KeePassXC User gesucht

[RC23]

Hallo,

habe mir heute KeePassXC als Passwort Manager installiert und die ersten Schritte damit gemacht. Habe ich mir bewußt ausgesucht, da ich die Passwörter lokal auf meinem Rechner verschlüsselt speichern möchte und nicht in einer Cloud wie Dropbox.

Die Verknüpfung mit meinem Browser Opera hat geklappt durch Installieren des KeePassHttp-Connectors. Ein erster Test war erfolgreich.

Ein schön kompliziertes Master-Passwort mit 20 Ziffern ist über den Lastpass Generator festgelegt worden. Kann ich dieses Master-Passwort in KeePassXC später irgend Mal ändern? Eher eine hypothetische Frage, da ich vorhabe an dem Master-Passwort nicht zu ändern.

Bei verschiedenen Funktionen bin ich mir noch nicht sicher, wie ich diese am Besten nutze.

Wie strukturiert man sinnvollerweise Gruppen bei Passwörtern?

Wie stark soll die Verschlüsselung der Passwörter sein? Hab mir als Startwert 500ms eingestellt.

Gibt es hier noch Tuningbedarf?

Unter Application Settings ist unten deutsche Sprache auswählbar. Habe ich getan, trotzdem wechselt die Anzeige bei den Bedienmenüs nicht in die deutsche Sprache. Blöde Frage: Wie starte ich KeePassXC neu, damit sich das ändert? Ich hab´s nicht geschafft... Anwendung schließen... Neuaufruf... oder Betriebssystemneustart? Alles hilft nicht.

 

[TK-Shockwave]

Bei mir hat er es direkt nach der Umstellung -> dann STRG+Q und Restart funktioniert.

Hast du auch Version 2.4.3

 

[Kani]

Die alte KeePassHTTP-Connector Browserverbindung ist mittlerweile nicht mehr aktuell. Dein Link zu der Erweiterung geht laut Beschreibung übrigens auf irgendeinen Fork einer alten Erweiterung. Vertrauen würde ich der Sache - es sei denn, du kennst denjenigen, persönlich - nicht.
Klicke direkt in KeepassXC auf den entsprechenden Link auf der Einstellungsseite der Browserintegration, das sollte dich - vorausgesetzt, du hast die aktuellste Version direkt von der KeepassXC Homepage - zu der passenden Browserextension bringen.

Die Übersetzung ist leider ein bisschen inkonsistent. Manches ist übersetzt, anderes bleibt leider in englisch.

Das Masterpasswort kannst du jederzeit ändern.

Die Verschlüsselungseinstellungen solltest du so wählen, dass dein Rechner (oder deine Geräte an denen du das Programm verwenden willst) nicht zu lange brauchen um Datenbanken zu öffnen.
Dafür gibt's unter den erweiterten Optionen (siehe dein 2tes Bild) den "Benchmark 1 second delay" Knopf. Dann werden die Parameter "Transform rounds", "Memory Usage" und "Parallelism" so gewählt, dass du auf dem Rechner auf dem du die Datenbank anlegst und auf "Benchmark 1 second delay" klickst 1 Sekunde warten musst, bis sich deine Datenbank nach erfolgreicher Masterpassworteingabe entschlüsselt hat.
Natürlich kannst du die Entschlüsselung komplizierter und damit zeitaufwändiger machen, aber das ist halt eine Abwägung von Sicherheit und Komfort.
Ich persönlich bin der Meinung, dass 1 Sekunde Entschlüsselung für den Hausgebrauch ausreichend sein sollten.

 

[wesch2000]

Und warum nimmst Du nicht KeePass2?

 

[RC23]

Warum bin ich zu KeePassXC und nicht zu KeePass 2 gegangen? KeePass hat den Ruf kompliziert zu sein, eine angestaubte Bedienoberfläche zu haben und nicht weiterentwickelt zu werden.

KeePassXC wird weiterentwickelt und besitzt neben der verschlüsselten lokalen Passwortspeicherung auch eine Ausgabemöglichkeit via csv. Für meine Android Geräte setze ich auf die App "Password Safe", die über eine xls oder csv Datei ein Passwort-Update bekommen kann.

Installiert ist bei mir die aktuelle 2.4.3 Version. Danke für den Tipp "STRG + Q" als Q wie Quit für Programmabbruch. Hat funktioniert. Damit ist für mich die deutsche Übersetzung sichtbar.

Auch Danke für den Hinweis, daß meine Chrome Browser-Verknüpfung veraltet ist. Wurde hiermit korrigiert.

Ist mein Verständnis richtig: KeePassXC wird beim Systemstart, sprich beim Windows-Start, einmal geöffnet und dabei die Passwort-Datenbank entschlüsselt? Damit muß ich nicht jedes Mal, wenn ich auf eine Webseite wechsele, die nach einem Passwort fragt, die KeePassXC Entschlüsselung starten?

Bei den Anwendungseinstellungen habe ich jetzt die Suche nach Updates bei Programmstart aktiviviert. Beta-Versionen lasse ich vorerst mal draußen.

Durch den KeePassXC Passwortgenerator kann ich mir bequem sichere Passwörter schaffen. Werde nun nach und nach meine alten Passwörter im Web gegen sichere Passwörter austauschen. Wieviel Zeichen sollte man dafür verwenden? Reichen z.B. 10 Zeichen? Das Master-Passwort hat 20 Zeichen.

Mit dieser Methode sind nun die Passwörter verschlüsselt in einer Datenbank gespeichert. Wo legt Ihr das Master-Passwort ab? In einer docx oder xlsx Datei versteckt eingebaut in sonstigen Daten?

SSH hält das Master-Passwort für die Dauer einer Sitzung. Habe den "SSH Agent" aktiviert, mit "Strg + Q" einen Abbruch gemacht, dann ein Neustart und das Häkchen beim "SSH Agent" ist wieder verschwunden.

Hier liegt möglicherweise noch ein Programmfehler bei KeePassXC vor. Werde dies mal bei GitHub melden. Warte damit noch einen Tag, da ich ja vielleicht einen Bedienfehler gemacht habe.

Als Browser habe ich Opera über KeePassXC-Browser aktiviert.

Was mir auffällt, daß nach einen Neustart von KeePassXC die Browser-Einstellungen scheinbar nicht übernommen werden. Ich hätte jetzt erwartet, daß bei Chromium für Opera ein Häkchen ist.

Alles sieht so aus, als wäre nichts eingetragen? Habe ich einen Bedienfehler gemacht?

Sehe gerade: Mein Browser Addon ist noch nicht richtig eingerichtet. Jetzt muß erst einmal der Fehler gefunden werden. Für Tipps wäre ich dankbar.

Das KeePassXC-Browser Addon ist aktiviert... Die Allgemeinen Einstellungen habe ich unverändert übernommen.

Meiner Vermutung: Das KeePassXC-Browser Addon ist bei mir nicht mit KeePassXC verknüpft. Denn sonst wäre in den KeePassXC Browser-Einstellungen ein Häkchen bei Chrome.

Bitte um Rückinfo, ob bei anderen KeePassXC Usern das auch so ist. Danke!

 

[Piktogramm]

Ist mein Verständnis richtig: KeePassXC wird beim Systemstart, sprich beim Windows-Start, einmal geöffnet und dabei die Passwort-Datenbank entschlüsselt? Damit muß ich nicht jedes Mal, wenn ich auf eine Webseite wechsele, die nach einem Passwort fragt, die KeePassXC Entschlüsselung starten?

Kommt drauf an wie du es einstellst. Du kannst unter Tools->Settings->Security (Englische Bezeichnugnen) auch Einstellungen treffen, die die Datenbank unter div. Bedingungen sperrt.

Durch den KeePassXC Passwortgenerator kann ich mir bequem sichere Passwörter schaffen. Werde nun nach und nach meine alten Passwörter im Web gegen sichere Passwörter austauschen. Wieviel Zeichen sollte man dafür verwenden? Reichen z.B. 10 Zeichen? Das Master-Passwort hat 20 Zeichen.

Mein Vorschlag wäre den Passworttausch in einem Rutsch für alle Accounts zu machen. Dann ist es erledigt.
Wenn du dir die Passwörter nicht merken magst, dann ist es für dich egal wie lang die Passwörter sind. Nimm halt 32 Stellen oder mehr. Damit sicherst du dicht selbst gegen Services ab, die intern veraltete Hashverfahren nutzen. Selbst ungesalzenes MD5 macht bei derart langen Passwörtern für Angreifer keinen Spaß mehr.

