Passwortmanager - Passwörter sicher speichern und verwalten (kostenlos, open source)

Technik
Passwortmanager - Passwörter sicher speichern und verwalten (kostenlos, open source)

Es hilft nichts mehr. Sichere Passwörter müssen her. Als Unternehmensberater erlebe ich nur allzu oft, wie kurze und sichere Passwörter für wichtige Unternehmenszugänge verwendet und auch wiederverwendet werden. Doch auch privat solltet ihr euch Gedanken über eure Passwörter machen. Warum und wie erkläre ich euch hier.

Was ist ein sicheres Passwort?

Ein sicheres Passwort ist kurz gesagt eines, das lange und zufällig ist und aus möglichst vielen unterschiedlichen Zeichentypen (Zahlen, Kleinbuchstaben, Großbuchstaben, Sonderzeichen) besteht.

Je länger und zufälliger das Passwort also ist, desto schwerer ist es zu erraten. Zum Beispiel benötigt es für einen vierstelligen PIN-Code gerade mal 9.999 versuche, im statistischen Durchschnitt nur die Hälfte, also knapp 5.000 Versuche. Ein einfaches Computerprogramm schafft das nahezu sofort. 

Dass „Passwort“ kein gutes Passwort ist wohl nahezu jedem bekannt (außer vielleicht Routerherstellen). Aber auch die Kombination von ganzen Wörtern ist heutzutage schnell geknackt. Hacker nutzen Wortlisten, die dann von einem Computerprogramm beliebig kombiniert werden. Ein dementsprechendes Programm benötigt für das Passwort „MaximilianBahnhof1986“ trotz einer langen Zeichenanzahl nur wenige Sekunden.

Um wiederum ein komplett zufälliges Passwort zu erraten, benötigt es schon deutlich mehr Ressourcen zur Verfügung stehen. Folgendes Beispiel Passwort hat ungefähr eine Entropie von 128 Bit: Af.^lu2mJ(2;"jMRuFpG"". Mit einem hochspezialisierten Computernetzwerk, in diesem Fall das gesamte Bitcoin Netzwerk aus dem Jahre 2017, würde man 2.158.000.000.000 Jahre brauchen.

Passwort Sicherheit

Wie kann ich mir ein sicheres Passwort merken? 

Die Antwort ist: gar nicht. Eine Passwort-Datenbank merkt sich die Passwörter. Nun gibt es mittlerweile viele kommerzielle Anbieter von Passwort Datenbanken wie 1Password oder Lastpass. Zum einen sind diese allerdings nicht unbegrenzt kostenlos und zum anderen benötigt es doch etwas Restvertrauen in die Dienstleistung. Auch wenn die Verschlüsselung sehr gut ist, gab es schon Hacks und schlussendlich überlässt man wichtige persönliche Passwörter einem fremden Unternehmen. Auch wenn sie höchstwahrscheinlich sehr sicher und definitiv besser als nichts sind, kann ich sie nicht ohne Bedenken empfehlen.

Kann ich Passwörter wiederverwenden?

Ein schlauer Fuchs könnte ja meinen, er kann sich mittels Passwort-Manager ein sicheres langes Passwort generieren und dann immer wieder verwenden. Die Antwort darauf ist definitiv nein. Angenommen ihr seid auf fiktivesupertollewebsite.com mit eurer E-Mail-Adresse max.mustermann@gmail.com registriert. Leider hat es die fiktivesupertollewebsite.com nicht sehr ernst genommen mit der Sicherheit und hat euer Passwort im Klartext gespeichert. Zu allem Unglück wurde die Website auch noch gehackt. Ein selbst begrenzt schlauer Hacker versucht jetzt sich bei allen möglichen Diensten mit dieser E-Mail und Passwort Kombination anzumelden. Auf jeden Fall wird er GMail probieren, steckt ja im Namen. Sollte er tatsächlich reinkommen, hat der Hacker Zugriff auf alle E-Mails und kann damit die Passwörter von vielen anderen Dienst zurücksetzen. Mit etwas Recherche möglicherweise sogar die Zugänge eures Mobilfunkanbietes oder eurem Internetbanking. Schon wurde eure Identität gestohlen.

Der „beste Passwortmanager 2021“

Im Gegensatz zu den oben erwähnten kommerziellen Anbietern ist KeePass ein Open-Source Protokoll. Als Software für PC, Mac und Linux empfehle ich KeePassXC. An diesem Projekt arbeiten über 264 Entwickler und mehr als 10.000 Entwickler beobachten dieses Projekt. Ein dermaßen beliebtes Open-Source-Projekt hat den Vorteil, dass ist eine jede Menge Aufmerksamkeit erhält. Fehler - oder gar schadhafter Code - sollten in der Regel also schnell auffallen, während 1Password und Lastpass schlussendlich eine schwarze Box bleiben, bei dir niemand genau weiß was passiert.

