AndroidSicherheitSoftware

Anleitung: Passwortmanager unter Android nutzen und Sicherheitslücke umgehen

Sinn und Zweck von Passwortmanagern sollte eigentlich jedem klar sein, falls nicht, hier nochmal in Kürze: Ihr speichert lange, sichere Passwörter im Passwortsafe und meldet Euch etwa auf Webseiten über diesen Safe an - Ihr müsst Euch also nur noch ein einziges Passwort merken. Auf diese Weise könnt Ihr selbst PINs von Bankkarten oder Passwörter von Kreditkarten auf dem Handy dabei haben, ohne ein großes Risiko einzugehen - vorausgesetzt, das Passwort für den Safe selbst ist gut. Was ein gutes Passwort ausmacht, zeigen wir Euch hier. Folgend zeigen wir Euch, wie Ihr Keepass2Android nutzt und eine allgemeine Sicherheitslücke umschifft.

Keepass für Android

KeePass ist der wohl bekannteste Passwortsafe und als Open Source Software kostenlos für Windows, Mac OS, Linux, Android und etliche weitere Systeme verfügbar. Und mit dem Firefox-Add-on KeeFox gehen Anmeldungen und das Speichern neuer Passwörter sogar ganz automatisch. Und da auch Keepass2Android nur eine weitere Variante ist, funktioniert die App natürlich mit der selben Datenbankdatei, die Ihr auch für KeePass unter Windows oder sonstwo nutzt. Installiert also Keepass2Android und spielt Eure KeePass-Datenbank ein sofern Ihr bereits ein habt. Ansonsten legt Ihr direkt in der App eine neue Datei an - das ist selbsterklärend. Nicht ganz intuitiv ist aber die Verwendung nach der Installation:

1. Login auswählen

Wählt aus Euren Logins den gewünschten Eintrag aus der Keepass2Android-Liste.

keepass2android
Keepass2Android nutzt dieselbe Datenbank wie KeePass auf anderen Systemen.

2. Login-Daten per Notification

Short-cuts für Nutzername und Passwort des gewählten Eintrags landen dann in der Notification Area. Tappt zunächst auf den Eintrag für den Nutzernamen, um ihn in die Zwischenablage zu kopieren.

keepass2android
Der Umweg über die Zwischenablage ist bequem, nicht sehr intuitiv und unsicher.

3. Einloggen

Anschließend lassen sich die Daten direkt in das Login-Formular Eurer Wahl einfügen.

keepass2android
Langes Tappen bringt Euch den Einfüge-Button.

Tipp: Keepass2Android bietet mit QuickUnlock ein tolles Feature, um die Datenbank schnell entsperren zu können. Einmal mit dem kompletten Passwort entsperrt, könnt Ihr QuickUnlock aktivieren und die Datenbank für einen festgelegten Zeitraum über die letzten (standardmäßig) drei Zeichen Eures Passworts entsperren. Nach Ablauf des Zeitraums, einem falschen QuickUnlock-Versuch oder dem Beenden von Programm oder Android selbst, muss wieder das komplette Passwort eingegeben werden. Damit bietet QuickUnlock einen guten Kompromiss aus Sicherheit und Komfort.

Warnung: Das obige Vorgehen ist die komfortable Standard-Variante - die aber leider ein gewaltiges Sicherheitsleck mit sich bringt. Bösartige Software, sofern installiert, könnte die Passwörter als Klartext aus der Zwischenablage auslesen. Wie das funktioniert, zeigt wir Euch mit der kostenlosen App ClipCaster hier. Etwas umständlicher aber dafür unanfällig für diese Lücke ist die folgende Variante mit Keepass2Android-eigenem Keyboard:

1. Tastatur als Notification

Neben den Short-cuts landet in der Notification Area auch der Link zur KP2A-Tastatur, startet diese. Ihr werdet zunächst zu den Android-Systemeinstellungen weitergeleitet, wo Ihr die Tastatur noch einmalig aktivieren müsst.

keepass2android
Keepass2Android bringt eine eigene Tastatur namens K2A-Tastatur mit.

2. Tastatur wählen

Anschließend könnt Ihr die Tastatur als Eingabemethode wählen.

keepass2android
Tastatur als Eingabemethode wählen.

3. Login per Button

Und hier seht Ihr selbst, wie es weitergeht - für Nutzername und Passwort gibt es schlicht eigene Buttons.

keepass2android
Clever: Dank eigener Tastatur umgeht Keepass2Android die Clipboard-Sicherheitslücke

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

2 Kommentare

  1. … Leider, wie bei so vielen Artikeln, nicht auf dem neuesten Stand. Dann noch dazu eine Version in Englisch – wo Deutsch angesagt ist !!!

  2. Ist ein bisschen knapp gehalten, sprich – es wird zu viel vorausgesetzt, wenn man, wie ich, vom PC kommt mit langer Keepass-Erfahrung, aber ein Smartphone erst wenige Tage bedient.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"