Home / How-To / Sicherheit
How-To

Keepass: So schützen Sie Ihre Passwörter

Der Passwort-Manager Keepass zeichnet sich durch eine komplexe Oberfläche und eine umfangreiche Funktionalität aus. In den Menüs des Programms warten zahlreiche nützliche Features darauf, entdeckt zu werden.
Roland Freist
Von Roland Freist
PC-WELT
Der Passwortmanager Keepass
Image: IDG

Jede Bank, jeder Onlineshop, der Computer im Büro und viele Websites verlangen nach einem Passwort, das aus Sicherheitsgründen möglichst komplex sein soll. Die Zeiten, in denen man einfach den Namen seines Hundes als Kennwort benutzte, sind vorbei. Stattdessen sind kryptische, lange Zeichenkombinationen Pflicht. Doch kein Mensch kann sich mehrere solcher Passwörter merken. Bleiben also nur die Möglichkeiten, die Kennwörter sicher, aber umständlich auf Papier zu notieren und nach Gebrauch wegzuschließen – oder einen Passwort-Manager zu verwenden.

Bereits seit vielen Jahren ist Keepass bei den Anwendern sehr beliebt. Denn das Programm ist Open Source und speichert die Kennwörter darüber hinaus auf der lokalen Festplatte oder SSD, anstatt sie wie die Konkurrenz auf einem Cloudspeicher abzulegen. Beides macht Keepass in den Augen vieler Anwender sehr vertrauenswürdig. Außerdem ist die Software kostenlos.

In diesem Artikel stellen wir Ihnen Keepass vor und zeigen Ihnen einige Tipps und Tricks, wie Sie das Programm erweitern und flexibler nutzen können.

Siehe auch: 6 Ausreden, keinen Passwort-Manager zu nutzen – und warum das falsch ist

Die richtige Version wählen

Gleich nach der Installation können Sie zunächst die Sprache der Keepass-Oberfläche umstellen. Auf der Website des Programms finden Sie Dutzende von Sprachdateien zum Herunterladen.

Gleich nach der Installation können Sie zunächst die Sprache der Keepass-Oberfläche umstellen. .

IDG

Keepass ist in zwei Versionen erhältlich. Die Entwicklungslinie mit den Versionsnummern 1.x ist veraltet, greifen Sie daher zur aktuellen Version der 2.x-Linie. Dabei haben Sie die Wahl zwischen einer installierbaren und einer portablen Variante, wählen Sie am besten die Version mit Installer.

Das anschließende Setup von Keepass ist einfach und erfordert keine Einstellungen vom Benutzer. Danach geht es in einem ersten Schritt darum, die englische Bedienoberfläche auf Deutsch umzustellen. Klicken Sie dazu auf „View –› Change Language“ und im Fenster „Select Language“ auf „Get More Languages“. Laden Sie sich dann von der Website die Sprachdatei für „German“ herunter und achten Sie darauf, dass Sie die Ausführung für aktuelle Version erwischen.

Entpacken Sie die ZIP-Datei, klicken Sie im Keepass-Fenster „Select Language“ auf „Open Folder“ und kopieren Sie die LNGX-Datei in den nunmehr geöffneten Ordner. Klicken Sie erneut auf „View –› Change Language“ und stellen Sie um auf „German“. Nach einem Neustart erscheint Keepass dann mit einer deutschen Bedienoberfläche.

Lesetipp: Die besten Passwort-Manager im Test (2023)

Das Hauptkennwort definieren

Als Nächstes legen Sie in Keepass eine Datenbankdatei an. Klicken Sie auf „Datei –› Neu“, lesen Sie sich den Text im Hinweisfenster durch, bestätigen Sie mit „OK“ und wählen Sie einen Speicherort aus. Gut geeignet ist beispielsweise der Dokumente-Ordner in Ihrem Benutzer-Verzeichnis unter 

C:\Benutzer[Benutzername]\Dokumente

Nach einem Klick auf „OK“ fordert Keepass ein Hauptpasswort von Ihnen an. Da der Schutz Ihrer Kennwörter in hohem Maße von diesem Hauptpasswort abhängt, sollten Sie eine möglichst lange Zeichenkombination mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wählen. Wenn Sie Keepass später als zentrale Instanz für die Verwaltung Ihrer Passwörter verwenden, ist dieses Kennwort das einzige, das Sie sich noch merken müssen. Wiederholen Sie die Eingabe in der Zeile darunter.

