Passwortmanager KeePassXC – Passwörter sicher, schnell und automatisch an den Browser übergeben mit der Browserintegration

Wie funktioniert eine sichere und einfache Passwortverwaltung?

Hier lautet die Antwort natürlich, mit einem Passwortmanager!

Ich verwende den Passwortmanager „KeePassXC“, den ich hier im Blog auch schon einmal kurz in Verbindung mit einem YubiKey (*) vorgestellt habe. In dem Artikel beschreibe ich, wie der Zugriff auf den Passwortmanager zusätzlich zu einem Passwort noch mit einem Hardwaretoken abgesichert werden kann ➡ Passwortmanager mit YubiKey absichern.

Durch diese relativ einfach umzusetzende Maßnahme lässt sich das Schutzniveau noch weiter erhöhen. Jedoch besteht nach wie vor das Problem, dass Benutzernamen und Passwörter über die Zwischenablage aus KeePassXC kopiert und dann in den Webbrowser eingefügt werden müssen. Der Copy-Past-Prozess ist neben dem Sicherheitsaspekt auch sehr umständlich.

Man kann das Copy-Past durch einen automatisierten Prozess ersetzen und auch ganz nebenbei auch die Sicherheit erhöhen und zwar mit der „Browserintegration“.

KeePassXC – Browserintegration aktivieren

In KeePassXC müsst ihr die Browserintegration erst aktivieren, bevor ihr die nützen könnt.

Es werden euch in den Einstellungen einige Browser aufgelistet, für die dieses Feature genutzt werden kann. Je nachdem welchen Browser ihr verwendet, setzt ihr dort einen Hacken und speichert das Ganze mit einem Klick auf den Button „OK“ ab.

Browser – Erweiterungen installieren

In eurem bzw. euren Browsern müsst ihr noch die Erweiterung für die Browserintegration installieren. Erst nach der Installation findet der Browser den Passwortmanager, erhält Zugriff NACH Eingabe von Passwort und YubiKey-Kontaktbestätigung und bekommt Benutzernamen und Passwort mitgeteilt.

Damit ihr auch das richtige Plugin für euren Browser installiert, klickt bitte immer auf den Link in KeePassXC. Ihr werdet dann zur korrekten Erweiterung geleitet und könnt es in eurem Browser installieren.

KeePassXC und Browser verbinden

Nach der Installation der Browsererweiterung müsst ihr die mit eurem Passwortmanager verbinden. Ihr klickt dazu auf das Icon der Erweiterung und klickt dort auf den Button „Connect“. Vergebt einen Namen und gewährt den Zugriff auf KeePassXC und fertig.

Die verbundenen Datenbanken könnt ihr über die Erweiterung über „Optionen –> Verbundene Datenbanken“ einsehen.

Über diesen Weg könnt ihr die Verbindung zur KeePassXC auch löschen oder über den Button „“Verbinden eine neue Datenbank anschließen.

Ihr seht in der Tabelle auch eine Spalte mit dem Namen „Schlüssel“. Diesen Schlüssel verwendet die Browsererweiterung, um eine gesicherte Verbindung mit der Datenbank der Passwortverwaltung herzustellen. Es wird also die Zwischenablage, wie bei einem schnöden Copy+Past-Prozess nicht benötigt.

Weitere Einstellungen könnt ihr vornehmen, um die Browsererweiterung anzupassen, ist aber für den ersten Start nicht notwendig.

Mit diesen paar Handgriffen ist die Konfiguration bereits abgeschlossen und die Login Credentials können schon ausgetauscht werden.

Browserintegration im Live-Betrieb

Damit ihr die Funktionalität der automatischen Übergabe der Anmeldedaten an den Browser nutzen könnt, ist es ganz wichtig die richtige URL in das dafür vorgesehene Feld einzutragen.

Ruft ihr nun eine Seite auf, wie z.B. GMail, dann wird auf Grund der URL der entsprechende Eintrag in der Datenbank von KeePassXC gesucht und das Ergebnis euch zur Auswahl zurückgegeben.

Im Screenshot sehr ihr, dass die Browser-Erweiterung noch keinen Zugriff auf den Passwortmanager bekommen hat. KeePassCX ist noch gesperrt.

Mit einem Klick auf das Symbol wird KeePassXC in den Vordergrund geholt und das Passwort ist einzugeben und dann die Kontakte am YubiKey zu drücken. Erst dann bekommt die Browserintegration Zugriff auf die Datenbank und sucht dort nach der URL. Bei einem Treffer wird euch das ausgegeben und ihr könnt es mit einem Klick auf den Button „Auswahl erlauben“ eintragen lassen.

Setzt ihr zuvor noch einen Hacken bei „Merken“ werden die Login Credentials beim nächsten mal sofort angezeigt, natürlich nach dem vorherigen Entsperren der Datenbank mit Passwort und YubiKey.

Fazit

Meiner Meinung nach ist die Kombination aus Passwortmanager, YubiKey und Browser-Erweiterung eine sehr komfortable und sehr sichere Möglichkeit der Anmeldung an den unterschiedlichsten Diensten.

1. Der Passwortmanager übernimmt euch die Arbeit ab, sich Passwörter merken zu müssen. Zudem könnt ihr für jeden Dienst ein EIGENES und SEHR SEHR SEHR SEHR langes und komplexes Passwort vergeben.
2. Durch den Schutz der Passwortmanagers mit einem „Master Passwort“ ist der Zugriff darauf sehr einfach. Ihr benötigt lediglich noch EIN komplexes Passwort, dass ihr euch merken müsst und das ist für den Zugriff auf die Datenbank von KeePassXC. Das Passwort ist dabei die Komponente, die ihr euch merken müsst.
3. In Verbindung mit dem YubiKey habt ihr eine Zwei-Faktor-Authentifizierung. Der Hardwaretoken ist dabei die Komponente die ihr physikalisch besitzen müsst.
4. Die Browser-Erweiterung übernimmt das Übertragen der Anmeldedaten zwischen Passwortmanager und Browser auf einem sicheren Weg und vermeidet dadurch die Zwischenablage.

Aktuell gibt es aus meiner Sicht keine andere Möglichkeit seine Passwörter sicher und auch noch komfortabel und bequem zu verwalten.

Möchtet ihr den physikalischen Zugriff auf eure Passwortverwaltung noch weiter erhöhen, dann könnt ihr KeePassXC in einer portablen Version auch auf einem verschlüsselten USB-Stick, wie dem iStorage datashur PRO, hinterlegen.
Damit wird erst nach Eingabe eures Passworts am USB-Stick ein Mounten am PC zugelassen und anschließend greifen die Sicherheitsmechanismen, wie ober beschrieben.

Links

https://keepassxc.org/download/