ADMIN

2023

02

2023-01-31T12:00:00

Endpoint Security

SCHWERPUNKT

076

Sicherheit

Passwörter

Passwörter in KeePass synchronisieren

Digitaler Safe

von Thomas Joos

Veröffentlicht in Ausgabe 02/2023 - SCHWERPUNKT

Benutzernamen und Passwörter spielen nach wie vor eine wichtige Rolle für die Sicherheit. Dabei gelten natürlich die üblichen Mindeststandards: Zugangs­daten nicht mehrfach verwenden, keine leicht zu erratenden Kombinationen nutzen und diese natürlich nur sicher verwahren. Hier helfen Passwortmanager wie KeePass weiter. Wie Sie das Tool einrichten und über mehrere Endgeräte hinweg synchron halten, zeigen wir in diesem Beitrag.

Tools zur Passwortverwaltung wie KeePass [1] sind im Umgang mit Zugangsdaten eine große Hilfe. In der sicheren und verschlüsselten Datenbank der kostenlosen Open-Source-Software speichern Sie alle Logindaten, inklusive Notizen, Links und anderen Informationen, die Sie für die Zugriffe benötigen. Um diese Informationen nutzen zu können, benötigen Sie nur noch das Kennwort für den Passwortsafe selbst und können dann die notwendigen Daten auslesen. Dadurch fällt der Umgang mit Kennwörtern deutlich leichter, auch komplexe Kombinationen lassen sich nutzen und Sie müssen sich nur noch ein einziges Passwort für den Zugriff merken. Der Vorteil von KeePass ist also schon bei der Verwendung auf einem einzelnen Rechner immens.
Das Tool steht dabei nicht nur auf einem einzelnen Rechner zur Verfügung, sondern Sie können die Datenbank, in der Ihre Zugangsdaten gespeichert sind, auf verschiedenen Geräten nutzen. Die zugehörige Datei ist auch bei zahlreichen Einträgen nur wenige KByte groß und die Inhalte sind sicher mittels AES 256 Bit verschlüsselt. Es gibt KeePass-Clients für alle möglichen Betriebssysteme – neben Windows, Linux und macOS auch für Android, iOS und iPadOS.
Neben einer sicheren Aufbewahrung Ihrer Kennwörter, profitieren Sie bei der Verwendung von KeePass von einer bequemeren Verwendung und einfacheren Anmeldung an den verschiedenen Diensten, da Sie die Anmeldedaten und Kennwörter über die Zwischenablage kopieren können.
Tools zur Passwortverwaltung wie KeePass [1] sind im Umgang mit Zugangsdaten eine große Hilfe. In der sicheren und verschlüsselten Datenbank der kostenlosen Open-Source-Software speichern Sie alle Logindaten, inklusive Notizen, Links und anderen Informationen, die Sie für die Zugriffe benötigen. Um diese Informationen nutzen zu können, benötigen Sie nur noch das Kennwort für den Passwortsafe selbst und können dann die notwendigen Daten auslesen. Dadurch fällt der Umgang mit Kennwörtern deutlich leichter, auch komplexe Kombinationen lassen sich nutzen und Sie müssen sich nur noch ein einziges Passwort für den Zugriff merken. Der Vorteil von KeePass ist also schon bei der Verwendung auf einem einzelnen Rechner immens.
Das Tool steht dabei nicht nur auf einem einzelnen Rechner zur Verfügung, sondern Sie können die Datenbank, in der Ihre Zugangsdaten gespeichert sind, auf verschiedenen Geräten nutzen. Die zugehörige Datei ist auch bei zahlreichen Einträgen nur wenige KByte groß und die Inhalte sind sicher mittels AES 256 Bit verschlüsselt. Es gibt KeePass-Clients für alle möglichen Betriebssysteme – neben Windows, Linux und macOS auch für Android, iOS und iPadOS.
Neben einer sicheren Aufbewahrung Ihrer Kennwörter, profitieren Sie bei der Verwendung von KeePass von einer bequemeren Verwendung und einfacheren Anmeldung an den verschiedenen Diensten, da Sie die Anmeldedaten und Kennwörter über die Zwischenablage kopieren können.
Datenbankeinträge einfach nutzen
Die Synchronisierung der Daten aus KeePass mit anderen Diensten beginnt natürlich zunächst damit, dass Sie auf einem Rechner KeePass installieren, eine neue Datenbank erstellen und anschließend in dieser Ihre ersten Einträge anlegen. Sie können mit dem Tool natürlich mehrere Datenbanken erstellen und mit dem Programm jeweils diejenige nutzen, die Sie aktuell benötigen. Die Sprache in KeePass passen Sie nach der Installation mit "View / Change Language" an. Dazu laden Sie im Fenster der Downloadseite die passenden Sprachdateien herunter und kopieren sie in das Verzeichnis "C:\ Program Files\KeePass Password Safe 2\Languages". Danach wechseln Sie per Doppelklick darauf die Sprache. Installieren Sie KeePass auf mehreren Rechnern, können Sie die Sprachdatei natürlich einfach kopieren, Sie müssen diese nur einmal herunterladen.
Über das Kontextmenü Ihrer Datenbank in KeePass erstellen Sie mit "Gruppe hinzufügen" eine neue Kennwortgruppe. Diese entsprechen im Grunde genommen Ordnern, in denen Sie die Zugangsdaten besser untergliedern können. Im Fenster geben Sie den Namen der Gruppe an und legen das Icon fest, mit dem diese angezeigt wird. Name und Icon lassen sich jederzeit über das Kontextmenü mit "Gruppe bearbeiten" anpassen.
Haben Sie eine Gruppe geöffnet, können Sie über das Kontextmenü des rechten Fensters über "Eintrag hinzufügen" einen neuen Eintrag erstellen. Bei "Title" geben Sie den Namen ein, wie er in KeePass erscheinen soll. Über "Benutzername" tragen Sie den Anmeldenamen ein, der zum Eintrag gehört. In den Feldern "Passwort" und "Password Wdh" geben Sie das Kennwort ein, das Sie speichern möchten. Klicken Sie auf die Schaltfläche mit den drei Punkten neben dem Kennwort, um das Kennwort ein- und auszublenden. Bei "Kommentare" geben Sie wiederum eine Beschreibung für den Eintrag ein oder ergänzende Informationen, wie etwa eine zugehörige Kontonummer. Sie können frei wählen, welche Daten Sie hier eintragen. Auch PINs, TANs und weitere Informationen sind in KeePass gut aufgehoben, genauso wie Steuernummern, Kontonummern oder andere Daten, die Sie ständig brauchen, aber sicher aufbewahren wollen. Admins können sogar SSH-Schlüssel speichern und direkt aus KeePass heraus nutzen. Dazu ist nur das Plug-in "KeeAgent" notwendig. Es gibt mit dem "Remote Desktop Manager Plug-in" auch eine Erweiterung, um Anmeldedaten für den Microsoft Remote Desktop Manager zu nutzen. Wir gehen in einem eigenen Abschnitt noch ausführlicher auf Plug-ins ein.
Haben Sie Ihre erste Kennwortdatenbank angelegt, öffnen Sie diese nach dem Start von KeepPass, geben das Passwort der Datenbank ein und navigieren zu den gewünschten Einträgen, die Sie in einer Baumstruktur ablegen können. KeePass merkt sich die zuletzt geöffnete Datenbank und öffnet diese beim nächsten Start automatisch. Dieses Verhalten steuern Sie bei "Extras / Optionen" über den Eintrag "Beim Start zuletzt verwendete Datenbank öffnen" im Bereich "Erweitert". Das ist sinnvoll, wenn Sie auf einem Rechner mit verschiedenen Benutzern und unterschiedlichen Datenbanken arbeiten.
Klicken Sie einen Eintrag in der Datenbank an, zeigt KeePass die zugehörigen Daten an. Haben Sie zum Eintrag eine URL eingetragen, können Sie die hinterlegte Webseite direkt aus KeePass heraus öffnen. Dazu nutzt KeePass den Standardbrowser auf dem System. KeePass bietet darüber hinaus ein Feld, über das Sie nach Einträgen suchen. Das ist besonders dann interessant, wenn Sie mit zahlreichen Datensätzen arbeiten und gerade nicht wissen, wo ein bestimmter gespeichert ist.
Durch einen Doppelklick auf die Spalte "Passwort" werden Kennwörter in die Zwischenablage kopiert. Das Kennwort speichert Windows nur einige Sekunden in der Zwischenablage und löscht es aus Sicherheitsgründen danach wieder. Die Anzahl der Sekunden, die das Kennwort in der Zwischenablage verfügbar ist, stellen Sie über "Extras / Optionen" bei "Zwischenablage automatisch leeren" auf der Registerkarte "Sicherheit" ein. Über das Kontextmenü oder die verschiedenen Möglichkeiten zum Einfügen können Sie Kennwörter in verschiedenen Programmen einfügen.
Bild 1: Mit KeePass speichern Sie Ihre Kennwörter und wichtigen Daten in einer zentralen Oberfläche. Ordnerstrukturen und verschiedene Datenbanken helfen bei der Organisation.
KeePass auf Mobilgeräten
Mit kompatiblen Apps, wie zum Beispiel IOSKeePass oder KeePass Touch, können Sie die Daten von KeePass auf dem iPhone oder iPad nutzen. Für Android gibt es zum Beispiel die Apps Keepass2­Android, KeePassDroid, KeePassMob oder KeepShare. Es lohnt sich, die verschiedenen Apps zu testen, da diese auch unterschiedliche Funktionen bieten, zum Beispiel direkten Zugriff auf einen Cloudspeicher. Achten Sie aber darauf, Apps einzusetzen, die mit Ihrer Version der Datenbank zurechtkommen. Für den mobilen Zugriff sollte diese auf dem Smartphone vorliegen.
Der Zugriff auf eine Passwortdatenbank ist über die Synchronisierung von Cloudspeichern möglich. Sie können im Grunde genommen jeden Cloudspeicher nutzen und auf dem jeweiligen Endgerät die Datenbank herunterladen oder synchronisieren. Achten Sie aber darauf, dass bei Änderungen unter Umständen eine Kopie der Datenbank geändert wird, nicht die originale. Sie sollten daher immer den Überblick darüber haben, ob Sie gerade eine Datenbank in der Cloud öffnen oder auf dem lokalen Gerät. Das spielt vor allem beim Hinzufügen oder Bearbeiten von Einträgen eine Rolle.
Der Zugriff durch die mobilen Apps entspricht im Grunde genommen den Möglichkeiten der Desktop-App von KeePass. Sie gehen zum Beispiel auf dem iPhone/iPad oder unter Android in die Dropbox-App und öffnen die KeePass-Datei. Das funktioniert generell mit nahezu allen Cloudspeichern. Sie können Dateien auf verschiedenen Arten herunterladen, öffnen und wählen danach die KeePass-App aus, mit der Sie die Datenbank öffnen wollen. Um die Daten auf dem Mobilgerät aktuell zu halten, sollten Sie dafür sorgen, dass die Kennwortdatenbank auf dem PC über den Cloudspeicher ständig synchronisiert wird. Das stellt sicher, dass die Datenbank in der Cloud immer aktuell ist.
Mit etwas Arbeit ist es auch möglich, die Daten über eine private Cloud zu synchronisieren. Dazu speichern Sie die Datenbankdatei nicht in einem öffentlichen Cloudspeicher, sondern im lokalen Netzwerk, zum Beispiel Nextcloud, ownCloud oder einer anderen Lösung in diesem Bereich. Auch auf Fritzboxen, NAS-Systemen oder ähnlichen Devices, die den mobilen Zugriff erlauben, ist das Speichern der Daten möglich. Wichtig ist dabei nur, dass Sie auf den anderen Geräten Zugriff auf den Speicher nehmen können.
Bild 2: In den Optionen passen Sie KeePass an Ihre Anforderungen an.
Die verschiedenen Apps für iOS und Android unterstützen darüber hinaus teilweise den direkten Zugriff auf Cloudspeicher, ohne dass der Client des jeweiligen Speichers auf dem Endgerät notwendig ist. Das kann die Arbeit mit der Datenbank erleichtern, weil Sie diese in dem Fall nicht erst herunterladen und in der App öffnen müssen, sondern direkt in der App auf die Datenbank im Cloudspeicher zugreifen. Die Android-Variante KeePassDroid unterstützt zum Beispiel OneDrive und Google Drive. Bei diesen beiden Diensten lassen sich die Daten besonders leicht auf das Smartphone oder Tablet übertragen. Sie sollten daher ausprobieren, mit welchem Cloudspeicher und welcher App auf dem Smart­phone Sie Daten von KeePass am bequemsten austauschen können.