Wer das Hauptpasswort kennt oder entschlüsselt, hat Zugriff auf alle Ihre Zugangsdaten. Das Kennwort sollte daher möglichst lang und komplex sein.

Wer das Hauptpasswort kennt oder entschlüsselt, hat Zugriff auf alle Ihre Zugangsdaten. Das Kennwort sollte daher möglichst lang und komplex sein.

IDG

Es ist jedoch gefährlich, den Zugriff auf Ihre Datenbank allein vom Hauptpasswort abhängig zu machen. Ein Hacker könnte beispielsweise mit einem Keylogger Ihre Tastatureingaben auffangen und damit in den Besitz dieses Passworts gelangen. Sie sollten daher eine Zwei-Faktor-Authentisierung einrichten.

Klicken Sie dazu auf „Expertenoptionen anzeigen“. Keepass bietet Ihnen nun zwei Optionen an:

  • Die Verwendung einer Schlüsseldatei
  • Die Daten Ihres Benutzerkontos in Windows

Wenn Sie sich für die zweite Option entscheiden, müssen Sie beim Öffnen der Keepass-Datenbank lediglich Ihr Hauptpasswort eingeben. Die Abfrage der Windows-Daten geschieht automatisch im Hintergrund. Der Nachteil bei dieser Methode ist, dass Sie einerseits vermutlich nicht nur über Windows auf Ihre Datenbank zugreifen werden. Zum anderen kann auch ein Benutzer-Account versehentlich beschädigt oder gelöscht werden.

Besser ist daher die Verwendung einer Schlüsseldatei. Setzen Sie ein Häkchen vor die entsprechende Option, klicken Sie auf „Erstellen“ und bestätigen Sie die Voreinstellungen im folgenden Fenster. Befolgen Sie die Anweisungen im Fenster „Entropie sammeln“, bis die Anzeige bei „Generierte Bits“ auf „256 Bits“ steht, und klicken Sie auf „OK“. Speichern Sie die Schlüsseldatei mit den Endung KEYX dann auf einem USB-Stick. Geben Sie der Datenbank im folgenden Fenster unter „Allgemein“ einen Namen, alle anderen Voreinstellungen können Sie belassen. Drucken Sie das Notfallblatt und das Backup der Schlüsseldatei aus, verstauen Sie beide Dokumente an einem sicheren Ort und bestätigen Sie mit „OK“. Um nun auf Ihre Datenbank zugreifen zu können, müssen Sie das Hauptpasswort eintippen und gleichzeitig den Stick mit der Schlüsseldatei einsetzen.

Hauptpasswort gegen Keylogger schützen

Mit der Auto-Type-Funktion bietet Keepass ein wirksames Hilfsmittel, um den Zugriff von Keyloggern auf die Passwörter zu unterbinden.

Mit der Auto-Type-Funktion bietet Keepass ein wirksames Hilfsmittel, um den Zugriff von Keyloggern auf die Passwörter zu unterbinden.

IDG

Neben der Zwei-Faktor-Authentisierung bietet Keepass auch zwei spezielle Funktionen, um das Ausspähen von Passwörtern durch Keylogger zu verhindern. Zum einen können Sie bei jedem Eintrag in Ihrer Datenbank die „Zwei-Kanal-Auto-Type-Verschleierung“ aktivieren. Sie finden sie nach Öffnen des Eintrags im Register „Auto-Type“.

Bereits die Auto-Type-Funktion allein bietet bereits einen guten Schutz vor Keyloggern, da sie andere Anwendungen mit simulierten Tastendrücken in die Irre führt. Ist der Keylogger jedoch in der Lage, die simulierten Tasten abzuhören, kommt die „Zwei- Kanal-Auto-Type-Verschleierung“ zum Einsatz. Sie simuliert bei der Eingabe des Kennworts die Tastenkombinationen Strg-C und Strg-V, so dass das Passwort nicht im Klartext übertragen wird. Außerdem trägt sie die Zeichen nicht von links nach rechts ein, sondern springt beim Kopieren des Kennworts hin und her. Setzen Sie dazu den Cursor ins Eingabefeld für das Kennwort, wechseln Sie zu Keepass, klicken Sie den zugehörigen Datenbankeintrag mit der rechten Maustaste an und wählen Sie „Auto-Type ausführen“.

