Sichere Kennwortverwaltung mit KeePassX
Fast täglich liest man Meldungen über gehackte Datenbanken mit Benutzerdaten und Kennwörtern. Erst kürzlich wurde Twitter Opfer eines solchen Angriffes. Bei den Accounts der betroffenen Benutzer wurde das Kennwort zur Sicherheit zurück gesetzt.
Ich hoffe, dass die betroffenen Benutzer das Kennwort bei Twitter nicht auch für andere Accounts verwendet haben. Unüblich wäre die mehrfache Verwendung des Kennworts nicht. Was bequem ist, ist nicht sicher. Die Kennwörter werden bei anderen Accounts der Benutzer ausprobiert werden. Sehr schnell sind dann neben dem Twitter Account viele andere Accounts “erbeutet”.
Es ist mühsam sich für jeden Account im Internet ein neues / anderes Kennwort auszudenken und sich dieses zu merken. Durch die Verwendung eines Password Safes kann man sich das Leben in dieser Hinsicht wesentlich leichter machen.
KeePassX - freie Software für mehrere Plattformen
Die Auswahl der passenden Software für die Verwaltung der eigenen Kennwörter ist nicht einfach. Neben den üblichen Kriterien, die man bei der Auswahl einer Software verwendet, kommen weitere Kriterien hinzu:
-
Werden die Kennwörter, die ich der Software anvertraue wirklich sicher gespeichert? Eine zu einfache oder falsch implementierte Verschlüsselung führt dazu, dass sofort alle meine Zugänge für den Angreifer im Zugriff liegen.
-
Kann ich sicher gehen, dass in der Software keine „Hintertüren“ eingebaut sind? Die Daten des Password Safes sind nur für mich gedacht. Ich möchte nicht, dass der Hersteller die Möglichkeit hat auf meine gespeicherten Dateien zuzugreifen. Diese Frage stellt sich erst recht bei Software, die den Austausch / die Synchronisierung von Daten über den Server des Herstellers ermöglicht.
-
Kann ich dem Hersteller / Anbieter der Software vertrauen? Hier verlasse ich mich nicht nur auf den Auftritt des Unternehmens auf seiner Homepage. Auch im Internet werde ich mir entsprechende Informationen einholen.
Ich selbst habe mir für eine OpenSource Software entschieden. Nur bei dieser haben Kryptographen und andere Experten die Möglichkeit den Quellcode zu begutachten. Sie stellen für mich sicher, dass die Software keine Hintertüren hat. Auch die Implementierung des Verschlüsselungsalgorithmus kann so überprüft werden Die Community rund um eine OpenSource Software sorgt für mich für das nötige Vertrauen.
OpenSource hat einen weiteren Vorteil. Da der Quellcode zur Verfügung steht, können andere Entwickler diese verwenden um Portierungen auf andere Plattformen zu erstellen. So gibt es von der von mir eingesetzten Software KeePassX nicht nur Versionen für Windows, MacOS X und Linux sondern auch für viele weitere (mobile) Plattformen. Damit ist sicher gestellt, dass ich meine Kennwörter auf allen meinen Geräten mitnehmen kann.
Verwaltung von Accounts und Kennwörtern
KeePassX speichert alle Accounts in einer (verschlüsselten) Datei. Die Datei wird mit einem (Master-)Kennwort gesichert. Dieses muss ich so wählen, dass es möglichst nicht gehackt und ich mir es trotzdem noch gut merken kann. Daneben bietet KeePassX die Möglichkeit die Kennwortdatei mit einer Schlüsseldatei zu schützen. Nur wenn ich neben der eigentlichen Kennwortdatei die Schlüsseldatei habe, kann ich auf die Kennwörter zugreifen. Um ganz sicher zu gehen, kann man das (Master-)Kennwort mit der Schlüsseldatei kombinieren.
Es kann immer nur eine Datei geöffnet sein. Der Wechsel zwischen den Dateien ist sehr schnell möglich, so dass die Accounts auf verschiedene Dateien (private, beruflich, …) verteilt werden können.
Pro Account können die folgenden Informationen hinterlegt werden:
-
Name des Accounts
-
Benutzername inkl. Kennwort
-
URL zum Account
-
Kommentar
Für das Kennwort wird die Qualität berechnet und angezeigt. Wem das Feld für den Kommentar nicht ausreicht, kann zu jedem Account einen Anhang hinzufügen.
Zur besseren Strukturierung müssen die Accounts nicht in einer flachen Liste verwaltet werden. Durch Ordner können die Zugänge gruppiert werden. Weiterhin bietet KeePassX die Möglichkeit jedem Zugang ein anderes Symbol zuzuordnen. Somit kann man durch Gruppen und Symbole sehr schnell die Accounts unterscheiden.
Wenn die Kennwörter erst einmal mit einem Password Safe verwaltet werden, spielt es keine Rolle mehr wie einfach man sich diese merken kann. Mit dem integrierten Passwort-Generator kann man sich sichere, aber nicht unbedingt merkbare Kennwörter generieren. Die Generierung eines Kennworts kann durch verschiedene Parameter wie die Art der zu verwendenden Zeichen, die Länge des Kennworts und die Aussprechbarkeit des Kennworts parametriert werden.
Kennwörter mit anderen Anwendungen verwenden
Sehr elegant gelöst finde ich die Möglichkeiten von KeePassX die gespeicherten Zugangsdaten anderen Programmen zur Verfügung zu stellen. Zum einen kann der Benutzername oder das Kennwort zeitlich begrenzt in der Zwischenablage gespeichert werden. Nahezu jede Anwendung bietet die Möglichkeit in Eingabefelder Zeichen aus der Zwischenablage einzufügen.
Noch praktischer ist aber die Möglichkeit, dass KeePassX die Felder selbst ausfüllt. Hierzu dient die Tastenkombination kbd:[Strg+Alt+A] (auto fill). KeePassX erkennt aufgrund der Titelzeile des Programms, welchen Eintrag aus seiner Datenbank es für die Auswahl von Benutzername und Kennwort wählen muss. Es wird derjenige Eintrag ausgewählt, dessen Namen mit den gleichen Wörtern wie der Fenstername beginnt. Funktioniert dieser Automatismus nicht, kann man pro Account die Titelzeile des Fensters hinterlegen und die Eingabesequenz für Benutzername und / oder Kennwort anpassen.
Das schöne an diesem auto fill ist, dass damit nicht nur die Kennwörter von Web-Accounts automatisch eingetragen werden. Nahezu jedes Programm, für dass man Benutzername und Kennwort eingeben muss, lässt sich von KeePassX ansteuern.
Synchronisierung der Kennwortdatei
KeePassX bietet keine integrierte Möglichkeit die Datei auf mehreren Geräten synchron zu halten. Da es sich aber um eine ganz normale Datei handelt, kann man auf bereits vorhandene Lösungen zurückgreifen.
Ich selbst nutze meine “eigene Wolke”. Über die Software ownCloud realisiere ich meine eigene Cloud auf meinem Webspace. Der Zugriff auf die Dateien in ownCloud ist zum einen über das Protokoll WebDAV möglich. Zum anderen gibt es jedoch für die gängigsten Plattformen (Windows, MacOS X, Linux, Android, iOS) auch eigenen Clients, die sich um die Synchronisierung von Dateien im Hintergrund kümmern.