Ein Ort, um sie alle einzusperren – der Passwortsafe KeePass in der Praxis

Gute Passwörter sind lang, komplex und damit nicht gerade leicht zu merken. Also gibt es, wie im letzten Artikel ausgeführt, gute Gründe für die Verwendung eines Passwortmanagers.

Schauen wir uns mal Schritt-für-Schritt an, wie so ein Passwortsafe in der Praxis eingesetzt wird. Dazu müssen wir aber zunächst mal ein Exemplar seiner Art auswählen. Vor allem im kommerziellen, aber auch im kostenlosen Bereich gibt es viele Angebote. In [1] sind einige der aktuell verfügbaren Produkte untersucht worden. Die von mir hoch geschätzten Kollegen dort machen einen schönen Vergleich, allerdings liegt mir deren Fokus in dem Artikel zu sehr auf dem Funktionsumfang und der Bedienbarkeit. Wichtige Punkte, keine Zweifel, aber unser Hauptaugenmerk liegt auf der Sicherheit. Und da gibt es von mir und vielen Experten[2] in Sachen Datenschutz und Privatsphäre nur eine Empfehlung, KeePass[3].

Warum also ist diese Empfehlung so eindeutig und bestimmt?

KeePass – Die Vorteile

Der wichtigste Punkt, KeePass ist open-source. Was heisst das? 

Für die Nicht-Programmierer unter uns, ein Programm wird in einer Programmiersprache wie z.B. C++ geschrieben, und zwar als so genannter Sourcecode, d.h. das ist der Text in dem der Programmierer beschreibt, was das Programm machen soll. Daraus wird dann das ausführbare Programm, unter Windows gerne ein .exe, gemacht. Den Sourcecode eines Programms können Experten lesen und verstehen. Ist ein Programm nun open-source heisst das, dass der Sourcecode frei im Internet verfügbar ist und von jedermann angeschaut werden kann. Entsprechend können und haben Experten KeePass untersucht, um Schwachstellen und mögliche Sicherheitslücken zu finden. Es wurde sogar ein von der EU finanziertes Audit durchgeführt [4], bei dem eine Sicherheitsfirma beauftragt wurde, dass Programm zu überprüfen. Und das Bundesamt für Sicherheit in der Informationstechnik empfiehlt KeePass [5] ebenfalls.

Ein so überprüftes und überprüfbares Programm verdient ein gänzlich anderes Vertrauen als ein kommerzielle Produkt, dessen Funktionsweise als Firmengeheimnis verborgen bleibt und bei dem Sicherheitsrisiken auch immer ein potentielles Geschäftsrisiko darstellen.

Dann hat KeePass den Charme, dass es kostenlos ist, wobei Spenden[6] bei regelmässiger Benutzung grundsätzlich zu empfehlen sind, um den Fortbestand dieser freien Programme zu sichern.

Und nicht zuletzt, KeePass oder dazu kompatible Varianten sind für nahezu alle Betriebssysteme verfügbar [7].

Der wichtigste Punkt ist aber, dass das Programm öffentlich einsehbar ist und von einer großen Gemeinschaft von Benutzern kritisch untersucht wird und dadurch die Sicherheit und Transparenz steigt. Also bei all der tollen Werbung für kommerzielle Passwortsafes, schaut Euch erstmal KeePass an.

KeePass – Schritt für Schritt

Gehen wir nun Schritt für Schritt die Bedienung des Programms durch. Wir werden im Folgenden eine Passwortdatenbank als den Speicherort unserer Daten anlegen, zur zusätzlichen Absicherung eine Schlüsseldatei erstellen und dann die Daten unseres ersten Benutzerkontos abspeichern und automatisch im Webbrowser eintragen lassen.

Nach dem Download  [8] des Programms meldet sich KeePass beim ersten Start mit folgender Oberfläche:

KeePass – Beim ersten Start

Die Datenbank

Nachdem wir noch keine Datenbank haben, in der später unsere Passwörter gespeichert werden, müssen wir diese erzeugen. 

Der Menübefehl File – New lässt Euch zunächst einen Speicherort und Namen für die neue Datenbank auswählen.

Das Hauptpasswort

Als nächstes folgt auch schon der wichtigste Teil, die Wahl des Hauptpasswortes, im oberen Teil des folgenden Dialoges. 