Außerdem finden Sie im Keepass-Fenster unter „Extras –› Optionen“ im Register „Sicherheit“ die Einstellung „Hauptschlüssel auf sicherem Desktop eingeben“. Wenn Sie hier ein Häkchen setzen und mit „OK“ bestätigen, greift eine Funktion ähnlich der Benutzerkontensteuerung von Windows und blockiert den Zugriff anderer Anwendungen auf die Passworteingabe.

Keepass verfügt über eine Funktion, welche die Passwort-Eingabe auf ähnliche Art schützt wie die Benutzerkontensteuerung von Windows.

Keepass verfügt über eine Funktion, welche die Passwort-Eingabe auf ähnliche Art schützt wie die Benutzerkontensteuerung von Windows.

IDG

Regeln für sichere Passwörter

Das Erzeugen von Passwörtern überlassen Sie am besten einem Passwort-Generator. Sie finden solche Tools im Internet, beispielsweise unter www.datenschutz.org/passwort-generator oder unter www.lastpass.com/de/features/password-generator. Aber auch Passwort-Manager bieten eine solche Funktion. Bei Keepass finden Sie sie unter „Extras –› Passwort generieren“. Außerdem ist sie auch erreichbar, indem Sie in den Einstellungen eines Datenbankeintrags neben der Zeile „Passwort-Wdh.:“ auf den Button „Ein Passwort generieren“ und „Passwort-Generator öffnen“ klicken.

Im folgenden Fenster definieren Sie ein Profil für Ihre Kennwörter und legen die Länge und Komplexität fest. Achten Sie darauf, dass neben „Profil“ die Auswahl „Benutzerdefiniert“ eingestellt ist, und wählen Sie dann die Einstellungen für Ihre Passwörter. Empfohlen ist eine Länge von 16 bis 20 Zeichen, bei denen es sich um Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen handeln sollte. Klicken Sie nun neben dem Profilmenü auf den Button „Speichern“, geben Sie Ihrem Profil einen Namen und klicken Sie zwei Mal auf „OK“.

Achtung: Im Register „Erweitert“ finden Sie die beiden Optionen „Jedes Zeichen darf höchstens einmal auftreten“ und „Ähnliche aussehende Zeichen ausschließen“.

Keine der beiden sollten Sie aktivieren. Diese Optionen verringern die Sicherheit Ihrer Kennwörter und dienen lediglich dazu, eventuelle Kompatibilitätsprobleme zu vermeiden.

Mit dem Passwort-Generator erzeugen Sie ganz nach Ihren Vorstellungen sichere Kennwörter mit flexibler Länge.

Mit dem Passwort-Generator erzeugen Sie ganz nach Ihren Vorstellungen sichere Kennwörter mit flexibler Länge.

IDG

Keepass-Datenbank zwischen PCs synchronisieren

Die meisten Anwender greifen mit mehreren Geräten auf Dienste zu, für die sie ein Passwort benötigen. Wenn es sich um zwei Windows-PCs handelt, können Sie Keepass einfach auf beiden installieren und die Datenbankdateien mit der Endung KDBX kopieren. Das funktioniert allerdings nicht mehr, wenn Sie auf beiden Rechnern Änderungen an den Einträgen in der Datenbank vornehmen. Für diesen Fall bietet Keepass an, die Datenbanken zu synchronisieren. Voraussetzung ist lediglich, dass Sie für beide Datenbanken das gleiche Hauptpasswort eingerichtet haben und auch der zweite Anmeldefaktor wie etwa eine Schlüsseldatei identisch ist.

Richten Sie dazu auf beiden Computern eine Windows-Freigabe ein, und speichern Sie dort die Datenbank-Dateien. Sobald Sie an einer von beiden oder auch an beiden Änderungen vorgenommen haben, gehen Sie auf „Datei –› Synchronisieren –› Mit Datei synchronisieren“. Damit rufen Sie den Explorer auf, mit dem Sie nun die Datenbank auf dem anderen PC ansteuern. Nach einem Klick auf die KDBX-Datei werden die Einträge sofort synchronisiert.

