Passwortmanager

Info

Der Passwortmanager ist das essenzielle Tool, um den nötigen Sicherheitsvorkehrungen bezüglich sicherer Passwörter gerecht zu werden. Hier kannst du dir anschauen, was gute Passwörter sind und wie wir damit umgehen sollten: Gegenmaßname Passwörter

KeePassXC und Bitwarden sind beide Open-Source und haben Anwendungen für alle üblichen Betriebssysteme / Browser.

KeePassXC funktioniert Offline, Bitwarden online. Aber auch KeePassXC lässt sich mittels externer Dienste über mehrere Geräte synchronisieren.

Praktikable Passwortmanager für PCs:

KeePass für Mobilgeräte

Empfehlung aus KeePassXC docs für Handys:

Die in Browser und Betriebssysteme eingebaute Passwortmanager sind nicht unbedingt zu empfehlen, da diese oftmals proprietär und überwiegend auf Komfort ausgelegt sind. Das führt regelmäßig zu Sicherheitslücken. Besonders Browser sind stets im Fokus von Angreifer*innen und bieten viele Angriffsvektoren.

KeePassXC

KeePassXC ist einer der bekanntesten und verbreitetsten Passwortmanager. Er ist Open-Source, wird regelmäßig durch Expert*innen auf Schwachstellen untersucht und bietet eine Vielzahl von sehr praktischen Features. Diese ermöglichen es uns die Lücke zwischen Sicherheit und Komfort zu schließen.

Browserintegration

Es gibt für alle gängigen Browser (außer Safari) eigene Plugins für KeePassXC, um die auto-fill Funktion komfortabel nutzen zu können. Damit werden auf jeder Webseite, für die Passwörter gespeichert wurden, automatisch die richtigen Login-Daten vorgeschlagen.

Das verhindert, dass Du, wenn du auf einen Phishing-Link klickst, aus Versehen dein Passwort eingibst, weil das Plugin merkt, dass Du auf einer falschen URL gelandet bist.

Schlüsseldatei

Es empfiehlt sich eine Passwortdatenbank sowohl mit Passwort, als auch mit einem zweiten Faktor abzusichern. Die einfachste Methode dafür ist das Schlüsseldatei. (Weiter unten gibt es ein Beispiel Szenario.)

Im folgenden sind verschiedene Methoden aufgelistet, wie das Schlüsseldatei als zweiter Faktor genutzt werden kann.

Schlüsseldatei als 2. Faktor

Es gibt die Möglichkeit, die Datenbank neben dem Passwort zusätzlich noch mit einem separaten Key-File zu verschlüsseln. Das heißt man braucht dann, um an die Passwörter zu kommen, immer sowohl das Passwort, als auch das Key-File.

Eine Anleitung dazu findest du hier.

Schlüsseldatei als Hauptschlüssel

Du kannst deine Passwortdatenbank auch nur mit einem Schlüsseldatei verschlüsseln, ohne Passwort. Dann musst du beim öffnen der Datenbank in KeePassXC immer das Schlüsseldatei auswählen.

Schlüsseldatei als Hauptschlüssel mit 2. Faktor Passwort

Ein häufiger Anwendungsfall dafür ist das Speichern des Schlüsseldatei auf einem verschlüsselten USB-Stick, den Du zB an deinem Schlüsselbund, immer mit dir führst.

Auch damit ist eine 2-Faktor-Authentifizierung gewehrleistet. Es wird:

  1. der Stick (mit dem Schlüsseldatei)
  2. das Passwort für den Stick

benötigt, um an die Passwörter zu kommen.

Neue Passwörter generieren

Eines der Kernfeatures eines Passwortmanagers ist, dass die starke Passwörter oder Passphrasen nach euren eigenen Vorgaben generieren können. Damit ist sichergestellt, dass ihr nicht doch aus Bequemlichkeit immer das gleiche Passwort wiederverwendet.

Passwörter in der Cloud synchronisieren und backupen

Ist das nicht gefährlich?

Die Passwortdatenbank ist immer, zu jeder Zeit verschlüsselt. Sie wird zu keiner Zeit in der Cloud entschlüsselt, sodass die Cloud-Betreiber etwas daraus lesen könnten.

Allerdings könnte die Polizei eventuell eine Kopie deiner Datenbank klauen wie im folgenden Beispiel Szenario beschrieben.

Beispiel Szenario

Nehmen wir an, deine Passwortdatenbank ist “nur” mit einem (starken) Passwort geschützt. Hat nun die Polizei Zugriff auf deine Cloud (oder kommt anderweitig an deine Datenbank), hat sie nur die verschlüsselte Datei erbeutet und kann damit erst mal nichts anfangen. Sollten sie aber in Zukunft dein Passwort auf irgendeine Art erfahren (sie beobachten Dich zB heimlich, wie du es eintippst), dann können sie die verschlüsselte Datenbank wieder rausholen und jetzt entschlüsseln.

Wäre die Datenbank zusätzlich mit einem Schlüsseldatei verschlüsselt, reicht es nicht aus, nur das Passwort zu kennen, sondern es braucht auch das Schlüsseldatei. Würdest du dieses Schlüsseldatei nun zerstören, gäbe es keinerlei Möglichkeit mehr, die geklaute Datenbank jemals zu entschlüsseln.

How To

Du könntest zum Beispiel deine Datenbank seelenruhig in der Cloud lagern und somit auch gleichzeitig mit all deinen Geräten darauf zugreifen.

Das Schlüsseldatei hast du jeweils nur lokal auf deinen Geräten gespeichert.

Falls du jetzt einmal den Verdacht bekommen solltest, dass die Behörden eine Kopie deiner Passwortdatenbank bekommen haben

  1. machst Du eine Kopie deiner Datenbank
  2. erstellst dafür sowohl ein neues Passwort,
  3. als auch ein neues Schlüsseldatei
  4. und kannst danach das alte Schlüsseldatei auf alle deinen Geräten löschen.

Damit ist die kompromittierte Datenbank für immer nutzlos.

Achtung

Bevor du dein altes Schlüsseldatei löschst, stelle sicher:

  1. dass die neue Datenbank mit dem neuen Schlüsseldatei funktioniert
  2. Du das neue Passwort nicht direkt vergisst!

In beiden Fällen wären all deine Passwörter unwiederbringlich weg.

KeePassXC als 2-Faktor-App

KeePassXC kann auch als 2FA-App mit TOTP genutzt werden. Das funktioniert sogar auf den Apps für Handy.

Anleitung

Hier findet sich eine Anleitung mit weiteren Verweisen.

Hinweis

Wir schreiben hier konsistent von KeePassXC.

Ältere Versionen wieKeePassX und KeePass sollten nicht mehr benutzt werden.