Passwortmanager liefert Passwort, aber Copy + Paste klappt nicht?

Wer häufig mit virtuellen Maschinen oder Cloud-Umgebungen arbeitet, sitzt schnell mal vor einem Terminal, das nur über eine Web-Oberfläche erreichbar ist – der Server steht schließlich nicht immer im eigenen Keller, sondern oft im Rechenzentrum (selbst der Gang zum Keller nervt auf Dauer). Aus Sicherheitsgründen ist Copy + Paste dort oft deaktiviert, oder weil das Feature schlicht nicht implementiert ist.

In einigen Web-Terminals funktioniert Copy + Paste nicht: Manche Frontends haben die Funktion gar nicht eingebaut und Hypervisor-Policies können das Teilen der Zwischenablage zwischen Host und virtueller Maschine vollständig verbieten. Das hängt damit zusammen, wie auf die Maschine zugegriffen wird, auf der das Terminal läuft: Per SSH über TCP, wo man direkt auf die VM zugreifen kann? Oder über einen Umweg, falls nur der Hypervisor auf die VM Zugriff hat (wobei hier oft die Zwischenablage deaktiviert ist). Ergebnis: im Web-Terminal klappt das Einfügen von Passwörtern via Copy + Paste nicht – egal, ob aus Funktionsmangel, Design-Entscheidung oder Sicherheitsgründen.

Moderne Richtlinien verlangen Passwörter mit vielen Stellen und Sonderzeichen. Normalerweise kopiert man sie aus dem Passwortmanager und fügt sie ein – denn niemand tippt freiwillig ein 100-stelliges Passwort von Hand, schon gar nicht mehrmals am Tag. Tippt man sich trotzdem durch und vertippt sich bei nur einem Zeichen, beginnt die Frustration von vorn. Manuelles Abtippen ist Zeitverschwendung und fehleranfällig. Doch Web-Terminals sind ansonsten sehr komfortabel – wie behalten wir diesen Komfort?

Die Antwort ist ein minimalistisches AutoHotkey-Skript, das rosaflamingo.net hier gerne allen zur Verfügung stellt: Einmal das Passwort eingeben, das Eingabefeld fokussieren, F1 drücken, und das Skript tippt es wie von Menschenhand ein. Keine Zwischenablage, kein Browser-Addon, keine administrativen Änderungen – nur lokales Scripting.

Schritt 1: AutoHotkey installieren

Beispielsweise mit chocolatey:

    :: AutoHotkey installieren
    choco install autohotkey

    :: oder portable Variante ohne Registry-Einträge (habe ich nicht getestet)
    choco install autohotkey.portable
    

Schritt 2: Das Skript autotype.ahk herunterladen

    ; Keine älteren AutoHotkey-Umgebungsvariablen:
    #NoEnv
    ; Zeigt potenzielle Fehler an:
    #Warn

    SendMode Input
    SetWorkingDir %A_ScriptDir%

    ; Einmalig Text abfragen, der später "getippt" werden soll
    InputBox, PreloadedText, autotype.ahk, Enter the text you want to type automatically (e.g. password):,, 400, 150
    if (ErrorLevel) {
        MsgBox, Script canceled. No text was preloaded.
        ExitApp
    }

    ; [F1] → Text anschlagen
    F1::
        ; ms zwischen den einzelnen Zeichen (dass nichts "verschluckt" wird, Web UIs hängen manchmal)
        Delay := 10

        Loop, Parse, PreloadedText
        {
            Send, %A_LoopField%   ; Zeichen schicken
            Sleep, Delay
        }
    return

    ; [Esc] → Skript sofort beenden
    Esc::ExitApp
    

Schritt 3: Abspeichern und Starten

Einfach das Skript am Ort Deiner Wahl ablegen und starten. Viel Spaß damit.

