (z.Bsp. automatische Sperre der Datenbank nach bestimmter Zeit oder beim Minimieren)

Hier sei angemerkt, dass KeepassXC Änderungen eigentlich sofort übernimmt, das lässt sich aber nach Belieben anpassen:

keepassDB-settings.png



Browseraddons:


Am interessantesten dürfte für die meisten die Browserintegration sein.

Manche kennen vllt die keepassHTTP basierten Addons von Keepass, diese werden auch (noch) unterstützt, es empfiehlt sich aber gleich das KeepassXC-Browser Addon zu nutzen:

keepassxcBrowser.png



In eurem Browser klickt ihr dann auf das Addon und wählt Connect:

connect.png



Keepass wird euch dann um Erlaubnis fragen und verlangt einen Namen für die Verbindung (z.Bsp.: "KallesLaptop-Firefox"):
connect-name.png


Auch bei den Addons gilt: Anpassungen am Verhalten liegen bei euch.

Anschließend seid ihr eigentlich fertig.



Keepass2Android

Wenn ihr das ganze jetzt auch am Smartphone nutzen wollt (hier jetzt nur Android, iOS geht aber auch), braucht ihr einen passenden Client.

DOWNLOAD:



Ich halte mich hier jetzt kurz, weil ich weg muss aber vllt gehe ich hier noch mal in Zukunft etwas mehr ins Detail.

Schnelleinstieg:
Im Grunde braucht ihr das ganze nur installieren und dann in Keepass2Android eure Datenbank öffnen:

kpdb.png


Dann entsperrt ihr eure Datenbank mit eurem Kennwort/KW+Schlüssel/Schlüssel:

kpsd.png


Eure Datenbank sieht dann irgendwie so aus:

kp2aDB.jpg




Mit der integrierten Tastatur könnt ihr nach Einträgen suchen und diese sehr bequem eingeben.

Ab Android 8 sollte auch Autofill funktionieren.

Ich kopiere mich mal aus einem anderen Beitrag:



Hab ein Gif angehangen zur Veranschaulichung wie es für Webseiten funktioniert.

Habe mein Passwort übrigens danach noch mal geändert ;) und dabei die 2fA für Computerbase entdeckt :daumen:
kp2aBrowser.gif





Die ganzen Informationen (und noch viel mehr) gibt es auch auf den Webseiten der Tools, dies soll nur eine komprimierte Schnellfassung sein.


Für Anregungen und Anpassungen wäre ich dankbar.

:)
 
Zuletzt bearbeitet:

BeBur

Lt. Junior Grade
Dabei seit
Nov. 2018
Beiträge
380
Coole Sache! Würde aber mehr Augenmerk auf die richtige Wahl und Verwaltung der beiden Faktoren legen.
Vielleicht auch einfach den Yubikey nahelegen und alles andere nur als kostengünstige Alternative?
 

PatrickS3

Lieutenant
Dabei seit
Okt. 2017
Beiträge
619
Danke für den Artikel. Eine Frage zur Schlüsseldatei. Muss die dann auf dem Smartphone direkt liegen?
 

Old Knitterhemd

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2016
Beiträge
1.036
Danke für den Artikel. Eine Frage zur Schlüsseldatei. Muss die dann auf dem Smartphone direkt liegen?
Man kann sie auch per USB-OTG und ähnlichem "anstecken".
Ebenfalls kann man sie verschlüsselt auf den internen Speicher/die SD-Karte legen, mit einem Extra Cryptotool und weiterem gemerkten Passwort und/oder Schlüssel :D

Ich rate aber dringend dazu, separate Datenbanken zu nutzen.
Ich importiere dann jeweilige Überschneidungen immer mal an meinem Main PC.

Für alles weitere warte ich vorerst darauf:
purism librem 5
:)

Nutze Keepass unter Windows und den Androiden. Gute Zusammenstellung für Linus-User.
KeepassXC ist auf allen Plattformen nutzbar!
Nur um das noch mal zu betonen.
MacOS, Linux und Windows!
 

DiedMatrix

Lieutenant
Dabei seit
Dez. 2003
Beiträge
800
Cool, hab bisher noch nix von der XC Variante gehört. Wie lange gibt es die schon?
Machts nicht gerade einfacher sich zu entscheiden, sprich vertraut man nun auf einen neuen Fork der vllt noch nicht so ausgereift oder oder bald wieder tot sein könnte oder bleibt man doch beim altbewährtem?

Gibt es dazu irgendwo eine Art Review der die konkreten Vorteile bzw Entscheidung für XC aufzeigt? Sprich was ist so schlimm am alten KeePass?

EDIT:
Ah, schon etwas gefunden
https://keepassxc.org/docs/#faq-keepassx
 

PatrickS3

Lieutenant
Dabei seit
Okt. 2017
Beiträge
619
Ich habe mir KeepassXC jetzt angeschaut. Das ist aber erstmal wieder raus aus dem Spiel. Hat leider keine Trigger Funktion.
 

PatrickS3

Lieutenant
Dabei seit
Okt. 2017
Beiträge
619
In Keepass kann man Trigger anlegen. Zum Beispiel: Wenn Datenbank gespeichert wird, synchronisiere diese mit einem Backup auf Laufwerk X (oder NAS oder OneDrive etc.)
https://keepass.info/help/v2/triggers.html
 

Phear

Captain
Dabei seit
Dez. 2006
Beiträge
3.176
Gibt es eine Statistik über die Erhöhung der Sicherheit mit Schlüsseldatei? Gerade wenn die direkt auf dem Smartphone liegt wirkt das für mich immer wie unnötiger Mehraufwand. Das Worst Case Szenario ist sowieso, dass einer das Handy klaut bei dem Konzept. Das Kennwort ist dann nach wie vor der einzige Punkt, den es für einen potenziellen Angreifer zu überwinden gilt. Neben dem Entsperren des Handys.

Ich will das nicht grundsätzlich schlecht reden, aber Keepass ist für viele nur so lange interessant wie die Einschränkung des Komforts begrenzt ist. Man kann das Ding auch so absichern, dass es richtig schwer wird, dann braucht man aber auch gefühlte 10min bis man mal an ein Kennwort rankommt.

Tatsächlich war mir aber gar nicht bekannt, dass KeepassXC bereits eine Browserintegration hat. Bei Keepass arbeitet man ja zwangsweise mit einem auf KeepassHTTP basierenden Addon. Das würde ich eigentlich auch gerne vermeiden, aber die Strg+Alt+A Methode von Keepass zickt leider öfters rum als mir lieb ist.
 

Old Knitterhemd

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2016
Beiträge
1.036
In Keepass kann man Trigger anlegen. Zum Beispiel: Wenn Datenbank gespeichert wird, synchronisiere diese mit einem Backup auf Laufwerk X (oder NAS oder OneDrive etc.)
https://keepass.info/help/v2/triggers.html

Ja die Trigger sind so noch nicht dabei.
Es lässt sich aber ein Backup der DB bei jeder Änderung anlegen.

Das kannst du auch an einem beliebigen Ort machen lassen.


Gerade wenn die direkt auf dem Smartphone liegt wirkt das für mich immer wie unnötiger Mehraufwand
Sobald dein Handy flöten geht, änderst du natürlich daheim deinen Schlüssel.
Wenn es danach geht...

Ich rate nicht ohne Grund davon ab, richtig sensible Daten in der Smartphone DB zu lagern.


Ohne Schlüssel wäre die DB selber jedenfalls "einfacher" zu knacken als doppelt abgesichert mit KW und Schlüssel.

Das Kennwort dient primär der Absicherung gegen direkten physichen Zugriff -> das man nicht mal eben die Datenbank aufmachen kann.
 
Zuletzt bearbeitet:

Anons

Cadet 3rd Year
Dabei seit
Aug. 2018
Beiträge
50
Super Beitrag! Hast du in den DB-Einstellungen>Verschüsselung Argon2 ausgewählt? Falls ja, welche Anzahl der Verschlüsselungsdurchläufe, welcher Speicher-Verbrauch und wie viele Threads (Parallelität) sind denn realistisch? Frage für 2 DBs: 1 main für PC, 1 second für's Smartphone. Auf meinem Linux ist hier per default AES-KDF (KDBX 3.1) ausgewählt.
Edit: Bei Windows auch standardmäßig KDBX 3.1
 
Zuletzt bearbeitet:

BeBur

Lt. Junior Grade
Dabei seit
Nov. 2018
Beiträge
380
KeePass hat doch ein Benchmark und wirft dir die Parameter raus, damit das öffnen auf deiner Maschine 1 Sekunde dauert. Auf dem Smartphone wird es entsprechend länger dauern. Wie viel länger -> ich habe keine Ahnung.
Ich würde aber einfach mal ausprobieren und im Zweifel die Durchläufe halbieren, so dass es auf deinem Smartphone dann auch (roughly) halb so lange nur dauert.
 
Top