Ich verwende schon lange den Passwortmanager Keepass. Wie lange, kann ich nicht genau sagen. Aber es müssen mindestens zehn Jahre sein. Jedenfalls habe ich das Programm am 2. Juli 2007 im Beitrag «Gratisprogrämmchen, die das PC-Leben leichter machen» vorgestellt. Da kam übrigens auch der andere All time Favorite auf meiner Festplatte zum Zug, nämlich PhraseExpress. Die anderen Programme haben den Test der Zeit nicht überstanden; das waren O&O SigParser und MailStore. Über KeePass hiess es damals:
KeePass kümmert sich ohne Lohn und Registrierungskosten um all die Passwortabfragen, die einem täglich begegnen. Das Programm verwaltet die Passwörter für E-Mail, Internet- und Datenserver, Router, Messenger und Onlinedienste in einer gut geschützten Datenbank. Ein Generator hilft, unknackbare Kennwörter zu erzeugen. Nicht ganz so sicher wie der eigene Kopf, aber weniger vergesslich. www.keepass.info
Ich habe das Programm seither auch hier im Blog beschrieben und ein Patentrezept-Video dazu gedreht.
Zwei Versionen für Windows
Keepass gibt es für diverse Plattformen (Windows, Mac, Android, iOS) in zwei Versionen. Die Version 1.x und 2.x werden parallel entwickelt, und das auch noch auf lange Zeit. Im Development Status FAQ erhält man das Versprechen, auch die Version 1.x werde «ewig unterstützt». Und man findet eine Erklärung, weswegen es die zwei Varianten gibt:
Looking at the user feature requests, it becomes clear very soon that a complete rewrite of KeePass 1.x is required in order to implement the suggested things.
For example, the complete core of KeePass 1.x is based on the fixed fields as seen in the ‘Edit Entry’ window. Implementing custom strings fields in 1.x would require such a lot of work that you can also rewrite it completely from scratch. Other examples are support for real synchronization, improved auto-type system, real entry history, supporting more key sources for building the composite master key, multiple attachments per entry, database compression, better plugin system, etc.
Kurz zusammengefasst und paraphrasiert: Anfänglich waren einige Design-Entscheide getroffen worden, die sich als unglücklich herausgestellt haben. Darum brauchte es einen Neustart, der mit Microsofts .Net-Werzeugen in Angriff genommen wurde. Da die alte Version aber schon Freunde gefunden hatte und auf Systeme vorgestossen war, auf der es .Net nicht gibt und für die die Version 2.0 deswegen nicht geeignet war, mussten die Entwickler zweigleisig weitermachen. Es spricht für sie, dass sie diese Verantwortung wahrnehmen. Andere hätten einfach die Finte ins Korn geworfen.
Die Dateiformate der beiden Varianten sind nicht kompatibel. Man kann Dateien der Version 1.x (.kdb) bei Version 2.x importieren. Der umgekehrte Weg, .kdbx-Import bei Version 1.x, geht nicht bei allen Plattformen. Man muss somit anfänglich aufs richtige Pferd setzen.
Welche Version soll man verwenden?
Wie entscheidet man also, welche Version man verwenden soll? Diese Übersicht hier spricht klar für Version 2.x. Es gibt nach dieser Tabelle nichts, was die alte Version besser als die neue könnte.
Ich habe bis vor kurzem die alte Version 1.x benutzt – und das, obwohl vor allem die Mac-Version erstens sehr hässlich und zweites unerfreulich benutzerunfreundlich war. Als ich mich neulich gefragt habe, warum das so ist, musste ich erst etwas in mich gehen. Es ist mir nach etwas Nachdenken aufgegangen, dass das iPhone schuld war. Meine erste Keepass-App iKeePass konnte nur die Version 1.x öffnen.
Das hat sich inzwischen geändert. Und ich nutze auch eine andere App. Nach einem Intermezzo mit PassDrop (Ein besserer Passwort-Tresor für iOS; aber nicht mehr erhältlich) bin ich bei Keepass Touch gelandet (Per Finger zum Passwort).