Mit dieser Methode sind nun die Passwörter verschlüsselt in einer Datenbank gespeichert. Wo legt Ihr das Master-Passwort ab? In einer docx oder xlsx Datei versteckt eingebaut in sonstigen Daten?

In einer zweiten Datenbank. Dessen Passwort und HardwareToken liegen an unterschiedlichen Stellen, bei unterschiedlichen Leuten.

Was mir auffällt, daß nach einen Neustart von KeePassXC die Browser-Einstellungen scheinbar nicht übernommen werden. Ich hätte jetzt erwartet, daß bei Chromium für Opera ein Häkchen ist.

Anhang anzeigen 825174

Du musst das Häkchen setzen, damit KeePassXC die Verbindungen überhaupt zulässt. Das macht das Programm nicht von allein.

 

[wesch2000]

Warum bin ich zu KeePassXC und nicht zu KeePass 2 gegangen? KeePass hat den Ruf kompliziert zu sein, eine angestaubte Bedienoberfläche zu haben und nicht weiterentwickelt zu werden.

KeePassX wird nicht weiterentwickelt, KeePass 2 schon. Über eine angestaubte Oberfläche kann man sich streiten.

 

[RC23]

Kommt drauf an wie du es einstellst. Du kannst unter Tools->Settings->Security (Englische Bezeichnugnen) auch Einstellungen treffen, die die Datenbank unter div. Bedingungen sperrt.

Welche der Optionen muß ich auswählen, damit die Datenbank am Sitzungsanfang einmal entschlüsselt und dann gesperrt wird?

Mein Vorschlag wäre den Passworttausch in einem Rutsch für alle Accounts zu machen. Dann ist es erledigt.
Wenn du dir die Passwörter nicht merken magst, dann ist es für dich egal wie lang die Passwörter sind. Nimm halt 32 Stellen oder mehr. Damit sicherst du dicht selbst gegen Services ab, die intern veraltete Hashverfahren nutzen. Selbst ungesalzenes MD5 macht bei derart langen Passwörtern für Angreifer keinen Spaß mehr.

Wenn ich die Passwörter mit 32 Stellen anlege, steigt dann nicht auch der Entschlüsselungsaufwand, der sich in einem langsamen Öffnen der Datenbank zeigt?

In einer zweiten Datenbank. Dessen Passwort und HardwareToken liegen an unterschiedlichen Stellen, bei unterschiedlichen Leuten.

Das wäre dann eine konsequent sichere Lösung.

Du musst das Häkchen setzen, damit KeePassXC die Verbindungen überhaupt zulässt. Das macht das Programm nicht von allein.

Das Häkchen-Setzen habe ich natürlich gemacht. Es gibt bei KeePassXC leider keinen Bestätigen Button. Nach dem Schließen von KeePassXC und Wiederöffnen sind die Häkchen bei mir weg.

Bei mir hakt es aktuell an der fehlenden Verbindung von KeePassXC mit dem Browser Plugin. Habe nun KeePassXC über die Systemsteuerung deinstalliert, neu installiert und das KeePassXC Browser eingefügt und aktiviert. Trotzdem fehlt die Verbindung, was KeePassXC auch im Programm Icon bestätigt. Was nun tun?

 

[Piktogramm]

* Sitzung nur einmal entsperren, bis zum Reboot offen halten -> Einfach keine Option wählen die das Wort "sperren" enthält. Also eigentlich so wie es bei dir schon ausschaut.

* Passwortlänge und Performance -> kurz: Die Passwörter die du in der Datenbank ablegst haben keinen Einfluss auf die Performance
lang: KeePass verschlüsselt die Nutzdaten mittels AES [1]. AES ist auch ohne Optimierte CPU Befehlssätze sehr schnell. Typisch sind selbst auf Intel Atoms oder Smartphones 20-200MB/s. Ob da nun einige Duzend Passwörter 8, 16 oder 100Byte haben geht da im Rauschen unter.
Was bei KeePass mit voller Absicht lang dauert ist das Passwort Hasing des Master Passworts mit dem der kryptografische Schlüssel erzeugt wird, den AES nutzt. Die Geschwindigkeit ist aber auch annähernd unabhänig von der Länge des Masterpasswortes sondern von den von dir gewählten Einstellungen.

[1] Oder einer der anderen, konfigurierbaren symmetrischen Verschlüsselungsalgorithmen. Deren Laufzeitverhalten aber ähnlich genug ist, damit ich das Fass nicht aufmache.

* Browserplugin:
* KeePassXC sagen, dass es Browser Schnittstellen anbieten soll. Auf OK klicken.
* In die Einstellungen des Browserplugins gehen
* Dort "Connected Databases anklicken" und dann "Connect"
* KeePass will an der Stelle eine Bestädigung ob die Verbindung gewährt werden soll und bittet dich die Verbindung eindeutig zu benennen
* fertig

Edit: Listen mir Markdown erstellen scheint nicht mehr zu gehen... Schaut der Post halt hässlich aus -.-

 

[Kani]

So, wie es auf dem Bild in deinem Beitrag #8 aussieht wird die Datenbank beim Start entschlüsselt und bleibt auch entschlüsselt.
Das ist im Grunde die Variante, die der Bequemlichkeit zugute kommt, da du sonst immer wenn du auf die Datenbank zugreifen willst (ob direkt oder per Browserplugin) dein Masterpasswort eingeben müsstest.

Ich nutze keine Browserplugins für die Übertragung der Benutzernamen und Passwörter, deswegen ist das nur eine Idee, aber ist es vielleicht ein Problem, dass du bei KeepassXC bei der Browserintegration nur "Chromium", nicht aber "Chrome, Vivaldi and Brave" ausgewählt hast? Ich habe nicht den Hauch einer Ahnung, was das intern für einen Unterschied machen sollte, aber wer weiß...

 

[andy_m4]

Ist Browserintegration generell eigentlich eine gute Idee? Immerhin ist der Browser ein sehr exponiertes Programm. Da ruft man alle möglichen Seiten auf auf dem was weiß ich alles für Javascripte laufen. Ich hätte da tendenziell immer die Sorge, das durch eine Sicherheitslücke ein Malicious Code auf meinen Passwortmanager zugreift.

 

[RC23]

Danke für die Tipps.

...
* Browserplugin:
* KeePassXC sagen, dass es Browser Schnittstellen anbieten soll. Auf OK klicken.

Habe ich gemacht, nachdem ich den bisher untergetauchten OK-Button entdeckt habe... er war von der unteren Menü-Zeile mit den diversen Icons verdeckt. Ich habe jetzt Chrome und Chromium angekreuzt, da ich nicht weiß, zu welcher Gruppe Opera zählt.

* In die Einstellungen des Browserplugins gehen
* Dort "Connected Databases anklicken" und dann "Connect"

Nach Auswahl des Verbinden-Buttons im KeePassXC-Browser-Addon passiert leider nichts. Es kommt keine Verbindung zu KeePassXC zustande.

Aktuell stehen bei mir noch keine Daten in der Datenbank außer dem Master-Passwort. Muß ich vorher noch eine Datenbank anlegen, damit eine Verbindung von Browser-Addon zu KeePassXC aufgebaut wird ?

Bitte um Tipps, damit die Verbindung verknüpft wird.

* KeePass will an der Stelle eine Bestädigung ob die Verbindung gewährt werden soll und bittet dich die Verbindung eindeutig zu benennen
* fertig

Das wäre der nächste Schritt.

 

[Piktogramm]

Das Browserplugin listst die Verbindung in seinen Einstellungen aber gerade auch nicht...

und in den Datenbankeinstellungen wurde der entsprechende Wert gesetzt:

Als Bestandteil der Datenbank muss diese gegebenenfalls gespeichert werden

 

[RC23]

Danke für die Hilfe mir via Screenshots auf die Sprünge zu helfen.

In KeePassXC habe ich eine Datenbank für neue Passwörter angelegt, da eine Datenbank offenbar notwendig ist - ob Firefox oder Opera dürfte egal sein -. Link

Beim Verbinden des Browser-Plugins mit KeePassXC sollte eine Abfrage kommen, mit welcher KeePassXC Datenbank verbunden werden soll. Bei Dir sieht das so aus:

Bei mir kommt keine Abfrage, wenn ich den Button "Verbinden" auswähle.

Irgendetwas mache ich noch falsch. Bleibe am Thema dran.