Auto-Fill bei KeepassXC funktioniert nicht

till · 20. März 2026 um 06:48

Hallo,

ich hab auf meinem Linuxsystem KeePassXC installiert und möchte es gerne mit Auto-Type nutzen.
Ich habe es 1) einmal als flatpak, mit X11, 2) einmal aus den Paketquellen, mit Wayland installiert, jeweils die aktuelle Version, in beiden Fällen funktioniert das Auto-Type nicht.
Mit 1) hat es zu Anfang auch einmal funktioniert, danach nicht mehr. Die Verwendung da ist zusammen mit Librewolf, das Ganze läuft unter KDE Plasma/X11. Ich hab auch ein Tastaturkürzel für Auto-Type vergeben. Wenn ich auf die Login-Seite der jeweiligen Webseite gehe und in das Textfeld klicke, dann das Kürzel eingebe, kommt ein kleines Fenster hoch, wo ich bestätigen muss, was der richtige Eintrag der DB für die Seite ist. Aber dann passiert nichts (egal, ob ich sage, dass Username+Passwort, nur Username oder nur Passwort eingetragen werden sollen).
Daher hab ich noch 2) probiert (gestartet mit -platform xcb), Browser diesmal Firefox, aber auch da wird nach der Bestätigung im kleinen Fenster nichts eingetragen.
Ich bitte um Hilfe! (auf der Hilfeseite zu KeepassXC habe ich nichts passendes gefunden)

bummelstein · 20. März 2026 um 08:36

Wieso? Hast du es mal ohne diese Option probiert?

Den langen Optionen gehen übrigens üblicherweise – wie auch bei KeePassXC – zwei Bindestriche voraus: --platform xcb

fauntleroy · 20. März 2026 um 09:22

Unter Wayland funktioniert Auto-Type grundsätzlich nicht. Aus Sicherheitsgründen können die laufenden Programme nicht einfach gegenseitig aufeinander zugreifen.

Wenn es in der Vergangenheit funktioniert hat, dann unter X11, bzw. durch die Verwendung von XWayland, also ein X11-Server innerhalb der Wayland-Ungebung des Aystems. Das kann man soweit ich weiß durch die Startoption bei KeepassXC erzwingen, hilft aber nicht mehr, wenn das Zielprogramm nicht mehr über den X11-Server läuft (sei es nativ X11 oder mittels XWayland).

Denke LibreWolf verwendet mittlerweile Standardmäßig Wayland, wie auch Firefox.

Die von KeepassXC empfohlene Lösung ist das Browser Plugin. Außerhalb der Browser gibt es leider kein Auto-Type mehr in Wayland-Zeiten.

ynMBLn4y · 20. März 2026 um 09:27

https://keepassxc.org/docs/KeePassXC_UserGuide#_auto_type

Auto-Type will be disabled when run with a Wayland compositor on Linux. To use Auto-Type in this environment, you must set QT_QPA_PLATFORM=xcb or start KeePassXC with the -platform xcb command-line flag.

Zu diesem konkreten Fall kann ich leider nicht direkt helfen. Aber zumindest besteht ja gewisse Hoffnung: „Mit 1) hat es zu Anfang auch einmal funktioniert,“…

Allerdings kann ich sagen, dass es eventuell mit Auto-Type gewisse Probleme gibt/geben kann. Ich nutze auch regelmäßig KeepassXC mit Auto-Type (auf openSUSE Leap mit X11-Xfce). Damit man Auto-Type nutzen kann, muss KeepassXC ja aktiv sein (nicht im Hintergrund oder so — jedenfalls nach meinen Einstellungen). Allerdings minimiert sich KeepassXC manchmal zwischendurch selbst. Und zwar meistens, wenn ich erst einen regulären Login (Nutzername + Passwort) durchführe und anschließend noch 2FA (TOTP) eingeben soll. Bei 2FA (TOTP) hat es dann auf einmal keine Sichtbarkeit mehr. Ich muss es dann erst wieder hervorholen und entsprechend mein Master-Passwort eingeben (sehr lästig, wenn das manchmal öfters in kurzer Abfolge auftritt!). Dieser Bug ist wohl bekannt, er hängt mit dem Zusammenspiel mit dem DE (hier: Xfce) bzw. Grafik-Server (hier: X11) zusammen. Ich finde aber das/die Ticket(-s) leider nicht auf Anhieb. Nur mal so als Idee…

zabbster · 20. März 2026 um 21:43

So ist es.

