Jeder von uns hat mehrere bis Dutzende von Online-Zugängen, die Passwörter erfordern. Jeder braucht sie, jeder hasst sie. Passwörter sind unbequem und kosten Zeit. Deswegen sind sie meistens zu leicht zu erraten und fahrlässigerweise mehrfach in Gebrauch. Das sollte tunlichst nicht sein! Ich möchte Ihnen zeigen, wie Sie zu besseren Passwörtern kommen und diese sicher verwalten und bequem benutzen.

Worauf kommt es an?

Die beiden wichtigsten Punkte bei Passwörtern sind:

• Komplexität - verwenden Sie keine Wörter oder Phrasen. Als einfache Regel gilt: alles, was Sie im Wörterbuch oder bei Google finden könnten, ist untauglich.
• Einzigartigkeit - verwenden Sie niemals das selbe Passwort für mehrere Dienste gleichzeitig!

Ich möchte hier nicht alle anderen Umgangsregeln zum X-ten Male herunter beten. Das können Sie an tausenden Stellen im Internet nachlesen. Z.B. beim Bundesamt für Sicherheit in der Informationstechnik in den Empfehlungen für Passwörter.

Welche Vorteile bietet ein Passwortsafe?

Es gibt viele verschiedene Passwortmanager auf dem Markt. Alle haben Vor- und Nachteile und verfolgen unterschiedliche Ansätze. Die meisten liegen online bei einem Anbieter in der Cloud und kosten monatliche Gebühren. Dafür gibt es dann Desktop- und Mobil-Apps, um darauf vernetzt zuzugreifen. Das ist natürlich zeitgemäß und bequem. Allerdings muss man sich den Versprechungen des ausgewählten Anbieters hin geben und darauf vertrauen, dass seine Speichermethoden sicher sind und er mit meinen Daten keinen Unsinn anstellt.

Für mich reicht das nicht aus. Ich wünsche mir eine lokale Lösung, die ich voll unter meiner eigenen Kontrolle habe. Dafür nehme ich ein bisschen weniger Bequemlichkeit gern in Kauf. Meine Empfehlung lautet daher "KeePass" von dem deutschen Open-Source-Entwickler Dominik Reichl. Damit bekomme ich folgende Vorteile:

• Sicher verschlüsselte Aufbewahrung aller Ihrer Passwörter unter lokaler Kontrolle (kein Online Dienst)
• Neue Passwörter synthetisch erzeugen lassen, ohne sich das Gehirn zu zermartern
• Passwörter nicht mehr merken müssen, Keepass tippt sie automatisch ein
• Sie müssen sich nur noch ein einziges, Ihr Hauptpasswort merken
• Regeln erstellen, wie neue Passwörter zusammengesetzt sein sollen
• Web-Links hinterlegen, dann wird Keepass gleichzeitig zum Lesezeichenmanager
• Weitere Informationen hinterlegen (Kundennummern, Mail-Adressen, Seriennummern, Lizenzschlüssel, Servernamen, Modellnummern, Typennummern, Telefonnummern usw. usf.). Dadurch wird Keepass zum Manager für alles mögliche
• Wenn ich möchte, kann ich meinen Safe auch in meine private Cloud laden und dann mobil darauf zugreifen
• Der Verschlüsselungsalgorithmus ist nicht das Geheimnis eines Anbieters, sondern dank Open-Source öffentlich einseh- und überprüfbar. Vorhandene Sicherheitslücken können so von jederman gefunden und gemeldet werden, so dass schnellstmöglich nachgebessert werden kann.

Ich gebe ja zu, dass Keepass Wohnzimmerbenutzer, die Klickibunti erwarten, enttäuscht. Dafür bietet er die meisten Sicherheitseinstellungen und nirgendwo sonst hat man so viele Einstellungsmöglichkeiten.

Wie sicher ist KeePass?

Die Kritiker von Passwortsafes führen an, dass ein Angreifer diesen natürlich auch knacken kann. Damit haben sie Recht. Ja, da müssen wir natürlich ehrlich bleiben. In dieser Welt gibt es keine absolute Sicherheit, außer dass Gott uns liebt! Aber es ist m.M.n. immer noch sicherer, als für jeden Dienst ein einheitliches Passwort zu verwenden und bequemer, als alle Passwörter auf Papier aufzuschreiben und im Tresor aufzubewahren.

Die Sicherheit beim KeePass-Safe steht und fällt mit dem gewählten Hauptpasswort. Es dient wie bei einer Schließanlage als Generalschlüssel. Die Passwörter liegen in einer hoch verschlüsselten Containerdatei (z.B. "meinSafe.kdbx") auf Ihrer Festplatte. Ein Angriffszenario wäre, dass Sie sich einen Trojaner auf Ihren Computer herein geklickt haben, der Ihre Passwortdatei an den dahinter stehenden Kriminellen sendet. Wenn Ihr Hauptpasswort schwach ist, also kurz oder aus bekannten Wörtern besteht, kann der Safe relativ leicht geknackt werden. Ein Könner schafft das in unter eine Stunde.

Wenn wir jedoch ein Passwort mit mind. 10 zufällig und gleichmäßig verteilten Zeichen aus einem großen Zeichenvorrat (Klein-, Großbuchstaben, Zahlen, Sonderzeichen) zusammen stellen, muss der Angreifer einen sog. Brute-Force-Angriff starten. Er probiert dann alle möglichen Kombinationen von Zeichen durch (hier 0,5 * 10 hoch 20 = 50 Trillionen), bis er die richtige gefunden hat. Das kostet ziemlich viel Rechenzeit, obwohl ein aktueller Computer vielleicht 200.000 Versuche pro Sekunde schafft. Überschlagsmäßig liegen wir im Bereich von über einer Million Jahre für einen solchen Angriff auf ein solches Passwort. In der Zwischenzeit wird sich der Kriminelle hoffentlich leichteren Opfern zuwenden.

KeePass Installieren

Keepass erhalten Sie als kostenlosen Download von der Seite des erwähnten Entwicklers. Für den normalen Gebrauch auf einem Windows-Desktop-Rechner wählen Sie die Version KeePass 2 - "Installer for Windows". Laden Sie die Installer-Datei herunter und führen das Setup aus. Die Optionen "Native Unterstützungsbibliothek" und "KeePass-Start-Leistung optimieren" können Sie abwählen, das spart ein paar Ressourcen auf Ihrem Computer.

Ergänzend laden Sie bitte die Deutsche Sprachdatei herunter. Sie ist unter dem Namen "German.lngx" in einer ZIP-Datei verpackt und wird später in das Unterverzeichnis "Languages" des Installationsverzeichnisses (im Normalfall "C:\Program Files (x86)\KeePass Password Safe 2\") kopiert.

Bitte erwägen Sie eine Spende. Denn auch wenn der Autor das Programm kostenlos anbietet, kostet der Betrieb der Infrastruktur Geld, nicht zu reden von den vielen Arbeitsstunden die darin stecken.

Sinnvolle Konfiguration von KeePass

Mit welchen Optionen Sie KeePass wünschen ist natürlich persönliche Geschmacksache. Ich habe für mich ein paar Einstellungen herausgefunden, die ich gerne mag und mit denen Sie auch starten können. Dies sind u.a.:

• Deutsche Sprache (erfordert die erwähnte Sprachdatei)
• Safe automatisch speichern, beim Beenden
• Anzeige der Detailspalte rechts nebeneinander
• Schließen-Knopf minimiert das Fenster (so bleibt KeePass im Hintergrund weiter aktiv und wartet auf Befehle)
• Minimieren, nachdem man per Doppelklick etwas kopiert hat (dadurch gelangt man sofort zurück zum vorherigen Zielfenster)
• Einige weitere Ansichtsoptionen
• Verschiedene Regeln zum Generieren von neuen Passwörtern
• Und noch ein paar weitere Kleinigkeiten

Wenn Sie diese Grundkonfiguration ebenfalls von Anfang an haben möchten, kopieren Sie bitte diese Konfig-Datei in das Installationsverzeichnis.

Einfache Benutzung

KeePass lässt sich nicht nur vielfältig konfigurieren, sondern bietet auch bei der täglichen Benutzung einfache und fortgeschrittene Möglichkeiten. Generell lässt sich sagen: Je mehr Sie einmalig bzw. grundsätzlich in die Pflege Ihres Datenbestandes investieren, desto mehr Zeit sparen Sie im täglichen Alltagsgebrauch vervielfacht wieder ein.

