Partieller Export aus KeePass

Heute habe ich mir mal die Mühe gemacht, einen hoffentlich sinnvollen Workflow für unsere Passwörter aufzusetzen. Ich nutze seit langem KeePass zum Verwalten meiner Passwörter. Mittlerweile wächst aber die Anzahl der Accounts, für die auch andere Familienmitglieder Zugang benötigen und deren Passwörter sie ggf. auch mal ändern wollen. Das Problem dabei: Einerseits will ich nicht meine eigene Passwort-Datei einfach komplett an alle Rechner verteilen, insbesondere auch nicht das Master-Passwort dafür. Andererseits mag ich lokal auf meinem Rechner am liebsten nur eine Datei haben, damit ich nicht erst mehrere Dateien durchsuchen muss, wenn ich ein Passwort benötige.

Für eine Weile hatten wir nun also zwei Dateien und ich habe Änderungen an Familien-Accounts in beiden Dateien ausgeführt. Das war aber ein unhaltbarer Zustand, der eher früher als später Abweichungen produziert. Im Prinzip schwebte mir vor, dass ich eine Masterdatei habe, welche auf oberster Ebene Familienmitglieder als Ordner hat. Der Inhalt des Baumes unter „Diana“ wird dann automatisch in eine Datei „diana.kdbx“ gespeichert und mit dem Rechner meiner Frau synchronisiert. Als Master-Passwort kann sie dafür ein Passwort ihrer Wahl verwenden, unabhängig von meiner eigenen Datei.

Erschwerend kommt hinzu, dass wir diese Daten eigentlich nicht über einen Service wie Dropbox schleifen wollen. Stattdessen richte ich jetzt endlich mal das NAS ein, das ich schon vor längerer Zeit gekauft habe. Da das NAS nicht durchgehend läuft (dafür brauchen wir es zu selten), wird das kein komplett automatisierter Workflow. Die Synchronisierung der Dateien muss regelmäßig manuell angestoßen werden. Damit kann ich ganz gut leben im Moment. Man könnte das Ausführen der Synchronisierung allerdings per Script automatisieren, was ich mir in Zukunft vielleicht noch anschauen werde.

Das Nutzungsszenario sieht so aus: Ich ändere in meiner lokalen Datei, welche alle Passwörter enthält, relativ häufig etwas. Alle Änderungen in den Teilbäumen der anderen Familienmitglieder werden beim Speichern meiner Datei automatisch in deren eigene Dateien exportiert. Dazu benutze ich das KeePass-Plugin KeePassMasterSlaveSync. Die Einrichtung wird auf der zugehörigen Github-Seite erklärt. Das ganze ist relativ einfach und funktioniert gut, wenn auch immer nur in einer Richtung. Manuelle Änderungen an den Familiendateien werden mit dem nächsten Speichern der Masterdatei weggezappt, jedenfalls in den betroffenen Teilbäumen. Das ist aber OK, da ich ja lokal extra nur meine eigene Masterdatei benutzen möchte.

Ab und zu werfe ich das NAS an und synchronisiere die lokalen Dateien mit den Dateien dort. Meine eigene Datei wird auf dem NAS nicht geändert und auf anderen Rechnern ebenfalls nicht. Nun kann es aber natürlich passieren, dass ich im Familien-Teilbaum etwas geändert habe und meine Frau in ihrer Version der Datei ebenfalls. Selbst wenn das nicht die gleichen Einträge betrifft, ist dann unweigerlich eine der beiden Dateien neuer als die andere. Einfach anhand des Datei-Datums überschreiben geht also nicht. Dazu gibt es jedoch in KeePass ein praktisches Synchronisierungs-Feature. Man findet es unter File > Synchronize > Synchronize with file. Achtung: Wählt man hier die Zieldatei aus, werden sofort BEIDE Dateien angepasst und gespeichert. Das klappt allerdings nur, wenn beide Dateien das gleiche Passwort benutzen. Insofern passiert nichts, wenn man mal aus Versehen die falsche Zieldatei auswählt. KeePass übernimmt nun anhand des Zeitstempels der einzelnen Einträge Änderungen in beide Richtungen. Wenn es Änderungen am gleichen Eintrag gibt, dann übernimmt KeePass die neueste Version und fügt die anderen Änderungen in die Historie des Eintrags ein. Es geht also auch im Konfliktfall nichts verloren.

Dabei muss man natürlich schon drauf vertrauen, dass sowohl das Plugin als auch der normale Synchronisierungs-Prozess von KeePass fehlerfrei funktionieren. Und da Software nie fehlerfrei ist, schadet es nicht, z.B. auch mal absichtlich ältere Versionen der Passwort-Masterdatei aufzuheben. Außerdem sollte man die Synchronisierung nicht nur einmal im Jahr machen, sondern gerne etwas öfter. Bei Problemen weiß man dann zumindest noch, welche Passwörter man zuletzt geändert hatte.

Wie gut sich dieses Vorgehen bewährt, weiß ich dann in ein paar Monaten. Aber besser als Einträge in zwei Dateien parallel zu ändern wird es sicher sein. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte beachte die Kommentarregeln: 1) Kein Spam, und bitte höflich bleiben. 2) Ins Namensfeld gehört ein Name. Gerne ein Pseudonym, aber bitte keine Keywords. 3) Keine kommerziellen Links, außer es hat Bezug zum Beitrag. mehr Details...

So, noch mal kurz drüber schauen und dann nichts wie ab damit. Vielen Dank fürs Kommentieren! :-)