2FA mit TOTP-Schlüsseln in KeePass verwalten

KeePass

Wie KeePass als Back-up für einen TOTP-Authenticator funktioniert

Ein TOTP-Authenticator, der QR-Codes scannt, erleichtert den Umstieg auf sichere 2FA-Log-ins und zeitlich begrenzte Einmalkennwörter ungemein. Doch was passiert, wenn der Authenticator verloren geht? Dann hilft nur noch ein Back-up aller Schlüssel und Kennwörter. Ein Passwort-Manager wie KeePass verwaltet diese sensiblen Daten für die Zwei-Faktor-Authentifizierung.

Um sich vor einem Verlust des TOTP-Authenticators zu schützen, nutzen viele Anwender einen PINSchutz auf dem jeweiligen Gerät. Ist diese wichtige Sicherheitsfunktion des Authenticators aktiviert, lassen sich Time-based One-Time Passwords (kurz: TOTP) erst nach Eingabe der PIN generieren. Dieser effektive Schutz vor Missbrauch ist allerdings nur die halbe Miete, zusätzlich müssen Anwender sicherstellen, dass sie weiterhin Zugriff auf ihre Konten haben. Deshalb empfiehlt es sich, alle für die Zwei-Faktor-Authentifizierung benötigten Schlüssel und Kennwörter bereits beim Erstellen eines 2FA-Log-ins zu sichern.

Welche Daten des 2FA-Log-ins Anwender sichern sollten

Für die sichere Zwei-Faktor-Authentifizierung brauchen User neben den klassischen Zugangsdaten wie Benutzername und Kennwort auch einen geheimen Schlüssel zum Generieren der zeitlich limitierten Einmalpasswörter als zweiten Faktor. Ein Back-up aller benötigten Daten sollte deshalb folgende Schlüssel und Kennwörter umfassen:

Die einfachste Variante eines Back-ups aller erforderlichen 2FA-Zugangsdaten besteht folglich in der verschlüsselten Verwaltung aller Benutzernamen und Kennwörter sowie der sicheren Verwahrung aller Back-up- und QR-Codes in Form von Text- und Grafikdateien.

Wie KeePass das Back-up der 2FA-Log-in-Daten unterstützt

Am komfortabelsten und sichersten lassen sich 2FA-Zugangsdaten über einen Passwort-Manager wie KeePass verwalten. Für Windows steht diese Software in der Version 2.x kostenlos zum Download bereit. Entsprechende Portierungen für andere Plattformen wie Linux, Android, Mac OS X oder iPhone und iPad bietet die Website des Open-Source-Projekts ebenfalls an. Empfehlenswert für ein Back-up von 2FA-Zugangsdaten ist die Nutzung einer portablen Kee Pass-Version . Auf diese Weise gelingt es, die Programminstallation geräteunabhängig zusammen mit dem Back-up der 2FA-Daten auf ein und demselben Speichermedium zu sichern, etwa auf einem USB-Stick. 

Die KeePass-Installation geht schnell von der Hand: Einfach einen neuen Ordner anlegen und darin die ZIP-Datei der portablen KeePass-Version entpacken. Für eine deutsche Bedienoberfläche empfiehlt sich die zusätzliche Installation der entsprechenden Übersetzung. Der Inhalt dieses ZIPArchivs wird in den Unterordner „Languages“ kopiert. Für den ersten Programmstart reicht nun ein Doppelklick auf die Programmdatei „KeePass.exe“. Die Frage „Enable automatic update check?“ wird mit „Enable (recommend)“ bestätigt, um die automatische Prüfung auf KeePass-Updates zu aktivieren. Die Umstellung auf die deutsche Bedienoberfläche erfolgt schließlich über „View, Change Language …“ mit einem Klick auf die Option „German (Deutsch)“. Nach einem Neustart des Programms ist KeePass einsatzbereit. 

Zum Anlegen einer neuen Passwortdatenbank reicht nach dem Neustart ein Klick auf „Datei, Neu …“. Nach der Bestätigung des nun folgenden Hinweises mit „OK“ wählt der Anwender den Dateinamen und Speicherort der verschlüsselten Datenbank und anschließend das Hauptpasswort zum Öffnen und Entschlüsseln. Die Vorgaben der Datenbankeinstellungen lassen sich im Folgedialog mit „OK“ übernehmen. Nun ist alles bereit für die Eingabe der 2FA-Zugangsdaten. Das Anlegen des ersten Kontos erfolgt über „Eintrag, Eintrag hinzufügen …“. Der „Titel“, etwa „Google-Konto (username@gmail.com)“, dient nur zur Identifizierung des Kontos. Anschließend erfolgt die Eingabe von Benutzername und Passwort. Wer KeePass bereits für die Verwaltung klassischer 1FA-Konten genutzt hat, dem werden bis hierhin alle Angaben vertraut vorkommen.

Wie sich QR-Codes und TOTP-Schlüssel in KeePass einpflegen lassen

ZusätzlicheWiederherstellungscodes für die Zwei-Faktor-Authentifizierung lassen sich über die Zwischenablage zwar auch im Feld „Kommentare“ einpflegen. Sicherer ist es allerdings, sie – ebenso wie geheime TOTP-Schlüssel im Klartext – im Reiter „Erweitert“ als „Stringfeld“ abzulegen. Nach einem Klick auf „Hinzufügen“ wählt man dazu beispielsweise „Back-up-Codes (2FA)“ als Name des Feldes, trägt bei „Wert“ die Codes ein und aktiviert die Option „Wert im Prozessspeicher schützen“. Auf gleiche Weise erfolgt das Speichern von TOTP-Schlüsseln im Klartext. 

Hier empfiehlt es sich allerdings, als Name des Feldes „TOTP Seed“ zu verwenden, damit sich die Daten später auch mit dem optionalen KeePass-Plug-in KeeTrayTOTP auslesen lassen. TOTP-Schlüssel in Form eines QR-Codes, die aus dem Browser heraus mit einem Rechtsklick und der Option „Grafik speichern unter …“ oder über einen Screenshot lokal als Grafikdatei abgelegt sind, lassen sich im Bereich „Dateianhänge“ über den Button „Anhängen“ in KeePass ablegen. Nach der Eingabe aller benötigten Kontodaten reicht ein Klick auf „OK“, um sämtliche Änderungen zu übernehmen. Vor weiteren Änderungen sollte man die aktualisierte KeePass-Datenbank dann mit „Datei, Speichern“ erst einmal sichern.

Tipp

Die meisten Online-Dienste stellen ihren Nutzern bei der Aktivierung der Zwei-Faktor-Authentifizierung nicht nur einen QR-Code zur Verfügung, sondern bieten zudem die Möglichkeit, den geheimen TOTP-Schlüssel im Klartext zu übernehmen. Meist findet sich dazu neben dem QRCode ein Link wie „Sie können ihn nicht scannen?“. Wie KeePass QR-Codes und TOTP-Einmalpasswörter

Wie KeePass QR-Codes und TOTP-Einmalpasswörter erstellt

Mit dem optionalen Plug-in KeeTrayTOTP erzeugt KeePass aus dem geheimen TOTP-Schlüssel im Klartext auch Einmalpasswörter für den sicheren 2FA-Log-in und QR-Codes für die Konfiguration eines Authenticators. Dazu muss lediglich die Plug-in-Datei „KeeTrayTOTP.plgx“ in den KeePass-Unterordner „Plug-ins“ kopiert werden.

Nach der Installation des Plug-ins sind dessen Optionen aus KeePass heraus mit einem Rechtsklick auf den jeweiligen Konteneintrag über den Menüeintrag „Tray TOTP Plug-in“ verfügbar. Mit „Copy TOTP“ lässt sich dann ein frisch generiertes Einmalpasswort in die Zwischenablage kopieren. Für Back-ups besonders interessant ist die Option „Show QR“. Hierüber lässt sich ein QR-Code des geheimen TOTP-Schlüssels generieren. Nutzer des REINER SCT Authenticators haben dabei auch die Möglichkeit, den „Issuer (Title)“ zu verändern. Das kommt vor allem dann infrage, wenn der Kontenname im REINER SCT Authenticator nicht komplett dargestellt wird. Über den „Issuer (Title)“ lässt sich der Name dann kürzen, um ihn von ähnlichen Konten besser unterscheiden zu können. 

Wer diese Möglichkeit nicht braucht, der kann statt KeePass übrigens auch das deutlich modernere Programm KeePassXC verwenden. Diese Software ist ebenfalls in einer portablen Windows-Version verfügbar und unterstützt die Verwaltung von TOTP-Schlüsseln sowie die Generierung von TOTPEinmalkennwörtern von Haus aus.

Tipp

Bei erhöhten Sicherheitsanforderungen ergibt es Sinn, den ersten und zweiten Faktor der 2FAZugangsdaten in getrennten Back-ups zu sichern. Das funktioniert in KeePass am einfachsten mit zwei Datenbanken. In der einen lassen sich dann die Benutzernamen und Passwörter der Konten ablegen, in der anderen Datenbank die QR-Codes und TOTP-Schlüssel. Beide KeePass-Datenbanken sollte der Anwender dabei selbstverständlich mit verschiedenen und hinreichend sicheren Hauptpasswörtern schützen.

keepass-logindaten

Benutzername und Passwort lassen sich in KeePass (keepass anleitung) im Reiter „Allgemein“ einpflegen.

keepass-stringfeld-backup-codes
Back-up-Codes und TOTP-Schlüssel im Klartext pflegt man in KeePass als Stringfeld ein.
keepass-2fa-zugangsdaten
Dateianhänge ermöglichen in KeePass das Speichern von Grafiken mit QR-Codes.
keepass-KeeTrayTOTP-Optionen
Das KeePass-Plug-in „KeeTrayTOTP“ generiert TOTP-Einmalpasswort und QR-Codes.
keepass-KeeTrayTOTP-QR-Code
Über den „Issuer (Title)“ lässt sich mit „KeeTrayTOTP“ der Kontenname im QR-Code anpassen.
Das moderner wirkende Programm KeePassXC unterstützt TOTP-Schlüssel bereits von Haus aus.

Weitere Beiträge

2FA im Unternehmen

Warum die Zwei-Faktor-Authentisierung auch für Unternehmen sinnvoll ist Benutzerkonten und

Unternehmen Zwei-Faktor-Authentisierung

Anwendungen mit 2FA

Wie die Zwei-Faktor-Authentisierung Cloud- und SaaS-Dienste schützt Viele Firmen nutzen