Siehe auch hier:

https://www.kuketz-forum.de/t/keepassxc-auto-type-globales-tastenkuerzel-funktioniert-nicht-bei-firefox-unter-wayland/9736

nick · 20. März 2026 um 22:02

Hier würde es helfen, wenn Linux (wie MacOS und Windows) den heutzutage fast immer vorhandenen TPM-Chip fürs Speichern biometrischer Merkmale unterstützen würde. Sowohl Bitwarden als auch KeePassXC machen es möglich, per Kamera oder Fingerabdruck zu entsperren (nach einmaliger Eingabe des Master-Passworts).

Die Einbindung von TPM (zum Beispiel fürs Festplattenverschlüsseln) wird aber auch von Linux-Distributionen zunehmend unterstützt. Fingerprinter in Tastaturen setzen sich allerdings erst langsam durch, und nicht jede Kamera in Notebooks ist infrarot-fähig.

Das Autotype-Feature von KeePass[XC] ist/war eine feine Sache, zumal das Browser-Addon nicht immer anschlägt. In puncto Sandboxing ist es natürlich maximal invasiv…

till · 20. März 2026 um 22:36

Dann wird Auto-Type gar nicht erst im Menü angezeigt.

Ok, dann wird das das Problem sein.

Das ist aus Sicherheits- und Datenschutzgründen nicht so toll, glaube ich (irgendwas negatives zu dem Plugin hab ich mal gelesen)?! Aber vermutlich immer noch besser als copy&paste.

Also da dann doch Copy&paste

Wurde das Leap mit X11 ausgerollt oder aber mit Wayland und Du kannst beim starten ein auch X11 wählen (also XWayland wie @fauntleroy geschrieben hat, vermute ich mal)?

jdevlx · 20. März 2026 um 22:57

Das ist wohl keine Frage des Betriebssystems Linux. Das Modul kann genutzt werden.
Die genannten Passwort-Manager müssten es wahrscheinlich nur nutzen:
https://www.gnupg.org/blog/20210315-using-tpm-with-gnupg-2.3.html

till · 21. März 2026 um 00:01

Variante 1) von oben ist bei mir übrigens Debian-KDE, beim Start X11 ausgewählt.

Aus dem verlinkten Thread:

Zu Anfang des Postings steht:

(falls sich das auf obige Lösung bezieht): Ist es sicherheitstechnisch problematisch es so zu machen?

fauntleroy · 21. März 2026 um 10:53

Wie immer bei Sicherheit ist es eine Abwägungsfrage.

Hundert Prozent geht nie, alles andere ist eine Frage, die häufig damit verbunden ist, auf wie viel Bequemlichkeit man zu verzichten bereit ist.

Ich finde an dem Vorschlag “sicherheitstechnisch problematisch” ist, langfristig weiterhin X11 zu nutzen.

Immer mehr Distros unterstützen es nicht mehr, sondern setzen auf Wayland. Setzt man so eine Distro ein, sollte man auch auf Wayland gehen, alles andere sind individuelle Frickel-Lösungen, die man nur nutzen sollte, wenn man wirklich weiß, was genau man tut.

Dass unter X11 so Dinge wie Auto-Type funktionieren, ist im Grunde eine große Sicherheitslücke, weil das ja konkret bedeutet: ein Programm manipuliert die Texteingabe in einem anderen Programm. Eigentlich will man nicht, dass sowas möglich ist.

Das geht unter Wayland nicht mehr, was besser ist, weil sicherer. Macht aber leider unser Auto-Type kaputt.

Also auf das Browser-Add-On gehen. Das sorgt zwar dafür, dass Browser und PW-Datenbank enger gekoppelt werden, als bei der Auto-Type-Lösung, ist aber meiner Meinung nach trotzdem besser als Copy-Paste. Darauf kann nämlich jedes Programm zugreifen, einschließlich des Browsers.

Man kann das Browser-Add-On so konfigurieren, dass man einen Passwort-Zugriff jedes mal auch in der KeePassXC-Anwendung bestätigen muss, zusätzlich zum Klick “im Browser-Add-On”. Das halte ich sehr sicher. Die “Zugriff merken”-Funktion sorgt dafür, dass man es nur noch über das Add-On steuert und keine direkte Interaktion mit KeePassXC selbst mehr hat. Bequemer, aber etwas weniger sicher.

Das ist dann halt persönliche Abwägung. Einen Tod muss man sterben, wie das bei derlei Themen eben immer ist.

till · 22. März 2026 um 23:59

Etwas weniger sicher als was? KeepassXC verwenden, sich das Passwort anzeigen lassen und dann abtippen?

