Aus der Vielzahl von Passwortmanagern habe ich mich für »KeePass« entschieden. Konkret wählte ich die Cross-Platform-Implementation »KeePassXC«. Bei »KeePass/KeePassXC« handelt es sich um ein OpenSource-Programm, bei dem man in keiner speziellen Abhängigkeit zu einem kommerziellen Anbieter steht. Insbesondere das Master-Passwort, welches den Zugang zu allen anderen Passwörtern in der Passwort-Datenbank ermöglicht, sollte den eigenen Rechner auf keinen Fall verlassen. Bei kommerziellen Anbietern (wie z.B. »LastPass«) bin ich mir in dabei nicht sicher. Auf dieser Seite gibt es eine anschauliche Einführung zu »KeePassXC«.
Unter der Linux-Distribution »OpenSUSE« lässt sich »KeePassXC« sehr einfach über den Paketmanager installieren. Bei anderen Linux-Distributionen wird das ähnlich sein. Ein Test unter »Linux Mint« (basierend auf Ubuntu) bestätigte diese Vermutung. Die Home-Page von »KeePassXC« bietet darüber hinaus Binärprogramme für »MS Windows« und »macOS«.
Vor meinem Übergang zu »KeePass« verwendete ich den Passwortmanager, den der Web-Browser »Firefox« anbietet. Er funktionierte sehr zufriedenstellend. Trotzdem blieb das ungute Gefühl, dass das Master-Passwort auf dem Weg zum Firefox-Server irgendwann einmal in fremde Hände gelangen könnte. Mit den Jahren hatte sich eine große Anzahl von Passwörtern und zugehörigen Nutzernamen angesammelt. Es war daher erstrebenswert, wenn es gelänge, diese aus »Firefox« zu exportieren. Ein bisher zu diesem Zweck installiertes Addon war leider unter der aktuellen Firefox-Version nicht mehr verwendbar (Umstellung der internen API). Als Lösung fand ich das Programm »FF-Password-Exporter«. Das dort angebotene universelle AppImage-Linux-Programm lief ohne Probleme und generierte eine CSV-Datei mit allen Passwörtern, Nutzernamen und zugehörigen Web-Adressen. Diese konnten erfolgreich dem Programm »KeePassXC« bekanntgemacht werden.
Es ist jederzeit möglich, innerhalb von »KeePassXC« nach dem Passwort und dem Nutzernamen für eine bestimmte Web-Anwendung zu suchen und das Ergebnis über die Zwischenablage in die Eingabefenster der Web-Seite zu kopieren. Dieser Weg ist allerdings erheblich mühsamer als beispielsweise der Automatismus, den der Firefox-Passwortmanager anbietet. Um ähnlichen Luxus zu erreichen, empfiehlt es sich, das Firefox-Addon »KeePassXC-Browser« zu installieren (ist auch für andere Web-Browser erhältlich). Damit erreicht man in den meisten Fällen, dass die nötigen Angaben automatisch ausgefüllt werden. Auch der gegengesetzte Weg zum Einfügen neuer Passwörter in die von »KeePassXC« verwaltete Datenbank wird unterstützt. Ein neues, sicheres Passwort kann man sich von »KeePassXC« erzeugen lassen. Seine Kompliziertheit ist dabei unwichtig, da man sich ja keine Passwörter mehr selbst merken muss (abgesehen vom Master-Passwort).
Es ist wünschenswert, dass man von mehreren Rechnern (auch Smartphones u.ä.)
aus auf dieselbe Passwortdatenbank zugreifen kann. Es handelt sich dabei um
eine Datei mit der Endung .kdbx (»Keepass password database 2.x«). Dies ist
leicht zu erreichen, indem man sie auf einen der bekannten und oft kostenlosen
Cloud-Speicher kopiert und dafür sorgt, dass dieser Cloud-Speicherbereich
zwischen allen Rechnern, die die KeePass-Funktionalität nutzen sollen,
synchronisiert bzw. aktualisiert wird. Im einfachsten Fall kann man dazu die
vom Anbieter des Cloud-Speichers angebotenen Programme verwenden. So
unterstützt beispielsweise »Dropbox« ein solches Verfahren für etliche
Betriebssysteme. In diesem Fall muss man sich keine Sorgen um die Sicherheit
der Passwortdatenbank auf einem fremden Server machen. Sie ist auch dort
genügend gegen Angriffe geschützt, vorausgesetzt man wählt ein starkes
Master-Passwort. Man kann die Synchronisation aber auch selbst durchführen.
Dazu sei auf das Programm »Rclone«
verwiesen. Seine Funktion zum Synchronisieren ist für eine Vielzahl von Cloud-
und sonstigen Netzwerkspeicher geeignet.
In den folgenden Artikeln wird das mit »Diceware« bezeichnete Verfahren zum Erzeugen eines sicheren aber trotzdem relativ leicht zu merkenden Passworts erläutert:
- Diceware: wir würfeln uns ein Passwort
- Sicheres Passwort wählen: Der Zufall entscheidet
- Diceware-Zufallszahlen-Generator
Obwohl das Verfahren seinen Reiz hat und hinsichtlich der Sicherheit auch überzeugt, habe ich mich letztlich doch für einen anderen (sicher nicht neuen) Weg entschieden: Von einem zufällig gefundenen lustiger Spruch eines Komikers nahm ich die jeweiligen Anfangsbuchstaben der Wörter und kombinierte sie. Damit verfügt das spätere Passwort bereits über kleine und große Buchstaben sowie über Satzzeichen, die ich ebenfalls übernahm. Ans Ende hängte ich noch weitere Sonderzeichen und Zahlen, die mir persönlich angenehm sind. Überprüfen kann man das so konstruierte Passwort mit einer Funktion im Programm »KeePassXC«. Dort wird die Güte beurteilt. Hier folgt ein Beispiel für mein gewähltes Verfahren:
Johann Wolfgang von Goethe:
[E]s [m]uss [v]on [H]erzen [k]ommen[,] [w]as [a]uf [H]erzen [w]irken [s]oll[.]
Daraus folgt:
EmvHk,waHws.
In diesem Zustand wird das Passwort von »KeePassXC« (Rubrik »Passwortgenerator«) schon als »Gut« eingeschätzt. Jetzt erhält es noch die folgende Ergänzung, weil ich gerade an die Jahre 1924 und 1926 dachte:
EmvHk,waHws.%24!26#
Damit erreichen wir die Einschätzung »Ausgezeichnet«. Wenn man die Sentenz von Goethe auswendig weiß und sich die nicht zu komplizierte Zahlen-Zeichenkombination merkt, hat man das Ziel eines merkbaren und trotzdem sicheren Passworts erreicht. Trotzdem sollte man es noch auf ein Blatt Papier schreiben und in einem Buch verstecken (z.B. in eine Goethe-Ausgabe).
Rolf (2018/07)