KeePass und dessen Forks Kompatibilität zueinander

Hallo an die Experten

bisher habe ich meine Passwörter über den RDM (Remote Desktop Manager) von Devolutions genutzt. Das aber auch nur, da wir RDM in der Firma genutzt haben und da jeder Mitarbeiter einen eigenen Benutzer verwenden konnte.
Da mir das aber eigentlich nie so wirklich zugesagt hat (so hat man zwei „Spionagequellen“, einmal den Amerikaner als Betreiber und einmal den IT-Experten der Firma) und ich demnächst die Firma wechsle, soll nun eine Alternative her.

Habe nun die Tage etwas recherchiert, viel getestet und genau genommen sagt mir KeePass echt gut zu.
Zukünftig möchte ich sämtliche Passwörter dann per KeePass verwalten, daher habe ich die letzten zwei Tage mich damit beschäftigt, wie eine Lösung aussehen könnte. Am Ende soll Keepass am PC (Hauptsystem Ubuntu mit Windows 11), Laptop (Linux Mint mit Windows 10), und auch Android Smartphone (synchronisiert) laufen.

Ob ich dann KeePass 2 und Keepass2Android mittels WebDav nutze oder alles per Syncthing synchronisiere (gibt ja auf Kuketz tolle Anleitungen) muss ich noch final austüfteln

Hätte da aber 2 Fragen:
Frage 1:
Es gibt ja die verschiedensten KeePass „Anwendungen“.
KeePass 2, KeepassDX, KeepassXC, Keepass2Android usw… welche alle auf die .kdbx Datenbank aufbauen.
Kann ich diese Programme bedenkenlos untereinander mit einer 100%ig kompatiblen Datenbank nutzen?

Die oft beschriebene „altbaken“ Optik von KeePass2 würde mich nicht unbedingt stören, habe aber mit KeePass2 einige Probleme mit dem automatischen Ausfüllen, das klappt mit KeePassXC perfekt,…
Daher frage ich mich, ob ich die Programme bedenkenlos wechseln kann und dies keinen negativen Einfluss auf die .kdbx Datenbank hat?

Frage2:
Mit dem RDM habe ich auch immer wieder mal einen Datei-Anhang genutzt.
So wie ich das gesehen habe, bietet KeePass diese Möglichkeit ja auch, mal ein Dokument, PDF, oder Bild hinzuzufügen.
Speichert KeePass diese Anhänge denn dann auch in die .kdbx Datei?
Kann man die Funktion von Dateianhängen in Keepass Problemlos nutzen?
So wird ja dann doch schnell aus einer einige KB großen .kdbx Datei eine zig MB große Datei.
Oder sollte man von dieser Option absehen?

Vielleicht hat da wer einen Tipp für mich
Danke!

Hallo, hier mal mein Setup und meine Erfahrungen.
Nutze Keepass 2 auf Windows seit 18 Jahren. Nachtrag: 18 Jahre stimmt gar nicht. Bin später mit Keepass angefangen.
Erst nur auf Windows, inzwischen seit vielleicht 6 Jahren auch auf Android mit Keepass2Android.
Die Datenbank liegt inzwischen auf einem NAS, der Zugriff erfolgt von allen Geräten über ftp, entweder im lokalen Netz oder von extern über eine VPN Verbindung.
Anhänge habe ich auch seit geraumer Zeit in der Datenbank, Bilder und PDF-Dateien. Die Kbdx ist aktuell ca. 20 MB groß.
Probleme bisher: 0
Datenverluste bisher: 0
Wie geil ist das denn Momente: viele
Geil ist: läuft einfach immer und überall. add ons machen alles möglich
Das automatische Ausfüllen in Verbindung mit Firefox klappt super wenn die Datenbank vernünftig gepflegt ist.
Die Optik ist altbacken, aber ich finds gut und brauche kein bling bling

Hallo @hens
welches PlugIn nutzt du im Firefox für KeePass?
LG

In Keepass nutze ich KeePassRPC und im Firefox das dazugehörige Kee.
https://addons.mozilla.org/de/firefox/addon/keefox/
Grob geschätzt werden ca. 96% der Anmeldedaten zuverlässig und automatisch eingetragen.

Wenn ich deinem Link folge, kommt bei mir ein „Kee - Password Manager“ bzw „KeeVault“ raus, wo man sich dann extra anmelden muss/soll.
Das gefällt mir so aber ganz und gar nicht, will ja nicht, das meine KeePass Daten über den Entwickler laufen?

Ja, ist doof aufgebaut, es geht aber ohne Anmeldung. Habe ich lange nicht mehr eingerichtet, darum kann ich nicht mehr genau sagen wie es geht.
Ganz grob:

• Erweiterung (Links siehe oben) im Firefox runterladen
• Erweiterung (KeepassRPC) in Keepass installieren
• kein neues Konto anlegen
• einmaliges Verbinden von Keepass und und Firefox.

Auf die schnelle gefunden: https://be-jo.net/2020/07/keepass-passwort-manager-mit-firefox-verbinden/

Mit meinem LinuxMint scheitert es leider an dem KeepassRPC Plugin.
Wenn ich das Plugin hinzufüge und KeePass2 starte, erhalte ich die Meldung, das eine neuere KeePass Version benötigt wird.
Habe aber in der „Anwendungsverwaötung“ nur Version 2.47, die Version 2.55 ist scheinbar erst für Windows verfügbar.

Da muss ich wohl mal ein anderes FireFox-PlugIn testen…

Auch wenn es hier um KeePass geht, kann ich den Blick auf Bitwarden mal empfehlen - gibt es als kostenlose Variante sogar in der EU gekostet.

Wer ein NAS mit Dockerfunktionalität besitzt, kann man es sogar selbst hosten - mit fast allen Premiumfunktionen:)

Von Bitwarden habe ich natürlich im Sinne eines Open-Source Passwordmanager auch schon gehört.
Möchte aber meine Passwörter/Daten wenn möglich nicht in fremde Hände geben. Hätte dabei ein extrem schlechtes Gewissen

Habe zwar eine NAS, glaube aber nicht, das die Docker kann? Muss ich mal schauen.
Möchte aber eigentlich selber Hosten auch vermeiden, muss dann ja auch immer alles installiert/konfiguriert werden und in weiterer Folge auch gepflegt, gewartet usw… werden.
Da fehlt mir das know how
Soll ja alles möglichst einfach gehandhabt werden

Bei Linux bin ich raus, da können vielleicht andere weiterhelfen.

Welches NAS hast du denn?

Wenn du KeePass mit WebDAV einrichtet kannst, bekommst du ggf. auch Vaultwarden im Docker hin;)

Habe eine Synology NAS und Docker ist soweit auch möglich.
Frage mich halt, ob der Aufwand Bitwarden zu installieren dafür steht?
Mal angenommen ich knie mich da mal rein (wenn ich mal Zeit finde) wie aufwändig ist denn der Wartungsaufwand des installierten Docker Bitwarden Systems?

Es gibt quasi keinen, mit dem Image „Watchtower“ werden deine Docker-Container automatisch aktuell gehalten - du musst nur den Dockerordern wegsichern, dort ist alles drin

Edit:

Hier gibt es eine einfache Anleitung wie man ihn installieren könnte:

https://mariushosting.com/how-to-install-vaultwarden-on-your-synology-nas/

Danke für den Link
Anleitung schaut überschaubar aus, werde ich mal testen
Die Beschreibung setzt ja auf Vaultwarden, ist das okay, oder sollte man auf Bitwarden setzen?
Was nutzt du denn, Bitwarden oder Vaultwarden?

Bitwarden ist ein kommerzielles Produkt mit ggfs. proprietären Anteilen.
Vaultwarden ist freie Software. Die Clientsoftware ist kompatibel.

Ungeachtet dessen sollte man bei dieser Lösung bedenken, dass man sich zusätzliche Komplexität ins Haus holt. Gegenüber der bereits angedachten und auch anleitungsmäßig gut abgedeckten und ohne tiefgreifende Kenntnisse nutzbaren Keepass-Lösung hat man dabei kaum Vorteile.
Sobald es Probleme mit dem Stack gibt, wird man ohne diese Kenntnisse ggfs. viel Zeit mit der Behebung verbringen. Bei Keepass kann man nur die Datei verlieren

Bitwarden / Vaultwarden haben ihre richtigen Vorteile klar im Firmeneinsatz. Da gibt es zusätzliche Anforderungen, die einem privat nichts o. nicht viel bringen.

Wenn man was lernen will, spricht aber natürlich auch nichts gegen.
Muss man sich halt überlegen, ob man dabei ausgerechnet die gewichtige Passwortverwaltung zum Thema nimmt.

Hi,
habe jetzt mal zu dem Thema Docker sowie Bitwarden/Vaultwarden recherchiert.
Das ist schon eine coole Sache und sollte absolut alles erfüllen, was ich so gerne hätte, offline Nutzung sowie wenn man online ist wieder automatische synchronisierung, Autofill, usw…

@Luke
Ich vermute, du hast so eine Docker Installation am laufen, oder?
Wie funktioniert denn das mit einer Backup-Lösung?
Kann man in Vaultwarden irgendwie z.B. nur die Daten automatisch in regelmäßigen Abständen sichern lassen?
Oder muss dann hier immer der komplette „Container“ Ordner gesichert werden, eventuell dann mit HyperBackup auf der Synology NAS?

Irgendwie ist der Punkt von @jdevlx für mich schon ein Thema.
Keepass hat nur eine .kdbx Datei, welche ich schnell und einfach sichern kann. Damit kann man wohl jederzeit (zumindest solange ich mein Masterpasswort und die Schlüsseldatei habe) mit irgendeinem KeePasskompatiblen Programm wieder hinter seine Passwörter kommen.

Wenn es in Bitwarden einen sozusagen automatischen Export gäbe, wäre das ja eine Lösung, so müsste dieser Export ja auch jederzeit in eine Bitwarden installation wieder importierbar sein, schlimmstenfall in ein free Konto direkt bei Bitwarden, oder?
Wenn das nur per komplettem Docker Container und dann womöglich auch nur auf meiner bestehenden NAS möglich ist, fände ich nicht so toll?

Korrekt, inkl. ACME und Watchtower Container.

Ein gültiges SSL-Zertifikat ist Vorraussetzung für Vaultwarden, daher der ACME Container - du solltest also via (D)DNS Name erreichbar sein - ACME automatisiert das Ganze dann und rollt das Zertifikat aufs NAS aus.

Watchtower hält wie gesagt die Container aktuell.

Autofill funktionert problemlos via Browser-Plugin, AutoSync klappt auch bei mir, muss nicht extra Syncen wenn an einem Eintrag was geändert wird.

Thema Backup:

Du brauchst quasi nur die SQLite Datenbankdatei (Standard bei der Install) wegsichern und den Ordner mit den Anhängen - ich stoppe und starte jede Nacht kurz den Vaultwarden Container, so dass die temporären Daten in die db.sqlite3 geschrieben werden.

Der vaultwarden Ordner ist bei mir 16,5MB groß, wobei die db.sqlite3 1,9MB groß ist - im Ordner attachments sind die verschlüsselten Anhänge mit ca. 11MB.

Also alles sehr übersichtlich, ich sichere den kompletten Dockerordner wo alle Container liegen mit HyperBackup zu einem anderen NAS - man kann natürlich auch woanders hin sichern…

Meinen KeePass Export konnte ich problemlos importieren - am meisten freue ich mich immer noch über die integrierte OTP Funktion, den WHFB Support und die Berichtswerkzeuge…

Wenn noch Fragen offen sind, her damit

Was ist ACME?
Watchtower ist für die Updates notwendig, oder?

So könnte ich das ja erstmal ohne dies installieren um erstmal zu schauen, ob das alles nach meinen Vorstellungen läuft, oder?
LG

Warum aktivierst du auf der Syn-NAS nicht die Cloudstation und syncronisierst darüber auf all deine Endgeräte die DB von KeePass? Das läuft dann immer automatisch ohne dein Zutun. Egal wo du die DB editierst, wird sofort auf alle verfügbaren Endgeräte gesynced. Für meine Androiden verwende ich entweder KeePass2Android oder KeePassDX. Unter Win läuft KeePassXC als Client. Unter Win greif ich direkt auf die DB zu auf dem NAS. Unter Linux kannst auch zugreifen. Es gibt Clients dafür. Auch ein DS Cloud von Synology soviel ich mich noch erinnere. Ist schon ewig her als ich das eingerichtet hab. Und ich bin im Mom leider nicht daheim um nachzusehen. Hängt daheim alles direkt im LAN. Um von außen via DS cloud (App) zugreifen zu können hab ich mir ein freies Zertifikat via Letsencrypt geholt direkt über das NAS um so eine https-Verbindung herzustellen. Eine Domain über Synology kannst du direkt über das NAS aktivieren. Damit sprech ich dann von meinen Clients über https das NAS an und sync so die DB. Das läuft so bei mir seit ca. 7Jahren problemlos.
Kein Docker, da altes NAS. Kein bitwarden o.ä. Nur die DB von KeePass. Und die ist voll kompatibel zu den o.a. Clients. Auch mit Anhängen zu verschiedenen Einträgen in der DB.

Hi @fresh

Synology Drive nutze ich sowieso als Cloudlösung auf Smartphones und Laptop.
Auf dem Lokalem PC mit LinuxMint synchronisiere ich aber nicht, sondern nutze nur eine sozusagen Ordnerfreigabe auf den Homes Ordner der NAS.

Ich habe schon versucht per „Synology Drive Client“ NUR den Ordner mit der KeePass Datenbankdatei zu synchronisieren.
Das klappt auch, ist halt ein eigenes Tool für die Datenbank aber wäre okay.
Windowsseitig auf meinem Laptop könnte das gleich gehandhabt werden.
So ist/wäre immer eine Datenbank lokal am jeweiligen Gerät.

Auf der Drive Android App klappt das bei mir überhaupt nicht
Mal wird die Datei synchronisiert, mal sofort, mal nach Stunden, ab und zu auch gar nicht…
Man weiß halt nie, welcher Stand der Datei nun wo ist…

Und genau das ist das, wovon ich etwas „genervt“ bin.
Ich ändere was am Linux PC und speichere die Datei, die wird dann weiter auf die NAS kopiert und von dort wiederum eine Kopie am Smartphone…
Hat das nun geklappt, hat es nicht geklappt…

Neulich hatte ich den Fall, habe am PC in KeePass einen Eintrag gemacht.
Musste dann weg und habe mindestens eine Stunde Später am Smartphone einen Eintrag geändert.
Irgendwie, vielleicht fehlendes Internet, hat sich die Datenbank vom PC nicht mit dem Smartphone aktualisiert, andersrum die Änderung vom Smartphone am PC schon. Hatte dann den Eintrag vom Smartphone auch am PC, der vorher geänderte Eintrag am PC war aber weg…

Daher nun mein Misstrauen zu der Sache

Kann nun alles belassen und wie bisher mit KeePass2 und Keepass2Android alles per WebDav synchronisieren.
Da bekomme ich kein Autofill hin und auch STRG+ALT+A klappt nicht.

Ich nutze die Synchronisierung, mit dem Risiko das was verloren geht, kann aber KeePassXC nutzen, wo Autofill perfekt klappt…

Und dann kam jetzt noch die Bitwarden Möglichkeit ins Spiel