• IT-Karriere:
  • Services:

KeepassXC mit zweitem Faktor sichern und in den Browser integrieren

KeepassXC unterstützt von Haus aus Zwei-Faktor-Authentifizierung per TOTP (Time based One Time Password): Wurde ein Schlüssel beim Anbieter erstellt, kann dieser neben einer TOTP-App auch in KeepassXC hinterlegt werden. Aus dem Schlüssel und der aktuellen Uhrzeit generiert der Passwortmanager dann den sechsstelligen TOTP-Code, der beim Login als zweiter Faktor angegeben wird.

Stellenmarkt
  1. Haufe Group, Freiburg
  2. über Dr. Richter Heidelberger GmbH & Co. KG, Frankfurt

Aus Sicherheitsgründen ist es jedoch ratsam, den TOTP-Schlüssel und das Passwort nicht an demselben Ort beziehungsweise auf demselben Gerät zu speichern - darauf weist auch das Entwicklerteam von KeepassXC hin. Besser ist hierfür eine App auf dem Smartphone, KeepassXC auf einem anderen Gerät oder Sicherheitsschlüssel wie Nitrokey oder Yubikey.

Sinnvoller erscheint es uns, den Passwortcontainer selbst mit einem zweiten Faktor zu schützen. Zu diesem Zweck kann mit wenigen Klicks ein Yubikey oder ein Onlykey in KeepassXC hinterlegt werden, an den das eingegebene Passwort geschickt und verschlüsselt wird. Mit dem so generierten Passwort wird anschließend der Passwortcontainer geöffnet.

Um an die Passwörter zu kommen, braucht es dann die beiden Faktoren Wissen (das Passwort) und Besitzen (den Sicherheitsschlüssel). Das Entwicklerteam von KeepassXC weist jedoch darauf hin, dass es sich bei dem Setup streng genommen um keine echte 2FA handelt, da das mit dem Schlüssel generierte Passwort sich nicht jedes Mal ändert. Deutlich sicherer macht es das Setup trotzdem.

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
Weitere IT-Trainings

Im Test funktionierte dies stabil. Allerdings sollte bedacht werden, dass bei Verlust oder einem Defekt des Sicherheitsschlüssels nicht mehr auf die Daten zugegriffen werden kann. Daher sollte ein zweiter Sicherheitsschlüssel als Backup gekauft werden. Auch ist es ratsam, den Schlüssel, mit dem das Passwort verschlüsselt wird, zu sichern, denn dieser lässt sich nicht aus dem Sicherheitsschlüssel auslesen.

Browserintegration

Um die Passwörter direkt im Browser verwenden zu können, stellt das Entwicklerteam Browsererweiterungen für Firefox sowie Chrome/Chromium, Vivaldi und Brave zur Verfügung. Damit KeepassXC und die Erweiterung auch miteinander kommunizieren können, muss in den KeepassXC-Einstellungen die Browserintegration aktiviert werden. Anschließend erscheint auf jeder Webseite mit Login-Feld ein kleines KeepassXC-Logo, mit einem Klick darauf, können die Zugangsdaten angefordert werden.

Vor allem unter Ubuntu kann es Probleme geben, wenn KeepassXC im Snap-Paketformat installiert wurde. Die Probleme können mit Hilfe eines Skripts, das von Keepassxc.org heruntergeladen wird, weitgehend gelöst werden. Wurde der Browser als Snap installiert, funktioniert die Integration gar nicht. Alternativ lassen sich die Zugangsdaten per Autotype auch von KeepassXC direkt in das jeweilige Formular eintippen.

Fast alles geht, nichts muss

Für mobile Betriebssysteme gibt es KeepassXC zwar nicht, doch steht mit KeepassDX eine eigenständige Android-App zur Verfügung, mit der die Passwortcontainer verwendet werden können. Diese gibt es sowohl im Google Play Store als auch im freien App-Store F-Droid. Eine Browserintegration wie auf dem Desktop existiert unter Android zwar nicht, dafür kann der Autofill-Dienst aktiviert werden. Über diesen wird der Zugriff auf KeepassDX bei Login-Formularen in Apps und Webseiten angeboten. Die Funktion ist recht simpel, aber sehr komfortabel.

Allerdings funktioniert 2FA mit Yubikey oder Onlykey mit KeepassDX nicht. Die Android-App Keepass2Android soll auch dies unterstützen, es gibt sie jedoch nur im Play Store. Laut einem Check mit der Exodus-Datenbank enthalten beide Apps keine Tracker. Es gibt noch etliche weitere Keepass- und KeepassXC-kompatible Apps für Android. Das gilt auch für iOS, das KeepassXC-Entwicklerteam empfiehlt Strongbox.

Syncing unterstützt KeepassXC mangels Onlinedienst von Haus aus nicht, allerdings lässt sich die Datenbank-Datei einfach mit Hilfe von Dropbox, Nextcloud oder anderen Cloudspeichern synchronisieren. Wer die Passwortcontainer lieber nicht über das Internet schickt, kann sie auch per Kabel übertragen oder mobil eine andere Datenbank verwenden als auf dem Desktop. Ohnehin sind die Verwendungsmöglichkeiten von KeepassXC sehr vielfältig, was uns sehr gut gefällt. Selbst auf der Kommandozeile kann das Programm verwendet werden.

Doch die vielen Möglichkeiten haben auch einen Nachteil: Die Einrichtung ist etwas komplizierter als bei anderen Passwortmanagern. Dafür kann er an die eigenen Bedürfnisse angepasst werden und dürfte ein höheres Sicherheitsniveau bieten. Einen externen Sicherheitsaudit gab es bei KeepassXC jedoch bisher nicht. Bitwarden fährt derweil ein ganz anderes Konzept.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bitwarden und KeepassXC: Wohin mit all den Passwörtern?Bitwarden: Alles online oder was? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. (u. a. be quiet! Straight Power 11 Platinum 850Watt PC-Netzteil für 154,90€, Heitronic...
  2. 172,90€
  3. (u. a. Razer Basilisk Ultimate Wireless Gaming-Maus und Mouse Dock für 129€, Asus ROG Strix G17...
  4. (u. a. Samsung GQ65Q80T 65 Zoll QLED für 1.199€, Corsair HS60 Over-ear-Gaming-Headset Carbon...

My1 06. Okt 2020

und selbst wenn kann die firma es immer noch verlieren oder den user anderweitig aussperren.

torstenj 05. Okt 2020

bitwarden_rs ist nur eine inoffizielle Version und das hat wohl nie jemand auditiert. Das...

pantena 02. Okt 2020

FF sync ist doch viel zu kompliziert zu hosten und man braucht natürlich den Browser Auf...

sigii 30. Sep 2020

Muss ich in meiner Firma leider auch nutzen. Zwischen LastPass, was ich privat nutze und...

edison.cannon 29. Sep 2020

Mit den Ansprüchen von Bitwarden hatte ich bis vor kurzem noch einen Linux Desktop am...


Folgen Sie uns
       


Cowboy 4 ausprobiert

Die urbanen Pedelecs von Cowboy liegen gut auf der Straße und sind dank neuem Motor antrittstärker.

Cowboy 4 ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /