Diese Woche habe ich unsere Lehrpersonen informiert, dass es wichtig ist, für jeden Online-Dienst ein eigenes Passwort zu verwenden (vgl. diesen Beitrag). Nun kam die Rückfrage, wie man sich denn so viele verschiedene Passwörter überhaupt merken könne. Es gibt verschiedene Möglichkeiten, wie man seine Passwörter verwaltet, alle mit eigenen Vor- und Nachteilen. Ich möchte hier als Beispiel aufzeigen, wie ich das mache.
Passwort Tresor
Ich verwende einen Passwort Tresor, den man mit einem Hauptpasswort öffnen und schliessen kann und in dem alle meine Passwörter abgelegt sind. Damit ist auch schon klar, was der Nachteil dieser Lösung ist. Wenn ein Angreifer mein Hauptpasswort hat, bekommt er Zugriff auf alle meine Passwörter. Von Vorteil nutzt man für dieses Hauptpasswort also ein wirklich sicheres Passwort und gibt dieses nur ein, wenn niemand zuschaut. Ausserdem sollte man dieses Passwort nur auf einem Computer eingeben, bei dem man davon ausgeht, dass er nicht mit Malware infiziert ist, die z.B. alle Tastatureingaben aufzeichnet (aber dies ist wohl eher eine allgemeine Empfehlung und trifft für jedes Passwort zu).
Online oder Offline
Es gibt verschiedene Anbieter von Passwort Tresoren, auch solche, die online im Internet angeboten werden. Dies ist zwar sehr komfortabel (weil man von überall darauf Zugriff hat), aber meiner Meinung nach nicht zu empfehlen. Zum einen kann ein Online-Dienst gehackt werden und zum anderen müsste ich so dem Betreiber vertrauen, dass er selber keinen Zugang zu allen meinen Passwörtern hat. So viel Vertrauen will ich keinem Anbieter entgegen bringen…
Keepass
Es gibt verschiedene Offline Passwort Tresore. Ich habe mich aus verschiedenen Gründen für Keepass entschieden. Keepass ist Open Source und legt damit nicht nur die eingesetzte Verschlüsselungstechnik offen, sondern den gesamten Quellcode. Dies bedeutet, dass jeder mit genügend Wissen überprüfen kann, wie sicher Keepass umgesetzt wurde. Mehr Sicherheit ist für mich nicht möglich, da ich selber weit davon entfernt bin, die eingesetzte Verschlüsselung und die Programmierung selber zu beurteilen.
Installation
Auf der Seite https://keepass.info/ wechselt man auf Downloads.
Es gibt 4 Versionen von KeePass. Die oberen beiden Versionen sind die neueren. Auf dem eigenen Computer zu Hause empfehle ich den “Installer” links, der das Programm auf dem Computer installiert. Auf einem Computer, auf dem man keine Installationsrechte hat, z.B. auf einem Schul- oder Firmencomputer, kann man die Portable Version verwenden.
Bei der Installation kann man gut die Standardwerte übernehmen und jeweils auf “Weiter” und am Schluss auf “Installieren” klicken.
Beim ersten Start wird man gefragt, ob das Programm automatisch überprüfen soll, ob eine neuere Version verfügbar ist. Ich habe das jeweils ausgewählt.
Nun muss man als erstes durch einen Klick auf das erste Symbol in der Menüleiste eine neue Datenbank erstellen.
Hier sollte man sich gut überlegen, wo man die Datenbank speichern möchte. Es handelt sich einfach um eine einzelne Datei ähnlich wie ein einzelnes Worddokument. Man kann die Datei zuhause auf dem Computer speichern, dann muss man aber dafür schauen, dass sie regelmässig ins Backup gespeichert wird, das von Vorteil auch noch ausser Haus gelagert wird. Man will ja nicht alle Passwörter verlieren, wenn die Festplatte des Computers den Geist aufgibt oder nach einem Wasser- oder Feuerschaden oder…
Ich speichere die Datei jeweils in den OneDrive Ordner auf meinem Computer. Von dort wird er über die Synchronisation von OneDrive in die Microsoft Cloud gespeichert. Dies hat verschiedene Vorteile. Zum einen habe ich so automatisch ein Backup an einem anderen Ort und zum anderen kann ich so von verschiedenen Computern auf die Datei zugreifen.
Obwohl die Datei in der Cloud liegt, sind die Passwörter sicher. Weder Microsoft selber, noch ein amerikanischer Geheimdienst der Microsoft zur Herausgabe der Datei zwingt oder ein Hacker, dem es gelingt, in die Microsoft Cloud einzubrechen, kommt an die Passwörter. Der KeePass Tresor wurde ja bei mir auf dem Computer lokal mit nach heutigem Wissen sicheren Verfahren verschlüsselt.
Wenn man den Speicherort gewählt hat, muss man der Datei noch einen Namen geben und auf “Speichern” klicken.
Als nächstes wählt man ein möglichst sicheres “Master password”. Über “Show expert options” könnte man noch sicherere Optionen wählen, z.B. ein Passwort und eine Datei z.B. auf einem USB Stick, die nur beide zusammen den Tresor öffnen können. Darauf verzichte ich aber.
Im nächsten Fenster “Database Settings” gibt es 5 Registerkarten, mit denen man die Datenbank noch genauer konfigurieren kann. Wenn man das nicht möchte, kann man die Voreinstellungen übernehmen und einfach mit OK bestätigen.
Danach gibt es noch eine Meldung, ob man ein “Emergency sheet” ausdrucken möchte. Dies habe ich nicht gemacht. Wenn man diese Meldung mit Skip überspringt, öffnet sich der Passwort Tresor mit Kategorien oder Ordnern auf der linken Seite des Fensters und zwei Beispieleinträgen auf der rechten Seite (welche man löschen kann).
Um einen neuen Eintrag zu erstellen, wählt man eine Kategorie (oder erstellt eine neue) und klickt auf das Schlüsselsymbol. Dadurch öffnet sich ein Fenster “Add Entry”, das man nun ausfüllen und mit OK wieder schliessen kann.
Man kann den Eintrag direkt nach der Eingabe durch einen Klick auf das Diskettensymbol speichern. Falls man dies nicht macht, wird man beim Schliessen der Datei darauf hingewiesen, dass es noch ungesicherte Änderungen gibt und kann dann alle Änderungen speichern.
Durch einen Doppelklick auf den Titel eines Eintrags öffnet sich dieser und man kann die Eingaben einsehen. Ein Doppelklick auf “User Name” oder “Password” eines Eintrags speichert den Inhalt in die Zwischenablage. So kann man über Ctrl + V diese sehr praktisch z.B. in die Anmeldemaske eines Online-Dienstes übernehmen.
Wenn man das Programm Keepass das nächste Mal startet, wird automatisch die letzte Datenbank verbunden. Man muss also nur noch das Passwort eingeben, um diese zu öffnen.
Als Alternative (oder von einem anderen Computer mit installiertem Keepass) kann man kann man den Passwort Tresor auch einfach durch einen Doppelklick öffnen.
ictschule 
Ich turne wahrhaftig im Internet umher – und verwende genau 3 verschiedene Passwörter: ein schwaches bei Diensten ohne Gegenwert, eines, das mir vor 20 Jahren zugewiesen wurde und ein drittes, welches alle Kriterien (Gross- und Kleinschreibung, Sonderzeichen) erfüllt. Und ich lade immer wieder ein, wenigstens eines der drei zu knacken. Tipp: Beginne mal bei meinem Zattoo-Konto. Dieses ist mit meinem schwachen Passwort „geschützt“.
Diese Anleitung ist eine mögliche Antwort auf diesen Beitrag (https://wp.me/p1Ml8G-1It), in dem ausführlich beschrieben ist, wieso es NICHT sinnvoll ist, für mehrere Dienste das gleiche Passwort zu verwenden.
@brueedi: „Ich lade immer wieder ein…“: Passwort 1 -> 8 Stellen (Sehr Simpel…), Passwort 2 -> 9 Stellen, Passwort 3 wird man mit etwas Zeit auch finden. Als kurze Demo sollte das aber genügen. q.e.d.
@ictschule: Alternative zu Keepass -> 1password.com (kostet etwas, ist den Preis aber wert). Interessant v.a. die Team / Family-Optionen sowie die unkomplizierte und sichere Nutzung per App.
Vielen Dank für den Hinweis auf 1password.com. Ist sicher komfortabler als Keepass, aber irgendwie ist mir ein Online Tresor nicht ganz gleich sympathisch wie eine Offline Lösung. Da steht was von Ende-zu-Ende Verschlüsselung. Wenn ich das richtig verstehe, ist das eine Ende der Cloudserver, also doch der Anbieter, dem ich vertrauen muss…
Eine weitere Alternative, online & offline nutzbar, ist SecureSafe.
Der Anbieter ist aus der Schweiz und speichert die Daten in der Schweiz. Zudem arbeitet SecureSafe im Bereich E-Banking mit namhaften Schweizer Banken zusammen. Die App SecureSafe ist bis 50 Passwörter kostenlos. Aber ja, ein Cloudserver ist auch diese Lösung.
Vielen Dank für den Hinweis.
Hallo, ich als Admin in der Fa. verwende Keepass zusammen mit einem YubiKey 4. D.h. 2FA, Masterpasswort ist eine 4 stellige PIN und der YK muss gesteckt sein. Konfiguration des secrets für slot1/2 auf dem YK geht über das YK personalization tool. Keepass greift dann auf ein plugin zurück, siehe keepass website bzw. https://brush701.github.io/keechallenge/
Vielen Dank für den Hinweis. Das tönt sehr sicher.