Typisches Einsatzszenario

1. Öffne den Ordner mit deinen Skripten, z. B. C:\Users\Anwender\Desktop\Workflows und Skripte
2. Starte autotype.ahk mit einem Doppelklick.
3. Öffne deinen Passwort-Manager (oder den Ort, an dem das Passwort gespeichert ist).
4. Kopiere das Passwort mit Strg + C.
5. Füge das Passwort mit Strg + V in das Eingabefeld von autotype.ahk ein und bestätige mit Enter.
6. Wechsle zum Browser-Terminal und fokussiere das Eingabefeld (dort hinklicken, wo der Text rein soll).
7. Drücke F1 – das Skript tippt das Passwort automatisch ein.
8. Warte bei langen Passwörtern mindestens drei Sekunden, bis die Eingabe abgeschlossen ist.
9. Drücke Enter und du solltest eingeloggt sein.
10. Alles entspannt

Feinheiten, die Dein Szenario komplett machen

• Fokus nicht vergessen: Mit Anklicken des Zieleingabefeldes vor Druck auf F1 verhinderst du versehentliches Tippen in die falsche App.
• Skript sicher beenden (optional): Nach dem Login AutoHotkey fokussieren (klick darauf) und Esc drücken, damit AutoHotkey das Passwort nicht länger im RAM hält – ein Schritt, den man bei sensiblen Logins empfehlen würde.
• Zwischenablage löschen (optional): Wenn Du weißt, wie man auf deinem Betriebssystem die Zwischenablage leert, kannst du sie jetzt leeren – ein Schritt, den man bei besonders sensiblen Logins empfehlen würde.
• Passwortmanager schließen: Nach dem Einfügen den Manager wieder verriegeln – warum nicht?
• Schneller Abbruch-Hotkey: Drücken von Esc bricht jederzeit den Vorgang ab (davor AutoHotkey fokussieren).
• Das Passwort funktioniert nicht: Hast Du nach Druck auf F1 auch lange genug gewartet? Manchmal kann man nicht erkennen, ob alle Tasten bereits eingegeben wurden.
• Taskleisten-Icon & Neustart: Sobald autotype.ahk läuft, erscheint unten rechts in der Windows-Infoleiste das grüne AutoHotkey-Symbol. Ein Rechtsklick darauf öffnet das Skript-Menü: ▸ Reload Script (oder Neu laden) startet das Skript sofort neu – nützlich, wenn du ein anderes Passwort setzen oder einen Fehler beheben willst.
  

Pro-Tipps

• Delay anpassen: Falls Dein System unter Last ist (und hängt) musst Du vielleicht mit den Millisekunden spielen, wie schnell Tastendrücke simuliert werden, sodass nichts verschluckt wird.
• Versions-Upgrade: Regelmäßig mit choco upgrade auf dem neuesten Stand bleiben, um alle installierten Programme wie AutoHotkey sicher zu halten.

• Nur RAM-Speicher, kein File-Save: Prinzipiell sollte AutoHotkey das Passwort nur im Arbeitsspeicher halten und es nicht von selbst auf die Festplatte schreiben oder loggen. Eine hundertprozentige Garantie kann ich jedoch nicht geben. Da die Software Open Source ist, kannst (und solltest) du bei Bedarf selbst nachsehen*: github.com/AutoHotkey/AutoHotkey

  * Du musst natürlich auch schauen, ob der veröffentlichte Open-Source-Programmcode dann 1:1 (ausschließlich) der Code ist, aus dem das fertige, ausführbare Programm auf Deinem Rechner kompiliert wurde:

  • Paketmanager (z. B. choco install autohotkey): Verifiziere, dass das Paket offiziell gepflegt wird, deaktiviere bei der Installation nicht Hash- oder Signaturprüfungen und achte auf den Paket-Maintainer.
  • Direkter Installer-Download von der Herstellerwebsite: Kontrolliere, dass die Domain per TLS (HTTPS) abgesichert ist und wirklich zum Projekt gehört. Lade Programme nur von offiziellen Quellen herunter und prüfe anschließend, ob die Datei echt und unverändert ist — zum Beispiel, indem du die auf der Website angegebene Prüfsumme (etwa SHA-256) mit der von deinem Computer berechneten vergleichst oder die digitale Signatur mit einem Tool wie GPG kontrollierst. GPG ist ein verbreiteter Weg, Downloads zu signieren und zu prüfen, aber nicht der einzige.
  Der sicherste (aber aufwändigste) Weg bleibt immer: Quellcode selbst prüfen und daraus die EXE kompilieren – dann weißt du, was wirklich in deinem Binary steckt.

• Sicherheit (Arbeitsspeicher → Festplatte): Auch wenn autotype.ahk das Passwort nur im RAM hält, kann das Betriebssystem Speicherbereiche auf die Festplatte schreiben. Dadurch können Passwörter theoretisch forensisch rekonstruiert werden.
  • Virtueller Speicher – Windows: Auslagerungsdatei, Linux: Swap
  • Ruhezustand / Suspend-to-Disk – Windows: Hibernate, Linux: Suspend-to-Disk
  Auslagerungs- und Ruhezustandsdateien sind nur dann wirklich geschützt, wenn die ganze Systemplatte verschlüsselt ist und sie sich auf dieser und nirgends anders befinden. Deshalb: Setze auf eine starke Vollfestplattenverschlüsselung (etwa BitLocker unter Windows oder LUKS unter Linux) und verlange schon beim Einschalten ein unveränderliches Pre-Boot-Passwort. So bleibt alles sicher – ohne dass du essenzielle Betriebssystemfunktionen abschalten musst.
• Allgemeiner Hinweis zum Keylogger-Risiko: Das Skript umgeht zwar die Zwischenablage, aber es simuliert reguläre Tastatureingaben. Ein aktiver Keylogger könnte diese Zeichen genauso mitschneiden wie freilich auch die manuell getippten Passwörter (Software- oder Hardware-Keylogger). Das hat jetzt nichts mit der hier vorgestellten Lösung zu tun, sei aber ergänzend erwähnt. Stelle daher immer sicher, dass das System frei von Schadsoftware ist.
• Tastaturlayout-Probleme (Sonderzeichen & Vertauschungen): Erkennt das Web-Terminal dein Layout nicht korrekt, werden bereits beim automatischen F1-Eintippen Zeichen vertauscht (z ↔ y) oder Sonderzeichen („@“, „ä“, „$“) falsch übertragen – der Login scheitert. Vorgehensweise:
  • Frontend prüfen – im Web-Terminal das passende „Keyboard Layout: US / DE / ...“ auswählen.
  • Server konfigurieren – Layout systemseitig setzen
  • Passwort nicht schwächen – Sonderzeichen nur dann weglassen, wenn keinerlei Layout-Abgleich möglich ist; reine Buchstaben/Ziffern reduzieren die Passwortstärke.
  • Fallback wählen – lässt sich das Layout gar nicht synchronisieren, nutze schlussendlich einen alternativen Zugang (SSH-Client, serielle Schnittstelle vor Ort), bei dem die Tastatur eindeutig erkannt wird.

Was AutoHotkey sonst noch kann

Startest Du AutoHotkey ohne ein konkretes Skript, erscheint genau das Fenster, was Du im Screenshot siehst.

P.S.

Der Artikel entstand aus Notwendigkeit, wir stehen mit AutoHotkey (noch nicht) in Kontakt.

Haftungsausschluss

Dieses Angebot wird kostenlos und ohne jegliche Garantie bereitgestellt. Es gibt keine Zusicherung, dass das Skript jederzeit verfügbar oder fehlerfrei ist.

Die Nutzung des Skripts erfolgt freiwillig und auf eigene Verantwortung. Wir übernehmen keine Haftung für Schäden, die aus der Nutzung oder der Nichtverfügbarkeit des Skripts entstehen. Kurz gesagt: Der Nutzer entscheidet sich bewusst dafür, dieses Skript einzusetzen, und akzeptiert damit selbst alle möglichen Folgen.

Da es sich um ein freiwilliges Community-Projekt handelt, können Änderungen jederzeit ohne vorherige Ankündigung vorgenommen werden.