Home / How-To / Sicherheit
How-To

Keepass X: Der Passwort-Manager für Linux

Pro Account ein Passwort: Da wird die Nutzung der so nützlichen Online-Dienste, der gelegentliche Log-in an der Datenbank und am Webserver schnell zum Memory-Spiel. Keepass X hilft als sicherer Passwort-Manager aus.
David Wolski
Von David Wolski
PC-WELT
Passwörter mit Keepass X sicher verwalten
Image: David Wolski

Ein Passwort aufzuschreiben ist die schlechteste, weil unsicherste Methode, Kennwörter zu hinterlegen. Aber Linux-Enthusiasten und Admins müssen neben den täglich verwendeten Log-ins noch jede Menge weitere Account-Daten verwalten. Im Kopf? Nein, auch Admins und Cloud-Jongleure kommen nicht daran vorbei, sich die Log-ins irgendwo zu notieren. Sicher und komfortabel zugleich ist dabei Keepass X , zumal dieser Passwort-Safe plattformübergreifend ist sowie vertrauenswürdig durch Open Source. Tipp: Wenn Sie Ihr Passwort schon vergessen haben und jeder Passwort-Manager zu spät kommt, zeigen wir Ihnen in diesem Ratgeber, wie sie das Passwort neu vergeben .

Die Keepass-Familie: Versionsunterschiede

Das ursprüngliche Keepass mit der Versionsnummer 1.x begann vor über zehn Jahren als freies Open-Source-Programm für Windows. Es gibt inzwischen einen ganzen Stammbaum von Keepass, aber nur drei Varianten sind für Linux-Anwender relevant: Keepass 2, Keepass X und Keepass X 2.0. Alle diese Varianten liegen für Linux und Windows vor.

Die Passwortverwaltung ist mit dem Datenbankformat des ursprünglichen Keepass 1.x kompatibel. Es steht in allen populären Linux-Distributionen zur Installation bereit.
Die Passwortverwaltung ist mit dem Datenbankformat des ursprünglichen Keepass 1.x kompatibel. Es steht in allen populären Linux-Distributionen zur Installation bereit.

Keepass 2: Diese Weiterentwicklung von Keypass für Windows ist in C# und damit für .NET geschrieben. Daraus ergab sich die Möglichkeit, Keepass 2 mittels Mono auch für Linux zu übersetzen. Mono ist eine Runtime für Microsoft .NET unter Linux und nicht mehr Bestandteil aktueller Linux-Distributionen. Mono lässt sich meist unproblematisch nachinstallieren, aber Keepass 2 bleibt ein Windows-Programm, das sich optisch nicht gut auf einen Linux-Desktop einfügt. Einige Funktionen wie der Export einer Datenbank ins Format von Keepass 1.x sind unter Linux deaktiviert. Keepass 2 kann die Datenbankformate KDBX (Keypass 2), und KDB (Keepass 1.x) lesen sowie eine große Zahl von fremden Formaten importieren.

Keepass X: Diese Portierung des ursprünglichen Keepass 1.x läuft nativ unter Linux. Die Oberfläche nutzt Qt, sieht aber auch unter Unity und Gnome gut aus. Der Funktionsumfang ist geringer als jener von Keepass 2, erfüllt aber alle Voraussetzungen für ein komfortables Passwortmanagement. Es verwendet das Datenbankformat KDB (Keepass 1.x) und kann Daten von KDE Wallet, Pwmanager und unverschlüsseltes XML einlesen. Keepass X ist in den Repositories der meisten Linux-Distributionen vorhanden und damit die empfehlenswerte, unkomplizierte Lösung.

Keepass X 2.0: Die Weiterentwicklung von Keepass X ist offiziell noch in der Testphase, läuft aber bereits stabil genug für die tägliche Verwendung. Oberflächlich gibt es nur kleine Unterschiede zum Vorgänger. Die wichtigste Neuerung ist die Kompatibilität mit Keepass 2, da das gleiche Datenbankformat (KDBX) zum Einsatz kommt. Keepass X 2.0 ist in den Standard-Paketquellen der üblichen Linux-Distributionen noch nicht enthalten, aber es gibt für Ubuntu 14.04/14.10/15.04 ein PPA des Entwicklers mit fertigen Paketen.

Keepass 2.0: Obwohl es sich um eine Alphaversion handelt, läuft die Weiterentwicklung von Keepass X bereits solide. Es arbeitet mit dem Format KDBX, das von Keepass 2 übernommen wurde.
Keepass 2.0: Obwohl es sich um eine Alphaversion handelt, läuft die Weiterentwicklung von Keepass X bereits solide. Es arbeitet mit dem Format KDBX, das von Keepass 2 übernommen wurde.

