Bitwarden und KeepassXC: Wohin mit all den Passwörtern?

An Computern, Smartphones, Tablets, bei Onlinediensten und in Shops - überall wird nach unserem Passwort gefragt. Dabei soll es nicht nur eines sein, sondern jedes Mal ein anderes und möglichst kompliziert obendrein, so dass es von Mensch oder Maschine nicht erraten werden kann - so dass wir es uns nicht mehr merken können. Kurz: unschaffbar.

Solange sich passwortlose Dienste mit Fido2-Sticks noch nicht durchgesetzt haben, kommen wir aber auch nicht um die Passwörter herum. Die vorläufig beste Lösung sind Passwortmanager. Wir müssen uns nur noch wenige Passwörter für unsere Geräte und das Main-Passwort für unseren Passwortmanager merken. Golem.de hat sich mit Bitwarden und KeepassXC zwei Passwortmanager angesehen, die konzeptionell sehr unterschiedlich sind, aber auch eine Gemeinsamkeit haben: Sie sind beide Open Source. Mit ihnen ergänzen wir unseren Passwortmanager-Test von 2017. Bitwarden überzeugt vor allem beim Komfort, KeepassXC in Sachen Datenschutz, Sicherheit und Flexibilität.

Der zentrale Unterschied zwischen Bitwarden und KeepassXC ist der Passwortspeicher: Während Bitwarden die Passwörter in der Cloud speichert und über verschiedene Geräte mit Apps und Desktop-Programmen synchronisiert, setzt KeepassXC auf einen Passwortcontainer, der als Datei auf einem lokalen Datenträger gespeichert wird. Beide Ansätze haben ihren Charme, wir haben uns analog zum Test 2017 angeschaut, ob sie unsere Anforderungen an die Nutzung im Arbeitsalltag, Zwei-Faktor-Authentifizierung und das einfache Erstellen von Passwörtern erfüllen.

KeepassXC: Alles fest verschlüsselt im Passwortcontainer

Die namentliche Ähnlichkeit zu dem bereits 2017 getesteten Keepass kommt nicht von ungefähr: Am Anfang gab es Keepass, das auf Microsofts .Net-Plattform setzt. Dieses wurde mit KeepassX auf Linux portiert, welches auf Qt setzt. In den vergangenen Jahren wurde KeepassX nicht mehr weiterentwickelt, was die Community letztlich dazu bewog, das Programm zu forken und unter dem Namen KeepassXC weiterzuentwickeln.

In vielen Linux Distributionen sind alle drei Passwortmanager enthalten, die untereinander zudem weitgehend kompatibel sind. Auch unter Windows oder MacOS können alle drei installiert werden - doch nur Keepass und KeepassXC werden aktiv weiterentwickelt.

Gut gesicherte Datenbank

KeepassXC setzt wie die Keepass-Familie noch ganz nach der alten Schule auf eine Passwort-Datenbank in Dateiform. Diese müssen wir nach dem Start der Software erst einmal anlegen und mit einem Passwort sichern. Die Datenbank wird mit dem Algorithmus AES256 verschlüsselt, unser Passwort zeitgemäß per Argon2 gesichert.

Auch ältere Datenbanken können mit KeepassXC weiterverwendet und über die Datenbank-Einstellungen auf die aktuellen Algorithmen gehoben werden. Dennoch steht und fällt die Sicherheit der Passwortdatenbank mit der Qualität des Hauptpasswortes. Dieses sollte entsprechend gut gewählt werden - dafür muss man sich die anderen Passwörter nicht mehr merken.

Ist die Datenbank erstellt, können wir unsere Passwörter importieren oder eintragen. Für eine bessere Übersicht können wir sie in Ordner verteilen und mit Icons versehen. Dabei müssen wir uns die Passwörter nicht mehr selbst ausdenken, sondern lassen sie mit einem Klick auf das Würfelicon direkt von KeepassXC generieren - die Länge und die verwendeten Zeichen können wir selbst bestimmen. Neben einem Passwort lässt sich auch eine Passphrase generieren, die zum Beispiel aus zwölf Wörtern besteht und als PIN für den Messenger Signal verwendet werden kann.

Das etwas altbackene Aussehen des Passwortmanagers wurde mit Version 2.6 deutlich aufpoliert. Es ist schon erstaunlich, was ein Icon-Set ausmachen kann. Wurde bei einem Eintrag eine URL hinterlegt, lässt sich mit einem Rechtsklick das passende Webseitenicon herunterladen. Doch Passwortmanager sind ja nicht gerade Lifestyle-Produkte, es kommt also mehr auf die Funktionen an.