Jediblog

9. Dezember 2017 | IT

Lastpass vs KeepassXC

An dieser Stelle soll ausnahmsweise kein Plädoyer für Passwort-Manager gehalten werden – davon gibt es bereits mehr als genug. Stattdessen soll der Weg von einem kommerziellen Passwort-Manger wie LastPass zu einer freien Alternative aufgezeigt werden.

Geschichte

Über LastPass kann ich persönlich nur Gutes berichten. Es war bei mir fünf Jahre im Einsatz, hat meine Anforderungen (siehe unten) erfüllt, der Support war gut und der Preis mit 12 $ / Jahr angemessen. Die ebenfalls verfügbare kostenlose Variante hatte ursprünglich den Nachteil, dass eine Synchronisation zwischen verschiedenen Geräteklassen nicht möglich war. Man musste sich also entscheiden: LastPass auf dem Handy oder LastPass auf dem Laptop. Die Einschränkung gibt es nicht mehr, so dass LastPass inzwischen auch in der kostenlosen Variante meine Anforderungen erfüllt. Dafür kostet das Premium-Abo jetzt 24$ / Jahr.

Anforderungen

  • sichere Aufbewahrung meiner Passwörter
  • Verfügbarkeit auf all meinen Geräten
  • vernünftige Integration in die verwendeten Browser und Apps

Der einfache Weg

LastPass erfüllt die genannten Anforderungen, wenn man darauf vertraut, dass die Passwörter sicher auf den Servern von LastPass aufgehoben sind. Auch Zwei-Faktor-Authentifizierung wird unterstützt, also bitte: lastpass.com

Der schöne Weg

Mit KeePassXC, einem Fork von KeePassX, gibt es eine open-source Alternative, die unter Windows, OS X und Linux funktioniert. Für Android gibt es mit Keepass2Android ebenfalls eine Möglichkeit, auf die Passwortdatenbank zuzugreifen. Browser-Plugins existieren sowohl für Chrome als auch für Firefox und nein, andere Browser werden unter der Überschrift „Der schöne Weg“ nicht aufgeführt. Abgerundet wird das Ganze mit Nextcloud, so dass die Passwörter auch zwischen allen Geräten synchronisiert werden können.

Wer keinen Zugriff auf eine eigene Nextcloud-Installation hat, kann natürlich auf andere Dienste wie Dropbox zurückgreifen, verliert dann aber (zumindest teilweise) den in meinen Augen entscheidenden Vorteil gegenüber LastPass: Herrschaft über die eigenen Daten.

Aller Anfang ist schwer

Zunächst will man KeePassXC auf einem PC/MacBook/Laptop installieren, es sei denn man hat wirklich viel zu viel Zeit und möchte die Passwortdatenbank initial auf mit zwei Daumen erstellen.

Eine neue Datenbank ist schnell erstellt, dass ein sicheres Passwort und idealerweise zusätzlich eine Schlüsseldatei verwendet werden sollte, versteht sich von selbst.

Die Schlüsseldatei ist gleichzeitig der Grund für die obige Einschränkung „zumindest teilweise“, denn so lange die nicht ebenfalls in der Dropbox liegt – wovon an dieser Stelle stark abgeraten wird – ist die Datenbank relativ nutzlos. Aber es geht hier ja auch ums Prinzip, also bleibt es bei der Nextcloud-Empfehlung.

Was dann kommt ist das Größte Hindernis bei der Benutzung eines jeden Passwortmanagers. Jede Webseite, jeder Account, alles, wofür man ein Passwort verwendet, muss nun manuell eingegeben werden. Wer bis dato keinen Passwortmanager verwendet, kann die Gelegenheit dafür Nutzen, seine alten Passwörter zu ändern und durch zufällige, sichere und neue Passwörter zu ersetzen.

Nach Stunden oder Tagen des Anlegens von Accounts in der Datenbank lässt sich KeePassXC prinzipiell benutzen. Über die Suchfunktion lassen sich die richtigen Passwörter schnell finden, Benutzername und Passwort können per Tastenkürzen (STRG+B bzw. STRG+C) kopiert und in den entsprechenden Anmeldefeldern wieder eingefügt werden.

Ab jetzt ließe sich KeePassXC benutzen, jedoch nur auf dem einen Gerät. Außerdem müsste man dafür sorgen, dass regelmäßig ein Backup der Datenbank und der Schlüsseldatei angelegt wird, ansonsten könnte man große Probleme bekommen, wenn eins von beiden verloren geht.

