🔑 Passwort­verwaltung mit KeePass

Heutzutage benötigen wir eine Menge an Passwörtern für Webseiten, Online-Shops und E-Mail-Konten. Da fällt es einem natürlich schwer, sich diese ganzen Passwörter zu merken. Aus diesem Grund verwenden viele Leute schwache Passwörter und verwenden sogar dasselbe Passwort auf mehreren Plattformen. Dies macht es Hackern extrem einfach, Webkonten zu knacken und allerhand Schabernack zu treiben, wie bspw. das Auslesen von Daten oder das Einkaufen auf fremde Rechnung.

Die einfachste Möglichkeit, um sich vor so etwas zu schützen, ist das Verwenden starker Passwörter. Aber wie soll man sich solch komplexe Passwörter merken? Die Lösung dafür sind sogenannte Passwort-Manager, mit denen man die Passwörter in einer Passwortdatenbank verwalten kann. Einer dieser Passwort-Manager ist der KeePass Password Safe. KeePass ist freie Software (Open Source) ohne jegliche Einschränkungen. Die Software gibt es bereits seit vielen Jahren, und sie hat unzählige Auszeichnungen bekommen. Zudem steht das Programm für diverse Betriebssysteme zur Verfügung.

KeePass herunterladen und installieren

Für Windows kannst du die Version 2.x auf der Download-Seite von KeePass herunterladen. Unter Linux findest du das Programm in den Paketquellen – so kannst du es auf Debian bspw. mit dem Befehl sudo apt-get install keepass2 installieren.

ℹ️ Informationen zur Installation auf weiteren Betriebssystemen findest du im KeePass Help Center.

Erstellen einer Passwortdatenbank

Um deine Passwörter speichern zu können, musst du zuerst eine neue Passwortdatenbank erstellen, bspw. über das Menü mit „Datei“ → „Neu …“. Diese kannst du in einem beliebigen Ordner auf deiner Festplatte speichern. Natürlich muss die Passwortdatenbank vor dem Zugriff Unberechtigter geschützt werden; hierfür stehen unterschiedliche Methoden zur Verfügung – jede mit ihren Vor- und Nachteilen. Für gewöhnlich wird die Methode zur Absicherung der Datenbank mittels eines Hauptpassworts gewählt, mit dem du den Zugriff auf deine Passwortdatenbank freischaltest. Du brauchst dir also nur noch ein einziges Passwort zu merken, über welches du Zugriff auf alle deine weiteren Passwörter bekommst.

HauptschlĂĽssel eingeben
Eingabe des Hauptpassworts zum Ă–ffnen der Passwortdatenbank

Das Hauptpasswort sollte möglichst stark sein, damit keine unberechtigte Person Zugriff auf deine Passwörter erhält. Am besten ist es, wenn erst gar keine andere Person Zugang zu deiner Passwortdatenbank hat; daher solltest du sie niemals über das Internet übertragen – also weder auf Dropbox oder Ähnliches hochladen, noch per E-Mail oder über einen Messenger versenden.

Generieren starker Passwörter

Auf eine Webseite haben für gewöhnlich alle Menschen auf dem Globus Zugriff – das Internet heißt ja nicht umsonst Internet. Somit kann jeder versuchen, sich dort einzuloggen. Aus diesem Grund sollten deine Passwörter so stark wie möglich sein. Doch was ist ein starkes Passwort? Umso komplexer es ist, umso besser ist es. Es sollte aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen. Das Passwort sollte allerdings niemals existierende Wörter enthalten. Bezüglich der Länge eines Passwortes für Onlinezugänge empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Mindestlänge von 12 Zeichen. Da wir die Passwörter nicht auswendig kennen müssen, können wir wesentlich längere und somit noch sicherere Passwörter verwenden. Hierbei ist aber zu beachten, dass nicht alle Plattformen lange Passwörter akzeptieren – in solch einem Fall bist du gezwungen, ein kürzeres Passwort zu verwenden.

ℹ️ Die FRITZ!Box unterstützt für den Login eine Passwortlänge von bis zu 32 Zeichen. Beim WLAN-Kennwort für WPA2 werden sogar bis zu 63 Zeichen unterstützt.