Ansonsten verstehe ich es.
Das ist datenschutztechnisch zwar schade mit Addon (man soll ja möglichst keine Addons verwenden, um nicht wiedererkannt zu werden), aber bei Passwörtern muss man wohl andere Maßstäbe anlegen.

Bleibt X11. Ich habe noch ein anderes Programm, was nur mit X11 verlässlich geht. Ich hab das Programm noch nicht umgezogen. Kann man bis dahin Wayland benutzen, Programme unter Wayland installieren und später doch noch X11 einstellen? Nicht, dass ich dann alles nochmal neu unter X11 installieren muss.

Chief · 23. März 2026 um 07:18

Unter Wayland-Systemen gibt es normalerweise Xwayland für X11-Programme innerhalb der Wayland-Session. Man muss das Programm dazu nicht neu installieren. Je nach Desktopumgebung kann man auch eine komplette X11-Session starten, aber davon kann man aus Sicherheitsperspektive nur abraten.

Eine Passwortmanager-Extension ist da relativ unproblematisch und durchaus empfohlen, da es das Risiko für Phishing reduziert.

Chief · 23. März 2026 um 07:34

TPM alleine reicht nicht. Damit biometrische Daten auch sicher verwendet werden, wird einiges benötigt:

Die wahren Biometrie-Daten dürfen zu keinem Zeitpunkt dem OS oder Programmen zugänglich sein, am Besten den Sensor gar nicht verlassen, sondern nur ein Fuzzy-Hash
Speicherung nur des Fuzzy-Hashes, der vom OS auch nicht abgerufen werden kann
Authentifizierung läuft unbeinflussbar durch das OS in einem TEE oder änlichem und das OS bekommt quasi nur das OK der Authentifizierung

Kooper · 23. März 2026 um 08:41

Gilt das auch wenn 2 Passwortmanager-Extensions installiert sind? Also einmal KeePass und einmal Bitwarden?
Wäre da nicht der Fingerprint etwas höher, da wohl selten jemand 2 Passwortmanager-Extensions im Browser hat?

ynMBLn4y · 23. März 2026 um 08:56

Kann die Existenz eines solchen Add-ons (nicht irgendwelche Add-ons, sondern eben Passwort-Safe bezogene) denn überhaupt allgemein von dritter Seite ausgelesen werden?

nick · 23. März 2026 um 09:28

So ist es. Darum ist es merkwürdig, dass Folgendes (so die Kapitelüberschrift) unter Linux als “Best Practice” gilt:

Fingerprint templates should be stored securely on your system. fprintd stores the templates in an encrypted format, but it’s still important to keep your system secure. Make sure your system is protected by a strong password and up-to-date security software.

https://linuxvox.com/blog/linux-fingerprint-reader/#common-practices

Das ist es, was ich oben meinte: Windows Hello und der MacOS Fingerprinter scheinen da weiter zu sein, was das Zusammenspiel von biometrischen Daten und Secure Elements wie zum Beispiel TPM-Chips angeht. Der Passwortmanager kann nur das anbieten, was ihm das OS in dieser Hinsicht vorgibt.

till · 23. März 2026 um 22:48

Danke Chief!
Debian 13, wo man beim Hochfahren wählen kann, ob man X11 oder Wayland möchte, ist das dann XWayland (für X11), keine richtige X11-Session?

Sehr gut!

D.h. wenn man da ein Passwort braucht, z.B. für passwortgeschütztes Backup oder zum Starten einer VM, fungiert KeepassXC nur als eine Datenbank, d.h. man muss es sich anzeigen lassen und dann abtippen. In zeiten, wo die Passwörter immer länger und komplizierter werden… Dann kann man dafür das physische Notizbuch ja auch beibehalten.

olmax · 24. März 2026 um 01:26

Weiß nicht genau, was Du meinst, aber Du kannst beim Login entscheiden, ob Du die Session mit X11 oder Wayland starten kannst? X11 ist dann eine reine X11-Session, XWayland kann innerhalb einer Wayland-Session genutzt werden, also wenn man beim Login Wayland wählt.

Nein, lediglich Autotype funktioniert nicht, also man kann nicht einfach per Tastaturkürzel o.ä. die Login-Daten automatisch ausfüllen lassen. Copy and paste sollte aber wie gewohnt funktionieren, also per Rechtsklick auf den Eintrag in KeepassXC den Usernamen oder Passwort kopieren und wieder per Rechtsklick in das jeweilige Feld einfügen. Sonst wäre das Ganze ja wirklich kaum brauchbar.