Daher ist das KeePassXC Protokoll für mich der beste Passwortmanager. Auch wenn die kommerziellen Alternativen ganz klar einfacher zu bedienen sind. Ist KeePassXC allerdings einmal eingerichtet funktioniert es wie geschmiert. Warum solltet ihr mir in dieser Hinsicht vertrauen? An KeePass verdiene ich keinen Cent. Würde ich euch entgegen einen kommerziellen Passwortmanager empfehlen, könnte ich pro Verkauf eine kleine Provision erhalten.

Schritt-für-Schritt-Anleitung für sichere Passwörter mit KeePassXC

Im Folgenden richten wir KeePassXC auf einem Windows Computer ein. KeePassXC lässt sich aber genauso unter Linux und Mac installieren, mit kleineren Abweichungen von dieser Anleitung. Drei Begriffe vorweg:

  • Passwortdatenbank: Das ist die Datei, in welcher eure Passwörter verschlüsselt gespeichert werden. Typischerweise mit der Endung: .kdbx
  • Passwort: Euer Passwort zum Entschlüsseln der Passwortdatenbank
  • Schlüsseldatei (optional, empfohlen): Zusätzlich zum Passwort wird eure Passwort-Datenbank auch mit der Schlüsseldatei verschlüsselt

1. KeePassXC herunterladen und installieren bzw. entpacken

Von keepassxc.org herunterladen und einfach der üblichen Installationsroutine Ihres Betriebssystems folgen. Alternativ könnt ihr auch die portable Version benutzen. Hierbei handelt es sich um eine einfache ZIP-Datei, welche nicht installiert, sondern nur entpackt werden muss. Mit Klick auf KeePassXC.exe startet ihr dann das Programm.

keepass-start.jpg

2. Neue Datenbank anlegen

Nach dem Starten müsst ihr eine neue Datenbank erstellen. Die Datenbank muss seinen Namen (z.B. Privat) haben und ihr könnt optional eine Beschreibung hinzufügen.

keepass-new-db.jpg

3. Verschlüsselung

KeePass erstellt eure Datenbank automatisch in der Version KDBX 4.0. Indem ihr eure Entschlüsselungszeit erhöht, macht ihr es einem potenziellen Hacker noch schwieriger, die Datenbank zu knacken. 2 Sekunden sollten allerdings mehr als genug sein.

keepass-new-db-encryption.jpg

4. Passwort und Keyfile auswählen

Im nächsten Schritt wählt ihr ein Passwort aus. Die sollte von nun an das einzige Passwort sein, dass ihr euch merkt. Wie auch schon oben erwähnt sollte es sich um ein möglichst sicheres Passwort handeln. Verwendet ihr allerdings eine zusätzliche Schlüsseldatei, kann das Passwort durchaus etwas kürzer sein, um mehr Bequemlichkeit im Alltag zu genießen.

keepass-new-db-password.jpg

Auf jeden Fall empfehle ich euch eine Schlüsseldatei zu erzeugen. Dabei wird der Inhalt der Datei einfach wie ein zusätzliches Passwort verwendet, mit dem eure Datenbank entschlüsselt wird. In gewisser Weise handelt es sich also auch um eine Zwei-Faktor-Authentifizierung. Zu meinem benötigt ihr ein Passwort, zum anderen die Schlüsseldatei.

Wichtig: speichert die Schlüsseldatei niemals online (Dropbox, Google Drive, iCloud, …). Ich persönlich lege die Schlüsseldatei einfach unter C:\ ab. Besorgt euch zusätzlich einen USB-Stick, auf dem ihr eine Kopie der Schlüsseldatei speichert. Mit einem passenden USB-Kabel könnt ihr die Datei später auch von eurem PC auf euer Smartphone kopieren. Mit einem USB OTG Kabel könnt ihr sie auch direkt vom USB-Stick kopieren. 

Tipp: wenn ihr die Datei nicht direkt unter C:\ speichern könnt, speichert sie kurzfristig im Downloads Ordner und kopiert sie dann nach C:\. 

4. Datenbank speichern

Im letzten Schritt werdet ihr nach einem Speicherort für eure Passwort Datenbank gefragt. Hierfür solltet ihr auf jeden Fall ein Onlinelaufwerk wie Dropbox, Google Drive, Microsoft OneDrive oder iCloud verwenden. So ist eure verschlüsselte Passwort Datenbank immer mehrfach gesichert, synchron und ihr müsst euch nicht um ein Backup kümmern.

5. Eintrag anlegen

Ab jetzt kommt der Alltag. Einfach auf das Pluszeichen in der Hauptnavigation klicken, um einen neuen Eintrag anzulegen. Ihr könnt einen beliebigen Titel für jeden Eintrag verwenden, speichert Benutzernamen und Passwort dazu. Ich empfehle euch jedenfalls, die Login-URL der jeweiligen Website in das Feld URL einzufügen. So könnt ihr später die Autofill-Funktion im Browser benutzen. Standardmäßig wird beim Ändern eines Eintrages auch gleichzeitig die Datenbank gespeichert.

keepass-interface.jpg

6. Browserplugin installieren

Wer besonders paranoid ist, kann auf diesen Schritt verzichten. Alle anderen, die es gerne etwas bequemer haben, können das offizielle KeePassXC Browser Plugin installieren. Dieses fügt bei entsprechenden Login Feldern auf Websites ein KeePass Symbol hinzu, mit welchem bequem der Autofill benutzt werden kann.

facebook-login.jpg

In KeePassXC müsst ihr allerdings zuerst die Browser Integration aktivieren (siehe Ende des Beitrages) und der Verbindung zwischen Browser und Datenbank einen Namen geben.

Beim erstmaligen Laden einer Seite müsst ihr zudem die Berechtigung zum Zugriff zur Datenbank erteilen. Es kommt ein kleines Popup, welches ihr bestätigen müsst. Klickt auch auf „Remember“, damit für diese Seite in Zukunft für diese Website nicht mehr gefragt wird. Mit der Option „Never ask before accessing credentials“ (siehe Einstellungen am Ende des Beitrags) lässt sich dies allerdings ausblenden, ohne meiner Meinung nach die Sicherheit zu stark zu gefährden. Schließlich muss man noch immer aktiv aus das KeePass Symbol klicken, damit der Autofill auch was tut.

Wenn das Browser-Plugin anhand der besuchten URL ein Passwort in der Datenbank findet, kann es mit Klick auf das KeePassXC Symbol automatisch ausgefüllt werden. 

Meldet man sich mit einem nicht gespeicherten Passwort auf einer Website an, frag das Plugin, ob es dieses in der Datenbank speichern bzw. aktualisieren soll. Ist das Passwort allerdings unsicher, solltet ihr es trotzdem manuell aktualisieren.

facebook-keepass-bar.jpg

Tipps zur Verwendung im Alltag

  • Deaktiviert euren Browser eigenen Passwort Manager.
  • Erstellt einen neuen Eintrag, bevor ihr euch auf einer Website anmeldet. So habt ihr das neue Passwort bereits gespeichert und könnte es im Registrieren Formular verwenden.
  • Verwendet zumindest 20-stellige Passwörter mit zufälligen Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen
  • Einige Websites verwenden eine Subdomain für den Login. Google verwendet z.B. https://accounts.google.com und leitet dann zum jeweiligen Dienst weiter. Damit das Ausfüllen mittels Plugin funktioniert, müsst ihr in diesem Fall https://accounts.google.com als URL im Eintrag verwenden. Damit der Autofill möglichst gut funktioniert, entfernt auch alle weiteren Zeichen hinter der eigentlichen Domain: https://accounts.google.com/signin/v2/identifier?service=cl&passive=1209600.
  • Einige mächtige Tastenkürzel erleichtern die Bedienung. Einfach einen Eintrag markieren und STRG + B drücken, um den Benutzer zu kopieren. Mit STRG + C kopiert ihr das Passwort (letzteres muss in den Einstellungen aktiviert werden, siehe weiter unten).
  • Ihr habt standardmäßig nur 10 Sekunden Zeit, um einen kopierten Wert auf der Website einzufügen. Also schnell sein oder Einstellung ändern, siehe unten.
  • Unter Android empfehle ich KeePassDX. Die Passwortdatenbank könnt ihr direkt aus eurem Onlinespeicher laden. Die Schlüsseldatei müsst ihr einmalig mittels USB Kabel auf das Handy laden und z.B. im Stammverzeichnis speichern.
  • Verwendet, wo immer es geht, die Zwei-Faktor-Authentifizierung. Ich empfehle auf Android dazu die App AEGIS.

Einige Einstellungen die ich gerne ändere

Einige Einstellungen können den Gebrauch von KeePassXC deutlich vereinfachen ohne dabei die Sicherheit zu stark zu verringern. Ich empfehle folgende:

Passwort Übersicht

Rechtsklick auf Registerleiste (Titel, Username, Url, Notizen, Geändert, …) und Passwort anhaken

Werkzeuge > Einstellungen:

Allgemein

  • Grundeinstellungen 
    • Benutzeroberfläche
      • Minimieren, statt Programm zu beenden
      • Taskleistensymbol anzeigen
  • Auto-Type
    • Tastenkürzel für globales Auto-Type: STRG + Alt + A

Sicherheit

  • Timeouts
    • Zwischenablage leeren nach: 20 sek.
    • Datenbank sperren nach Inaktivität von 14400 sek (4 Stunden - ihr solltet beim Verlassen des Arbeitsplatzes aber ohnehin den PC sperren, z.B. mit der Tastenkombination Win + L)
  • Komfort
    • Benutzername/Passwort per Doppelklick kopieren
  • Datenschutz
    • DuckDuckGo zum Herunterladen von Webseiten-Symbolen verwenden

Browser-Integration

  • Browserintegration aktivieren
    • Allgemein
      • entsprechende Browser anhaken
    • Forgeschritten
      • Niemals fragen, bevor auf Anmeldedaten zugegriffen wird
Permalink: https://to.ptmr.io/Passwort