Ein starkes Passwort – hier mit 40 Zeichen – sieht bspw. so aus: f]uMp​98{!​/[>qQ​5bTz|​Kkvr1​@HO&u​#Xu:F​MUPwWG. Solch ein Buchstabensalat hat eine hohe Entropie und lässt sich daher im kryptologischen Sinne kaum erraten. Gut merken lässt es sich auch nicht – aber genau dafĂĽr verwenden wir ja den Passwort-Manager.

Wichtig ist vor allem, dass du für jede Webseite ein anderes Passwort verwendest. Sollte ein Webservice einmal gehackt werden und der Angreifer Zugriff auf Kennwörter erlangen, kann er sich nicht bei deinen anderen Webkonten einloggen, da dort andere Passwörter verwendet werden.

Wenn du in KeePass einen neuen Eintrag erstellst, generiert es dir automatisch ein neues Passwort. Damit dieses aber möglichst sicher ist, müssen wir noch ein paar Einstellungen vornehmen – wir müssen den Passwortgenerator konfigurieren.

Wir wollen den Passwortgenerator so einstellen, dass er standardmäßig Passwörter mit einer Länge von 20 Zeichen erstellt. Öffne hierzu den Passwortgenerator im Menü über „Extras“ → „Passwort generieren …“. Der Reiter „Einstellungen“ sollte nun gewählt sein. Selektiere weiter unten im Dialogfenster die Option „Generierung basierend auf Muster“ und füge folgendes Muster in das Eingabefeld ein: ludsS{16}. Setze nun ein Häkchen bei „Zeichen des Passworts zufällig permutieren“ – dieses Häkchen ist sehr wichtig!

Passwortgeneratoreinstellungen (1)
Einstellungen fĂĽr den Passwortgenerator

ℹ️ Die Buchstaben im Muster haben bestimmte Bedeutungen: l steht für einen Kleinbuchstaben, u für einen Großbuchstaben, d für eine Zahl und s für ein Sonderzeichen. Dies stellt sicher, dass dein Passwort mindestens ein Zeichen aus jeder Kategorie enthält. Anschließend wird das Passwort mit weiteren zufälligen Zeichen aus allen Kategorien (S) aufgefüllt.

Bei dem Muster ludsS{16} ergibt sich somit eine Gesamtlänge von 4 + 16 = 20 Zeichen.

→ Eine vollständige Beschreibung aller verwendbaren Optionen im Muster findest du in der Anleitung auf der KeePass-Webseite.

Wechsele nun zum Reiter „Erweitert“. Hier gibst du in das Eingabefeld unter „Folgende Zeichen ausschließen“ die Zeichenfolge "' (Anführungszeichen und Hochkomma) ein, da diese Zeichen von vielen Plattformen nicht akzeptiert werden.

Passwortgeneratoreinstellungen (2)
Ausschluss von bestimmten Sonderzeichen

Nun wechsele zurĂĽck zum Reiter „Einstellungen“ und klicke auf den Button mit der Diskette zum Speichern der Passwortgenerator­einstellung. Es erscheint ein Dialog, in dessen Auswahlbox du den Eintrag „(Automatisch generierte Passwörter fĂĽr neue Einträge)“ auswählst. Bestätige das Dialogfenster durch einen Klick auf den „OK“-Button. Von nun an wird diese Passwortgenerator­einstellungen fĂĽr alle neuen Passwörter verwendet.

Passwortgeneratoreinstellungen (3)
Passwortgenerator­einstellung speichern

Du kannst diese Einstellung zusätzlich unter einem anderen Profilnamen speichern, bspw. „Passwort mit 20 Zeichen“. So kannst du es später manuell auswählen. Auf diese Weise kannst du unterschiedliche Passwortgenerator­einstellungen abspeichern, um sie später wiederzuverwenden. In der nachfolgenden Tabelle sind einige Vorschläge aufgefĂĽhrt.

