Allein an der Anzahl der kursierenden Passwortverwaltungen lässt sich schon ermessen, welchen Stellenwert ein sicherer und komfortabler Passwort-Safe bei den Anwendern besitzt. Dieser kritische Beitrag will aber keine Lösung wie Lastpass, Keepass-X, Revelation, Password Safe oder One-ID zum Allheilmittel erklären, sondern eher die Grenzen aufzeigen: Eventuell brauchen Sie gar keine externe Software für diesen Zweck.
Lokale Passwörter mit Keepass-X
Nur noch wenige Passwortmanager wie das bewährte Keepass-X arbeiten als rein lokale Software auf dem Rechner. Das ist im Prinzip die sicherste Lösung, weil die Daten in diesem Fall den Rechner nicht verlassen. Das Öffnen der lokalen Datenbankdatei erfordert die Eingabe des Master-Passworts und ist daher auch bei physischem Fremdzugriff geschützt. Der große Nachteil liegt aber auch auf der Hand: Wer mehrere Rechner oder Geräte nutzt, hat dort je unterschiedliche Passwortdaten, die sich nur relativ mühsam manuell synchronisieren lassen. Im Falle von Keepass-X müsste die verschlüsselte KDB-Datei (standardmäßig im Home-Verzeichnis des Users) in der aktuellsten Form jeweils auf die Geräte mit älteren Daten kopiert werden. Dies ist nicht nur lästig, sondern führt erfahrungsgemäß dazu, dass gelegentlich Daten überschrieben werden, weil der Rechner, der die KBD-Datei empfängt, doch ein paar jüngere Einträge enthielt. Zumindest für PCs und Notebooks mit Linux und Windows lässt sich Keepass-X aber durchaus zum synchronisierten Passwortmanager aufwerten. Sie brauchen nur einen FTP-Server oder einen Cloud-Speicher, wohin Sie die KBD-Datei immer nach dem Einsatz von Keepass-X kopieren und immer vor dem Einsatz der Software abholen. Dafür reicht ein Tool wie curl, wie in anderem Zusammenhang unten beschrieben.
Noch einfacher ist der Abgleich über den lokalen Synchronisierungsordner einer Cloud wie Dropbox. Dann genügt es, Keepass-X mit der immer aktuellen KBD-Datei über den Aufruf
keepassx ~/Dropbox/[name].kbd
zu laden. Dieser direkte Aufruf der Datenbank mit dem Pfadnamen funktioniert unter Linux wie Windows. Der Cloud-Ordner muss für diesen Zweck nicht verschlüsselt sein, weil Keepass-X selbst für sichere Verschlüsselung sorgt. Keepass-X ist in den Paketquellen enthalten und etwa unter Debian/Ubuntu mit
sudo apt-get install keepassx
schnell installiert. Ihre Datenbank müssen Sie mit „Datei -> Neue Datenbank“ und Vergabe eines Hauptpassworts anlegen. Einzelne Datensätze erstellen Sie dann über „Einträge -> Neuen Eintrag hinzufügen“. Keepass-X hat eine einfache Oberfläche und lässt sich mit Gruppen übersichtlich gliedern. Dennoch bedeutet der Aufbau einer neuen Passwortsammlung einigen Aufwand. Auch fehlt die Integration in den Browser: Am einfachsten ist es, Passwörter über die Zwischenablage nach Rechtsklick auf einen Eintrag zu übergeben. Keepass-X hat für diesen Notbehelf einen Timeout eingebaut (Standard: 20 Sekunden), wann die Zwischenablage aus Sicherheitsgründen wieder geleert wird. Keepass-Add-ons für Firefox (Passfox) und Chrome/Chromium (Chromepass) sind ebenfalls nur Workarounds.