Passwörter – Fluch & Segen

Ich denke, darüber, dass man seine privaten Informationen und auch Unternehmensdaten schützen sollte, brauchen wir uns nicht unterhalten. Es sollte jedem einleuchten, dass da viel zu viel schief gehen kann, als dass man darauf verzichten könnte. Sich viele (gute) Passwörter zu merken, ist schwierig und überall das gleiche verwenden, ist ganz krass falsch. Also was tun?

Anhand meiner eigenen Lösung für das Thema möchte ich darlegen, was für den einen oder anderen Computerbenutzer vielleicht Sinn macht – und zwar die intensive Nutzung eines Passwort-Managers.

Warum braucht man sowas? Passwörter sollen möglichst komplex und auch möglichst lang sein, denn nur dann sind sie auch sicher vor diversen Angriffen (zB Brute Force Attacks). Das heisst sie sollten aus grossen und kleinen Buchstaben, Ziffern und auch noch einigen Sonderzeichen bestehen und … sagen wir mal 16 Zeichen lang sein. Das sollte für die meisten Anwendungsfälle ausreichen. Und nun geschätzter Leser stellen Sie sich vor, Sie müssten sich 20 solcher Passwörter und die dazu gehörigen Benutzernamen merken. Also mir wäre das zu heftig, und die Fehlerrate beim Eintippen der Passwörter wäre unerträglich. Aus diesem Grund habe ich mich für den Passwort-Manager Keepass entschieden, der sich selbst als „Keepass Password Safe“ (LINK) bezeichnet.

Keepass ist verfügbar für Windows als normaler Installer und als Portable Version. Es gibt auch Portierungen für Linux, MacOS, Android und IOS, die alle das gleiche Datenformat verwenden. Für Android verwende ich die App Keepass2Android (LINK).

Ab hier folgt die schrittweise Beschreibung der Implementierung für mein Smartphone und meine Computer (Notebook und Gaming-PC)

1. Keepass herunterladen
2. Keepass installieren
3. neue Datenbank in Keepass anlegen
   1. Die Keepass-Datenbank mit Hauptpasswort sichern und das Hauptpasswort unbedingt merken. Es sollte natürlich ebenfalls lang und komplex sein, aber man muss sich dafür nur dieses eine merken.
   2. Experten-Optionen beim Anlegen der Keepass-Datenbank anzeigen lassen.
   3. Schlüsseldatei erzeugen: ganz normale Textdatei in einem Texteditor mit komplett wirrer und zufälliger Zeichenabfolge und exakter Länge von 4096 Zeichen erzeugen.
   4. Die Option Schlüsseldatei anhaken
   5. Mit dem Button Schlüsseldatei „Erstellen“ eine Schlüsseldatei erstellen (merken in welchem Verzeichnis die Datei liegt)
4. Eingaben bestätigen und dann die Datenbank mit einem Namen versehen speichern.

Wollen Sie jetzt diese Passwort-Datenbank auf mehreren Geräten verwenden, dann müssen Sie die Schlüsseldatei und die Passwort-Datenbank auf das entsprechende Gerät kopieren. Das bedeutet aber auch, dass Sie Änderungen auf jedem Gerät machen müssen. Ich habe das für mich so gelöst, dass ich die Passwort-Datenbank auf einem Cloud-Server bei einem Hosting-Provider gespeichert habe und die Schlüsseldatei auf jedes meiner Geräte kopiert habe. Danach muss man einfach nur mehr beim Starten von Keepass die WEBDAV-URL der Passwort-Datenbank und die Schlüsseldatei angeben. Keepass holt sich dann die Datenbank vom Cloud-Server, die Schlüsseldatei von Ihrem Gerät und fragt Sie nach dem Hauptpasswort. Dieses erste Einrichten und Laden der Passwort-Datenbank ist auch auf Android fast identisch.

Tada … Sie können Ihre Passwörter auf jedem beliebigen Ihrer Geräte ändern, löschen, neue anlegen etc.

Keepass bietet die Möglichkeit des Autotypings, das heisst Sie können Benutzername und Passwort von Keepass per Knopfdruck ausfüllen lassen. Im Grunde können Sie sich einfach von Keepass ein Passwort erzeugen lassen (Generator ist vorhanden), dieses bei der neuen Webseite reinkopieren und Sie haben das Passwort nie in Ihrem Leben gesehen – man kann es also nicht mal aus Ihnen herauspressen, sollten Sie mal in eine solche Situation geraten (ich hoffe nicht).

Tipps zu Passwörtern:

1. Für jeden Account einen eigenen Usernamen und ein eigenes Passwort verwenden und im Passwortmanager speichern.
2. Passwörter sollten so ab 16 Zeichen aufwärts lang sein. Manche Systeme lassen allerdings so lange Passwörter nicht zu oder sind auf kürzere konfiguriert.
3. Verwenden Sie immer grosse und kleine Buchstaben, Ziffern und Sonderzeichen. Bei den Sonderzeichen aber bitte keine ausgefallenen oder deutsche Umlaute oder scharfes „S“ verwenden, denn das funktioniert dann auf einigen Webseiten oder Systemen aus anderen Ländern manchmal nicht.
4. Verwenden Sie für jede Applikation und jede Webseite, wo Sie einen Benutzer und ein Passwort brauchen, oder sich registrieren wollen/müssen, einen anderen Benutzer und ein anderes Passwort – beides zufällig erzeugt.