Passwort-Management

Diese Seite ist eine Übersetzung der wichtigsten Teilen der KeePassXC Dokumentation.

Bei digitalen Services ist es üblich, dass die Identität durch das Abfragen eines Passworts überprüft wird. Diese Seite beschreibt einen Ansatz, wie man mit der Menge an Zugangsdaten so umgehen kann, dass man vermeidbaren Gefahren entgeht und der Komfort nicht mehr leidet als nötig.

Zu diesem Zweck wurden eigene Software geschrieben – sogenannte “Passwort Manager” – die bei der Verwaltung der Zugangsdaten helfen.

Passworte haben bekannte Schwächen, daher empfehlen wir überall wo dies möglich ist, den Zugang zusätzlich durch einen zweiten Faktor zu schützen. Für Accounts an der Universität Innsbruck ist das ausführlich dokumentiert.

KeePassXC

In dieser Anleitung das Programm KeePassXC näher beschrieben. Auf der Website KeePassXS finden Sie eine weiterführende (englische) Dokumentation.

  • Die Software existiert seit vielen Jahren und hat eine aktive Gemeinschaft, die sich um Wartung und Weiterentwicklung kümmert.
  • KeePassXC wird als Freie Software (Open Source) veröffentlicht. Dadurch kann sie ohne Einschränkungen kostenfrei genutzt werden und der Quellcode ist öffentlich. Er kann von jeder Person gelesen, analysiert und verbessert werden.
  • KeePassXC kann auf allen gängigen Desktop-Betriebssystemen verwendet werden. (Microsoft Windows, GNU/Linux, Apple macOS)

Installation

Softwareinstallation aus unbekannten Quellen ist ein Sicherheitsrisiko. Entsprechend nutzen Sie bitte die Downloadmöglichkeiten (“App Stores”), die Ihnen Ihr Betriebssystem bietet. Dadurch wird auch sichergestellt, dass das Programm aktualisiert wird, wenn eine Sicherheitslücke bekannt wird.

Unter Microsoft Windows kann die Software aus dem Microsoft Store bezogen werden.

Die allermeisten GNU/Linux-Distributionen bieten die Software über die integrierten Paketmanager an.

Unter Apple macOS muss KeePassXC leider manuell installiert werden. Bitte folgen Sie dazu dieser Anleitung.

Einrichtung

Beim ersten Start muss eine neue Passwort Datenbank angelegt werden. Wählen Sie dazu ein langes Passwort das nur Ihnen bekannt ist. Es schützt Ihre Zugangsdaten, falls Ihre Passwort Datenbank in falsche Hände geraten sollte.

Wir empfehlen die Datei z. B. mit dem Fileshare-Service zu synchronisieren. Das verringert das Verlustrisiko und wenn nötig kann die Datei auch auf anderen Geräten verwendet werden. Auf Android-Geräten kann die Datei beispielsweise mit KeePassDX geöffnet werden.

Browser-Integration

Durch die Verwendung einer Erweiterung kann KeePassXC automatisch die Zugangsdaten in die korrekten Felder im Browser eintragen. Dies ist nicht nur komfortabel, sondern erhöht auch die Sicherheit, da gefälschte Login-Seiten erkannt werden und die automatische Eingabe des Passworts versagt.

Wir empfehlen die Erweiterung für Mozilla Firefox zu installieren.

Damit die Integration funktioniert, muss KeePassXC im Hintergrund geöffnet sein.

Verwendung

Bei künftigen Logins auf einer Website werden Sie gefragt, ob das Passwort in Ihrer KeePassXC Datei hinterlegt werden soll. Sofern schon ein Passwort für eine Website hinterlegt ist, kann dieses mit einem Klick auf die KeePassXC Schaltfläche eingefügt werden.

Zwei-Faktor Authentifizierung

Time-based one-time password

Für Systeme die TOTP (Zeitbasierte Einmalpassworte, RFC 6238) als zweiten Faktor unterstützten kann KeePassXC verwendet werden, um den zweiten Faktor zu speichern und einfach in das Abfragefeld einzufügen. Wenn der zweite Faktor im selben System abgelegt wird wie das Passwort, ist besondere Vorsicht beim Schutz der KeePassXC-Datenbank geboten.

Neben einem QR-Code wird beim Einrichten des zweiten Faktors normalerweise ein geheimer Schlüssel angezeigt. Dieser kann im Kontextmenü eines Eintrags in KeePassXC unter TOTP einrichten eingetragen werden und kann dort wieder abgerufen werden. Mit aktivierter Browser-Integration wird das Einmalpasswort automatisch in das richtige Feld eingetragen.

Webauthn / Passkey

Aktuelle Versionen von KeePassXC (>= 2.7.7) können Webauthn-Zugangsdaten speichern. Diese Variante basiert auf Public-Key-Authentifizierung und ist gegen Phishing-Angriffe immun. Es handelt sich um die selbe Technik, die in FIDO2 Security Keys verwendet wird.

Manche Dienste verwenden solche Credentials als zweiter Faktor (zB die Universität Innsbruck), andere ermöglichen die Verwendung eines Passkeys als Ersatz für das Passwort (“Passwordless”).

  1. KeePassXC samt Browser-Integration konfigurieren
  2. Passkey aktivieren (in den Einstellungen der Browser-Erweiterung)

Wenn eine Seite nun WebAuthn-Credentials hinterlegen möchte, wird angeboten, diese in KeePassXC zu speichern. Das kann zum Beispiel auf webauthn.io getestet werden.

Passworte teilen

In seltenen Fällen ist es nötig, gemeinsam auf einen Account (und damit ein Passwort) Zugriff zu haben. Mit der Funktion KeeShare kann dies sicher und komfortabel umgesetzt werden.

  1. Öffnen Sie das Dialogfenster unter Werkzeuge -> Einstellungen.
  2. Wählen Sie dort den Reiter KeeShare und aktivieren Export erlauben.
  3. Erstellen Sie eine neue Gruppe, die die zu teilenden Zugangsdaten enthalten soll.
  4. Wählen Sie im Kontextmenü der neuen Gruppe die Option Gruppe verwalten.
  5. Wählen Sie unter KeeShare den Typ: export.
  6. Wählen Sie als Pfad einem Ort, auf den alle Personen zugreifen können.

Analog können nun andere Personen die Importfunktion aktivieren, eine neue Gruppe anlegen, und in den Einstellungen dieser Gruppe den KeeShare Import konfigurieren.

Berichte

Unter Datenbank -> Berichte bietet die Software Auswertungen darüber, ob die gespeicherten Passworte problematisch sind. Daraus kann man ablesen, an welchen Stellen eine Passwortänderung sinnvoll wäre.

Nach oben scrollen