Bild 3: Mit zahlreichen Apps auf dem iPhone, iPad und in Android greifen Sie mobil auf Passwortdatenbanken von KeePass zu, wenn Sie diese in einem Cloudspeicher ablegen.
Hilfreiche Plug-ins
Parallel können Sie in KeePass in Windows über "Extras / Plugins" mit "Mehr Plugins herunterladen" spezielle Erweiterungen für die Anwendung downloaden, mit denen Sie direkt Daten in den Cloudspeicher laden können. Beispiele dafür finden Sie auf der Webseite [2] über den Bereich "I/O & Synchronization". An dieser Stelle ist etwas Experimentierfreude gefragt. Sie können die Plug-ins testen und überprüfen, wie diese funktionieren. Die Erweiterungen erhalten Sie als PLGX-Datei, die Integration erfolgt durch das Kopieren des Files in das Plug-ins-Verzeichnis von KeePass. Die Plug-ins liest das Programm automatisch beim Neustart ein und meistens sind diese im Menüpunkt "Extras" zu finden. Hier können Sie im Anschluss konfigurieren, wie KeePass die Datenbank synchronisieren soll. Oft verbinden sich die Erweiterungen direkt mit dem jeweiligen Cloudspeicher, sodass Sie einmalig die Verknüpfung aktivieren müssen, weil KeePass über sein Plug-in auf eine API des jeweiligen Clouddiensts zugreift.
Der einfachste Weg ist aber, die KeePass-Datenbank mit dem Synchronisierungs-client des jeweiligen Cloudspeichers in die Cloud zu laden und mit der passenden App für den Cloudspeicher wieder auf das Smartphone oder Tablet. Dadurch kommen Sie immer leicht an die Daten und haben die Synchronisierung im Blick. Plug-ins und Apps, die sich direkt mit dem Cloudspeicher verbinden, bieten Ihnen noch mehr Möglichkeiten. Testen Sie hier am besten, welche Kombination für Sie auf Dauer der beste Weg ist.
Nutzen Sie SharePoint Online in Microsoft 365 und synchronisierte Bibliotheken für den Datenaustausch oder zur Speicherung von Dokumenten, können Sie die KeePass-Datei direkt in der SharePoint-Bibliothek speichern. Das stellt sicher, dass online ohne zusätzliche Synchronisierung immer die aktuellste Version der Datenbankdatei vorhanden ist, weil sich die SharePoint-Online-Bibliothek ohnehin ständig automatisch über den OneDrive-Client mit dem lokalen Rechner abgleicht. Mit der OneDrive-App können Sie auf diese Bibliotheken zugreifen und über diesen Weg ebenfalls Dateien herunterladen – dazu gehört auch die KeePass-Datei.
Tippen Sie zum Beispiel in iOS/iPadOS im OneDrive-Client auf die drei Punkte der KeePass-Datenbank, steht der Menüpunkt "In einer anderen App öffnen" zur Verfügung. An dieser Stelle können Sie die jeweils installierte KeePass-App auswählen und die Datei öffnen. Achten Sie aber darauf, dass in den meisten Fällen der Zugriff nicht online erfolgt, sondern der entsprechende Cloudspeicher – in diesem Fall OneDrive – die Datenbank auf das Smart­phone oder Tablet herunterlädt. Um an die jeweils aktuellste Version zu kommen, müssen Sie den Vorgang daher immer dann wiederholen, wenn Sie die Datenbank auf dem Smartphone oder Tablet aktualisieren möchten. Solange können Sie aber mit der lokalen Datei arbeiten.
Wollen Sie auf dem Smartphone oder Tablet Einträge hinzufügen oder ändern, müssen Sie natürlich wiederum sicherstellen, dass Sie die Datenbankdatei zurück in den Cloudspeicher synchronisieren, damit auch die anderen Geräte auf die Informationen zugreifen können.
Nutzung unter macOS
