Irgendwie eigenartig! Einerseits hat KeePass den Ruf, zwar ein sehr guter Passwort-Safe zu sein, aber mehr für die Nerds und IT-Spezialisten. Und andererseits richtet sich diese Serie rund um Passwörter gerade nicht an solche Leute. Ich möchte ganz normale Privatpersonen ohne IT-Business-Hintergrund ansprechen. Kann dieser Spagat gut gehen?
Auf jeden Fall ist es den Versuch wert. Die Erfolgsaussichten sind gar nicht so schlecht, denn der normale Normalnutzer muss doch gar nicht in den düsteren KeePass-Keller mit all seinen schwach beleuchteten Nebenräumen steigen.
Auf ihn warten im hellen Erdgeschoss nur diese Aufgaben:
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media und PR Specialist (m/w/d) BeA GmbH in Ahrensburg |
||
Social Media Manager B2B (m/w/d) WM SE in Osnabrück |
- App runterladen,
- deutschsprachige Oberfläche runterladen und aktivieren,
- Passwort-Datenbank mit sicheren Master-Passwort und Zwei-Faktor-Authentifizierung (2FA) einrichten.
Diese drei ziemlich einfachen Schritte sind wir im vorletzten Beitrag durchgegangen. Danach konnten wir eigentlich gleich loslegen.
Die beiden Hauptfunktionen eines Passwort-Safes sind ja:
- Passwörter von Online-Konten sicher speichern und
- sie bei Bedarf, also für das Login, wieder rausrücken.
Wie das mit KeePass geht, haben wir im letzten Beitrag gesehen.
Was fehlt jetzt noch? Für die Menschen meiner Zielgruppe (normale Privatpersonen, die nicht dauernd zuverlässigen Zugriff auf einen IT-Spezialisten haben) eigentlich nichts. Meine Zielgruppe kommt mit der installierten Basis-Version, den sparsamen deutschen Erklärungen und etwas Schulenglisch für die Hilfe durchaus zurecht. Zusätzliche Plugins brauchen sie gar nicht.
Der Kommentar von Mirage zum vorletzten Beitrag ist berechtigt: So sicher KeePass selbst auch ist – die Plugins sind es nicht unbedingt. Hier muss man schon genauer prüfen. Für unsere Basis-Installation ist das aber unerheblich. Wir haben andere Themen auf dem Zettel.
Unsere Themen heute
- Das normale KeePass-Fenster hat viele Einstellungs-Möglichkeiten. Ein paar davon will ich ansteuern, die Möglichkeiten erläutern und einige auch empfehlen.
- Der Passwort-Safe selbst ist ein kleines IT-Heiligtum. Wer ihn verliert, hat ein Problem. Darum ist das Thema Backup besonders wichtig – und darum ist es eben heute dran.
Einstellungen
Zunächst orientieren wir uns kurz. Es gibt zwei Orte zum Einstellen von „irgendwas“:
- Da ist einmal das Hauptfenster, das sich öffnet, wenn KeePass aufgerufen und die kdbx-Datenbank geöffnet wird. Wir hatten zum Öffnen ja die sichere Methode 2FA, bestehend aus Master-Passwort und Schlüsseldatei (auf einem mobilen Datenträger!), eingestellt. Mehr zu 2FA findest du hier.
- Und da ist außerdem das Eintragsfenster, das sich öffnet, wenn man einen Titel im Hauptfenster doppelklickt.
An beiden Orten gibt es reichlich Tickboxen, Auswahl-Menüs und Unterfenster. Statt sie alle einzeln durchzugehen (das wäre dann so eine Art KeePass-Handbuch), stelle ich hier nur ein paar Einstellungen vor, die ich interessant finde. Alles, was hier nicht erwähnt wird, kann also so bleiben, wie bei der Installation.
- Master-Passwort regelmäßig ändern: Ganz klar, das solltest du. KeePass kann dich daran erinnern. Im Hauptfenster wählst Du Datei – Datenbank-Einstellungen – Erweitert. Einmal im halben Jahr soll dir KeePass diese Änderung empfehlen. Aber Arm auf den Rücken drehen, also erzwingen, finde ich nicht so gut. Man muss sich bei dieser Änderung nämlich konzentrieren, so eben auf die Schnelle sollte sie nicht erfolgen. Die 2FA-Schlüsseldatei soll dabei ja auch gleich neu erstellt werden. Zwänge kommen aber blöderweise immer genau dann, wenn man grad keine Zeit hat.
