KeePass Passwort-Speicher Einführung

Eine der häufigsten Fragen bzw. Tipps, die ich meinen Bekannten gebe, ist: Benutzt sichere Passwörter! Am besten noch verschiedene für alle Services, also Dienste/Homepages/E-Mail/etc. im Internet und Co. Und uns ist allen klar: Das macht keiner… ;) Außer man hat einen vernünftigen Passwortspeicher den man auch flexibel und von verschiedenen Orten aus benutzen kann. In einem solchen Programm kann man alle verschiedenen Passwörter eingeben und verschlüsselt in einer Datei speichern. Das heißt, man braucht zwar ein sehr gutes (= langes & komplexes) Passwort, erspart sich aber das Merken von allen anderen Passwörtern. Sprich: Man muss sich fortan nur noch ein Passwort merken und hat dann einen sicheren Zugriff auf alle möglichen anderen Passwörter. Ich verwende den KeePass Password Safe und möchte hier eine komplette Einführung in dessen Benutzung geben.

1) Installation

Natürlich muss man die Software erst mal herunterladen (hier) und installieren. Man kann aber auch die portable Version (ohne Installation) verwenden. Unbedingt die 2er Version “Professional Edition” nehmen.

Nach dem Starten von KeePass muss man einmalig eine neue Datenbank-Datei für seine zu speichernden Passwörter anlegen. Einfach auf File -> New klicken und einen Namen und Speicherort für die Passwortdatei auswählen. Danach muss man ein Masterpasswort für seine Datenbank festlegen. Achtung: Hierbei handelt es sich um das Passwort, welches alle anderen Passwörter in der Datei verschlüsselt. Das heißt: Hier bitte ein wirklich gutes/langes/kompliziertes/schwer-zu-erratendes/usw. Passwort verwenden! Außerdem sollte man es *wirklich* nicht vergessen. Also am besten noch auf einen kleinen Zettel schreiben und irgendwo zu den sowieso sicher verstauten Aktenordnern im Keller legen, damit man notfalls darauf zurückgreifen kann.

KeePass-NeueDatenbankIm nächsten Schritt muss man noch einen Namen für die Datenbank wählen (z.B. “Passwort-Safe von Johannes Weber”). Alle anderen Einstellungen kann man so lassen. Ein Klick auf OK und schon ist man mit dem Anlegen fertig.

2) Einträge anlegen

Nun kann man seine Passwörter sinnvoll strukturiert anlegen. Ein paar Ordner sind ja bereits vorhanden. Also einfach überlegen, wie man seine Passwörter kategorisieren möchte. Und los geht’s: Per Klick auf “New Entry” (viertes Icon) legt man ein neues Passwort an. Eigentlich sollten sich alle Felder von selbst erklären ;) Man kann sein Passwort entweder zwei Mal eingeben (um gleich zu überprüfen, ob man sich auch nicht vertippt hat), oder man klickt auf die drei Punkte (siehe Screenshot) um sich das Passwort 1x im Klartext anzeigen zu lassen.

KeePass-NeuerEintrag

3) Einträge benutzen

Das eigentliche Ziel ist es ja, relativ unkompliziert ein Passwort in eine Anwendung (zumeist einen Internet-Browser) zu kopieren. Das geht wie folgt: Hat man die gewünschte Login-Seite im Browser aufgerufen (z.B. den eBay Login), geht man in KeePass, markiert den entsprechenden Eintrag (nur 1x klicken) und drückt nun “Strg + v”. KeePass wechselt nun automatisch das aktive Fenster und fügt den angegebenen Benutzernamen und das Passwort in die Login-Felder ein und drückt auch noch automatisch Enter. Und schon ist man eingeloggt ohne irgendeine Angabe manuell getätigt zu haben. Der große Vorteil ist nun der, dass man für viele Anwendungen verschiedene (und vor allem komplexe) Passwörter vergeben kann, da man sie sich ja nicht mehr merken muss.

4) [optional] Passwort Datenbank online verfügbar machen

Damit man seinen Passwortspeicher an mehreren Rechnern verwenden kann, muss man ihn irgendwie ins Internet bringen und synchronisieren. Man kann die Datei zum Beispiel in seinen Dropbox Ordner legen (falls man eh schon Dropbox verwendet) oder sie per FTP auf einen Server schieben. Dazu braucht man natürlich einen FTP Server. (Wer an dieser Stelle nicht weiß, was das ist, kann einfach zum nächsten Punkt springen.) Ist dem so, muss man die Passwort Datei (*.kdbx) einmalig manuell auf den Server hochladen. Dann startet man KeePass und öffnet die Datei via File -> Open -> Open URL. Dort gibt man die entsprechenden Zugangsdaten für den FTP Server ein. Nun fragt KeePass wieder das Masterpasswort der Datenbank ab, und schon ist man drin. Das Praktische daran: KeePass speichert alle Änderungen der Datei auch gleich wieder auf dem FTP Server ab. So kann man tatsächlich von mehreren Rechner aus mit der gleichen KeePass Datei arbeiten, ohne dass man sich selber um die Synchronisierung kümmern muss.

(Noch ein Satz zum Transfer via unverschlüsseltem FTP: Ja, man kann dabei das FTP-Passwort im Klartext mitlesen, falls jemand auf dem Netzwerk lauscht. Da die KeePass-Datei an sich ja gut verschlüsselt ist, sehe ich das aber nicht so kritisch. Im optimalen Fall hat man aber einen extra FTP-Account nur für die KeePass Datei, damit ein Angreifer zumindest nicht Zugriff auf andere Files auf dem FTP Server hat, sollte das Passwort doch einmal public werden. Per Add-On für KeePass kann man außerdem den sicheren Filetransfer via FTPS oder SFTP realisieren.)

5) Icons für Einträge und Ordner

Ich persönlich verwende viele verschiedene Icons für einzelne Passwörter als auch für die Ordner. Dadurch hat man einfach eine bessere und schnellere Übersicht. Besonders praktisch finde ich die Tatsache, dass man manuell weitere Icons hinzufügen kann, die dann in der Passwort-Datei mitgespeichert werden. Um Icons anzupassen muss man einfach in einem Passworteintrag auf das Icon rechts oben klicken und das gewünschte Icon auswählen, bzw. hinzufügen. Bei mir sieht die Liste der Icons mittlerweile so aus:

KeePass-CustomIcons

6) URLs zum Öffnen von Anwendungen (PuTTY, FileZilla, …)

(Wer PuTTY oder FileZilla nicht kennt: Kein Problem, einfach diesen Punkt auslassen.) Jetzt kommt eine richtig geniale Sache: Ich benutze standardmäßig PuTTY für SSH-Sessions. Nun ist es möglich, über das URL Feld in KeePass automatisch PuTTY zu öffnen und direkt die Login-Daten rüberzuschicken. (Man braucht also kein KiTTY mehr ;)) Die genaue Beschreibung habe ich von diesem Blog Eintrag hier übernommen.

Man muss zunächst die PuTTY.exe in einen der Systempfade von Windows kopieren. Ich habe sie einfach in den Windows Ordner auf C:\ gepackt. Nun kann man folgende Zeile in das URL Feld aller möglichen SSH-Passworteinträge in KeePass kopieren:

Möchte man nun eine neue SSH-Session öffnen, klickt man den entsprechenden Eintrag in KeePass an (1x klicken) und drückt dann “Strg + u“. PuTTY verbindet sich zu dem DNS-Namen/IP-Adresse, der bei KeePass im Titel des Eintrags steht. Außerdem werden natürlich Username und Passwort übergeben. Weitere Optionen für PuTTY kann man hier nachlesen (wie zum Beispiel das “-X” um X11 forwarding zu aktivieren). In der URL-Zeile kann man alternativ den DNS-Namen/IP-Adresse auch händisch anpassen, so wie hier geschehen:

KeePass-PuTTY

Das gleiche geht übrigens auch für FileZilla wenn man eine neue Verbindung zu einem FTP-Server aufbauen möchte. (Erinnerung: Bei FileZilla kann man zwar Passwörter abspeichern, diese werden allerdings im Klartext (!) in einer XML-Datei abgelegt. Das ist also nicht zu empfehlen.) Daher hier jetzt die URL für KeePass, bei der der Pfad für die filezilla.exe auf das Standard-Installationsverzeichnis hardcodiert ist:

Auch hierbei wird sich zu dem DNS-Namen/IP-Adresse verbunden, der bei KeePass im Titel steht. Ebenfalls werden Benutzername und Passwort direkt weitergegeben.

Für eine RDP-Session kann man leider nicht den Benutzernamen/Passwort übergeben, man kann aber immerhin ein entsprechendes Fenster mit der Verbindung zum richtigen Host öffnen lassen:

7) [optional] KeePass automatisch sperren

Noch einen erweiterten Tipp: Ich habe mein KeePass so eingestellt, dass es sich nach 10 Minuten Benutzer-Inaktivität automatisch sperrt. Sprich: Man muss bei der nächsten Benutzung das Masterpasswort neu eingeben, hat aber den Sicherheitsvorteil, dass die Passwortdatenbank automatisch gesperrt wird, wenn man einige Zeit nicht am Rechner ist. Ich kann das also nur empfehlen. So geht’s: Tools -> Options -> Lock workspace after […]:

KeePass-LockWorkspace

8) [optional] Verbesserte Passwort-Kopiererei

Und noch zwei Sätze zu der automatischen Passworteingabe per “Strg + v”. Erstens: Man kann die default sequence verändern. Standardmäßig wird KeePass immer den Login kopieren, dann 1x Tab drücken, das Passwort kopieren und dann Enter drücken. Wenn man aber vor einem Login-Fenster sitzt, welches zwischendrin noch ein paar Häkchen oder ähnliches hat, welche man erst “überspringen” muss um auf den Login-Button zu kommen, kann man für diesen Passworteintrag eine andere Sequenz auswählen. Man ändert die Einstellung in einem Passworteintrag unter dem Reiter “Auto-Type”. Als Beispiel sei hier das HTTPS Login-Feld einer Juniper SSG erwähnt, welches folgende Sequenz braucht:

Eine weitere Einstellung die ich ganz interessant finde ist die “two-channel auto-type obfuscation“. Damit kopiert KeePass nicht das Passwort im Klartext in den Zwischenspeicher um es dann irgendwo einzufügen, sondern es simuliert quasi einen “Strg + c” Tastaturanschlag, um dann in dem Passwortfeld der Anwendung ein “Strg + v” zu schicken. Außerdem speichert es diverse Hin- und Herhüpfer per Pfeiltasten, um zusätzlich Verwirrung zu stiften ;) Sinn ist der, dass ein potentiell installierter Keylogger nur eben diese Strg Befehle mitloggen kann und somit NICHT das Passwort im Klartext sieht. Sehr cool ;) Man muss diese Funktion für jeden Passworteintrag einzeln aktivieren. Achtung: Es funktioniert nur bei einfachen Login-Feldern, wie sie zum Beispiel in Browsern verwendet werden. (Sprich: Bei Browserfeldern geht es eigentlich immer.) Bei Logins in anderen Anwendungen (CLI, …) wird es nicht immer klappen. Im Zweifelsfall also einfach ausprobieren. Die Warnmeldung, die jedes Mal beim Anklicken des Häkchens kommt, kann man getrost bestätigen, da sie quasi genau auf diese Problematik hinweist.

KeePass-TwoChannelObfuscation

9) Passwörter ausdrucken

Klingt komisch, ist aber so: Es wäre natürlich fatal, wenn man aus welchen Gründen auch immer sein Passwortsafe nicht mehr öffnen kann. Sei es durch Verschlampung der KeePass-Datei oder durch Vergessen des Masterpassworts. Daher empfehle ich, sich eine Liste der Passwörte über Datei -> Drucken zu erzeugen und diese im ausgedruckten Zustand in einem geheimen Aktenordner im Keller zu verstauen. Ja, das ist Ernst gemeint! Es klingt zwar komisch, seine ganzen Passwörter im Klartext vor sich zu sehen, aber wer soll sie im Keller schon finden? Und im Notfall hat man doch noch Zugriff auf alle seine Systeme.

10) Fertig :)

Jau, das war meine Einführung in KeePass. Ich hoffe, dass ich hiermit ein paar Leute motivieren kann, nicht nur ihre Passwortsicherheit mit diesem Passwortspeicher zu erhöhen, sondern auch schneller und unkomplizierter diverse SSH- und FTP-Sessions öffnen zu können ;)

7 thoughts on “KeePass Passwort-Speicher Einführung

  1. Frage: Wenn ich die Passwort-Datei z.B. auf einen FTP-Speicher lege, muss ich dann online sein, um die Passwörter nutzen zu können? Oder synct er mit einer lokalen Kopie?

    1. Nein, definitiv nicht. Beim anfänglichen Laden sowie bei jedem Speichern baut er eine FTP Verbindung auf. Also “jein”. Man möchte ja zwischendurch schon mal speichern. Zumal ich ja empfehle, KeePass nach 10 Minuten automatisch sperren zu lassen, und er halt vorher immer noch speichern möchte… Aber nein: du brauchst keine *dauerhafte* Internet Verbindung.

  2. Ich suche verzweifelt eine Möglichkeit die es mir ermöglicht das ich zum speichern neuer Zugangsdaten aufgefordert werde. Soll heißen, ich besuche eine neue Seite und gebe die Zugangsdaten ein. Dann möchte ich von KeePass in Chrome ein Aufforderung zum speichern der neuen Zugangsdaten erhalten

  3. Hallo Johannes,

    Andy hat mir den Artikel empfohlen. Der Einstieg in KeePass fiel mir dadurch deutlich einfacher.

    Beste Grüße

    Jeroen

Leave a Reply

Your email address will not be published. Required fields are marked *