KeePass

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
KeePass Password Safe

KeePass icon.png
Das Hauptfenster von KeePass 1.x
Das Hauptfenster von KeePass 2.x
Basisdaten

Entwickler Dominik Reichl
Erscheinungsjahr 16. November 2003
Aktuelle Version 1.36 und 2.40
(3. September 2018
und 10. September 2018)
Betriebssystem Windows, Linux, macOS, Windows Mobile, Android, iOS, Blackberry OS, Java
Programmiersprache C# (2.x version),
C++ (1.x version)
Kategorie Kennwortverwaltung, Personal Information Manager
Lizenz GPL (Freie Software)
deutschsprachig ja
keepass.info

KeePass Password Safe ist ein freies, unter den Bedingungen der GNU General Public License (GPL) erhältliches Programm zur Kennwortverwaltung. KeePass verschlüsselt die gesamte Datenbank, welche auch Benutzernamen und Ähnliches enthalten kann.

KeePass steht in mehr als 40 Sprachen zur Verfügung, wobei nicht alle Sprachdateien mit allen KeePass-Versionen kompatibel sind. Die Sprachdatei (neben Englisch als Standard) muss zusätzlich heruntergeladen werden.[1]

Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Die Kennwortdatenbank verschlüsselt KeePass in der „Classic Edition – 1.x“ wahlweise nach dem AES-Algorithmus oder dem Twofish-Algorithmus. Die „Professional Edition – 2.x“ unterstützt den AES-Algorithmus und den ChaCha20-Algorithmus.[2]

Die Erweiterung KeePassXC unterstützt standardmäßig neben AES, Twofish auch ChaCha20. Für das Passwort-Hashing-Verfahren stehen neben dem auch bei KeePass verwendeten AES-KDF auch Argon2 zur Verfügung. Mit Argon2 verschlüsselte Datenbanken von KeePassXC sind allerdings nicht mehr mit KeePass zu öffnen.

Hauptschlüssel[Bearbeiten | Quelltext bearbeiten]

Eingabe des Hauptschlüssels

Die Datenbank ist durch einen Hauptschlüssel („Master Key“) gesichert, ohne diesen lässt sich die Datenbank nicht entschlüsseln. Das Hauptkennwort („Master Password“) muss manuell eingegeben werden, und es kann eine Schlüsseldatei („Key File“) verwendet werden, die beispielsweise auf einem mobilen Laufwerk, wie USB-Stick oder CD, liegt. Der (manuell eingegebene) Schlüssel und die (lokal gespeicherte) Schlüsseldatei bilden bei gleichzeitiger Benutzung einen gemeinsamen Schlüssel. Die Schlüsseldatei erhöht die kryptische Entropie des Schlüssels. Ein Angriff auf die Datenbank bei mittelmäßig sicherem Passwort wird damit erheblich erschwert. Liegt die Passwort-Datenbank auf einem öffentlich zugänglichen Laufwerk, können Passworte zwischen Rechnern synchronisiert werden, ein eventueller Angreifer kann ohne Kenntnis der (lokal zu speichernden) Schlüsseldatei nichts ausrichten.

Das allgemeine und vor allem in Praxis wesentliche Problem bei einer Schlüsseldatei besteht darin, dass nie sicher ausgeschlossen werden kann, dass von dieser (lokal zu speichernden) Schlüsseldatei auf einer CD oder USB-Stick von einem Angreifer in einem günstigen Moment und unbemerkt eine Kopie angefertigt wurde. Im Prinzip lässt sich nicht sicher kontrollieren wo und in wie vielen Kopien die Schlüsseldatei existiert. Um dieses Problem zu lösen bieten erweiterte Versionen wie KeePassXC auch die Möglichkeit der Anmeldung mittels Challenge-Response-Verfahren. Das mit einem Hauptkennwort als zweiter Faktor kombinierbare Challenge-Response-Verfahren basiert auf dem Keyed-Hash Message Authentication Code (HMAC) in Kombination mit dem Secure Hash Algorithm (SHA-1). Der 20 Byte lange geheime HMAC-SHA1-Schlüssel wird dabei einmalig auf einem nur während der Initialisierungsphase beschreibbaren aber grundsätzlich nicht auslesebaren Security-Token wie Yubikey programmiert, kann wie ein USB-Stick über einen USB-Anschluss mit dem Rechner verbunden werden, und bietet Aufgrund des Verfahrens die Sicherheit, dass der geheime Hauptschlüssel aus dem Sicherheitstoken nicht ausgelesen und somit kopiert werden kann.[3]

KeePass 2.x unterstützt unter Windows zusätzlich eine Methode, einen geheimen Schlüssel des aktuellen Windows-Benutzers zu verwenden. Die Datenbank lässt sich damit nur öffnen, wenn der Benutzer mit dem richtigen Windows-Nutzerkonto angemeldet ist. Ein Nachteil dieser Methode ist, dass es bei einem Verlust des Kontos nicht ausreicht, ein neues mit demselben Benutzernamen und Passwort zu erstellen, da der geheime Schlüssel des Kontos zwar mit diesen Daten geschützt ist, aber nicht direkt daraus abgeleitet werden kann. Bei Verwendung ist es daher wichtig, eine Datensicherung des Windows-Konto-Schlüssels zu erstellen.

Funktionen[Bearbeiten | Quelltext bearbeiten]

Die Übertragung der Passwörter in andere Anwendungen[Bearbeiten | Quelltext bearbeiten]

Keepass bietet mehrere Möglichkeiten, die Passwörter in die Zielanwendungen, wie zum Beispiel den Browser, zu übertragen.

  • Zwischenablage: Es werden Benutzername und Passwort nacheinander manuell in die Zwischenablage kopiert und können so in die Anwendung eingefügt werden. Nach einigen Sekunden (vom Benutzer änderbar) löscht KeePass diesen Wert wieder aus der Zwischenablage, anschließend kann nicht mehr darauf zugegriffen werden. Der Nachteil dabei ist, dass die Zwischenablage von laufenden Anwendungen, also auch Schadsoftware, ausgelesen werden kann.
  • KeePass Auto-Type: Mit dem globalen Tastenkürzel werden Login-Daten automatisch ausgefüllt
    Auto-Type: Weit komfortabler ist es, Keepass die Daten automatisch in die Anwendung eingeben zu lassen. Mit dem globalen Tastenkürzel „Strg+Alt+A“ werden Anmeldedaten automatisch in Textfelder eingefügt. Der Nachteil dabei ist, dass Passwörter durch Keylogger ausgespäht werden können (dies ist auch bei einer manuellen Eingabe mit der Tastatur möglich).
  • Version 2.x:
    • Two-channel auto-type obfuscation: Das Passwort wird durch eine Kombination aus Zwischenablage und simulierter Tasteneingabe in die jeweilige Anwendung eingefügt. Das Ausspähen durch einfache Keylogger wird so verhindert, moderne Varianten dieser Spionageprogramme jedoch können auch die Zwischenablage auslesen und so trotzdem an die Daten kommen. Die Funktion muss in KeePass bei jedem Neueintrag extra zugeschaltet werden.
    • Browser-Erweiterungen mit KeePass-Plug-in: KeeFox mit Plug-in KeePassRPC oder PassIFox bzw. ChromeIPass mit Plug-in KeePassHttp stellen eine Verbindung zwischen dem Browser und KeePass her. (Die Plug-ins sind nicht kompatibel mit Keepass 1.x.) Auch neu erstellte Anmelde-Daten können via Plug-ins in KeePass gespeichert werden.

Kennwortgenerator[Bearbeiten | Quelltext bearbeiten]

Benutzeroberfläche des Kennwortgenerators

Mit dem Kennwortgenerator lassen sich Kennwörter beliebiger Länge und Typs erstellen. Die Erstellung erfolgt auf Wunsch gestützt durch Aktionen des Benutzers, um die Zufälligkeit zu gewährleisten. Dabei werden Daten der Mausbewegung oder der Tastatureingabe berücksichtigt.

Formatvorlagen (engl.: Templates)[Bearbeiten | Quelltext bearbeiten]

Aktuell (Mai 2013, Version 2.22) steht in KeePass nur eine Standard-Formatvorlage zur Verfügung, die für jeden Eintrag fest die einzeiligen Felder Titel, Benutzername, Passwort und URL sowie ein mehrzeiliges Feld Notizen vorsieht (es können allerdings noch weitere Felder zusätzlich angelegt werden). Es wird zwar ein Plug-in zum Erstellen eigener Formatvorlagen angeboten, damit erstellte Einträge sind aber nicht voll kompatibel zu mobilen Versionen wie KeePassDroid, KeePass2Android oder MiniKeePass.

Plug-ins[Bearbeiten | Quelltext bearbeiten]

KeePass bietet die Möglichkeit, die Funktionen des Programms durch Plug-ins zu erweitern. Es stehen unter anderem Plug-ins zur Erweiterung des Imports, Exports und zur automatischen Datenbanksicherung zur Verfügung.

Weitere Ergänzungsmodule sind bei KeePass 2.x beispielsweise ein Modul zur Berechnung von Einmalpasswörtern wie sie bei der Zwei-Faktor-Authentisierung basierend auf dem Time-based One-time Password Algorithmus (TOTP) verwendet werden. Der zur Berechnung des Einmalpasswortes dienende geheime Schlüssel wird als zusätzliches Attribut in der verschlüsselten KeePass-Datenbank abgelegt. Bei erweiterten Versionen wie KeePassXC ist die Option zu TOTP standardmäßig mit integriert.[4]

Andere Versionen[Bearbeiten | Quelltext bearbeiten]

Zu KeePass gibt es unterschiedliche Implementierungen für verschiedene Plattformen. Die dabei verwendeten Datenbanken sind üblicherweise kompatibel, d. h., die Datenbanken können mit geeigneten Mechanismen (z. B. Cloud-Speicher) zwischen den Geräten synchronisiert werden.

Weblinks[Bearbeiten | Quelltext bearbeiten]

 Commons: KeePass-Screenshots – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Translations. – Downloadseite der Sprachdateien
  2. Dominik Reichl: Technical FAQ – KeePass. Abgerufen am 13. November 2017 (englisch).
  3. KeePassXC, Documentation and Quickstart. Abgerufen am 4. November 2018.
  4. KeePassXC Security, Documentation and Quickstart. Abgerufen am 4. November 2018.
  5. KeypassXC. CHIP (Zeitschrift), abgerufen am 4. März 2018.