Keepass X: Installation und erster Start

Keepass X finden Sie zur Installation einfach über den Paketmanager der verwendeten Distribution. In Debian/Ubuntu ist es mit dem Befehl

sudo apt-get install keepassx

ohne Umstände installiert. Auch Fedora und Open Suse bieten das Paket „keepassx“ an.

Wer in Ubuntu Keepass X 2.0 bevorzugt, um mit Keepass 2 kompatibel zu sein, installiert mit diesen Befehlen das neuere Paket aus dem PPA:

sudo add-apt-repository ppa:keepassx/daily sudo apt-get install keepassx

Die Programme starten zunächst ohne Datenbank, da Sie diese zuerst manuell anlegen oder eine bestehende Datei öffnen müssen. Klicken Sie in Keepass X auf „Datei -> Neue Datenbank“ („Datenbank -> Neue Datenbank“ in Keepass X 2.0), und geben Sie im nächsten Dialogfenster ein wirklich sicheres Hauptpasswort ein. Standardmäßig wird die Datei mit AES und einer Schlüssellänge von 256 Bit chiffriert. Sie können statt eines Passworts auch eine Schlüsseldatei erzeugen, die Sie dann zum Entsperren der Datenbank benötigen, oder auch ein Hauptpasswort zusammen mit einer Schlüsseldatei kombinieren.

In der leeren Datenbank legen Sie mit „Gruppen“ Kategorien an und fügen dann mit Rechtsklick ins rechte Fenster neue Einträge für Log-ins, Passwörter und angehängte Dateien hinzu. Danach klicken Sie auf das „Speichern“-Symbol. Beim nächsten Start wird Keepass X die Datenbank automatisch laden und das Hauptpasswort abfragen.

Browser: So funktioniert Auto-Type

Ein Rechtsklick auf einen Eintrag kann die dort hinterlegten Daten wie Benutzernamen und Passwort in die Zwischenablage kopieren. Dort bleibt die Zeichenkette nur zehn Sekunden, weil Keepass X die Zwischenablage dann automatisch leert.

Eine andere Möglichkeit, Log-ins auf Webseiten automatisch auszufüllen, nennt sich Auto-Type. Dazu hinterlegen Sie in einem Datenbank-Eintrag im Feld „URL“ die Webadresse des Anmeldeformulars. Wenn Sie nun die Aktion „Auto-Type“ nach einem Rechtsklick auswählen, dann sucht Keepass X alle Browserfenster nach der hinterlegten URL ab und gibt dort selbständig die Log-in-Daten ein.

Passwortdatenbank synchronisieren

Läuft Keepass X auch auf anderen Linux-, Windows- oder Apple-Rechnern, dann brauchen Sie nur die Datenbank im Format KDB (Keepass X) beziehungsweise die KDBX-Datei (Keepass X 2.0) auf den Zielrechner kopieren. Da die Datei verschlüsselt vorliegt, ist jeder Übertragungsweg zulässig: USB-Stick, Mailanhang oder auch ein Cloud-Dienst wie Dropbox . Beachten Sie die Kompatibilität: Keepass X 2.0 ist abwärtskompatibel und öffnet KDB-Dateien, sofern diese mit AES verschlüsselt sind.

Umgekehrt kann Keepass X aber keine KDBX-Dateien der Version 2.0 lesen. Es empfiehlt sich daher, auf allen Rechnern die gleiche Version von Keepass X einzusetzen.

Kpcli: Shell-Zugriff auf die Passwort-Datenbank

Grafische Oberflächen sind auf Linux-Rechnern keineswegs allgegenwärtig, auf Servern oder Minicomputern eher die Ausnahme. Im Notfall können Sie aber auch in der Shell mit dem Kommandozeilen-Tool kpcli die Passwortdatenbanken von Keepass X und Keepass X 2.0 öffnen. Es ist in den Paketquellen von Debian (ab Version 8), Raspbian, Ubuntu, Fedora und Open Suse vorhanden. Mit

kpcli --kdb=[Datenbank]

starten Sie es, wobei der Platzhalter „[Datenbank]“ eine KDB- oder KDBX-Datei sein darf. Nach der Eingabe des Hauptpassworts öffnet sich eine Datenbank-Shell, auf der Sie ähnlich wie in einem Dateisystem mit „ls“ die Gruppen auflisten und mit „cd“ in eine Gruppe wechseln. Mit „show [Nummer]“ öffnen Sie dort einen Datenbankeintrag und können das rot hinterlegte Passwort im Terminal-Fenster kopieren und in die Zwischenablage kopieren.

Tipp: Mit diesem Passwort-Generator bauen Sie sich ein sicheres Passwort

vgwort

David Wolski schreibt hauptsächlich für die LinuxWelt und war vor langer Zeit im sagenumwobenen Praxis-Team der PC-WELT.

Aktuelle Beiträge von David Wolski: