Ein Passwort aufzuschreiben ist die schlechteste, weil unsicherste Methode, Kennwörter zu hinterlegen. Aber Linux-Enthusiasten und Admins müssen neben den täglich verwendeten Log-ins noch jede Menge weitere Account-Daten verwalten. Im Kopf? Nein, auch Admins und Cloud-Jongleure kommen nicht daran vorbei, sich die Log-ins irgendwo zu notieren. Sicher und komfortabel zugleich ist dabei Keepass X, zumal dieser Passwort-Safe plattformübergreifend ist sowie vertrauenswürdig durch Open Source.
Die Keepass-Familie: Versionsunterschiede
Das ursprüngliche Keepass mit der Versionsnummer 1.x begann vor über zehn Jahren als freies Open-Source-Programm für Windows. Es gibt inzwischen einen ganzen Stammbaum von Keepass, aber nur drei Varianten sind für Linux-Anwender relevant: Keepass 2, Keepass X und Keepass X 2.0. Alle diese Varianten liegen für Linux und Windows vor.
Keepass 2: Diese Weiterentwicklung von Keypass für Windows ist in C# und damit für .NET geschrieben. Daraus ergab sich die Möglichkeit, Keepass 2 mittels Mono auch für Linux zu übersetzen. Mono ist eine Runtime für Microsoft .NET unter Linux und nicht mehr Bestandteil aktueller Linux-Distributionen. Mono lässt sich meist unproblematisch nachinstallieren, aber Keepass 2 bleibt ein Windows-Programm, das sich optisch nicht gut auf einen Linux-Desktop einfügt. Einige Funktionen wie der Export einer Datenbank ins Format von Keepass 1.x sind unter Linux deaktiviert. Keepass 2 kann die Datenbankformate KDBX (Keypass 2), und KDB (Keepass 1.x) lesen sowie eine große Zahl von fremden Formaten importieren.
Keepass X: Diese Portierung des ursprünglichen Keepass 1.x läuft nativ unter Linux. Die Oberfläche nutzt Qt, sieht aber auch unter Unity und Gnome gut aus. Der Funktionsumfang ist geringer als jener von Keepass 2, erfüllt aber alle Voraussetzungen für ein komfortables Passwortmanagement. Es verwendet das Datenbankformat KDB (Keepass 1.x) und kann Daten von KDE Wallet, Pwmanager und unverschlüsseltes XML einlesen. Keepass X ist in den Repositories der meisten Linux-Distributionen vorhanden und damit die empfehlenswerte, unkomplizierte Lösung.
Keepass X 2.0: Die Weiterentwicklung von Keepass X ist offiziell noch in der Testphase, läuft aber bereits stabil genug für die tägliche Verwendung. Oberflächlich gibt es nur kleine Unterschiede zum Vorgänger. Die wichtigste Neuerung ist die Kompatibilität mit Keepass 2, da das gleiche Datenbankformat (KDBX) zum Einsatz kommt. Keepass X 2.0 ist in den Standard-Paketquellen der üblichen Linux-Distributionen noch nicht enthalten, aber es gibt für Ubuntu 14.04/14.10/15.04 ein PPA des Entwicklers mit fertigen Paketen.
Keepass X: Installation und erster Start
Keepass X finden Sie zur Installation einfach über den Paketmanager der verwendeten Distribution. In Debian/Ubuntu ist es mit dem Befehl
sudo apt-get install keepassx
ohne Umstände installiert. Auch Fedora und Open Suse bieten das Paket „keepassx“ an.
Wer in Ubuntu Keepass X 2.0 bevorzugt, um mit Keepass 2 kompatibel zu sein, installiert mit diesen Befehlen das neuere Paket aus dem PPA:
sudo add-apt-repository ppa:keepassx/daily
sudo apt-get install keepassx
Die Programme starten zunächst ohne Datenbank, da Sie diese zuerst manuell anlegen oder eine bestehende Datei öffnen müssen. Klicken Sie in Keepass X auf „Datei -> Neue Datenbank“ („Datenbank -> Neue Datenbank“ in Keepass X 2.0), und geben Sie im nächsten Dialogfenster ein wirklich sicheres Hauptpasswort ein. Standardmäßig wird die Datei mit AES und einer Schlüssellänge von 256 Bit chiffriert. Sie können statt eines Passworts auch eine Schlüsseldatei erzeugen, die Sie dann zum Entsperren der Datenbank benötigen, oder auch ein Hauptpasswort zusammen mit einer Schlüsseldatei kombinieren.
In der leeren Datenbank legen Sie mit „Gruppen“ Kategorien an und fügen dann mit Rechtsklick ins rechte Fenster neue Einträge für Log-ins, Passwörter und angehängte Dateien hinzu. Danach klicken Sie auf das „Speichern“-Symbol. Beim nächsten Start wird Keepass X die Datenbank automatisch laden und das Hauptpasswort abfragen.
Browser: So funktioniert Auto-Type
Ein Rechtsklick auf einen Eintrag kann die dort hinterlegten Daten wie Benutzernamen und Passwort in die Zwischenablage kopieren. Dort bleibt die Zeichenkette nur zehn Sekunden, weil Keepass X die Zwischenablage dann automatisch leert.
Eine andere Möglichkeit, Log-ins auf Webseiten automatisch auszufüllen, nennt sich Auto-Type. Dazu hinterlegen Sie in einem Datenbank-Eintrag im Feld „URL“ die Webadresse des Anmeldeformulars. Wenn Sie nun die Aktion „Auto-Type“ nach einem Rechtsklick auswählen, dann sucht Keepass X alle Browserfenster nach der hinterlegten URL ab und gibt dort selbständig die Log-in-Daten ein.
Passwortdatenbank synchronisieren
Läuft Keepass X auch auf anderen Linux-, Windows- oder Apple-Rechnern, dann brauchen Sie nur die Datenbank im Format KDB (Keepass X) beziehungsweise die KDBX-Datei (Keepass X 2.0) auf den Zielrechner kopieren. Da die Datei verschlüsselt vorliegt, ist jeder Übertragungsweg zulässig: USB-Stick, Mailanhang oder auch ein Cloud-Dienst wie Dropbox. Beachten Sie die Kompatibilität: Keepass X 2.0 ist abwärtskompatibel und öffnet KDB-Dateien, sofern diese mit AES verschlüsselt sind.
Umgekehrt kann Keepass X aber keine KDBX-Dateien der Version 2.0 lesen. Es empfiehlt sich daher, auf allen Rechnern die gleiche Version von Keepass X einzusetzen.
Kpcli: Shell-Zugriff auf die Passwort-Datenbank
Grafische Oberflächen sind auf Linux-Rechnern keineswegs allgegenwärtig, auf Servern oder Minicomputern eher die Ausnahme. Im Notfall können Sie aber auch in der Shell mit dem Kommandozeilen-Tool kpcli die Passwortdatenbanken von Keepass X und Keepass X 2.0 öffnen. Es ist in den Paketquellen von Debian (ab Version 8), Raspbian, Ubuntu, Fedora und Open Suse vorhanden. Mit
kpcli --kdb=[Datenbank]
starten Sie es, wobei der Platzhalter „[Datenbank]“ eine KDB- oder KDBX-Datei sein darf. Nach der Eingabe des Hauptpassworts öffnet sich eine Datenbank-Shell, auf der Sie ähnlich wie in einem Dateisystem mit „ls“ die Gruppen auflisten und mit „cd“ in eine Gruppe wechseln. Mit „show [Nummer]“ öffnen Sie dort einen Datenbankeintrag und können das rot hinterlegte Passwort im Terminal-Fenster kopieren und in die Zwischenablage kopieren.
(PC-Welt/ad)