Benutzerfreundlichkeit ist entscheidend

Ist man bislang gewohnt überall auswendig sein (womöglich immer gleiches) Passwort einzugeben, mag der Umweg über KeepassXC langsam erscheinen. Das ändert sich schlagartig, wenn für eine vernünftige Browser-Integration gesorgt wird. Hier kann ich ChromeIPass für Chrome und KeePassHttp-Connector (ein Fork von PassIFox, der Firefox-Version von ChromeIPass) für Firefox empfehlen.

Die Browser-Plugins kommunizieren mit KeePassXC über eine HTTP-Schnittstelle, die nur auf lokale Anfragen antwortet und auch dann nur, nachdem man es genehmigt hat, dennoch weisen die Entwickler darauf hin, dass das Feature auf eigene Gefahr verwendet werden soll.

Der KeePassHTTP-Server muss daher in den Einstellungen unter Browser-Integration manuell aktiviert werden. Anschließend verbindet man das Browser-Plugin mit KeePassXC (Plugin-Settings, Connected Databases, Connect) und gibt der Verbindung einen Namen.

Ab sofort werden Anmeldefelder automatisch erkannt. Bevor ein Feld ausgefüllt wird, fragt KeePassXC zur Sicherheit noch einmal nach, ob die Webseite A denn wirklich auf den Eintrag B zugreifen darf. Die einmal erteilte Erlaubnis kann sich KeePassXC aber merken, so dass man in Zukunft nicht mehr genervt wird.

Schappfotoändih!

Das bisherige Setup erlaubt eine komfortable Benutzung von KeePassXC auf einem Laptop, einem PC oder einem MacBook. Nun gibt es aber Menschen, die mit ihrem Mobiltelefon nicht nur Fotos machen und die wollen auf ihre Passwörter eventuell nicht verzichten, wenn sie mobil unterwegs sind.

Für diese Menschen existiert mit KeePass2Android eine App, mit der die zuvor erstellte KeePassXC-Datenbank geöffnet und sogar bearbeitet werden kann. Dafür muss zum einen die Datenbank selbst auf das Mobiltelefon kopiert werden, zum anderen die Schlüsseldatei. Letztere sollte gerade nicht zusammen mit der Datenbank in irgendeiner Cloud gespeichert werden, ansonsten verfehlt sie ihren Sinn.

Damit Anmeldedaten im Browser auch automatisch eingetragen werden können, wird ein Plugin benötigt, welches leider nur als APK verfügbar ist und damit aus einer unsicheren Quelle installiert werden muss. Die Funktion war bislang in KeePass2Android integriert, wurde aber entfernt, nachdem Google angekündigt hat, Apps, welche die Accessible-Services benutzen, ohne dabei nachweisbar für Menschen mit Behinderung gemacht zu sein, in Kürze aus dem Play Store zu entfernen. Das Plugin selbst wäre von dieser Maßnahme ebenso betroffen, so dass es nicht über den Play Store verfügbar ist.

Cloudify

So lange die Passwortdatenbank nicht in irgendeiner Cloud liegt, ist die Möglichkeit der Bearbeitung auf dem Handy sogar eher nachteilig, weil sie eine manuelle Synchronisation in beide Richtungen erforderlich macht. Andernfalls könnte man noch argumentieren, dass nicht täglich Änderungen an der Datenbank erfolgen und diese dann ab und zu manuell übertragen werden kann.

Mit der Cloud lässt sich dieses Problem jedoch relativ einfach lösen. KeePass2Android unterstützt diverse Cloud-Anbieter, die sich in der Regel ebenso einfach unter Windows/OS X/Linux einbinden lassen.

TL;DR

Mit ein paar open-source Tools und etwas Arbeit erreicht man denselben Komfort, mindestens dasselbe Maß an Sicherheit und ist unabhängig von irgendwelchen Anbietern, die ihren Dienst auch jederzeit einstellen könnten. Wer bisher keinen Passwortmanager benutzt, sollte ernsthaft darüber nachdenken, ob der Einstieg nicht sinnvoll wäre. Ein Umstieg von einem kommerziellen Anbieter zur hier vorgestellten Lösung ist im ersten Moment aufwendig, kann sich aber ebenfalls lohnen.