Ein Erfahrungsbericht: KeePass im täglichen Einsatz

Es passiert inzwischen fast täglich: Man möchte einen interessanten Artikel in einem WebShop bestellen, oder einfach in einem Forum mitschreiben. Was kommt dann immer ziemlich am Anfang? Genau – Das Anlegen eines Benutzerkontos.

Mit „Das ist ist mein Kennwort“ fängt der Ärger an

Oft sehe ich dann, dass hier die eigene (Haupt-) EMailadresse verwendet wird. Zusammen mit einem „Standardpasswort“. Grundsätzlich ist da auf den ersten Blick nichts dran auszusetzen. Wäre da nicht der Faktor Mensch auf der anderen Seite – z.B. der Betreiber eines kleinen Forums. Sein Forum dient nur privaten Zwecken und überhaupt ist das ja nur ein Hobby. Also wird eine kostenfreie Forensoftware installiert und so lange remgewerkelt, bis das Forum läuft. Updates? Lieber nicht, es war ja soviel arbeit das ganze überhaupt ans Laufen zu bringen. Optionen für die verbesserte Speicherung von Kennwörtern? Lieber nicht anwählen. Wer weiss, ob der Hoster die dafür nötigen Funktionen des ominösen PHP überhaupt anbietet.

Gerne wird dann das Kennwort mehr oder weniger gut verschlüsselt abgelegt. Bei älterer Software eher weniger gut bis zum Punkt wo das Kennwort lesbar in einer Datenbank steht. Das ist dann natürlich schlecht, wenn jemand diese Datenbank in die Hände bekommt. Nun hat er E-Mailadresse und Kennwort.

Was will schon jemand mit meinem Kennwort anfangen?

Aber meine Beschreibung dieses Szenarios läßt viele Anwender ziemlich unbeeindruckt. Wieder mal siegt Massenträgheit über die Angst vor Missbrach der eigenen Daten. Häufiges Argument: Was soll man damit schon anfangen. Vielen kommt nicht die Idee, dass der Datendieb sicherlich versuchen wird mit dem Kennwort sich ins E-Mailkonto einzuloggen, mal bei Amazon und EBay vorbeizuschauen und auch bei PayPal einen Versuch zur Anmeldung wagen wird.

Inzwischen haben nun viele meiner Bekannten zwei Kennwörter. Eins für die wichtigen Dinge und eins für die „kleinen Foren“. Damit werde ich wohl mit leben müssen. Mehr darf man heutzutage wohl auch nicht mehr erwarten. Spätestens seitdem man sich mit seinem Facebook Account an vielen Dienste anmelden kann ist das ja alles „total sicher“. Es ist ja schließlich Facebook! – Ich lasse das dann meist unkommentiert.

Mein Vertrauen in Facebook ist nicht sonderlich hoch. Genausowenig glaube ich daran, dass viele Seitenbetreuer sich Gedanken über sicher gespeicherte Kennwörter Gedanken machen. Tatsächlich habe ich E-Mails mit einem meiner tatsächlich verwendeten Kennwörter in letzter Zeit erhalten (Anmerkung: In dem Fall aus einem Hack bei Adobe im Jahr 2013).

Eine Passwortdatenbank als Lösung – KeePass

Meine Lösung für das Problem: Ein eigenes Kennwort für jedes meiner Konten. Aktuell sind das etwa 150 Benutzernamen und Kennwörter. Und nein – ich habe die nicht alle im Kopf. Ich nutze dafür ein ganz hervorragendes Tool mit dem Namen KeePass.

Was macht dies Tool? Für jedes Konto erstelle ich dort einen eigenen Eintrag mit Beschreibung, URL, Benutzername und Kennwort. Das Kennwort wird direkt bei der Anlage eines neuen Eintrags automatisch erzeugt. Diese Masterdatenbank wiederum ist mit einem komplexen Kennwort geschützt. In meinem Fall ein Kennwort mit mehr als 20 Stellen. Das darf dann auch ein abgewandelter Merksatz sein. Zum Beispiel die ersten Buchstaben jedes Worts eine Lieblingssatzes.

Ein bisschen Luxus darf sein. Es ist natürlich sehr unschön, wenn man nun für jeden Login (meistens sind es ja Webseiten) in KeePass gehen muss, um dann dort das passende Kennwort zu suchen. Deswegen nutze als Ergänzung noch Kee und KeePassRPC. Aktuell nur für Firefox verfügbar (Die Chrome Unterstützung ist im Beta Stadium).

Das macht die Sache schon sehr komfortabel: Findet Kee Passwortfelder auf einer Webseite schlägt er mir zugehörige Kennwort aus meiner KeePass Datenbank vor. Anklicken ….und eingeloggt. Ohne Copy&Paste.

Ich nutze Keepass seit vielen Jahren. Früher ohne Kee. Auch das war ok. Mit Doppelklicks kann man jeweils Benutzer und Kennwort in die Zwischenablage kopieren und direkt in der Webseite einfügen.

Backup, Backup, Backup!

Die KeePass Datenbank ist damit natürlich eine extrem wichtige Komponente. Ist dies verloren, dann war es das mit meinen Kennwörtern. Deswegen synchronisiere ich die Datenbank mit meiner NAS im Keller. Und von dort auch nochmal auf mein Smartphone. Denn auch für das Smartphone gibt es KeePass als App (Android). Wobei die Eingabe des Kennworts da nicht so richtig Freude macht. Das ist mir klar. Aber so oft brauche ich das da auch ehrlich gesagt nicht.

Wieder mal ein Passwort-Hack? Da bleibe ich recht entspannt

Seitdem ich KeePass nutze bin ich recht entspannt, was meine Benutzerkonten angeht. Zum einem weiss ich ziemlich genau, wo ich ein Konto habe und zum anderen sind die je Konto generierten Kennwörter für einen potentiellen Dieb nicht weiterverwendbar.

Es könnte auch Excel sein

Wer nicht ein zusätzliches Programm für die Speicherung der Kennwörter nutzen will kann das ansonsten z.B. auch in einer passwortgeschützten(!) Exceldatei machen. Aber auch hier gilt: Es muss eine Sicherheitskopie existieren. Bei verschlüsselten Dateien kann das auch gerne DropBox, GoogleDrive oder jeder andere Anbieter sein. Solange das Kennwort lang genug ist ist das als ausreichend sicher zu betrachten. Zumindest im privaten Umfeld.

Noch ein Wort zur Funktion „Kennwort speichern“ im Browsern

Die Funktion „Kennwort speichern“ im Browser wird auch sehr gerne genutzt. Auch in dem Fall erspart man sich die Eingabe des Kennworts. Der Nachteil ohne weitere Schutzmaßnahmen ist diese Liste für jeden Angreifer lesbar. Vielen ist das nicht klar. Die Sicherheit entspricht in etwa einem Post-It am Bildschirm mit Benutzername + Kennwort. Wenn man das unbedingt nutzen will, dann bieten die meisten Browser inzwischen auf für die Datenbank ein Verschlüsselung mit Master-Kennwort an. Für den Firefox findet sich die Anleitung hier.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.