Neuen Safe anlegen

Zu allererst legen Sie Ihre persönliche Safe-Datei an. Öffnen Sie KeePass und gehen Sie auf "Datei" > "Neu...". Geben Sie einen Namen für Ihren Safe an, z.B. "meinSafe.kdbx" und speichern Sie diesen auf Ihrer Festplatte z.B. unter "Dokumente" ab. Seien Sie sehr sorgfältig bei der Vergabe Ihres Hauptpasswortes (mind. 10 Zeichen lang und keine Wörterbuchwörter). Orientieren Sie sich an dem farbigen Balken der Passwortqualität. Bleiben Sie nicht unter dem grünen Bereich.

Die Datenbank-Einstellungen können Sie unverändert übernehmen. Das Notfallblatt sollten Sie ausdrucken und Ihren Hauptschlüssel zumindest so lange zur Sicherheit aufbewahren, bis Sie ihn todsicher intus haben. Beachten Sie in dem Zusammenhnag auch das untenstehende Kapitel "Digitales Erbe".

Neuen Eintrag anlegen

Als nächstes legen Sie Ihren ersten Eintrag an. Links sehen Sie eine vorgegebene Ordnerstruktur, die Sie nach Belieben anpassen können. Löschen Sie nicht gewünschte Ordner und legen Sie mit Rechtsklick neue an.

Anschließend klicken Sie auf das Schlüssel-Symbol und geben die Zugangsdaten für einen neuen Eintrag an. Das kann z.B. wie nebenstehend aussehen. KeePass schlägt Ihnen ein neues, zufällig generiertes Passwort vor. Sie können sich mit dem angegebenen Button auch ein anderes generieren lassen. Die Regeln hierzu können Sie an zentraler Stelle vorgeben.

Füllen Sie mindestens die Felder Titel, Benutzername und Passwort aus. Empfehlenswert wäre, auch gleich den Link unter URL einzutragen, der zur Login-Seite führt. Dann führt Sie KeePass später aus der Hauptliste heraus direkt per Doppelklick dahin (wie bei einem Lesezeichen). Weitere persönliche Hinweise können Sie ins Kommentarfeld eintragen.

Mit OK legen Sie den Eintrag an. Vergessen Sie nicht, immer wieder auch den Gesamt-Safe zu speichern (Diskettensymbol oben links).

Automatisch Passwort tippen lassen

Dass KeePass jedes Passwort automatisch oder halbautomatisch tippen kann, bringt die größte Zeitersparnis im täglichen Leben. Das funktioniert so:

Öffnen Sie KeePass und Dppelklicken Sie auf die URL: Das öffnet Ihren Standarbrowser, der die Login-Seite des Dienstanbieters lädt.

Platzieren Sie den Cursor in das Feld für Benutzername und ordnen Sie die Fenster des Browsers und von Keepass so übereinander an, dass Sie links neben dem Browser den Autotype-Button von KeePass erreichen. Dann klicken Sie auf den Autotype-Button des links hervorlugenden KeePass-Fensters: KeePass füllt dann sofort beide Felder aus und Sie werden eingeloggt.

In letzter Zeit trifft man leider immer häufiger die Unsitten an, dass der Anbieter z.B. zusätzlich Rätselaufgaben fordert, oder das Login auf mehrere Einzelseiten aufteilt. Dies kann den Autotype-Mechanismus stören und er muss dann für diese Logins angepasst werden. Das sind fortgeschrittene Techniken, die in ein anderes Kapitel gehören.

Jedoch können Sie die benötigten Feldinhalte auch durch Doppelklick in die Zwischenablage kopieren und dann mit Strg + V in das zugehörige Login-Feld übernehmen. Das funktioniert auch mit der Maus durch Ziehen und Fallen lassen (Drag & Drop). Einzelheiten hier.

Fortgeschrittene Benutzung

In der fortgeschrittenen Benutzung lernen Sie:

• Autotype an Login-Seiten mit abweichender Felder-Anordung anpassen
• Vollautomatisches Autotype mit der Tastenkombination Strg + Alt + A
• Den Passwortgenerator anpassen.
• Vorlagen für bestimmte Kategorien neuer Einträge definieren = Templates
• Noch mehr Möglichkeiten mit Plugins. Es gibt z.Z. ca. 150 externe Erweiterungsmodule (Plugins) für KeePass, womit der vorhandene Funktionsumfang exorbitant erweitert werden kann.
• Safe so einrichten, dass er auch auf einem Smartphone erreichbar ist (s.u.).
• Zusätzliche Login-Sicherheit hinzufügen

Diese Themen würden jedoch den Rahmen dieses Artikels bei weitem übersteigen. Sie sollen nur wissen, dass das Beschriebene nicht das Ende der Fahnenstange ist. Folgen Sie den obigen Links, wenn Sie das eine oder andere Thema interessiert.

Für Programmierer

Für die absoluten Spezialisten gibt es darüber hinaus noch die Möglichkeiten

• mit Triggeraktionen bei bestimmten Ereignissen bestimmte Aktionen auszulösen
• Scriptbefehle auszuführen und
• man kann eigene Plugins selber programmieren und zur Installation von KeePass hinzu fügen. Damit kann man den Funktionsumfang beliebig erweitern.

Dies nur zur Information, der Vollständigkeit halber.

Digitales Erbe

Das Stichwort "Digitales Erbe" hört man immer häufiger und es ist durchaus eine wichtige Angelegenheit. Wir werden ja alle immer älter und früher oder später trifft uns das Unvermeidliche und wir lassen das Irdische hinter uns. Für die Hinterbliebenen, die unsere irdischen Güter erben, kann es in Sisyphosarbeit ausarten, wenn sie alle digitalen Zugänge übernehmen wollen aber die Zugangsdaten nicht direkt verfügbar sind.

Hierbei kann ein Passwortsafe eine große Hilfe sein, wenn er sauber und konsequent gepflegt ist. Es gibt einige Varianten:

• Passwortsafe ausdrucken und dem Testament beilegen. Nachteil: Dieser Ausdruck kann im Erbfall Jahre alt sein. Die enthaltenen Zugangsdaten sind dann nicht vollständig, nicht mehr richtig oder vielleicht schon obsolet.
• Passwortsafe auf einen USB-Stick kopieren und in einem sicheren Versteck - idealerweise in einem Tresor - verwahren. Hierbei legen Sie dem Testament lediglich den Hauptschlüssel bei. Nachteil: Sie müssen den USB-Stick regelmäßig aktualisieren, damit die Daten halbwegs aktuell sind. Jedesmal, wenn Sie den Hauptschlüssel ändern, müssen Sie Ihr Testament auch ändern. Wenn der Stick kaputt geht war alles umsonst.
• Alternativ können Sie den Hauptschlüssel auch wo anders verstecken und das Versteck im Testament erwähnen. Aber dann haben Sie das Risiko, dass bei einem Wohnungseinbruch beides, der Schlüssel und der Stick gefunden werden.
• Die optimale Lösung ist m.M.n., dass Sie den Passwortsafe ganz normal auf Ihrem Computer lassen und das Computerpasswort, den Speicherort der Safe-Datei und den Hauptschlüssel in einem datierten, versiegelten Umschlag bei Ihrem Erben deponieren. Hierzu eignet sich gut das Notfallblatt von KeePass. Bei einer Änderung des Hauptschlüssels reichen Sie einen neuen Umschlag weiter. Der alte kann vernichtet werden. Aufgrund des Datums ist außerdem klar, welcher der aktuelle ist. Denken Sie daran, Ihren Computer regelmäßig, also mind. einmal pro Woche auf eine externe Festplatte zu sichern. Siehe mein Artikel "Warum Sie Ihre Daten sichern sollten und wie".

Weiterführende Informationsquellen

Auf der Website des Entwicklers finden Sie ein umfangreiches Hilfeportal für Keepass.

Dieser Artikel von "Teltarif" beschreibt, wie man seinen KeePass-Safe so unter bringt, dass man auch mit einem Mobilgerät darauf zugreifen kann: "Gratis Passwort-Safe auf deutschem Server - so geht's".

Downloads

• Keepass
• Deutsche Sprachdatei
• Spende für den Autoren
• Meisel-Grundkonfiguration "KeePass.config.xml" (in das Installationsverzeichnis kopieren!)

27. 1. 2019