Zwei-Faktor-Authentifizierungen sorgen für doppelte Sicherheit für Accounts. Mit dem Passwortmanager KeePass lassen sich nicht nur Passwörter sicher speichern, sondern auch die notwendigen OTP-Codes generieren.

Eine Zwei-Faktor-Authentifizierung dient dazu, einen Account doppelt abzusichern. Während beim normalen Login nur Anmeldename und das Passwort notwendig sind, wird mit 2FA üblicherweise noch ein 6-stelliger zeitbasierter Code abgefragt, der so genannte TOTP (Time-based One-time Password) oder OTP (One-Time-Password). Dieser Code wird mit dem Schlüssel, der beim Aktivieren von 2FA erzeugt wird, über einen Algorithmus generiert. Er ist immer nur 30 Sekunden lang gültig und lässt sich mittels einer App ausgeben. Hierbei empfehle ich die Apps 2FAS und Google Authenticator – Wobei 2FAS wesentlich umfangreicher ist und eine Backup-Funktion beinhaltet.

Diese Anleitung richtet sich an KeePass unter Windows. Ist OTP hier einmal eingerichtet, können die Codes aber auch in der mobilen Android-App Keepass2Android generiert werden.

2FA mit dem Plugin KeeTrayTOTP einrichten

Für das Hinzufügen der geheimen Schlüssel sowie das Generieren der zeitbasierten 2-Faktor-Codes sollte das Plugin KeeTrayTOTP verwendet werden, da die eingebaute 2FA-Funktion von KeePass nicht wirklich umfangreich ist. Dieses kannst du von github.com/KeeTrayTOTP/KeeTrayTOTP herunterladen. Klicke dazu rechts unter Releases auf die aktuelle Version und lade dir dann unter Assets die .plgx-Datei herunter.

KeeTrayTOTP installieren

Kopiere nun die eben heruntergeladene .plgx-Datei, du brauchst sie gleich.

Starte KeePass und klicke in der oberen Menüleiste auf Tools Plugins. Klicke im neuen Fenster auf Open Folder. Es öffnet sich der Explorer. Kopiere hier nun die eben heruntergeladene .plgx-Datei hinein. Dafür sind Administrator-Rechte notwendig.

Nachdem das Plugin in den Plugins-Ordner von KeePass kopiert wurde, muss KeePass neu gestartet werden.

Starte KeePass erneut und entsperre deine Datenbank. Bei erfolgreicher Installation erscheint jetzt ein Hilfe-Fenster von KeeTrayTOTP. Dieses kann geschlossen werden.

Zeitbasierte Codes importieren

Um nun einen zeitbasierten Code für einen Passwort-Eintrag hinzuzufügen, machst du einen Rechtsklick auf diesen Eintrag und wählst im Kontextmenü Tray TOTP Plugin Setup TOTP aus.

Es erscheint ein Wizard von KeeTrayTOTP. Trage hier in das Textfeld TOTP Seed den Schlüssel des Dienstes ein. Der Intervall ist standardmäßig 30 Sekunden. Die restlichen Einstellungen können unberührt gelassen werden. Klicke auf Finish, um den Schlüssel hinzuzufügen.

6-stelligen Code erhalten

Um nun einen 6-stelligen Code für die Anmeldung zu erhalten, wählst du den Eintrag in KeePass aus und verwendest die Tastenkombination Strg + T. Alternativ machst du einen Rechtsklick auf den Eintrag und wählst im Kontextmenü Tray TOTP Plugin Copy TOTP aus.

Der Code wird jetzt wie ein Kennwort für die eingestellte Zeit in die Zwischenablage kopiert.

Code in Auto-Type-Sequenz einbinden

Um den TOTP automatisch in die Auto-Type-Sequenz einzubinden, verwendest du folgende Variable:

{TOTP}

2FA ohne Plugin einrichten

Wie anfangs erwähnt ist es auch möglich, die Zwei-Faktor-Authentifizierung ohne Plugin einzurichten. Jedoch kann das OTP dann nur mittels Auto-Type bzw. über ein vorhandenes Eingabefeld verwendet werden. Außerdem muss man herausfinden, ob Base32 oder Base64 für das Generieren verwendet wird.

Hierzu editierst du den jeweiligen Eintrag in KeePass und wechselst zum Reiter Erweitert. Klicke hier auf Hinzufügen, um ein neues Zeichenkettenfeld hinzuzufügen. Der Name muss lauten:

TimeOtp-Secret-Base32

Bzw. je nach Dienst auch manchmal:

TimeOtp-Secret-Base64

Oder auch:

TimeOtp-Secret

Verwende zunächst den ersten Namen. Wird später kein Code generiert, verwendest du den nächsten Wert. Mehr Infos zu OTP in KeePass findest du hier.

In das Textfeld Wert trägst du den Schlüssel des Dienstes ein. Optional kannst du noch den Haken Speicherschutz aktivieren setzen, damit der Schlüssel nicht im Klartext angezeigt wird.

Klicke auf OK, um dein Eintrag hinzuzufügen.

Im Reiter Auto-Type kannst du jetzt zu Standardsequenz überschreiben wechseln und folgende Variable einbauen, welche für den OTP steht. Diese Variable
kann auch beispielsweise in das Passwort Feld eingetragen werden (nur diese, kein Passwort), um als Passwort immer den derzeitigen OTP zu erhalten – folglich kann kein Passwort in diesem Eintrag hinterlegt sein. Es ist auch möglich, ein weiteres Zeichenkettenfeld anzulegen mit dem Wert dieser Variable.

{TIMEOTP}

Die Sequenz muss je nach Dienst angepasst werden. In meinem Beispiel wird wie gewohnt Benutzername und Kennwort eingegeben, dann wird Enter gedrückt. Nach 1 Sekunde Pause wird das OTP eingegeben.