Der Heartbleed-Fehler in der OpenSSL-Software hat es erneut gezeigt: Ein sicherer und bewusster Umgang mit Passwörtern ist im Web2.0 unerlässlich. Um sicher zu sein, sollte jede Anwendung, jeder Dienst ein eigenes Passwort haben. Doch dies ist in der Realität gar nicht so einfach. Wer kann sich schon Dutzende von Passwörtern merken? Der Passwort-Safe KeePass schafft Abhilfe.
Das Problem kennen alle Internet-NutzerInnen. Unzählige Seiten und Dienste verlangen eine Registrierung
mit Benutzername und Passwort. Sehr viele Leute betrachten dies als nötiges Übel und haben drei vier verschiedene Passwörter, die sie in Varianten immer wieder einsetzen. Meist ist man auch in Eile bei der Registrierung und denkt sich nicht viel dabei. Das ist eines der grösseren Sicherheitsrisiken im Internet. Denn gelingt es einem Gangster eines dieser Passwörter zu ergattern, hat er gleich Zugang zu unzähligen anderen Diensten. Er muss lediglich das ergaunerte Passwort etwas variieren, um grossen Schaden anzurichten.
Doch ein sicheres Verhalten im Internet zu praktizieren, ist gar nicht einfach. Denn dazu müsste man sich Dutzende von Passwörtern merken, die zudem auch noch keine gebräuchlichen Wörter sein sollten. Das schafft kein Mensch! Dafür gibt es die Software KeePass. Mit ihr lassen sich Passwörter erzeugen, speichern und verwalten. Darüber hinaus ist sie open-source, gratis, benötigt sehr wenig Ressourcen, und es gibt eine Mobile-Version.
Sichere Ablage
Und natürlich das Wichtigste: KeePass ist sicher. Die Basis für das Programm ist eine Datenbank, in der alle Passwort-Einträge (zusammen mit Benutzernamen, URL und anderen Daten) gespeichert sind. Diese Datenbank ist komplett verschlüsselt mit einem 256-Bit-Schlüssel. Es sind also nicht nur die Passwörter unsichtbar, sondern sämtliche Daten, auch die Benutzernamen. Gerät diese Datenbank in fremde Hände, ist das nicht so schlimm, weil das Knacken der Verschlüsselung technisch fast nicht möglich ist.
Dieses Design ermöglicht es, dass man sich als BenutzerIn nur ein einziges Passwort merken muss: Das Masterpasswort, um die Datenbank zu öffnen.
Erzeugung von sicheren Passwörtern.
Einen neuen Eintrag zu erzeugen, ist sehr einfach. Man gibt einen Benutzernamen ein und schon ist eigentlich alles gemacht. Die Software erzeugt automatisch ein Passwort, das ca 128 Bit lang und sehr sicher ist. Passt einem dieses Passwort nicht, kann man sich auch ein anderes erzeugen lassen. Die Qualität dieser selbst erzeugten Passwörter lässt sich einstellen und es kann aus verschiedenen Erzeugungs-Algorithmen ausgewählt werden. Damit verhindert man, dass das Passwort über menschliche Muster verfügt, die allfälligen Angreifern helfen könnten, das Passwort zu knacken.
System-Integration
KeePass lässt sich sehr gut in ein laufendes System integrieren, so dass die Passwörter jederzeit bereitstehen, wenn man sie benötigt. Mit einem Shortcut wird KeePass gestartet und geöffnet. Danach sucht man nach dem entsprechenden Eintrag und lädt sich das Passwort per Doppelklick in die Zwischenablage. Von dort lässt sich das Passwort auf Webseiten oder Programmen einfügen, ohne dass das Passwort je im Klartext zu sehen ist.
Selbstverständlich ist das ein Aufwand, den man auf sich nehmen muss, um sichere Passwörter zu haben. Mit der Zeit gewöhnt man sich allerdings daran. Als Lohn erhält man das gute Gefühl der Sicherheit. Auch wenn ein Passwort bei einem Dienst unsicher ist oder gehackt worden ist, können Angreifer nicht viel damit anfangen, weil es nur bei einem einzigen Dienst im Einsatz ist.
Datenbank synchronisieren
Will man KeePass auf verschiedenen Geräten nutzen, ist es wichtig, dass die Datenbank auf allen Geräten synchronisiert wird. Dafür gibt es mit KeePass verschiedene Lösungsansätze. Der einfachste Weg ist sicherlich, nur eine einzige Datenbank anzulegen und diese auf einem FTP-Server abzulegen. Dort kann sie von überall her geladen werden. Allerdings benötig man dazu einen FTP-Server.
Ebenfalls ein guter Weg ist, die Datenbank in einem Verzeichnis zu speichern, das über die Cloud synchronisiert wird (SkyDrive, GoogleDrive, Dropbox etc.). Auf dem Computer wird dann die lokale Kopie geöffnet. Sobald etwas geändert wird, ein neuer Eintrag erstellt oder ein alter gelöscht wird, wird das Datenbank-File synchronisiert. Weil die Datei sehr stark verschlüsselt ist, braucht man sich auch bei dieser Variante keine Sorgen über die Sicherheit zu machen.
Mobile Version
Die tollste Passwort-Verwaltung macht allerdings keinen Sinn, wenn sie nicht auch in mobilen Geräten verfügbar ist. Auch hier zeigt sich die Stärke der Open-Source-Architektur von KeePass. Denn es gibt unzählige Apps, die den kdbx-Standard für verschlüsselte Datenbank-Files ausnutzen und Clients für iPhone, Android und Windows Phone anbieten. Eine Liste von App-Anbietern findet sich unter www.keepass.info/download.html.
Ich nutze die App KeePass2Android, die vollen Zugriff über FTP anbietet. Zudem besteht auch die Möglichkeit, eine Datei von OneDrive, GoogleDrive oder Dropbox zu laden. Alles funktioniert einwandfrei.
Auch in der mobilen Version muss man sich nur ein einziges Master-Passwort merken, um die Datenbank zu öffnen. Danach hat man auf alle Einträge Zugriff, kann sie löschen, verändern oder neue anlegen.
Der Heartbleed-Fehler in der OpenSSL-Software hat es erneut gezeigt: Ein sicherer und bewusster Umgang mit Passwörtern ist im Web2.0 unerlässlich. Um sicher zu sein, sollte jede Anwendung, jeder Dienst ein eigenes Passwort haben. Doch dies ist in der Realität gar nicht so einfach. Wer kann sich schon Dutzende von Passwörtern merken? Der Passwort-Safe KeePass schafft Abhilfe.