Muster Profilname Zusatzoption im Reiter „Erweitert“
ludsS{16} (Automatisch generierte Passwörter für neue Einträge)
Passwort mit 20 Zeichen
ludsS{36} Passwort mit 40 Zeichen
ludsS{28} Passwort mit 32 Zeichen
ludsS{12} Passwort mit 16 Zeichen
ludsS{59} WLAN-Kennwort mit 63 Zeichen Ă„hnlich aussehende Zeichen ausschlieĂźen*

* Zum einfacheren Abtippen des Kennworts, falls jemand keinen QR-Code-Scanner auf dem Smartphone installiert hat.

Nun ist dein Passwortgenerator konfiguriert, und du kannst das Fenster durch einen Klick auf den „Schließen“- oder „Abbrechen“-Button beenden – klingt komisch, ist aber so. Ein Klick auf den „OK“-Button würde sofort einen neuen Eintrag erzeugen.

Generieren von Passwörtern

Wenn du einen neuen Eintrag erstellst – bspw. durch einen Klick auf das Schlüsselsymbol in der Toolbar –, generiert KeePass automatisch ein neues Passwort mit der unter „(Automatisch generierte Passwörter für neue Einträge)“ gespeicherten Einstellung. Möchtest du aber eine andere Passwortlänge haben, kannst du durch einen Klick auf das Schlüssel-Symbol neben dem Passwortfeld eine deiner gespeicherten Einstellungen verwenden, wie in der folgenden Abbildung dargestellt ist.

Passwort generieren
Neues Passwort generieren

Auf diese Weise kannst du auch einem bestehenden Eintrag einfach ein neues Passwort zuweisen, solltest du es einmal ändern wollen oder müssen.

ℹ️ Übrigens: Du brauchst das alte Passwort nicht manuell zu sichern – KeePass erstellt bei allen Änderungen automatisch eine Historie, die du über den Reiter „Vorgänger“ öffnen kannst. Über diese Historie hast du Zugriff auf alle vorausgegangenen Werte. Es geht also nichts verloren!

Eingabe von Passwörtern

Mittels „Kopieren und Einfügen”

Durch einen Doppelklick auf einen Wert in der Eintragstabelle wird dieser in die Zwischenablage kopiert. Nun hast du 12 Sekunden Zeit, um den Wert in das entsprechende Eingabetextfeld einzufügen – bspw. per Strg+V oder über das Kontextmenü. Nach Ablauf der Zeit wird der Wert wieder aus der Zwischenablage gelöscht. Bei einem Doppelklick auf eine URL wird diese im Webbrowser geöffnet.

Doppelklick zum Wertkopieren
Ein Doppelklick auf einen Wert kopiert ihn fĂĽr 12 Sekunden in die Zwischenablage

Mittels automatischer Eingabe

KeePass kann den Benutzernamen und das Passwort auch automatisch in die gewünschten Textfelder eingeben – „Auto-Typing“ genannt. Unter Windows funktioniert dies sehr gut; unter Linux hingegen leider nicht so zuverlässig (was nicht am Betriebssystem liegt, sondern an der von KeePass verwendeten Laufzeitumgebung).

ℹ️ Weitere Informationen zur Einrichtung der automatischen Eingabe unter Linux mittels globaler Tastenkombination findest du im KeePass Help Center.

Automatische Eingabe konfigurieren

Um die automatische Eingabe nutzen zu können, musst du den Namen des Fensters, in welches das Passwort eingegeben werden soll, mit deinem Passworteintrag assoziieren, damit KeePass weiß, welche Eingabewerte es verwenden soll. Öffne hierzu die Webseite mit dem Login-Formular in deinem Webbrowser. Anschließend öffnest du in KeePass den entsprechenden Eintrag und wechselst in den Reiter „Auto-Type“. Hier klickst du auf den „Hinzufügen“-Button und wählst in der Auswahlbox des erscheinenden Dialogs das entsprechende Fenster aus.

Standardmäßig verwendet KeePass die Eingabesequenz {USERNAME}{TAB}​{PASSWORD}{ENTER} fĂĽr die Eingabe der Daten. Das heiĂźt, KeePass gibt selbstständig den Benutzernamen ein, drĂĽckt dann die Tabulatortaste, um zum Passwortfeld zu springen, gibt dann das Passwort ein und drĂĽckt abschlieĂźend die Eingabetaste, um das Formular abzusenden.

Sollte das Login-Formular auf deiner Webseite anders aufgebaut sein, kannst du die Eingabe beliebig konfigurieren. Wähle hierzu „Benutzerdefinierte Tastensequenz verwenden“ und gib in das Feld die gewünschte Sequenz ein. Die verfügbaren Optionen findest du im Infobereich unter dem Eingabefeld.

Anschließend bestätigst du den Dialog über den „OK“-Button.

Oftmals musst du den Benutzernamen getrennt vom Passwort eingeben. Hier verwendest du einfach zwei unterschiedliche Muster fĂĽr dasselbe Zielfenster, wie nachfolgend aufgefĂĽhrt ist.

Zielfenster (Beispiel) Sequenz
Login Online-Shop - Mozilla Firefox {USERNAME}{ENTER}
Login Online-Shop - Mozilla Firefox {PASSWORD}{ENTER}

Bei der FRITZ!Box muss standardmäßig lediglich ein Passwort eingegeben werden. Hier bietet sich folgende Einstellung an:

Zielfenster (Beispiel) Sequenz
FRITZ!Box - Mozilla Firefox {PASSWORD}{ENTER}
Auto-Type-Konfiguration
Auto-Type-Konfiguration fĂĽr den FRITZ!Box-Login

Automatische Eingabe verwenden

ℹ️ Um die automatische Passworteingabe verwenden zu können, muss KeePass selbstverständlich gestartet und die Passwortdatenbank entsperrt sein.

Wähle das entsprechende Textfeld des Formulars, in das die Daten eingegeben werden sollen – bspw. auf der Login-Seite im Webbrowser –, und drücke die Tastenkombination Strg+Alt+A. Nun sollte KeePass die Werte selbstständig in die Formularfelder eingeben. Kommen mehrere Eingaben infrage, öffnet sich ein Dialogfenster, in dem du den gewünschten Eintrag auswählen kannst.

Zusätzliche Informationen hinzufügen

Du kannst jedem Eintrag zusätzliche Informationen hinzufĂĽgen. Dies eignet sich bspw., um Backup-Codes, Lizenzdateien und Konfigurations­sicherungen – etwa von der FRITZ!Box – in der Passwortdatenbank abzulegen. Ă–ffne hierzu den entsprechenden Eintrag und wechsele in den Reiter „Erweitert“. Im oberen Bereich werden Stringfelder angezeigt, in denen du Zeichenfolgen speichern kannst. Im unteren Bereich werden angefĂĽgte Dateianhänge aufgefĂĽhrt.

Anhänge verwalten
Anhäge hinzufügen und verwalten

Stringfelder hinzufĂĽgen

Stringfelder kannst du über den Button „Hinzufügen“ erstellen. Es öffnet sich ein Dialogfenster, in dem du den Namen des Stringfeldes und den Textinhalt eingeben kannst. Du kannst die Daten zusätzlich schützen, indem du ein Häkchen bei „Speicherschutz aktivieren“ setzt. Wenn dies gesetzt ist, wird der Textinhalt in der Auflistung der Stringfelder nicht angezeigt.

Stringfeld hinzufĂĽgen
Stringfeld hinzufĂĽgen

Dateianhäge hinzufügen

Anhänge kannst du über den Button „Anhängen“ anfügen. Wähle im Kontextmenü den Punkt „Datei(en) anhängen …“ und wähle im anschließend angezeigten Dateidialog die entsprechende Datei oder auch mehrere Dateien aus.

Dateianhänge hinzufügen
Dateianhänge hinzufügen

Wichtige Programm­einstellungen

Es ist ratsam, einige sicherheitsrelevante Einstellungen von KeePass vorzunehmen. Diese findest du im Reiter „Sicherheit“ des Optionsdialogs, den du im Menü über „Extras“ → „Optionen …“ öffnen kannst.

Sicherheitsrelevante Einstellungen
Sicherheits­relevante Einstellungen

Automatisches Sperren der Passwortdatenbank

Damit KeePass die Passwortdatenbank automatisch nach einer bestimmten Inaktivitätsdauer sperrt, setze die Häkchen bei „Arbeitsfläche nach KeePass-Inaktivität sperren“ und „Arbeitsfläche nach globaler Inaktivität sperren“. Zweiteres ist unter Linux möglicherweise nicht verfügbar.

Du kannst die Passwortdatenbank auch manuell bspw. durch das Minimieren des Programmfensters oder mittels der Escape-Taste sperren. So kannst du die Passwortdatenbank sperren, ohne KeePass beenden zu mĂĽssen.

Sicheres Eingeben des Hauptpassworts

Unter Windows hast du die Möglichkeit, das Hauptpasswort auf eine sichere Weise einzugeben – auf dem sogenannten „sicheren Desktop“. Dies ist ein Sicherheits-Feature von Windows, was verhindert, dass andere Anwendungen das Passwort mitlesen können oder den Fokus bei der Eingabe stehlen können. Setze hierzu unter „Erweitert“ ein Häkchen bei „Hauptschlüssel auf sicherem Desktop eingeben“.

Auto-Type-Einstellungen

Für das Auto-Typing sollten weitere Einstellungen im Reiter „Erweitert“ vorgenommen werden.

Auto-Type-Einstellungen
Einstellungen fĂĽr das Auto-Typing

Auswahldialog bei Auto-Type immer anzeigen

Um sicherzustellen, dass das richtige Passwort zum entsprechenden Eingabeformular eingegeben wird, bietet es sich an, den Auswahldialog für das Auto-Typing immer anzeigen zu lassen, auch wenn nur eine Option zutrifft. Setze hierfür unter „Auto-Type“ das Häkchen bei „Eintragsauswahl-Dialog bei globalem Auto-Type immer anzeigen“.

Auto-Typing abbrechen

Es ist sinnvoll, dass KeePass die automatische Eingabe abbricht, falls sich das Zielfenster oder der Fenstertitel ändert, damit die Daten nicht in ein falsches Fenster oder in ein falsches Eingabeformular eingegeben werden. Setze hierzu unter „Auto-Type - Senden“ die Häkchen bei „Auto-Type abbrechen, wenn sich das Zielfenster ändert“ und „Auto-Type abbrechen, wenn sich der Titel des Zielfensters ändert“.

Sicheres Aufbewahren der Passwortdatenbank

Es ist überaus wichtig, deine Passwortdatenbank regelmäßig zu sichern, denn schließlich enthält diese Datenbank alle deine Passwörter – deshalb solltest du unbedingt vermeiden, dass dir diese Datei verloren geht. Als Backup-Medium eignen sich bspw. eine externe Festplatte oder ein USB-Stick.

⚠️ Wichtig: Dropbox oder Ähnliches sind als Backup-Medium absolut ungeeignet, da du deine Passwortdatenbank niemals über das Internet übertragen solltest!

Alternative Passwort-Manager

Es gibt Passwort-Manager wie Sand am Meer. Wichtig bei der Wahl eines Passwort-Managers ist, dass die Software absolut vertrauenswürdig ist – schließlich hat diese Software Zugriff auf all deine Passwörter. Einige Passwort-Manager nutzen die Cloud als Speichermedium – von so etwas ist natürlich absolut abzuraten, da Passwörter niemals über das Internet übertragen werden sollten. Speichere deine Passwörter stets lokal auf deinem Computer.

Ein alternativer Passwort-Manager zu KeePass ist bspw. KeePassXC. KeePassXC nutzt das gleiche Dateiformat wie KeePass, was ein enormer Vorteil ist, da du deine Passwörter nicht in ein neues Dateiformat übertragen musst – du kannst im Prinzip einfach die Benutzeroberfläche deiner Passwortdatenbank austauschen. KeePassXC ist ebenfalls Open Source und für diverse Betriebssysteme verfügbar. Ein Vorteil gegenüber KeePass ist, dass Auto-Type auch unter Linux einwandfrei funktioniert; dafür ist aber der Passwortgenerator nicht über ein Muster konfigurierbar.