Mehr Security durch Passwortmanager wie KeePass

(Last Updated On: 30. August 2015)

Nutzen Sie für verschiedene Portale das gleiche Kennwort? Nutzen Sie beispielsweise für Ihre e-Mail-Adresse das selbe Kennwort wie für ein Online-Forum? Und das selbe Kennwort für ein Online-Rollenspiel?

Das kann fatale Folgen haben. Gibt es beispielsweise im Online-Forum eine Sicherheitslücke und Hacker lesen die Passwörter aus, können sich diese auch Zugang zu all ihren anderen Daten verschaffen.

Desweiteren kann es sein, dass zufällig jemand ihr Passwörter für das Forum mitkriegt – weil er Ihnen beim Eintippen zuschaut, der Webbrowser das Passwort im Klartext abgespeichert hat, oder weil er einen Keylogger in den USB-Slot des Rechners eingesteckt hat.

Auch wenn es immer ärgerlich ist, wenn der Angreifer ein Passwort von Ihnen hat, ist es doch besser, er hat damit nicht gleich den Zugang zu ALL ihren Zugängen. Wenn Sie beispielsweise für die e-Mail-Adresse ein anderes Kennwort eingestellt haben, können Sie das Passwort ändern lassen und die bestätigungsmail im Anschluss bestätigen. Hat der Phisher hingegen Vollzugriff – auch auf Ihr E-Mail-Konto – so ändert er auch dieses Passwort.

Viele Nutzer nutzen immer das selbe Kennwort für veschiedene Zugänge, weil es ja ziemlich anstrengend ist, sich die Kennwörter für alle Portale zu merken. Bei verschiedenen Foren, Online-Banking, Multiplayer-Spielen, E-Mail usw. ist es ja auch ziemlich unübersichtlich.

Dabei helfen PasswortManager wie beispielsweise KeePass. Dort können Sie all ihre Passwörter einpflegen und bei Bedarf in die Zwischenablage kopieren. Sie suchen also nur noch nach dem Zugang, für den Sie ein Passwort hinterlegt haben, kopieren es in die Zwischenablage und fügen es anschließend in das Login-Fenster ein.

Viele werden jetzt entrüstet sagen: All meine Passwörter in einer Datei? Ist das nicht unsicher? Nicht per se. Die Datei ist selbstverständlich verschlüsselt. Ohne das Kennwort dauert es mehrere Jahre, die Datei per Brute-Force zu knacken.  Andere werden sagen: Aha, das Passwort ist also in der Zwischenablage. Das heißt diese kann man ja auslesen und hat dann das Master-Passwort. Funktioniert mit KeyPass nicht, weil der sogenannte Process Memory der Anwendung ebenfalls verschlüsselt abgelegt wird. DAs Passwort ist also in einer Art „verschlüsselten Zwischenablage“. Dumm nur, wenn Sie andere Tools wie beispielsweise Dito oder PhraseExpress am Laufen haben, welche den inhalt der Zwischenablage im Klartext im Programmmenü anzeigen. Dann hilft das ganze natürlich nichts. sie müssen sich übrigens keine Sorgen amchen, dass Sie das Passwort später irgendwann versehentlich im Klartext eingeben: KeePass löscht standardmäßig nach 10 Sekunden nach Kopieren des Passworts dieses automatisch wieder aus der Zwischenablage, so dass sie es nicht mehr versehentlich in ein Word-dokument oder ähnliches eingeben können. Auch hier ist es aber wieder blöd, wenn Sie Managementtools für die Zwischenablage nutzen, da diese eben trotzdem den Eintrag abspeichern.

Standardmäßig werden diese Dateien wiederum mit einem Passwort geschützt. das Passwort ist auch gleichzeitig die einzige Sicherheitslücke im System: Wer das sgoenannten Masterpasswort hat, kann all ihre anderen Passwörter durchforsten. Das heißt theoretisch müssen Sie sich ein einziges Passwort merken, um daraufhin all die anderen Passwörter für Ihre Online-Zugänge zu erhalten. Das macht es erstmal für Sie einfach – sie können für verschiedene Zugänge verschiedene Passwörter benutzen und müssen sich diese nicht merken.

Andererseits könnte natürlich ein Keylogger das Passwort für diese Datenbankdatei mitloggen. Wenn der Angreifer dann auch noch an die Datei selbst rankommt, dann hat er wiederum alle ihre Passwörter. Um dieses Problem zu umgehen, bietet der PasswortManager die Option, den Eingabedialog für das Master Passwort auf einem sogenannten Secure Desktop anzuzeigen – auf dem so gut wie kein Keylogger funktioniert. Nur speziell dafür entwickelte Keylogger, die mit einer Vireninfektion zusammen eingespeist werden müssen, und Hardwarekeylogger, die zwischen Tastatur und USB-Slot eingesteckt werden, funktionieren dann noch. Damit ist schonmal ein großes Risiko ausgeschaltet. Den Secure Desktop können Sie in Keepass über Tools / Options / Security / Enter Master Key on secure desktop aktivieren.

Außerdem ist es ja ein größeres Risiko, wenn Sie für alle Gegebenheiten einfach das slebe PAsswort verwenden und dieses dann mitgeloggt wird. Wenn ein Keylogger das MasterPassword des PAsswortmanagers mitloggt, muss er erstmal darauf kommen, dass es sichb um das Masterpasswort eines Keyloggers handelt – und: Er muss auch daran denken, die Passwortdatei mitzukopieren – so gescheit sind die meisten Keylogger alleine nicht.

Aber: Es sind alle ihre Passwörter verloren, wenn Sie dieses eine MasterPasswort einmal vergessen sollten. Dieses Passwort sollten Sie sich also WIRKLICH merken können.

einen Wermutstropfen gibt es: das aktuelle Dateiformat .kdbx, mit welchem PAsswortdateien für KeePass in seiner aktuellen Version 2.x gespeichert werden, funktioniert nicht mit dem Vorgänger KeePass 1. Dessen Datenbanken sind etwas anfälliger als die des Nachfolgers. Leider gibt es derzeit für Linux-Systeme kein KeePass-Derivat, welches die 2.x-Datenbanken lesen könnte. Die Software KeePassX kann Datenbanken in der version 1.x lesen.

Selbiges gilt übrigens für die iOS-Apps MiniKeePass oder KeePass Touch. Auch hier müssen Sie derzeit noch das ältere format verwenden, damit Sie Ihre keePass-Daten in diesen Apps verwenden können. Die Android-App KeePassDroid hingegen kann bereits das neuere Format .kdbx.

Ich bin jemand, der gerne Linux-Live-Systeme wie Tails, c’t Bankix oder Liberte nutzt, um dort sicher zu surfen. Dafür brauche ich natürlich hin und wieder Passwörter aus meiner KeePass-Datei. Auf dem selben USB-Stick, von welchem ich das Live-System boote, habe ich dazu eine 1.xer-Datenbank für KeePassX gespeichert, damit ich hier ebenfalls auf meine Datenbanken zugreifen kann.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

3 Antworten

  1. 16. April 2015

    […] Warum und wie Sie einen Passwortmanager verwenden sollte, erkläre ich in meinem Post zu Keepass […]

  2. 12. Mai 2015

    […] dann sollten Sie die anmeldedaten zu diesen Konten nicht im Incollector, sondern mit einem Passwortmanager wie KeePass […]

  3. 6. November 2015

    […] installieren muss. Die Anmeldung mittels Wegwerfmail ist möglich. Diese sollte man sich in seinem Passwortmanager jedoch dazu schreiben, damit man sie im FAlle eines Passwort-Resets wieder nutzen […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.