Der Papierkorb von Keepass

Ebenso wie Windows enthält Keepass einen Papierkorb, der gelöschte Datenbank-Einträge zwischenspeichert. Sie finden ihn im Keepass-Fenster in der Liste auf der linken Seite ganz unten.

Um einen Datenbankeintrag wiederherzustellen, ziehen Sie ihn einfach aus dem Papierkorb per Drag & Drop auf die Gruppe, wo Sie ihn einfügen möchten.

Der Papierkorb ist eine normale Keepass-Gruppe, die Sie nach einem Rechtsklick mit dem Befehl „Gruppe bearbeiten“ auch umbenennen können. Genauso ist es möglich, über „Datei –› Datenbank-Einstellungen“ eine andere Gruppe als Papierkorb zu definieren. Im gleichen Fenster lässt sich der Papierkorb übrigens auch deaktivieren.

Im Unterschied zur Windows-Funktion wird der Keepass-Papierkorb niemals automatisch geleert. Einzelne Einträge können Sie entfernen, indem Sie sie mit der rechten Maustaste anklicken und auf „Eintrag löschen“ gehen.

Um alle Inhalte aus dem Papierkorb manuell zu entsorgen, klicken Sie auf „Gruppe –› Papierkorb leeren“.

Keepass auf Smartphones nutzen

Der Zugriff auf Clouddienste oder Onlineshops erfolgt häufig nicht über den PC, sondern über das Smartphone oder Tablet. Freie Programmierer haben daher Apps für Android und Apple iOS geschrieben, damit die Anwender auch unterwegs auf die Keepass-Datenbanken zugreifen können. Die Software für Android nennt sich Keepassdroid und bietet die grundlegenden Funktionen zum Abrufen der Benutzerinformationen. Darüber hinaus kann sie eine neue Datenbank anlegen, ihr Einträge hinzufügen und Gruppen erzeugen. Sie kann eine lokal auf dem Smartphone/Tablet gespeicherte Datenbankdatei nutzen oder auf Clouddienste wie Google Drive und Microsoft Onedrive zugreifen. Dazu müssen Sie die auf dem PC erzeugte KDBX-Datei manuell zu diesem Dienst hochladen.

Die Konkurrenz dazu heißt Keypass2Android und wirkt in Oberfläche und Bedienung etwas moderner, bietet jedoch im Wesentlichen die gleiche Funktionalität. Die Liste der unterstützten Onlinedienste ist jedoch länger; so können Sie hier unter anderem auch Dropbox, Owncloud oder Nextcloud als Speicherort der Datenbankdatei angeben. Für iOS finden Sie auch eine entsprechende App mit dem Namen KeePass Touch im App Store.

Die besten Add-ons und Browsererweiterungen für Keepass

Keepass wurde zwar ursprünglich für den Zugriff auf eine lokale Datenbankdatei konzipiert, kann mittlerweile aber auch auf Clouddienste zugreifen. So sind beispielsweise Browser-Erweiterungen für Google Chrome und Firefox (jeweils Keepass Tusk) und Microsoft Edge (Edgekeepass) verfügbar. Sie greifen auf eine Kopie der Keepass-Datenbank zu, die Sie zuvor zu einem der großen Clouddienste hochgeladen haben, und können so die Felder für die Benutzeranmeldung auf einer Website automatisch ausfüllen. Die Keepass-Version auf dem PC muss dafür nicht geöffnet sein.

Darüber hinaus ist es möglich, die Keepass-Datenbank auch komplett über einen Clouddienst zu synchronisieren, so dass die Daten auf jedem Rechner mit Keepass und einem Plug-in wie Keepass Google Sync oder Keeanywhere verfügbar sind. Schließlich können Sie mit Keepass Win Hello auch biometrische Merkmale wie einen Fingerabdruck zum Entsperren der Datenbank nutzen.

Unter https://keepass.info/plugins.html finden Sie eine große Auswahl an Plug-ins, die Keepass um zahlreiche Funktionen erweitern. Für die Installation kopieren Sie sie einfach in den Unterordner „Plugins“ des Keepass-Hauptverzeichnisses und starten das Programm anschließend neu.

vgwort

Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.

Aktuelle Beiträge von Roland Freist: