Sichere Passwörter mit KeePass über mehrere Geräte synchronisieren

In Anbetracht der aktuellen Heartbleed-Geschehnisse habe ich über meine persönliche Passwort-Misere nachgedacht. Nach einem bestimmten Namensschema hatte ich versucht, pro Website ein eigenes Passwort zu definieren, außerdem gab es noch ein simples Standard-Passwort, welches bei entsprechend vielen Webdiensten, die ich “nur mal ausprobieren” wollte hinterlegt war. Ihr kennt das.

Natürlich waren alle Passwörter aus Bequemlichkeit im Google-Chrome-Passwort-Manager gespeichert und wurden über mehrere Geräte synchronisiert. Dazu kamen noch iPad und iPhone mit einem eigenen Passwort-Speicher.

Das ist alles nicht schön und aus Security-Perspektive ziemlich fahrlässig.

Nach einem kurzen Experiment mit Lastpass habe ich mir gedacht, dass ich mich am wohlsten fühle, wenn ich die Hoheit über meine Passwörter selbst behalte. Außerdem möchte ich schon aus Prinzip meine Passwörter einer Open-Source-Software anvertrauen, wenn auch durch Heartbleed klar wurde, dass das nicht unbedingt ein Qualitätskriterium ist.

Deswegen bin ich nun zu folgender Lösung gekommen:

  • KeePass legt die Datenbank zuhause auf das Synology-NAS (Windows-Freigabe)
  • Auf einem zweiten Rechner wird diese via WebDAV direkt aus KeePass heraus geöffnet (Datei von URL öffnen)
  • Auf iPad und iPhone nutze ich KyPass, ebenfalls mit WebDAV-Integration
  • Die Integration in Google Chrome funktioniert mit ChromeIPass und KeepassHttp hervorragend. Hier empfehle ich, die Option “Request for unlocking if the database is locked” in den KeePassHttp-Optionen zu aktivieren und KeePass so einzustellen, dass es automatisch nach einiger Zeit und beim Sperren des PCs gesperrt wird.
  • ChromeIPass bietet hier einen bequemen Autofill-Mechanismus inklusive der Generierung neuer Passwörter, sodass man nun keine Ausrede mehr hat, dass sichere Passwörter umständlich sind.
  • Der integrierte Passwortmanager und “AutoSafe” sind natürlich deaktiviert

Alle Passwörter sind nun zufällige, 20-stellige Zeichenketten, bis auf wenige Ausnahmen die ich regelmäßig “tippen” muss.

Ich kann diesen Schritt nur jedem ans Herz legen, und wenn es nur dazu dient, mal alle seine Webdienste abzuklappern und Accounts zu löschen, die man nicht mehr benötigt.

12 Replies to “Sichere Passwörter mit KeePass über mehrere Geräte synchronisieren”

  1. Hallo,

    danke für den super Artikel.

    Ein kurze Frage. Ich öffne auch die Datenbank Datei von NAS (Synology) via WebDAV. Ist es dann auch notwendig diese noch extra unter DATEI-> Synchronisieren zu syncen? oder syncst Du dann gar nicht? weil die datenbank ja eh bei jedem Start von KeePass neu geladen wird?

    1. Danke!
      Nein, ein Sync ist dann nicht mehr notwendig. Ich habe mir nur noch einen lokalen Sync eingerichtet, d.h. dass nach dem Öffnen die Datei mit einer lokalen synchronisiert wird, damit ich meine Passwörter auch habe falls ich mal offline bin oder das NAS aus ist.

  2. hallo zusammen,
    ich gehe mit meinem bestreben noch weiter und möchte erst gar keine daten über das internet transportieren. aktuell nutze ich 1password mit nur lokalem sync im heimischen wlan. leider bekomme ich neben dem mac das macbook nicht richtig synchronisiert, daher interessiere ich mich für deine methode…
    benötige ich bei der verwendung von kypass zwingend eine lebende verbindung zur webdav anbindung des nas? falls ja wäre das natürlich ein showstopper für mich. ich benötige das webdav eigentlich nur zum synchron halten der daten. ohne permanente verbindung müsste quasi eine lokale kopie von kypass verwendet werden. ist das der fall?
    vielleicht kann mir das jemand beantworten. ich scheue mich nicht, die 6 oder 7 € für das programm zu investieren, aber ich möchte das nicht vergebens tun 😉

    thx kk

    1. Die Datei wird immer als lokale Kopie vorgehalten. Mittlerweile liegen die Dateien nicht mehr “direkt” auf der Synology sondern dort läuft eine OwnCloud, deren Client mir immer die Dateien auf die Geräte synct. Im Falle vom iPhone nutze ich nach wie vor Kypass, welches via WebDav auf die OwnCloud zugreift.
      Aus meiner Sicht die beste Lösung, da es auch ohne online Zugriff funktioniert, so wie von dir gefordert.

      1. Hallo Fabian,

        ich wäre an einer genauen Anleitung interessiert. Leider bekomme ich über das kypass3 keinen Connect zu meiner Synology.

        Grüße Steffen

        1. Was soll ich da schreiben 😉
          High level: Webdav aktivieren, entsprechenden Port am Router freigeben und an das NAS weiterleiten. DynDNS im Router aktivieren und von nun an über den DynDNS Host und den freigegebenen Port via WebDAV auf die kdbx-Datei zugreifen. Es gibt im Netz sicherlich hunderte Anleitungen zum Thema…

  3. nabend,
    das klingt gut. dann werde ich das mal nächste woche in angriff nehmen und mir die paar euronen ans bein binden 😉

    ich habe es heute noch mal mit einem folder sync innerhalb von 1password versucht. dieser folder liegt dann auf der nas. funktioniert auch wunderbar, wenn die nas verfügbar ist. aber so ein macbook ist halt ortsveränderlich…und wenn 1password den definierten sync ordner nicht finden kann, hagelt es fehlermeldungen. vor lauter wegklicken der dislogboxen kommt man gar nicht zur eigentlichen verwendung der app.

    was mich daran besonders nervt ist der umstand, dass man auf herstellerseite diesem umstand überhaupt nicht einsieht. “verwenden sie dropbox und alles funktioniert!”. stimmt schon, aber wenn man keine cloud lösung will?

    ich teste das mal und melde mich dann wieder. vielen dank erst mal für die klärenden worte und für diesen artikel.

    mfg kk

  4. nabend,
    konnte nicht abwarten 😉
    lösung sieht jetzt wie folgt aus…:

    auf dem mac und dem macbook läuft der cloud station client, der das Verzeichnis auf der nas (mit der .kdbx dabei) synchron hält. auf der nas laufen also die dienste cloud station und webdav. das iphone und das ipad finden diese datei via webdav auf der nas. mit dieserlösung kann ich gut leben…

    was 1password an dieser stelle besser macht ist, dass auch einzelne geänderte einträge jeweils die neueren einträge übernehmen und auf die geräte synct. vermutlich weil für jeden eintrag ein eigenes objekt mit entsprechenden timestamp angelegt wird. keepass/kypass kann nur die komplette dabei beurteilen, nicht aber die einzelnen einträge innerhalb der datei.

    wenn man sich das im hinterkopf behält und etwas logisch synct, hat man keine probleme. dafür funktioniert keepass auch ausschliesslich im heimischen lan, ohne dass man die daten quer durchs internet schicken muss (auch wenn verschlüsselt). die nsa kann vpn-tunnel in echtzeit entschlüsseln. denke eine kleine .kdbx datei ist da kein ernstes hindernis…das thema nsa muss man hier nicht weiter vertiefen. es klappt alles, das reicht.

    danke und ein frohes fest!

    kk

  5. Hört sich gut an. Werde ich jetzt auch mal in Angriff nehmen. Wie machst du das mit dem privaten Schlüssel? Nutzt du einen?

  6. moin,
    ich verwende nur ein pw für die datei, welches sich am iphone auch mit einem fingerabdruck abbilden lässt.

    ich hatte aber gestern das problem, dass ich unterwegs am ipad einen neuen eintrag erstellt habe und die ios app sich dann zu hause nicht mit der nas via webdav syncronisieren wollte. ich musste erst eine änderung am datenbestand auf dem ipad herbeiführen, um eine syncronisierung gegenüber der nas anzustossen.

    das ist natürlich mist. wenn das nicht klappt und man das erst umständlich anstossen muss, dann läuft man gefahr es zu vergessen und die syncronisierung geht u.u. nach hinten los, wenn man an einem anderen gerät eine neuere datei erzeugt und die änderung auf dem (z.b.) ipad überschrieben wird.

    ich weiss nicht, wo da das problem ist. verbindung zur nas ist gegeben, vlt. ein fehler in der app oder ein fehler im ios? ich nutze noch das 9.3.5, will aber deswegen noch nicht auf das 10.2 updaten…

    1. Meiner Erfahrung nach versucht Kypass immer gleich nach der Änderung die Datei hochzuladen. Ggf. lag es daran.
      Aber Internetzugriff auf das NAS mittels eines vorgeschalteten NGINX mit Letsencrypt-Zertifikaten als Reverse Proxy sollte sicher genug sein 😉

Leave a Reply

Your email address will not be published. Required fields are marked *