KeePass Password Safe
| |
---|---|
Das Hauptfenster von KeePass 2.x | |
Basisdaten
| |
Entwickler | Dominik Reichl |
Erscheinungsjahr | 16. November 2003 |
Aktuelle Version | 1.42[1][2] (1. Februar 2024) |
Betriebssystem | Microsoft Windows, Linux, macOS, Android, iOS, BlackBerry 10, Berkeley Software Distribution |
Programmiersprache | C++[3], C#[3][4] |
Kategorie | Kennwortverwaltung, Personal Information Manager |
Lizenz | GNU General Public License, Version 2.0 oder später[3] |
deutschsprachig | ja |
keepass.info |
KeePass Password Safe ist ein freies, unter den Bedingungen der GNU General Public License (GPL) erhältliches Programm zur Kennwortverwaltung. KeePass verschlüsselt die gesamte Datenbank, welche auch Benutzernamen und Ähnliches enthalten kann.
KeePass steht in mehr als 40 Sprachen zur Verfügung, wobei nicht alle Sprachdateien mit allen KeePass-Versionen kompatibel sind. Die Sprachdatei (neben Englisch als Standard) muss zusätzlich heruntergeladen werden.[5]
Die Kennwortdatenbank verschlüsselt KeePass 1.x wahlweise mit dem AES-Algorithmus oder dem Twofish-Algorithmus. KeePass 2.x unterstützt den AES-Algorithmus und den ChaCha20-Algorithmus.[6]
Es gibt mehrere Plugins[7] für KeePass 2.x, die zusätzliche Verschlüsselungsverfahren zur Verfügung stellen, unter anderem Twofish, Serpent, Salsa20 und GOST R 34.12-2015. Teilweise unterstützen auch andere KeePass-kompatible Apps die zusätzlichen Verschlüsselungsverfahren; beispielsweise unterstützt KeePassXC ebenfalls Twofish. Für das Passwort-Hashing stehen in KeePass 2.x die Verfahren AES-KDF und Argon2 (Versionen d und id) zur Verfügung, in KeePass 1.x nur AES-KDF.
Die Datenbank ist durch einen Hauptschlüssel („Master Key“) gesichert; ohne diesen lässt sich die Datenbank nicht entschlüsseln. Das Hauptkennwort („Master Password“) muss manuell eingegeben werden, und es kann eine Schlüsseldatei („Key File“) verwendet werden, die beispielsweise auf einem mobilen Laufwerk wie USB-Stick oder CD liegt. Der (manuell eingegebene) Schlüssel und die (lokal gespeicherte) Schlüsseldatei bilden bei gleichzeitiger Benutzung einen gemeinsamen Schlüssel. Die Schlüsseldatei erhöht die Entropie des Schlüssels. Ein Angriff auf die Datenbank bei mittelmäßig sicherem Passwort wird damit erheblich erschwert. Liegt die Passwort-Datenbank auf einem öffentlich zugänglichen Laufwerk, können Passworte zwischen Rechnern synchronisiert werden. Ein eventueller Angreifer kann ohne Kenntnis der (lokal zu speichernden) Schlüsseldatei nichts ausrichten.
Das allgemeine und vor allem in der Praxis wesentliche Problem bei einer Schlüsseldatei besteht darin, dass nie sicher ausgeschlossen werden kann, dass von dieser (lokal zu speichernden) Schlüsseldatei auf einer CD oder USB-Stick von einem Angreifer in einem günstigen Moment und unbemerkt eine Kopie angefertigt wurde. Im Prinzip lässt sich nicht sicher kontrollieren, wo und in wie vielen Kopien die Schlüsseldatei existiert. Dieses Problem kann durch die Verwendung eines Challenge-Response-Verfahrens mit einem Security-Token wie YubiKey oder durch Einmalkennwörter gelöst werden. Hierfür gibt es Plugins für KeePass 2.x, unter anderem KeeChallenge und OtpKeyProv. Auch andere Apps unterstützen teilweise diese Verfahren; beispielsweise unterstützt KeePassXC ebenfalls ein Challenge-Response-Verfahren, das allerdings nicht mit dem KeeChallenge-Plugin kompatibel ist. Außerdem gibt es Plugins zur Verwendung eines auf einer Chipkarte gespeicherten digitalen Zertifikats.
KeePass 2.x unterstützt unter Windows zusätzlich eine Methode, einen geheimen Schlüssel des aktuellen Windows-Benutzers zu verwenden. Die Datenbank lässt sich damit nur öffnen, wenn der Benutzer mit dem richtigen Windows-Nutzerkonto angemeldet ist. Ein Nachteil dieser Methode ist, dass es bei einem Verlust des Kontos nicht ausreicht, ein neues mit demselben Benutzernamen und Passwort zu erstellen, da der geheime Schlüssel des Kontos zwar mit diesen Daten geschützt ist, aber nicht direkt daraus abgeleitet werden kann. Bei Verwendung ist es daher wichtig, eine Datensicherung des Windows-Konto-Schlüssels zu erstellen.
Es gibt Plugins zur Verwendung von Windows Hello, das unter anderem eine Authentifizierung per Fingerabdruck ermöglicht. Die Sicherheit entspricht hierbei im Wesentlichen der des Windows-Nutzerkontos.
KeePass bietet mehrere Möglichkeiten, die Passwörter in die Zielanwendungen, wie zum Beispiel den Browser, zu übertragen.
Mit dem Kennwortgenerator lassen sich Kennwörter beliebiger Länge und Typs erstellen. Die Erstellung erfolgt auf Wunsch gestützt durch Aktionen des Benutzers, um die Zufälligkeit zu gewährleisten. Dabei werden Daten der Mausbewegung oder der Tastatureingabe berücksichtigt.
Aktuell (Mai 2013, Version 2.22) steht in KeePass nur eine Standard-Formatvorlage zur Verfügung, die für jeden Eintrag fest die einzeiligen Felder Titel, Benutzername, Passwort und URL sowie ein mehrzeiliges Feld Notizen vorsieht (es können allerdings noch weitere Felder zusätzlich angelegt werden). Es wird zwar ein Plug-in zum Erstellen eigener Formatvorlagen angeboten, damit erstellte Einträge sind aber nicht voll kompatibel zu mobilen Versionen wie KeePassDroid, KeePass2Android oder MiniKeePass.
KeePass bietet die Möglichkeit, die Funktionen des Programms durch Plug-ins zu erweitern. Zur Verfügung stehen Plug-ins zur Erweiterung des Imports, Exports, automatische Datenbanksicherung, Unterstützung von weiteren Kommunikationsprotokollen (SCP, SFTP, FTPS) und Cloud-Speicherdiensten, Integration und Transfer (beispielsweise Verbindungen mit Browsern, Anzeige von QR-Codes, SSH-Agent, REST, RPC, HTTP), Leak Checker, und weitere.
Unter der Domain www.keepass.de wird KeePass ebenfalls angeboten. Diese Website wird nicht von den Entwicklern der Software betrieben. Die dort zum Download erhältliche Installationsdatei ist Adware.[8]
Neben KeePass gibt es weitere Implementierungen für verschiedene Plattformen. Die dabei verwendeten Datenbanken sind üblicherweise kompatibel, d. h., die Datenbanken können mit geeigneten Mechanismen (z. B. Cloud-Speicher) zwischen den Geräten synchronisiert werden.