Passwortspeicher sind kleine Tools, die Username/Passwort Kombinationen und weitere Informationen zu Accounts in einer verschlüsselten Datenbank verwalten. Es gibt Gründe, die für die Verwendung eines Passwortspeichers sprechen:

• Im Gegensatz zum Firefox Build-in Passwortspeicher werden alle Informationen verschlüsselt gespeichert, nicht nur die Passwörter.
• Das Backup wird deutlich vereinfacht. Man muss nur die verschlüsselte Datei der Datenbank auf ein externes Medium kopieren.

• In einem Passwortspeicher kann man viele Daten, PINs usw. zusammenfassen. Neben Username und Passwort muss man sich weitere Informationen merken wie z.B. die Antwort auf eine Security Frage oder PINs bei Bezahldienstleistern. Man hat alle Daten an zentraler Stelle zusammengefasst.

• Viele Programme (z.B. Pidgin) können Passwörter nur unverschlüsselt speichern, wenn man die Option zur Speicherung der Passwörter aktiviert (nicht empfohlen!). Andere Programme bieten keine Möglichkeit zur Speicherung von Passwörtern. Auch für diese Programme kann man den Passwortspeicher verwenden.
• Es gibt Passwortmanager, die die gespeicherten Login Credentials in die Cloud schieben, damit man einfach von unterschiedlichen Geräten darauf zureifen kann. Natürlich sind die Daten sicher verschlüsselte (behaupten die Anbieter). Diese Cloud-Passwortspeicher sind immer wieder Ziel von erfogreichen Angriffen wie Passwort-Manager von Click Studios gehackt (2021) oder NortonLifeLock Passwortmanager gefährdet - Nutzer sollten handeln (2022) und manchmal stellt sich heraus, dass die Daten möglicherweise doch nicht so ganz sicher verschlüsselt waren, wie beim Zugriff auf die Passworttresore der Kunden bei LastPass (2022).

Mir gefällt KeePassXC (Windows, MacOS, Ubuntu, Fedora) sehr gut. KeePassXC ist eine Weiterentwicklung der Community von KeepassX. Für Smartphones gibt es KeePassDX (Android) oder StrongPass (iPhone), die die verschlüsselten Datenbanken von KeePassXC nutzen können.

Neben der Übergabe der Passwörter via Zwischenablage (die u.U. unsicher ist) kann KeePassXC sichere Möglichkeiten nutzen, um die Login Credentials in Formularen einzugeben:

• Mit der AutoType Funktion simuliert KeePassXC eine virtuelle Tastatur und kann die Login Credentials direkt im Browserformular eingeben ohne die Zwischenablage zu benutzen.

• Mit dem Add-on KeePassXC-Browser für Firefox stellt der Browser eine direkte Verbindung zu KeePassXC her und kann auch Einträge in die Datenbank schreiben.

  Bei dieser Integration wird auch die URL der Seite überprüft und damit verhindert, dass die Login Credentials auf einer Phishingseite eingegeben werden.

  Damit sich das Add-on mit einer KeepassXC Datenbank verbinden kann, muss man in den Einstellungen von KeePassXC die Browserintergration aktivieren.  

  

• KeePassXC Version 2.7.7+ kann Kombination mit dem Browser Add-on KeePassXC-Browser in Firefox, Google Chrome oder Edge auch die Speicherung von Passkeys übernehmen. Somit muss man seine Passkeys nicht in die Google oder Apple Cloud schicken sondern kann sie in einer lokalen Datenbank verwalten, über die man die volle Kontrolle hat.

  (Hinweis: Damit hat man aber auch die Verantwortung für das Backup und Sync auf andere Geräte!)

  Um Passkeys in KeePassXC speichern zu können, muss man in den Einstellungen im Browser Add-on die Unterstützung für Passkeys aktivieren (standardmäßig deaktiviert).

  

  Wenn man neue Passkeys in KeePassXC speichern möchte, muss man den Anleitungen zur Nutzung von FIDO2 Token als Passkey Speicher folgen (bei einem Google Account z.B. "Passkey erstellen → Anderes Gerät verwenden" wählen und nicht "Passkey erstellen → Weiter").

  Die gespeicherten Passkeys findet man in der KeepasXC Datenbank nicht in den hierachischen sortierten Listen der Passwörter sondern unter dem Menüpunkt "Datenbank → Passkeys".

• Außerdem kann KeePassXC als SSH-Agent den Zugriff auf Passwörter für die Remote Administration via SSH verwalten oder als Austausch für KWallet oder Gnome Seahorse alle Passwörter für den Linux Desktop. Diese Feature kann man in den Einstellungen aktivieren.

Bei intensiver Nutzung von KeePassXC ist es hilfreich, die Anwendung beim Login automatisch zu starten, damit es verfügbar ist. Wenn die Datenbank im Hintergrund gesperrt ist, kann man sie mit einem Klick auf das KeepassXC Icon in der Toolbar des Browsers oder im Eingabeformular entsperren ohne in das Hauptfenster von KeePassXC wechseln zu müssen.

Warnung: Tools zur Verwaltung der Zwischenablage für Linux Desktops

Die Linux Desktops wie KDE, Gnome oder XFCE enthalten Tools zur Verwaltung der Zwischenablage. Diese Tools speichern die letzten (n) Einträge, die in die Zwischenablage kopiert wurden, und schreiben diese Einträge in der Standardkonfiguration unverschlüsselt auf die Festplatte.

• Klipper (KDE) speichert die Daten in "$HOME/.kde/share/apps/klipper/history2.lst".
• Clipman (XFCE) speichert die Daten in "$HOME/.cache/xfce4/clipman/textsrc".

Wenn man bei der Verwendung eines Passwortmanagers die Passwörter via Zwischenablage kopiert, dann landen diese sensiblen Informationen unter Umständen unverschlüsselt auf der Festplatte und die Verschlüsselung der Passwortdatenbank wird sinnlos.

Um diese Lücke zu vermeiden, müssen die Tools zur Verwaltung der Zwischenablage vernünftig konfiguriert werden. Sie sollten entweder nur wenige Einträge speichern und auf keinen Fall Daten beim Beenden speichern oder nicht automatisch gestartet werden.

• Konfiguration für Klipper (KDE Desktop):
  
• Für Clipman (XFCE Desktop) muss der automatische Start des Tools in den Einstellungen für "Sitzung und Startverhalten" deaktiviert werden:
  

Einleitung...
Surfen...

---

Passwörter & 2FA

• Passwörter
  • Firefox PW
  • KeepassXC
• 2-Faktor-Auth.
  • OTP mit Nitrokey
    • ProtonMail
    • mailbox.org
• Phishing

---

E-Mails… Chatten…
Tor… VPN… DNS…
Daten schützen PC/Laptop OS Smartphones

---