Heute mal ein etwas kürzer gefasst Artikel über das Thema Passwortmanager, wobei ich hier konkret auf KeePassXC sowie Keepass2Android eingehen werde.

Wo liegt das Problem?

Das Grundproblem ist einfach: Man muss mittlerweile bei zigtausenden Diensten angemeldet sein, um in der Welt überhaupt halbwegs überleben zu können. Um sich die ganzen Passwörter merken zu können haben sich diverse Strategien gebildet. Beispiele darunter sind:

  • Überall die gleichen Passwörter zu verwenden
  • Passwortlisten zu führen
  • Passwortdateien auf dem Rechner
  • Passwörter nach Schema generiert, die bspw. den Dienstnamen enthalten

Problem bei all diesen Methoden: Alles im Prinzip nicht wirklich zu gebrauchen, weil:

  • Die Passwörter oft zu kurz sind
  • Passwortlisten für gewöhnlich nicht verschlüsselt und umständlich sind
  • Gleiches trifft auf Passwortdateien zu
  • Passwörter oft vorhersehbar sind
  • Bei gleichem Passwort grundsätzlich alle Dienste gefährdet sind, bei welchen das Passwort verwendet wurde, falls auch nur ein einziger dieser Dienste kompromittiert wird

Alles in allem also nicht so gut. Die Lösung dafür ist relativ einfach: Passwortmanager. Gibt es mittlerweile wie Sand am Meer, Cloud basiert, oder auch gänzlich ohne Internetanbindung, als Service, Closed Source, Open Source, gegen Bezahlung oder auch kostenlos. Kurzum: Es ist für jeden was dabei.

Problem dabei: Auch Passwortmanager sind nicht vor Angriffen oder gar Fehlern geschützt. LastPass ist zum Beispiel so ein Dienst, welcher in der Vergangenheit sowohl bei der Implementierung geschlampt hat als auch Opfer von Angriffen wurden – inklusive entwendeten Daten.

Die Lösung

Die Lösung besteht darin nur auf Dienste oder Programme zu setzen, die bestimmte Anforderungen erfüllen. Das schützt zwar nicht hunderprozentig, vermeidet aber ein potentielles Risiko. Kriterien wären unter anderem, dass die Software Open Source ist, aktiv entwickelt wird und sofern möglich ein Sicherheitsaudit durchgeführt wurde.

Passwortmanager für den Desktop

Kurzum, ich bin auf KeePassXC gestoßen. Das ist ein von der Community entwickelter und auf mehreren Plattformen lauffähiger Fork von KeePassX, welches wieder um ein Fork von KeePass ist. Die Software kann, je nach verwendetem Betriebssystem, direkt über den Paketmanager installiert werden. Grundlage bildet dann eine kdbx-Datenbank, welche man an einem beliebigen Ort speichern kann.

KeePassXC erlaubt unter anderem eine Ordnerstruktur aufzubauen, wodurch die eigenen Passwörter einfach verwaltet werden können. Des Weiteren lassen sich zufällige, sichere Passwörter generieren sowie Dateien an bestehende Einträge anhängen. Alles, was zwingend verschlüsselt gespeichert werden sollte kann so in einer Datei Platz finden, geschützt durch ein Masterpasswort oder alternativ einer Schlüsseldatei.

Das Programm beherrscht von sich aus allerdings keine Synchronisation, was einerseits schade ist, andrerseits aber durch den beliebig setzbaren Speicherort die Möglichkeit bietet eine beliebige Software zur Synchronisation zu verwenden. Das kann eine private betriebene Lösung sein, wie Syncthing oder Nextcloud, oder ein Dienst wie Dropbox oder Google Drive. Vorteil: Es gibt keinen zentralen Dienst, den man kompromittieren kann, d.h. je nachdem wie man KeePassXC verwendet sind die Daten sicher gespeichert (etwa lokal) oder eben weniger sicher (auf einem Server/Cloud). Das schöne ist, dass egal wo die Datei liegt, diese durch das Masterpasswort geschützt ist – sofern man dieses Passwort entsprechend lang und komplex wählt.

Ich selbst setze aktuell auf eine von mir gehostete Nextcloud Instanz, wodurch ich von überall Zugriff auf meine Passwortdatenbank habe – wenn ich will sogar via Webbrowser. Aber darum geht es mir gar nicht, denn ich will lediglich auch von meinem Smartphone aus Zugriff auf die Datei haben, was uns zum nächsten Punkt bringt.

Passwortmanager für das Smartphone

Als KeePassXC kompatiblen Passwortmanager empfehle ich an dieser Stelle Keepass2Android. Die App hat ein modernes Design, ist einfach zu verwenden, kann auch mit Fingerabdrücken umgehen, beherrscht QuickUnlock, ist Open Source und kann *trommelwirbel* die Datenbank auch von sich aus synchronisieren, sofern man einen der folgenden Dienste verwendet:

  • Dropbox
  • Google Drive
  • One Drive
  • SFTP
  • FTP
  • HTTP(S) WebDav
  • OwnCloud/Nextcloud

Einen ganz großen Vorteil hat die App noch gegenüber anderen Apps: Passwörter können, wenn man die App richtig verwendet, auch nicht über die Zwischenablage ausgelesen werden. Der Hintergrund ist folgender: Viele Passwortmanager kopieren das Passwort in die Zwischenablage, damit man es dann, wo immer man es auch braucht, einfach einfügen kann. Keepass2Android geht hier einen einfachen aber genialen Weg: Es bietet eine alternative Tastatur an. Das heißt: Wie auch bei anderen Passwortmanagern üblich entsperrt man die Datenbank und wählt den Eintrag aus, den man haben möchte. Dann fängt man aber nicht an irgendwie erst Benutzernamen und dann Passwort zu kopieren sondern wechselt die Tastatur, fügt Benutzername und Passwort ein und der Fall ist erledigt. Kein Umweg über die Zwischenablage, und das heißt auch, dass das Kennwort nicht von anderen Apps ausgelesen werden kann. Die Tastatur kann natürlich auch generell verwendet werden, auch wenn sie ansonsten nicht den Komfort bietet wie beispielsweise die Tastatur von Google.

Und für alle die skeptisch sind: Einfach mal ansehen. Kaputt gehen kann nichts, und ein Passwortmanager erleichtert das Leben wirklich enorm (ich nutze das ganze ja schon einige Zeit, also vertraut mir einfach mal. Viele anderen nutzen das ebenso).