Gastbeitrag von Lennart Diener

Sesam öffne dich – Passwort-Management mit KeePassXC
Safe | Foto: Rob Pongsajapan | Lizenz: CC BY 2.0

Es ist ein leidiges Thema: die Passwörter. Vor allem im Internet braucht man sie an jeder Ecke. Trotzdem haben viele Menschen Probleme damit, ein sicheres Passwort zu wählen. Das Hasso-Plattner-Institut zählt im Augenblick fast elf Milliarden geleakte Nutzerkonten.

Dumme Passwörter überwiegen

Die beliebtesten Passwörter daraus sind 123456, 123456789 oder password. In fast 14 % aller Fälle (oder zumindest jener, wo die Passwörter der Leaks gar im Klartext vorlagen), werden sie verwendet. Das stellt nun auch erstmals der Weisenrat für Cyber-Sicherheit fest. Aber nicht nur die Nutzer tragen Schuld, sondern auch Entwickler, die ihre Passwort-Datenbanken nicht ausreichend schützen, wenn sie beispielsweise veraltete Hash-Verfahren nutzen.

Überholte Regeln

Im Bericht zitierte Studien kommen zu dem Schluss, dass viele Passwort-Richtlinien wenig bringen. Das regelmäßige Ändern von Passwörtern ist schon seit längerer Zeit aus der Mode gekommen, mittlerweile stehen aber auch andere der häufig aufgestellten Regeln in der Kritik: Das betrifft vor allem eine festgelegte Anzahl an Groß- und Kleinbuchstaben sowie an Zahlen und Sonderzeichen.

Viel wichtiger ist eine ausreichende Passwortlänge (mindestens 8 Zeichen) und wo möglich eine Zwei-Faktor-Authentisierung (diese aber möglichst nicht per SMS). Auch muss sich das Passwort von Account zu Account signifikant unterscheiden und bestenfalls zufallsgeneriert sein.

Installation und Einrichtung

Nun, so sinnvoll das auch klingt, bei den Dutzenden Accounts, die man so hat, klingt das sehr unpraktikabel. Und an dieser Stelle kommen Passwort-Manager ins Spiel. Prominenter Vertreter im Linux-Kosmos ist KeePassXC. Es ist der Fork eines Forks. Ursprung ist das Windows-Programm KeePass, welches die .NET Platform benötigt. KeePassX lief dann auch nativ unter Linux.

Nachfolger KeePassXC

Nachdem es nicht mehr weiterentwickelt wird, ist KeePassXC an die Stelle getreten. Hat man bereits eine Datenbank aus einem anderen Programm oder einem anderen Dienst, so lassen sich diese einfach importieren. Sonst ist eine neue Datenbank schnell angelegt, bietet allerdings auch spezielle Verschlüsselungseinstellungen. Geschützt wird diese Datenbank mit einem Master-Passwort. Verbessern kann man den Schutz dann noch durch eine Schlüsseldatei oder einen Sicherheitsschlüssel.

In der Datenbank kann man seine Accounts nach Gruppen sortieren und so den Überblick behalten. Will man einen Eintrag hinzufügen, kann man sich auch ein Passwort, oder aber eine Passphrase generieren lassen, samt Einschätzung zur Sicherheit.

Browser-Integration

Wirklich bequem ist das Wechseln zwischen Browser und KeePassXC zum Kopieren von Nutzernamen und Passwort nicht. Zumindest im Vergleich zum Passwort-Manager des Browsers. Dem kann allerdings Abhilfe geschaffen werden: KeePassXC verfügt über eine Browser-Integration. Diese muss in den Einstellungen für den jeweiligen Browser aktiviert und das entsprechende Plug-in für den Browser installiert werden. Die Verbindung zwischen Passwort-Manager und Browser ist verschlüsselt.

Andere Plattformen

Auch die Nutzung auf anderen Plattformen ist möglich. So gibt es KeePassXC nicht nur in den Paketquellen, als AppImage oder Snap für alle gängigen Linux-Distributionen, sondern auch für macOS und Windows. Für Smartphones ist die Datenbank mit Keepass2Android und Strongbox
kompatibel. Um die Synchronisation muss man sich allerdings selbst kümmern. Das kann über das Ablegen in der eigenen Nextcloud oder bei Dropbox, Google Drive und ähnlichem eingerichtet werden. Ob das allerdings eine gute Idee ist, muss jeder selbst entscheiden.

Backup

Definitiv eine gute Idee ist es allerdings ein Backup anzulegen. Denn wenn man das Master-Passwort verliert, die Datenbank beschädigt oder seinen Sicherheitsstick verlegt, kommt man an seine Passwörter sonst nicht mehr ran. Für die analoge Welt kann man dafür auch die Exportfunktion zu einer CSV oder HTML-Datei nutzen und den Ausdruck sicher abheften. Das
generierte Passwort muss man in näherer Zukunft eh nicht mehr wechseln.

Einmal-Passwörter unterstützt

Darüber hinaus bietet KeePassXC noch weitere praktische Funktionen. So werden neben SSH-Agenten auch Einmal-Passwörter (TOTP), wie sie häufig für die 2-Faktor-Authentifizierung benötigt werden, unterstützt. Diese kann man bei Rechtsklick auf den Account hinzufügen. Allerdings sollte
man sich bewusst sein, dass man damit durchaus den Sinn des zweiten Faktors konterkariert. Deshalb lautet die Empfehlung, für Einmal-Passwörter zumindest eine separate Datenbank anzulegen.

Dank an Lennart Diener für diesen Communitybeitrag!

Sesam öffne dich – Passwort-Management mit KeePassXC
4.8 12 votes
Article Rating

Verwandte Themen

4.8 12 votes
Article Rating
Abonnieren
Benachrichtige mich bei
Falls angehakt, wird ein MD5-Hash-Wert deiner E-Mail-Adresse an Gravatar.com übermittelt. Der Hash-Wert wird jedoch nicht veröffentlicht.
17 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments