• IT-Karriere:
  • Services:

KeepassXC mit zweitem Faktor sichern und in den Browser integrieren

KeepassXC unterstützt von Haus aus Zwei-Faktor-Authentifizierung per TOTP (Time based One Time Password): Wurde ein Schlüssel beim Anbieter erstellt, kann dieser neben einer TOTP-App auch in KeepassXC hinterlegt werden. Aus dem Schlüssel und der aktuellen Uhrzeit generiert der Passwortmanager dann den sechsstelligen TOTP-Code, der beim Login als zweiter Faktor angegeben wird.

Stellenmarkt
  1. Schaeffler Digital Solutions GmbH, Chemnitz
  2. Haufe Group, Freiburg im Breisgau

Aus Sicherheitsgründen ist es jedoch ratsam, den TOTP-Schlüssel und das Passwort nicht an demselben Ort beziehungsweise auf demselben Gerät zu speichern - darauf weist auch das Entwicklerteam von KeepassXC hin. Besser ist hierfür eine App auf dem Smartphone, KeepassXC auf einem anderen Gerät oder Sicherheitsschlüssel wie Nitrokey oder Yubikey.

Sinnvoller erscheint es uns, den Passwortcontainer selbst mit einem zweiten Faktor zu schützen. Zu diesem Zweck kann mit wenigen Klicks ein Yubikey oder ein Onlykey in KeepassXC hinterlegt werden, an den das eingegebene Passwort geschickt und verschlüsselt wird. Mit dem so generierten Passwort wird anschließend der Passwortcontainer geöffnet.

Um an die Passwörter zu kommen, braucht es dann die beiden Faktoren Wissen (das Passwort) und Besitzen (den Sicherheitsschlüssel). Das Entwicklerteam von KeepassXC weist jedoch darauf hin, dass es sich bei dem Setup streng genommen um keine echte 2FA handelt, da das mit dem Schlüssel generierte Passwort sich nicht jedes Mal ändert. Deutlich sicherer macht es das Setup trotzdem.

Im Test funktionierte dies stabil. Allerdings sollte bedacht werden, dass bei Verlust oder einem Defekt des Sicherheitsschlüssels nicht mehr auf die Daten zugegriffen werden kann. Daher sollte ein zweiter Sicherheitsschlüssel als Backup gekauft werden. Auch ist es ratsam, den Schlüssel, mit dem das Passwort verschlüsselt wird, zu sichern, denn dieser lässt sich nicht aus dem Sicherheitsschlüssel auslesen.

Browserintegration

Um die Passwörter direkt im Browser verwenden zu können, stellt das Entwicklerteam Browsererweiterungen für Firefox sowie Chrome/Chromium, Vivaldi und Brave zur Verfügung. Damit KeepassXC und die Erweiterung auch miteinander kommunizieren können, muss in den KeepassXC-Einstellungen die Browserintegration aktiviert werden. Anschließend erscheint auf jeder Webseite mit Login-Feld ein kleines KeepassXC-Logo, mit einem Klick darauf, können die Zugangsdaten angefordert werden.

Vor allem unter Ubuntu kann es Probleme geben, wenn KeepassXC im Snap-Paketformat installiert wurde. Die Probleme können mit Hilfe eines Skripts, das von Keepassxc.org heruntergeladen wird, weitgehend gelöst werden. Wurde der Browser als Snap installiert, funktioniert die Integration gar nicht. Alternativ lassen sich die Zugangsdaten per Autotype auch von KeepassXC direkt in das jeweilige Formular eintippen.

Fast alles geht, nichts muss

Für mobile Betriebssysteme gibt es KeepassXC zwar nicht, doch steht mit KeepassDX eine eigenständige Android-App zur Verfügung, mit der die Passwortcontainer verwendet werden können. Diese gibt es sowohl im Google Play Store als auch im freien App-Store F-Droid. Eine Browserintegration wie auf dem Desktop existiert unter Android zwar nicht, dafür kann der Autofill-Dienst aktiviert werden. Über diesen wird der Zugriff auf KeepassDX bei Login-Formularen in Apps und Webseiten angeboten. Die Funktion ist recht simpel, aber sehr komfortabel.

Allerdings funktioniert 2FA mit Yubikey oder Onlykey mit KeepassDX nicht. Die Android-App Keepass2Android soll auch dies unterstützen, es gibt sie jedoch nur im Play Store. Laut einem Check mit der Exodus-Datenbank enthalten beide Apps keine Tracker. Es gibt noch etliche weitere Keepass- und KeepassXC-kompatible Apps für Android. Das gilt auch für iOS, das KeepassXC-Entwicklerteam empfiehlt Strongbox.

Syncing unterstützt KeepassXC mangels Onlinedienst von Haus aus nicht, allerdings lässt sich die Datenbank-Datei einfach mit Hilfe von Dropbox, Nextcloud oder anderen Cloudspeichern synchronisieren. Wer die Passwortcontainer lieber nicht über das Internet schickt, kann sie auch per Kabel übertragen oder mobil eine andere Datenbank verwenden als auf dem Desktop. Ohnehin sind die Verwendungsmöglichkeiten von KeepassXC sehr vielfältig, was uns sehr gut gefällt. Selbst auf der Kommandozeile kann das Programm verwendet werden.

Doch die vielen Möglichkeiten haben auch einen Nachteil: Die Einrichtung ist etwas komplizierter als bei anderen Passwortmanagern. Dafür kann er an die eigenen Bedürfnisse angepasst werden und dürfte ein höheres Sicherheitsniveau bieten. Einen externen Sicherheitsaudit gab es bei KeepassXC jedoch bisher nicht. Bitwarden fährt derweil ein ganz anderes Konzept.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bitwarden und KeepassXC: Wohin mit all den Passwörtern?Bitwarden: Alles online oder was? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

My1 06. Okt 2020 / Themenstart

und selbst wenn kann die firma es immer noch verlieren oder den user anderweitig aussperren.

torstenj 05. Okt 2020 / Themenstart

bitwarden_rs ist nur eine inoffizielle Version und das hat wohl nie jemand auditiert. Das...

pantena 02. Okt 2020 / Themenstart

FF sync ist doch viel zu kompliziert zu hosten und man braucht natürlich den Browser Auf...

sigii 30. Sep 2020 / Themenstart

Muss ich in meiner Firma leider auch nutzen. Zwischen LastPass, was ich privat nutze und...

edison.cannon 29. Sep 2020 / Themenstart

Mit den Ansprüchen von Bitwarden hatte ich bis vor kurzem noch einen Linux Desktop am...

Kommentieren


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

    •  /