KeePass läuft auch unter macOS. Dafür stehen verschiedene Apps zur Verfügung, die mit KeePass-Datenbanken umgehen können. Ein bekanntes Beispiel dafür ist KeePassX [3]. Installieren Sie das Tool auf einem Mac, können Sie ihre Datenbank mobil mit einem MacBook nutzen. Dazu verwenden Sie die Synchronisierung über einen Cloudspeicher, genauso wie beim Zugriff über iPhone und Android. Alternativ bietet sich auch MacPass [4] an. Beide Apps können mit KeePass-Datenbanken umgehen und ähneln sich in der Nutzung.
Nach dem Download von KeePassX ziehen Sie das Programm zunächst in den Anwendungsordner. Danach öffnen Sie KeePassX. Startet das Tool wegen Sicherheitseinstellungen nicht, erlauben Sie in den Systemeinstellungen bei "Sicherheit & Datenschutz" über "Allgemein" den Start. Über den Menüpunkt "Database" erstellen Sie mit "New database" eine neue Datenbank für KeePassX. Haben Sie KeePass bereits unter Windows im Einsatz, können Sie an dieser Stelle die Datenbank direkt öffnen.
Nachdem Sie das Kennwort der Datenbank eingegeben haben, öffnet das Tool die Datei, genauso wie KeePass auf dem PC. Sie können auch in diesem Fall Ihre Kennwörter in Gruppen sortieren, sodass Sie diese schneller wiederfinden. Über das Kontextmenü von "Root" legen Sie neue Kennwortgruppen an. Sie können in KeePassX außerdem für jede Gruppe über "Icon" ein eigenes Icon vergeben.
Über das Kontextmenü im Hauptfenster von KeePassX hinterlegen Sie mit "Add new entry" einen neuen Eintrag. Speichern Sie die Datenbank an einem Ort, den Sie mit der iCloud synchronisieren, steht die Datenbank auf allen Apple-Geräten im Konto zur Verfügung. Sie können aber auch in macOS mit OneDrive arbeiten und SharePoint-Online-Bibliotheken synchronisieren, um KeePass-Datenbanken zu öffnen.
Bild 4: Das KeePass-Plug-in "KeePass OneDriveSync" kann Datenbanken direkt mit OneDrive synchronisieren. Entsprechende Plugins gibt es mehrere.
Netzwerkzugriff einrichten
KeePass lässt sich auch im Netzwerk nutzen, gemeinsam mit mehreren Mitarbeitern. Dafür muss die Kennwortdatei natürlich freigegeben werden, zum Beispiel über ein Netzlaufwerk oder eine synchronisierte Bibliothek in SharePoint Online. Dabei können mehrere Anwender die Daten der Datei lesen, aber immer nur einer in die Datei schreiben. KeePass ist also von sich aus nicht netzwerkfähig, kann mit etwas Mühe aber durchaus im Team genutzt werden.Parallel dazu können Sie auch auf KeePass-Server setzen. Diese sind aber kostenpflichtig und bieten selten einen mobilen Zugriff. Ein Beispiel dafür ist Pleasant Password Server [5]. Über den Server erhalten Sie eine Mehrbenutzerumgebung für KeePass sowie für Apps für iOS und Android. Bis zu 30 Tage lang lässt sich der Server kostenfrei nutzen.
Natürlich kann jeder Mitarbeiter auch seine eigene Kennwortdatei verwenden und parallel Daten des Teams in der Datei für den gemeinsamen Zugriff speichern. Über das Schlossymbol in KeePass können Sie bei Bedarf den Zugriff für andere Anwender blockieren. Beim Aktivieren dieser Option wird KeePass minimiert und der Zugriff auf die Daten ist erst wieder möglich, wenn das Kennwort erneut eingegeben wird.
Fazit
Die Bedienung von KeePass erfordert ohne Zweifel etwas Einarbeitung, wenn Sie die Datenbank des Tools auf mehreren Geräten verwenden möchten. Da alle Daten aber in einer einzelnen, sicheren Datenbankdatei gespeichert sind, brauchen Sie nur eine Lösung, wie Sie die Daten auf die verschiedenen Geräte bekommen. Sinnvoll ist die Synchronisierung über einen Cloudspeicher. Es lassen sich aber auch Passwortserver nutzen und die Synchronisierung über Private-Cloud-Umgebungen stellt für KeePass kein Problem dar.
(dr)
Link-Codes
[5] Pleasant Password Server: https://www.passwordserver.de/keepass-server