Die Version 2 ist meistens die bessere Wahl
Die entsperrt Datenbanken auch über den Touch-ID-Fingerabdrucksensor, was einem das Eintippen langer Passphrasen am virtuellen Keyboard erspart. .kdbx-Datenbanken sind für Keepass Touch kein Problem.
Fazit: Ich hätte also wahrscheinlich schon vor Jahren aufs neue Datenformat umsteigen können, wenn ich denn meine Gewohnheit hinterfragt hätte.
Ein Vorteil der Version 2.x liegt darin, dass sie besser mit Firefox und Chrome zusammenarbeitet. In der Theorie zumindest. In der Praxis sind die Browser-Plugins entweder nie für die gewünschte Plattform verfügbar, veraltet oder nicht so richtig funktionsfähig. Ich kopiere daher Benutzername und Passwort manuell via Zwischenablage.
Die sehr nützliche Autotype-Funktion
Bei Windows gibt es auch die Autotype-Funktion (leider nicht bei KeepassX für den Mac enthalten). Die funktioniert über ein globales Tastaturkürzel, standardmässig Ctrl + Alt + a. Betätigt man das Kürzel, dann schaut sich Keepass den Fenstertitel an und sucht einen dazu passenden Eintrag.
Wenn man im Browser beispielsweise Twitter.com geöffnet und den dazugehörenden Eintrag in seiner Passwortdatenbank sinnvoll beschriftet hat, dann wird er automatisch gefunden: Autotype trägt selbsttätig den Benutzernamen ein – weswegen man den Cursor bereits ins Adressfeld eingegeben haben sollte, wenn man Ctrl + Alt + a drückt – löst dann die Tabulator-Taste aus, um zum Passwortfeld zu gelangen, fügt dort das Passwort ein und drückt Enter.
Das heisst: Im Idealfall braucht es nur ein Tastaturkürzel, um sich via Keepass bei Websites anzumelden, egal, welchem Browser man gerade benutzt. (Mit der Portable Version von Keepass und der Datenbank auf einem USB-Stick hat man so ein ziemlich universell benutzbares Login-System.) Wenn es nicht funktioniert, muss man unter Umständen den Titel seines Passwort-Eintrags so anpassen, damit er dem Fenstertitel (der im Browser mit dem Namen der Website korrespondieren sollte) besser entspricht. Da viele Browser den Fenstertitel nicht anzeigen, betätigt man Ctrl + d für ein neues Lesezeichen. Dort ist der Seitentitel beim Namen des Lesezeichens eingetragen. Man kann ihn per Kopieren-Einfügen ins Title-Feld von Keepass übertragen.
Falls die automatische Passwortübertragung nicht funktioniert, bitte die Autotype-Sequenz anpassen
Es kommt vor, dass die Autoype-Sequenz nicht vollständig eingetragen wird. Das ist beispielsweise bei Google der Fall, weil man dort nicht mittels Tabulator, sondern über einen Klick auf Weiter bzw. einen Enter-Tastenschlag zum Passwortfeld gelangt. In diesem Fall passt man die Befehlssequenz individuell an: Im Reiter Auto-Type aktiviert man die Option Override default sequence und trägt z.B. {USERNAME}{ENTER}{PASSWORD}{ENTER} ein. Mittels Edit gelangt man zu einem Editor, bei dem alle Befehle für die Sequenz ersichtlich sind, insbesondere auch die Delay-Befehle. Die führen zu einer Verzögerung, die erfahrungsgemäss z.B. bei Google vor den Enter-Kommandos sinnvoll ist.
Natürlich, die Gefahr ist vorhanden, dass bei einem Fehler das Passwort an eine Stelle geschrieben wird, wo es nicht hingehört. Im schlimmsten Fall muss man es hinterher sogleich ändern, zum Beispiel dann, wenn man bei Facebook via Autotype aus Versehen das Facebook-Passwort gepostet hat. Um solche Pannen zu vermeiden, kann man bei heiklen Einträgen Autotype auch abschalten.