Plug-in-System von Keepass 2.x
Der Passwortmanager Keepass bietet ein mächtiges Plug-in-System. Wer aber auf Nummer Sicher gehen will, sollte lieber auf die Erweiterungen verzichten.
Ich bin seit vielen Jahren zufriedener Nutzer des freien Passwortmanagers Keepass 2.x. Der Hype um Bitwarden, Lastpass, 1Password und wie sie alle heißen, ist daher weitgehend an mir vorbeigegangen. Warum sollte ich auch ein gut laufendes System ändern, wenn es sicher ist und funktioniert?
Für Keepass sprechen aus meiner Sicht die folgenden Punkte:
- bewährte Oberfläche, die nicht besonders schick, aber leicht verständlich ist
- die Datenbank wird durch ein Master-Passwort geschützt und automatisch verschlüsselt (essentiell, da ich sie in einem Cloud-Speicher ablege)
- gespeicherte Zugangsdaten kann ich per Tastendruck auf Webseiten einfügen
- Open-Source
- free as in beer
- erweiterbar mit Plug-ins
- negativ ist, dass Keepass nur unter Windows läuft, aber damit kann ich (momentan) noch gut leben
KeepassXC hat die modernere Oberfläche, unterstützt aber unter anderem keine Plug-ins. Dabei ist das Plug-in-System von Keepass ein echter Mehrwert.
So nutze ich unter anderem die folgenden Erweiterungen für Keepass 2.x:
- HIPBOfflineCheck: Das Plug-in erweitert die Keepass-Datenbank um eine Spalte mit Informationen über bei Have I Been Pwned aufgeführte Passwörter. Bei (vermutlich) einzigartigen Passwörtern steht dort "Secure", bei bereits anderweitig verwendeten oder bekannten Passwörtern steht dagegen "Pwned" sowie "Passwort Count: xx", also wie oft das Passwort dort gelistet ist. Das Plug-in führt die Checks offline durch. Per Doppelklick auf eine Zeile in der Spalte "Have I been pwned?" ist aber auch ein gezielter Online-Check möglich. Dabei überträgt das Plug-in aber nicht das Passwort, sondern errechnet seinen SHA1-Wert und vergleicht nur diesen.
- KeeTrayTOTP: Damit kann Keepass auch zeitlich begrenzte Einmalpasswörter (Time-based One Time Passwords, TOTPs) für Multifaktor-Authentifizierungen erzeugen. Auf Wunsch erstellt es sogar QR-Codes, die sich mit dem Smartphone scannen lassen.
Die Keepass-Webseite bietet eine Übersicht über verfügbare Plug-ins.
Andreas Th. Fischer
Sind Keepass-2-Plug-ins überhaupt vertrauenswürdig?
Eine andere Frage ist, wie weit man den Keepass-2-Plug-ins vertrauen kann oder will? Das ist nur schwer zu beantworten. So haben sich die konkurrierenden KeepassXC-Entwickler nach eigenen Angaben sogar absichtlich dafür entschieden, keine Plug-ins zu unterstützen, weil sie sie für "inherently dangerous" halten.
Weiter schreiben sie, dass sich um viele der Keepass-2-Plug-ins "kaum jemand kümmert", manche hätten zudem "bekannte Schwachstellen, die wahrscheinlich nie behoben werden". Außerdem würden sie in der Regel nicht so gründlich auf Sicherheitslücken getestet, wie sie es selbst bei KeepassXC machen würden. Das sind valide Einwände.
Mehr Sicherheit würde das Plug-in-System von Keepass bieten, wenn die Erweiterungen keine Internetzugriffe hätten. Wie das obige Beispiel HIBPOfflineCheck jedoch zeigt, dürfen Keepass-2-Plug-ins sowohl auf die gespeicherten Passwörter als auch auf das Internet zugreifen. Ein potentieller Datendiebstahl ist damit also durchaus möglich.
Außerdem wurden viele der etwa 100 inoffiziellen Plug-ins für Keepass seit Jahren nicht mehr aktualisiert. Wer also auf Nummer sicher gehen will, der sollte besser auf die Erweiterungen für seinen Passwortmanager verzichten oder nur solche nutzen, deren Code von unabhängiger Seite geprüft wurde. Aber welche sind das schon?
