Praktischer Umgang mit Passwortmanagern unter Linux?

X-Worf · 21. März 2025

Derzeit probiere ich gerade PW-Manager unter Linux aus. Die Grundfrage ist, ob es dazu irgendwelche Dinge zu beachten gibt, die besser und schlechter sind bzw. wie es am flüssigsten anwendbar ist.

Setting:
Fedora 41 KDE
Bitwarden (als Test)
KeePassXC

Wunsch:
Normalwichtige Zugänge verfügbar machen und nutzen.

Bislang liefen meine PW-Manager unter Android (GOS). Daher waren Passkeys bisher keine Option. Unter Linux ist das aber echt bequem. Vor allem gefällt es mir, dass man mehrere Passkeys anlegen kann.

Flatpack oder AppImage?
KeePassXC habe ich als Flatpack (Fedora Linux) installiert. Gibt es aber auch als AppImage.
Bitwarden habe ich als AppImage installiert und wird mit Gear Lever verwaltet.

Als Flatpack kann ich es zumindest automatisch starten lassen.
AppImages nicht, bzw. vermutlich nur über Skripte o.Ä., was ich als Anfänger (noch) nicht beherrsche.

Gibt es bzgl. Passwortmanger irgendwelche grundlegenden Vor- oder Nachteile bzgl der Installationsart? (ähnlich zu Browsern bspw.)

Persönlich tendiere ich zu AppImages, wenn verfügbar. Die paar mehr Klicks sind ok.

Passwörter
Beim ersten Login brauche ich Passwörter. Die sind leider lang und komplex... das macht es echt mühsam. Entweder ich mache das einfacher und kürzer (oder switche auf Passphrases), oder schicke es mir z.B. über ThreemaWeb zu. Denn letztendlich geht es ja nur um einen Tresor, der nur Zugänge zu Shops & Foren beinhaltet. So ein PW würde ich dann auch mal im "Master"-Tresor speichern.

Bitwarden wird derzeit über 2FA (Aegis) zusätzlich gesichert.
KeePassXC soll noch eine Schlüsseldatei bekommen.

Von daher könnte das Tresor-PW tatsächlich auch kürzer sein (12-16 Zeichen).

Schwierig finde ich, dass C&P länger in Zwischenablage landet, die geloggt wird. Bei Android habe ich da weniger Bauchschmerzen, da es dort eh nach X-Sekunden gelöscht wird. Von daher möchte ich die Zwischenablage eigentlich vermeiden, oder ich muss mich noch genauer informieren, wo welche Daten geloggt werden bzw. wie lange bis zum Überschreiben.

Browsererweiterungen
Arg, das will ich nicht! Aber damit kann ich Passkeys nutzen (ohne sehe ich noch keine Möglichkeit) und ich umschiffe das Logproblem in der Zwischenablage. Das scheint mir der derzeit praktischste und kurioser Weise sicherste Weg zu sein.

Beide Erweiterungen gleichzeitig führen zum Problem, dass eines immer als default gilt und irgendwie nicht umgestellt werden kann (Brave). Ist aber auch egal, weil ich eh zu KeePassXC tendiere und Bitwarden wohl wieder lösche oder ggf. als Backup nutze. Aber eigentlich vertraue ich der Lösung mit KeePassXC und Cloud über Crytomator mehr.

Frage
Wo sind die Knoten in den Gedanken und was haltet ihr für den besten Weg?

Skudrinka · 21. März 2025

X-Worf schrieb:
und was haltet ihr für den besten Weg?

Wenn du so fragst, selfhosted Vaultwarden mit lokalem HTTPs Zertifikat.
Über Wireguard auch sicher unterwegs nutzbar.
Seit dem ich es eingerichtet habe, bin ich verliebt! 🥰

X-Worf · 21. März 2025

selfhosted fällt bei mir aus. Ich lerne ja gerade erst Linux kennen, da hoste ich noch nichts selbst, was ich nicht zuverlässig härten kann.

Skudrinka · 21. März 2025

Wenn du einem externen Dienstleister vertrauen kannst, dann wäre meine nächste Empfehlung https://bitwarden.com/
Vaultwarden ist am Ende nur die open source Variante von Bitwarden, welche man selber hosten kann.
Finde ich eben praktisch, dass du somit an allen Entgräten auf deine PWs zugreifen kannst.
Zuhause oder unterwegs, über dem Browser, in der App oder auf der Webseite.

die_amsel · 21. März 2025

meine empfehlung ist keepassxc https://keepassxc.org/
das datenbankfile mit syncthing nach bedarf über das lokale netzwerk verteilen.

Der_Dicke82 · 21. März 2025

Moin moin,

+1 für keepassx

Allerdings würde ich ein Paket vom nativen Paketmanager des OS immer dem appimage oder flatpak vorziehen. Aber ich bin auch oldschool.

Also in deinem Fall einfach

Bash:

sudo dnf install keepassxc

Ins terminal und alle updates kommen über das Fedora Paketsystem.

lolinternet · 21. März 2025

X-Worf schrieb:
Schwierig finde ich, dass C&P länger in Zwischenablage landet, die geloggt wird.

Nutze selbst KeepassXC auf Linux jedoch ohne Firlefanz. Wichtige Passwörter die sehr lang, random aber eben "sicher" sind speichere ich dort. Eigentlich werfe ich Keepass immer nur dann an, wenn der Login erneuert werden muss. Aber tatsächlich landet bei mir hier unter Arch/KDE kein kopiertes Passwort im Zwischenablage-Verlauf und ist nach 10 Sekunden auch nicht mehr "kopierbar". Habe das Paket aber nativ installiert.
Zum Cloudgedöns kann ich nichts sagen. Bin da recht "unvorsichtig" und habe mir die Datenbank einfach als Bilddatei an eine meiner Emails geschickt. Da liegt sie nun seit Jahren und fällt nicht wirklich auf, vor allem bei meinem Chaos das dort herrscht..

gaym0r · 22. März 2025

Skudrinka schrieb:
Vaultwarden ist am Ende nur die open source Variante von Bitwarden, welche man selber hosten kann.

Nicht wirklich.

Skudrinka · 22. März 2025

@gaym0r Sondern?
https://github.com/dani-garcia/vaultwarden

gaym0r · 22. März 2025

@Skudrinka
Das ist eine komplett eigenständig Entwicklung, die halt mit dem Bitwarden Client kompatibel ist - technisch hat das nichts mit dem offiziellem Bitwarden zu tun. Zu behaupten es sei die Open-Source Variante von Bitwarden ist faktisch falsch und irreführend.

foofoobar · 22. März 2025

Alternative:

Code:

openssl aes-256-ctr -a -salt -pbkdf2 -in secrets.txt -out secrets.txt.enc
openssl aes-256-ctr -d -a -pbkdf2 -in secrets.txt.enc | less

openssl rand -base64 20

Term0al · 22. März 2025

X-Worf schrieb:
Derzeit probiere ich gerade PW-Manager unter Linux aus.

Schwierig finde ich, dass C&P länger in Zwischenablage landet, die geloggt wird. Bei Android habe ich da weniger Bauchschmerzen, da es dort eh nach X-Sekunden gelöscht wird. Von daher möchte ich die Zwischenablage eigentlich vermeiden, oder ich muss mich noch genauer informieren, wo welche Daten geloggt werden bzw. wie lange bis zum Überschreiben.

KeepassXC-(CLI) nutze ich sehr gerne. Baue es mir als Paranoiker aber lieber selbst (libminizip, Botan > KeepassXC). Die Default-Einstellungen wie Algorithmus, Iterationen, Threads und Speicher passe ich entsprechend meiner Hardware an.

Zwischenablage.. die lösche ich hinterher mit "xclip".

|Moppel| · 22. März 2025

Habe Keepass und Bitwarden genutzt.

Aktuell nur noch Bitwarden weil es komfortabel gerade für viele Geräte ist.

Laptops, Desktops, Handy mit Windows Linux alles querbeet.

Donnerkind · 22. März 2025

Ich nutze seit vielen Jahren Keepass (später XC) und es tut seinen Job. Es beherrscht auch TOTP und kann als Authenticator dienen. Die Datendatei synchronisiere ich mit Unison zwischen mehreren meiner Rechner hin und her. Das geht auch im laufenden Betrieb prima.

Am Anfang meiner Linuxzeit habe ich das KDE-eigene KWallet für alles genutzt. Aber das ist halt erstens nicht portabel und zweitens nicht so leicht abzugleichen.

X-Worf schrieb:
Schwierig finde ich, dass C&P länger in Zwischenablage landet, die geloggt wird.

Was loggt die Ablageinhalte? Wenn ich was in KeepassXC kopiere, löscht es das nach 10 Sekunden. Ich habe mal nachgeschaut: in Klipper (dem Zwischenablageverwalter von KDE) taucht der kopierte Inhalt überhaupt nicht erst auf.

X-Worf schrieb:
Browsererweiterungen
Arg, das will ich nicht!

Warum nicht? Besser als die PWer im Browser selbst zu speichern ist es allemal. Und wenn man Wayland benutzt, funktioniert Autotype ja auch nicht mehr. KeepassXC ist tatsächlich einer der letzten Gründe, warum ich weiterhin X nutze. Autotype kann man nämlich auch auf mehrstufige Anmeldeseiten anpassen.

andy_m4 · 22. März 2025

Donnerkind schrieb:
Besser als die PWer im Browser selbst zu speichern ist es allemal.

Ja. Ist besser. Aber ein solches AddOn schwächt natürlich auch immer die strikte Trennung zwischen Passwortmanager und Browser. Man kann sagen: Wenns gut programmierst ist, dann kann da nichts passieren. Aber wenn "wir" das mit dem gut programmieren tatsächlich beherrschen würden, könnte man auch den Browser-Passwortmanager nehmen. :-)

Donnerkind · 22. März 2025

andy_m4 schrieb:
Aber wenn "wir" das mit dem gut programmieren tatsächlich beherrschen würden, könnte man auch den Browser-Passwortmanager nehmen. :-)

Wenn es nur um den Browser ginge, ja. Aber dann würden die Daten nur im Browser existieren. Mit einem zentralen Programm kann man sie überall nutzen, z.B. in der Konsole beim Mounten eines webdavs, oder in einer nativen Anwendung.

andy_m4 · 22. März 2025

Donnerkind schrieb:
Wenn es nur um den Browser ginge

Sehe ich genauso. Ich hab mich aber auf das bezogen, was Du schriebst.

foofoobar · 23. März 2025

andy_m4 schrieb:
Ja. Ist besser. Aber ein solches AddOn schwächt natürlich auch immer die strikte Trennung zwischen Passwortmanager und Browser.

Die Trennung zwischen Prozessen welche mit der selben UID laufen würde ich nicht unbedingt als "strikt" bezeichnen.

bam138 · 23. März 2025

Ich nutze auf allen Endgeräten Bitwarden.

andy_m4 · 23. März 2025

foofoobar schrieb:
Die Trennung zwischen Prozessen welche mit der selben UID laufen würde ich nicht unbedingt als "strikt" bezeichnen.

Aber immer noch stärker als als wenn man einen gemeinsamen Adressraum hat.
Eine strikte Isolation im Sinne von 100% will man ja eh nicht haben, weil Du dann keine Passwörter in den Browser einfügen könntest. Logisch, oder?

Praktischer Umgang mit Passwortmanagern unter Linux?

Lieutenant

Fleet Admiral

Lieutenant

Fleet Admiral

Cadet 3rd Year

Lt. Commander

Ensign

Commodore

Fleet Admiral

Commodore

Captain

Cadet 3rd Year

Captain Pro

Lt. Commander

Admiral

Lt. Commander

Admiral

Captain

Cadet 3rd Year

Admiral

Ähnliche Themen

Passend zum Thema