KeePass – Passwort und Schlüsseldatei

Hier müsst Ihr wirklich alles beherzigen, was in den letzten Teilen besprochen wurde. Das Hauptpasswort ist, neben der gleich zu besprechenden Schlüsseldatei, das Einzige, was zwischen Euren Passwörtern und einem Dieb Eurer Passwort-Datenbank steht. Also wählt bitte ein Passwort, dass

– eine Zeichenlänge von mindestens 24 hat

– zufällig ist und

– nicht auf Wörterbüchern basiert.

Das Passwort müsst Ihr Euch unbedingt merken. Notiert es Euch und verwahrt den Zettel sicher, getrennt von der Passwortdatenbank, auf. Also nicht mit einem USB-Stick im Portemonnaie. Und auf keinen Fall speichert Ihr das Passwort elektronisch in unsicherer Form auf einem Computer oder in der Cloud oder in einer Email.

Die Schlüsseldatei

Nach Anklicken des Feldes “Show expert options” findet Ihr im mittleren Teil des Dialoges die Möglichkeit, eine Schlüsseldatei anzulegen. Diese solltet Ihr unbedingt nutzen! Dieses als 2-Faktor-Authentisierung (2FA) bezeichnete Verfahren bedeutet, das Ihr nicht nur Euer Passwort (also etwas, dass Ihr wisst), sondern auch noch die Schlüsseldatei (etwas, das Ihr besitzt) zur Entschlüsselung, d.h. Öffnen, Eurer Passwortdatenbank benötigt. Diese Datei müsst Ihr, genau wie Eure Passwortdatenbank, natürlich regelmässig sichern und in Euer Backup aufnehmen. 

Sollte eines der beiden verloren gehen, sind damit auch alle Passwörter verloren. Gute Verschlüsselung der Datenbank heisst halt nicht nur, dass kein Dieb an die Daten kommt, sondern auch der rechtmässige Besitzer ist ohne die korrekten Zugangsinformationen wie Passwort und Schlüsseldatei für immer ausgesperrt.

Alles Zufall?

Im nächsten Schritt dürft Ihr Euch nun ein wenig austoben. KeePass muss nun zufällige Zahlen erzeugen, um Eure Datenbank sicher zu verschlüsseln. Da Computer ja eigentlich sehr vorhersagbar reagieren, ist echter Zufall naturgemäß schwierig künstlich nachzubilden. KeePass lässt Euch dafür ein wenig mit der Maus rumschubsen und wahllos Zeichen in ein Feld eintragen. Macht das so lange, bis der Balken links unten im Fenster grün ist. Das Thema Entropie haben wir hier ja schonmal angesprochen.

KeePass – Entropie

Danach könnt Ihr noch die Bezeichnung der Datenbank verändern, diese kann von dem oben ausgewählten Dateinamen abweichen:

KeePass – Bezeichnung der Datenbank und weitere Einstellungen

Die restlichen Einstellungen lasst bitte erstmal unverändert.

Nun noch eine wichtige Option: Ihr bekommt von KeePass angeboten, ein “Emergency sheet” auszudrucken. Darauf findet Ihr den Speicherort Eurer Datenbank und der Schlüsseldatei. Zudem könnt Ihr dort handschriftlich Euer Passwort eintragen. Druckt Euch das aus, tragt Eure Daten ein und verwahrt das sicher. 

Das erste Mal

Nun seid Ihr so weit, dass Ihr KeePass das erste Mal mit Eurer neuen Datenbank starten könnt. Tippt dafür Euer Hauptpasswort ein und wählt Eure Schlüsseldatei aus, und dann begrüßt Euch KeePass mit dem Startbildschirm. Wie Ihr seht gibt es schon erste Beispieleinträge.

KeePass – mit einer neuen Datenbank

Hinzufügen von Einträgen

Und nun machen wir endlich das, wofür wir eigentlich hier sind: Wir speichern das erste Passwort in unserem neuen Passwortsafe. Nachdem Ihr Eure Datenbank geöffnet habt, könnt Ihr unter “Edit” mit dem Menüpunkt “Add Entry” einen Passwort-Eintrag hinzufügen:

KeePass – Hinzufügen eines Eintrags

Dazu vergebt Ihr zunächst mal einen griffigen Titel für den Eintrag im Feld “Title”. Dann tragt Ihr den Benutzernamen (“User name”) des Benutzerkontos ein, das Ihr speichern wollt. Weiterhin fügt noch das Passwort (“Password”), das Ihr zur Überprüfung zweimal eintragen müsst (“Repeat”), hinzu. Hier findet Ihr auch den schon aus einem vorherigen Artikel bekannten Passwortgenerator (das kleine Schlüsselsymbol rechts neben dem Passwort-Wiederholen-Feld), mit dem Ihr Euch ein sicheres Passwort erzeugen könnt. Tragt zuletzt noch die Adresse der Webseite des Onlineanbieters, z.B. https://www.facebook.de, in das Feld URL ein, damit KeePass die Anmeldeinformationen für Euch automatisch eintragen kann.

Verwenden von Passwörtern

Wollt Ihr nun die gespeicherten Passwörter verwenden, um Euch bei einem Onlineanbieter anzumelden, geht Ihr folgendermaßen vor:

Zunächst öffnet Ihr im Webbrowser die Internetseite auf der Ihr Euch anmelden wollt, bis Ihr aufgefordert werdet, Euren Anmeldenamen und Passwort einzutragen. Klickt nun mit der Maus in das Feld in das Euer Anmeldenamen eingetragen werden soll.

Dann klickt Ihr mit der rechten Maustaste auf den zugehörigen Eintrag in KeePass und wählt “Perform Auto-Type”: 

KeePass – Automatisches Ausfüllen von Anmeldefeldern

KeePass trägt nun automatisch die Benutzerinformationen auf der Internetseite ein. Sollte das mal nicht funktionieren, prüft bitte als erstes, ob die URL in dem Anmeldefenster und in dem KeePass-Eintrag übereinstimmen.

Alternativ wählt das Benutzerkonto aus, das Ihr verwenden möchtet und öffnet nach Rechtsklick unter dem Punkt “URL(s)” mit “Open” die Webseite in Eurem Browser. Dann wieder ein Klick in das Anmeldefeld und “Perform Auto-Type” wie gehabt und Ihr seid eingeloggt. 

Zusammengefasst

Mit dem Einrichten und der Verwendung von KeePass habt Ihr einen extrem wichtigen Schritt für Euren Datenschutz vollzogen. Eure Passwörter sind nun sicher verwahrt. Lehnt Euch zurück und geniesst den Moment. Und dann übertragt nach und nach erstmal Eure existierenden Benutzerkonten in KeePass.

Denkt bitte daran, Backups sind immer wichtig. Und nun, wo Ihr Eure Passwörter sicher gespeichert habt, müsst Ihr

– die KeePass-Datenbank und

– die KeePass-Schlüsseldatei

immer sicher speichern und in Euer regelmässiges Backup aufnehmen.

Und merkt Euch Euer Hauptpasswort, damit Ihr immer Euren Passwortsafe öffnen könnt.

Nächste Schritte

Wenn Ihr schon dabei seid, die Anmeldeinformationen Eurer Benutzerkonten in KeePass zu übertragen könnt Ihr Euch auch überlegen, braucht Ihr das Benutzerkonto bei dem Anbieter noch? Eventuell wollt Ihr das ja löschen oder als Karteileiche abheften. Der beste Schutz gegen Datendiebstahl ist immer noch Datensparsamkeit, und was ist sparsamer, als ein Benutzerkonto komplett aufzugeben. Und für die wichtigen Benutzerkonten ändert nach und nach die Passwörter gemäß den Anregungen der letzten Artikel[9].

Mit der Benutzung eines Passwortmanagers und gut gewählten, sicheren Passwörtern seid Ihr nun deutlich besser abgesichert als der größte Teil der Bevölkerung. Eine gute Basis für das weitere Vorgehen.

m


[1] https://www.heise.de/ct/ausgabe/2018-7-Fuenfzehn-Passwortmanager-im-Test-3992417.html

[2] https://www.kuketz-blog.de/sicheres-passwort-waehlen-der-zufall-entscheidet/

[3] https://keepass.info/

[4] https://www.heise.de/security/meldung/Code-Review-EU-Projekt-FOSSA-begutachtet-Apache-und-KeePass-3289313.html

[5] https://keepass.info/help/kb/trust.html

[6] https://keepass.info/donate.html

[7] https://keepass.info/download.html

[8] https://keepass.info/download.html

[9] http://individualsphaere.de/2018/03/05/die-drei-goldene…gute-passwoerter/

3 Antworten auf „Ein Ort, um sie alle einzusperren – der Passwortsafe KeePass in der Praxis“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.