Wir verwenden immer mehr Passwörter und die Anforderungen an die Passwörter steigen. Es beißt die Maus keinen Faden ab: ein Passwort-Safe ist derzeit die einzig sinnvolle Lösung für diese wachsende Herausforderung. Heute möchte ich erklären, wie wir unseren Passwort-Safe mittels KeePass einrichten.
Welcher Passwort-Safe soll es sein? Bei dieser Frage war es vorbei mit der Klarheit. Aber zum Glück nicht, weil kein geeigneter Passwort-Safe in Sicht war. Im Gegenteil, wir hatten und haben recht gute Auswahl. Im Vergleichstest habe ich drei vorgestellt.
Die untersuchten Kandidaten sind bei diesen Vergleichen alle nicht wirklich durchgefallen. Es war eher ein „etwas besser“ gegenüber einem „nicht ganz so gut“. Den eindeutigen Sieger, das unbezweifelbar beste Produkt gibt es anscheinend gar nicht.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media und PR Specialist (m/w/d) BeA GmbH in Ahrensburg |
||
Social Media Manager B2B (m/w/d) WM SE in Osnabrück |
Stattdessen gibt es individuelle Anforderungen, Prioritäten und Vorlieben. Sie reichen von der Optik über den Komfort bis hin zu Sicherheit. Darum meine Empfehlung für alle, die sich nicht direkt entscheiden mögen: Nehmt zwei bis drei aus diesem Bündel und testet selbst!
Dafür gab’s noch einen Vorschlag zum Vorgehen beim Test zusammen mit einer Art Checkliste. Damit wäre eigentlich „die Supp gegesse“, wie man in Hessen sagt. Wer suchte, konnte so oder so zu seinem idealen Passwort-Safe finden.
Zweite Halbzeit
Jetzt wird es konkret, es kommt Butter bei die Fische! Ab hier geht es nicht mehr um Möglichkeiten, Varianten und Alternativen. Ich habe einen klaren Favoriten, und von dem werde ich im Folgenden berichten.
Es handelt sich um KeePass 2.x, aktuell um KeePass 2.38.
KeePass ist …
… ein Open-Source-Produkt, das heißt der Source Code ist für jedermann zugänglich. Es kann (bei ausreichender Qualifikation) jeder am Projekt KeePass mitarbeiten oder zumindest ein wenig Geld spenden. Das Teil ist nämlich komplett gratis.
Aber ist „Produkt“ überhaupt die richtige Bezeichnung? Viele sprechen eher von einer „Familie“ von Anwendungen. Wenn du diesen Wikipedia-Beitrag liest, wird schnell klar, warum. Schau mal bei „Andere Versionen“.
Die Anzahl der Versionen und „Dialekte“ ist schon beeindruckend bis verwirrend – aber wir werden uns hier nicht verlaufen, sondern zielstrebig voranschreiten zu dem zentralen Produkt.
Stärken
Warum verwenden so viele Menschen KeePass? Ich weiß es nicht. Für mich waren und sind diese fünf Punkte entscheidend:
- Das Sicherheits-Niveau der Verschlüsselung ist Gold-Standard. Sicherer geht es derzeit bei frei verfügbaren Produkten nicht.
- Die Datenbank ist auf meiner Hardware, meinem Medium und nicht in einer Passwort-Safe-Cloud gespeichert.
- Es ist Open Source. Niemand kann unbemerkt eine Backdoor einbauen.
- Die Funktionen wie die Struktur sind einfach und übersichtlich.
- Wenn ich Sonder-Funktionen haben will, kann ich sie hinzufügen. Wenn nicht, bleib ich bei der Basis-Variante. Die reicht eigentlich völlig.
Schwächen
Natürlich gibt es auch Minuspunkte:
- Alles ist erstmal in englischer Sprache. Es gibt eine deutsche Version, aber die muss zunächst installiert werden. Dazu kommen wir gleich.
- Alle Hilfetexte gibt es nur in englischer Sprache.
- Es gibt keinen Helpdesk, nur Foren mit dem bekannten Frage- und Antwort-Spiel. Ob man da auf einen Deutschen trifft.
- Wenn man noch ein Plugin (davon gibt es sehr viele!) für irgendeine Spezialfunktion einfügt, ist das Plugin wie auch seine Beschreibung nur in englischer Sprache verfügbar.
Das muss man schon ernst nehmen. Das ist kein Kinderfasching! Wer mit der englischen Sprache nicht leidlich sicher umgeht, stößt hier schnell an Grenzen.
Aber: Die Basis-Version zusammen mit dem deutschen Sprach-Modul ist aus meiner Sicht völlig ausreichend. Das Teil ist so selbsterklärend, dass ich die Hilfe eigentlich nie benötigt habe. Und zusätzliche Plugins haben mir bisher ebenfalls noch nicht gefehlt.
So gesehen bleibt von den vier Kritikpunkten oben nur der erste über. Aber sicher gibt es dafür noch andere, die mir nur nicht aufgefallen sind.
KeePass einrichten
Wer KeePass googlet, findet schnell hierher. Nicht erschrecken, das sieht ein wenig Old Schools aus– Windows-XP-Look hab ich irgendwo gelesen.
Den Screenshot rechts und den Text unten kann man vergessen. Mittelfristig interessant ist der linke Rand, das Hauptmenu der KeePass-Seite. Wirklich wichtig in diesem Moment ist nur der erste blaue Eintrag: „KeePass 2.38 released“.
Am 9. Januar 2018 ist die Version rausgekommen, 2.37 ungefähr zwei Monate früher. Das ist Pi-mal-Daumen der Takt der Updates.
1.35 stünde auch zur Verfügung, aber ich bevorzuge die 2.x-Serie.
Warum 2.x und nicht 1.x?
Die 1er-Serie wird als die einfache Lösung für einfache Anforderungen dargestellt, die 2er-Serie als die „Profi-Variante“. Doch wer daraus schließt, dass dann 1.35 ja genügen muss, springt zu kurz, auch wenn er gar kein Profi ist. Meine beiden Hauptgründe sind:
- Die 1er-Serie kann keine Synchronisation zwischen verschiedenen Geräten. Vielleicht brauche ich das jetzt noch nicht. Doch in einem Jahr, wenn ich ein neues Handy mit mehr Speicher habe, bin ich froh, dass diese Option verfügbar ist.
- 1.x kann bei jedem Konto, bei jedem Eintrag, nur einen Anhang aufnehmen. Ich möchte aber etwa zum Eintrag „Personalausweis“ einen Scan der Vorderseite und einen der Rückseite hinzufügen. 2.x kennt keine Limits in Sachen Anhänge.
Natürlich gibt es noch sehr viel mehr Unterschiede. Das ganze Bild zeigt diese Seite. hier werden die beiden Serien einander gegenübergestellt.
Download und Installation
Du bist also auf „www.keepass.info„. Du klickst auf „KeePass 2.38 released“ und auf der Folgeseite dann auf „Download KeePass 2.38„. Es folgen noch eine Bestätigungs-Seite („Download Now“) und der Standard-Dialog, dass jetzt eine 3,1 MB große Datei lokal gespeichert wird.
Die Setup-Datei liegt natürlich da, wo alle Downloads bei dir liegen, vermutlich im Download-Ordner.
Jetzt startest du den Setup. Die folgenden Schritte sind alle weitgehend so, wie bei jeder anderen Installation auch. Auf ein paar Punkte möchte ich aber doch hinweisen.
- Merk dir, wo die Programm-Dateien gespeichert werden. Den Pfad brauchst du später noch.
- Die beiden mittleren Tick-Boxen („Native Support Library …“ und „XSL Stylesheets …“) kannst du wegklicken.
- Automatische Update-Suche empfehle ich, aber zwingend ist es nicht. Dann solltest du aber so alle zwei Monate selbst dran denken und kurz die Webseite von KeePass besuchen.
- Am Ende der Installation sieht das Ganze eher trist aus. Alles in Englisch, keine Einträge, man kann nicht mal speichern. Aber es wird besser! Als erstes stellen wir die Sprache um. Lass KeePass ruhig offen während der nächsten Schritte.
Auf deutsche Oberfläche umstellen
Die verschiedenen Sprachmodule liegen alle auf dieser Seite. Du wählst die deutsche Version von Dominik Reichl – und zwar für Version 2.38.
Der Download ist eine Zip-Datei, die entpackt werden muss. Der Inhalt heißt „German.lngx“. Den schiebst du in den Languages-Ordner des Pfads mit den Programm-Dateien. Darum solltest du dir vorhin diesen Pfad merken.
Jetzt wechselst du wieder zu KeePass und wählst unter „View“ den Eintrag ganz oben: „Change Language …“. Nach dem du „Deutsch“ ausgewählt hast, muss KeePass nochmal gestartet werden, aber danach sind wir dann sprachlich in heimischen Gefilden.
Okay, das Teil spricht nun deutsch, aber anfangen kann man damit trotzdem noch nichts. Jetzt muss das Kind vollständig getauft werden: mit Namen, Master-Passwort und am besten auch gleich mit einer 2FA-Schlüsseldatei.
Der eigene Passwort-Safe
Bisher haben wir nur den Acker vorbereitet, die Software installiert und ihr Deutsch beigebracht. Ab hier wird es intim. Alles, was du jetzt festlegst, einträgst und regelst, geht niemand mehr etwas an.
Du wählst zunächst links oben in „Datei“ den Eintrag „Neu“ und legst fest, wie dein Passwort-Safe heißen soll und wo er liegt. Meiner liegt immer auf dem Desktop. Beim Namen muss nichts geheim oder kryptisch sein, alles ist ganz offen.
Ich empfehle auch, das Datum in den Namen einzubauen, so kann man die aktuelle Version von einem Backup schnell unterscheiden. Für diesen Beitrag habe ich den Passwort-Safe „050318 mykeys.kdbx“ angelegt.
Das nächste Fenster sieht harmlos aus, hat es aber faustdick hinter den Ohren. Zunächst muss da das supergeheime Master-Passwort eingetragen werden. Zu Demo-Zwecken habe ich „Afghanistan, Usbekistan, Kirgisistan und Pakistan“ gewählt. KeePass schätzt die Qualität das Passworts auf maximal.
Die wiederholte Eingabe des ewig langen Passworts habe ich mir geschenkt und einfach auf die drei Punkte rechts geklickt, geht auch.
Die 2FA aktivieren
Nach einem Klick auf „Expertenoptionen anzeigen“ wird das harmlose Fenster deutlich anspruchsvoller. Hier ist nämlich die 2FA versteckt. Wir Experten legen jetzt also den zweiten Faktor an!
Dazu wählen wir „Erstellen“ und folgen den Anleitungen für Maus und für Tastatur: wir sammeln Entropie!
„Entropie sammeln“ klingt irgendwie komisch. „Zufälligkeit erhöhen“ oder „Zufalls-Faktor vergrößern“ ist aber auch nicht viel besser.
Irgendwann ist jedenfalls genug Entropie gesammelt und wir beenden diesen ein wenig albern wirkenden Schritt. Er mündet in eine kleine Datei. Das Icon für diese Schlüsseldatei ist auch etwas albern. Die Schlüsseldatei speichern wir auf einem Stick – oder auf einem anderen mobilen Datenträger.
Das war’s! Die 2FA ist eingerichtet. Ist dieser Stick nicht verfügbar, ist ein Aufbrechen des Safes nun völlig unmöglich. Es ist also dringend geraten, davon eine Kopie an einem sicheren Ort aufzubewahren.
Mit den Expertenoptionen haben wir jetzt fertig. Aber ich möchte noch darauf hinweisen, dass die andere Option, die Verbindung mit dem Windows-Benutzeraccount, nicht besonders sinnvoll erscheint.
Die Sicherheit erhöht das zwar, keine Frage. Aber das Risiko, den Zugang komplett zu verlieren, weil eben irgendwas bei dem Account klemmt, ist zu groß. Also: Besser kein Kreuz in die untere Box setzen, sondern einfach abschließen mit OK.
No way out?
Die verschiedenen Einstellungen der Datenbank, die dir im Anschluss vorgestellt werden, kannst du alle so lassen, das passt schon. Aber du solltest noch das Notfallblatt drucken. Es ist kaum mehr als ein fast leeres Formular. Alles sensible wird hier von Hand eingetragen.
Mach dir bewusst, wann du dieses Blatt brauchen wirst. Nicht nächste Woche und auch nicht nächsten Monat, wenn noch einiges hiervon leidlich präsent ist. Der Notfall tritt in zwei oder drei Jahren ein.
Du wirst dann für jeden Hinweis dankbar sein, der dir den schon verloren geglaubten Zugang zu deinen Passwörtern doch noch erlaubt. Da wäre einmal das vergessene Passwort. Schreibe es also korrekt auf und beachte dabei den Unterschied zwischen 0 und O sowie die zwischen 1, l, L und I. Ist irgendwo ein Leerzeichen drin? Auch das sollte erkennbar sein.
Und notiere präzise, wo die Schlüsseldatei liegt, im Original und als Sicherungskopie.
So, das war‘s, dein Passwort-Safe ist sicher eingerichtet. Allerdings ist er noch leer.
Was kommt in der nächsten Woche?
Im folgenden Beitrag wird der Safe gefüllt. Ich will Online-Konten anlegen und diese Einträge dann für das Login nutzen. Außerdem wird es um die Struktur oder Ordnung der Konten gehen. Wie solltest du dir das einteilen?
Weitere Themen sind die Anpassung der Konto-Maske an individuelle Anforderungen sowie das sehr wichtige Thema Backup.
Wenn dir KeePass gefällt, wird dir dieser Beitrag bestimmt weitere nützliche Infos geben. Bleib also dran!
Gerade in Bezug auf die Sicherheit würde ich KeePass nicht allzu hoch hängen. Sobald ein Browser-Plugin bzw. – in heutiger Zeit dürfte das sehr verbreitet sein! – eine App für’s Mobiltelefon hinzugenommen werden, steigt die Gefahr drastisch, dass darin eben doch eine Backdoor schlummert und die vormals verschlüsselten Daten dann im Klartext auslesen kann. Das ist m.E. nicht zu unterschätzen, da ein Nutze i.d.R. nicht genau prüft, wer die App programmiert hat, und ob sie echtes Open Source ist. Diese Lücke ist sehr viel einfacher auszunutzen als die verschlüsselten, proprietären Apps und Plugins der kommerziellen Anbieter. Und da viele Anwendert aus Bequemlichkeit ihre Datenbank via Dropbox synchronisieren, ist auch die Zugänglichkeit in dieen Fällen nicht unbedingt sicherer als bei Lastpass & Co. In der Breite wird stets der Komfort gewinnen, das allein erklärt den großen Erfolg von Dropbox, wo alles unverschlüsselt auf amerikanischen Servern rumliegt (Alternative: Tresorit.com).
[…] drei ziemlich einfachen Schritte sind wir im vorletzten Beitrag durchgegangen. Danach konnten wir eigentlich gleich […]