- Andere Passwörter regelmäßig ändern: Ähnliches Thema, aber schon nicht mehr ganz so heiß. Für manche Logins ist das auch nicht wirklich zwingend, bei anderen genügt einmal im Jahr (E-Mail, Banking, Cloud, Backup, Verschlüsselung, diverse Admins). KeePass bietet hier eine sehr flexible Lösung im Eintragsfenster des jeweiligen Login-Datensatzes. Ganz unten gibt es links das Kästchen „Gültig bis“ und daneben verschiedene Optionen, den Zeitraum festzulegen. Ist ein Passwort abgelaufen, wird der Eintrag rot durchgestrichen angezeigt. Das Passwort und überhaupt alle Daten dieses Eintrags können aber auch im abgelaufenen Zustand weiter verwendet werden. Um die hässliche Markierung zu entfernen, löscht man entweder einfach das Gültig-bis-Häkchen oder setzt den Termin neu.
- Welche Felder im Haupt- wie im Eintragsfenster? Die KeePass-Datenbank hat einen Set an vorinstallierten Feldern – Spalten könnte man auch sagen. Du kannst sie dir ansehen über Ansicht – Spalten konfigurieren. Es gibt Standardfelder und dann noch „Mehr“ – eben ein paar weitere Felder. Mit Häkchen in den Tickboxen wählst du die aus, die im Hauptfenster angezeigt werden sollen. Und mit dem Kästchen unten, kannst du festlegen, wo statt Klarschrift die Perlenkette erscheinen soll. Passwort ist klar, aber vielleicht auch bei Benutzername? Mir genügt es bei Passwort. Doch wie kommen „benutzerdefinierte“ Felder hinzu? So.
- Benutzerdefinierte Felder: Dazu wechselst du bei dem Eintrag, der um ein Feld vergrößert werden soll, ins Eintragsfenster. Du wählst „Erweitert“ und dann „Hinzufügen“. Nun kannst du den Feldnamen und den konkreten Wert für den Eintrag, den du gerade am Wickel hast, festlegen. Ab jetzt ist dieses Feld in der ganzen Datenbank verfügbar.
- Du findest es bei jedem Eintrag im Tab „Erweitert“ in der Drop-Down-Auswahlliste.
- Du findest es als benutzerdefiniertes Feld unter Ansicht – Spalten konfigurieren im Hauptfenster. Es kann also als Standard-Spaltenüberschrift fürs Hauptfenster ausgewählt werden.
- Zusätzliche Felder: So richtig dringend werden zusätzliche, benutzerdefinierte Felder nicht gebraucht. Alles, was keinen offiziellen Platz hat, kann ja im Kommentarfeld landen. Aber ein paar immer wiederkehrende Kandidaten gibt es schon. Das sind meine Zusatzfelder, die ich bei den meisten Login-Einträgen pflege.
- Kundennummer: Die steht auch noch wo anders, klar, aber wo gleich? Wenn du KeePass ausreichend schützt, kannst du diese und viele weitere Infos hier gleich mit speichern – on top zu den Passwörtern.
- Seriennummer: Gleiches Thema, wird nur bei Geräten oder ähnlichem relevant. Wenn bei mir ein neues Teil ins Haus kommt, wird es gleich in KeePass erfasst, mit allem Pipapo. Eine eigene Webseite hat ja heute schon fast jeder Staubsauger …
- E-Mail-Adresse: Immer dort, wo man eine spezielle Kennung hat, ist die E-Mail-Adresse, über die die Anmeldung lief, eine zusätzliche Info, die es lohnt, ebenfalls zu speichern.
- Erbe: Das ist ein Spezialthema. Hier halte ich fest, wer nach meinem Ableben diese Login-Daten, diesen konkreten Eintrag erhalten soll.
In meinem Fall ist das einfach. Ich habe keine Ex-Ehefrauen und Kinder aus verschiedenen Ehen. Ich bin auch nicht in zig Vereinen organisiert und Kassenwart oder ehrenamtlicher Vize.
Aber das ist nicht bei jedem so. Manche Menschen sind Teil eines sozialen Umfelds, das recht unterschiedlich und mitunter auch nicht immer gleich- und wohlgesinnt ist. Dann ist so ein Eintrag „Erbe“ oder „Empfänger“ sinnvoll.
Konkret geht das so: Ich hinterlasse einen digitalen Nachlass. In dem steht, dass mein Passwort-Safe peterssafe.kdbx bitte von Notar Schweigestill geöffnet werden soll. Er erhält die aktuelle Version. Die Login-Daten hat er schon länger. Er geht meinen Passwort-Safe Zeile für Zeile durch und verteilt den Inhalt entsprechend.
Bei mir steht in den meisten Zeilen „löschen“. Niemand braucht etwa mein Bonprix-Konto. Aber vielleicht hatte ich gerade eine Ebay-Auktion laufen, als der Blitz einschlug. Irgendjemand hat gezahlt und wartet nun auf Lieferung. Den Ebay-Konto-Login kriegt jedenfalls meine Frau.
Digitaler Nachlass ist ein Riesen-Thema, das fast alle als wichtig erkennen – und sich dann doch irgendwie davor drücken. In meinem Buch „Mein Recht im Netz“ habe ich es jedenfalls ausführlich behandelt.
Dazu auch: Gewusst wie: So wappnest du dein Facebook-Konto für den Tod, Rechtliches zum digitalen Tod und Social Media und der Tod: Wie das Leben in sozialen Netzwerken endet – oder auch nicht
So, das sind schon alle meine Zusatzeinstellungen. Du hast gesehen: Nichts davon ist zwingend. Oder anders gesagt: Die Basis-Version von KeePass mit ihren Werkseinstellungen ist für die meisten Normalanforderungen völlig ausreichend.
Doch ein anderes Thema ist zwingend, da müssen wir noch was tun.
Backup
Die Herausforderung bei diesem Thema ist bekanntlich keine technische, sondern eine disziplinarische. Auf deutsch: Auf Backup hat man keinen Bock, auch wenn es eigentlich wirklich einfach ist und ratz-fatz geht.
Die KeePass-Datenbank ist nämlich wirklich winzig. Ich bringe knappe 4MB zusammen. Darum ist sie auch in Mini-Zeit irgendwo anders hin gespeichert.
Regelmäßiges Wochen-Backup
Dazu habe ich mir in Outlook eine wiederkehrende Aufgabe eingestellt. Sie fordert mich alle zwei Wochen auf, das Backup durchzuführen. Ich mache dann Folgendes:
- Ich speichere die aktuelle Instanz in zwei verschiedenen Clouds und auf einer externen Festplatte unter dem aktuellen Namen. Wenn tatsächlich alle drei Orte abbrennen, brauch ich wohl keinen Passwort-Safe mehr.
- Ich speichere die aktuelle Instanz lokal, dort wo die aktuelle Arbeitsversion liegt, unter einem neuen Namen. Der sieht im Prinzip so aus: 180316peterssafe.kdbx. Das ist die ab 16. März 2018 aktive Version. Mit der mach ich dann bis Ende März weiter.
Diese simple Routine hat mir schon manchen entspannten Gedanken geschenkt. Oops – irgendwie ist der Cursor unglücklich durchs mega lange Passwort für die Verschlüsselungs-Software gerutscht und alles ist falsch und damit futsch? Ach was, im Backup von letzter Woche war es ja noch richtig!
Jahres-Backup
KeePass bietet noch eine andere Backup-Option, den Ausdruck (Menüleiste im Hauptfenster – Datei – Drucken). Einen Passwort-Safe auszudrucken, finde ich generell schwierig, denn die Passwörter werden dabei in Klarschrift an den Drucker geschickt – keine Sternchen, keine Perlenkette. Und anschließend stehen sie schwarz auf weiß auf dem Papier. Alle.
Wann braucht man sowas? Ich kann mir zweieinhalb Szenarien vorstellen:
- Bei Angst vor dem totalen Technik-Ausfall. Ich komme an nichts mehr ran. Warum auch immer – Feuer, Sturm, Einbruch, Blödheit. Dann habe ich immer noch die Hardcopy im Bankschließfach, ein Glück! Das wäre also so ein „Jahres-Backup“. Ich persönlich würde ja trotzdem nur einen Stick ins Bankschließfach legen (Drucken – tss tss), zusammen mit dem Notfall-Blatt, aber Geschmäcker sind verschieden.
- Das zweite Szenario ist die Verwaltung des digitalen Nachlasses durch Notar Schweigestill. Das Thema hatten wir gerade. Durchaus möglich, dass es Notar Schweigestill nicht so mit Datenbanken und Schlüsseldateien hat. Dann bekommt er eben diese ausgedruckte Liste.
- Szenario No. 2,5 ist so ähnlich. Auch wenn wir gar nichts wissen wollen von verteiltem Erbe und differenzierter Weitergabe der Login-Daten, auch wenn im Fall des Falles einfach eine(r) alles bekommen und verwalten soll – wer garantiert denn, dass diese Person mit unserem raffinierten KeePass-Safe inklusive Schlüsseldatei leidlich souverän umgehen kann? Noch dazu unter eher stressbeladenen Umständen?
Abschließende Bemerkung
Lass dich von diesen finalen Gedanken nicht runterziehen. Das Drollige ist: Sie belasten umso weniger, je älter man wird – hab ich aber auch erst vor Kurzem entdeckt. Man muss das Thema kalt angehen, sonst kommt man in den emotionalen Wald.
Kümmere dich um einen ordentlichen Passwort-Safe. Es muss durchaus nicht KeePass sein. Und spiel mal ein paar Stress-Szenarien durch (Einbruch, Brand, IT-Virus, schwere Krankheit etc.).
Bist du in jedem Fall noch handlungs- und Login-fähig? Und kannst und willst du diesen Safe auch langfristig betreiben? Das sollte das Ziel sein. Verwaiste Safes sind kritisch. Sie enthalten vielleicht Interessantes, aber werden nicht mehr betreut. Einen Passwort-Safe auszuwählen, ist eine kleine Adoption.
Im letzten Beitrag nächste Woche werden wir noch einmal zurückblicken und auf ein paar Kritikpunkte eingehen.