Mit der häufigste Tipp, den ich meinen Freunden und Bekannten gebe, ist: Benutzt sichere Passwörter! Am besten noch verschiedene für alle Services, also Dienste/Homepages/E-Mail/etc. im Internet und Co. Und uns ist allen klar: Das macht keiner… ;) Außer man hat einen vernünftigen Passwortspeicher den man auch flexibel und von verschiedenen Orten aus benutzen kann. In einem solchen Programm kann man alle verschiedenen Passwörter eingeben und verschlüsselt in einer Datei speichern. Das heißt, man braucht zwar ein sehr gutes (= langes & komplexes) Passwort um den Passwortspeicher zu öffnen, erspart sich aber das Merken von allen anderen Passwörtern. Sprich: Man muss sich fortan nur noch ein Passwort merken und hat dann einen sicheren Zugriff auf alle möglichen anderen Passwörter. Ich empfehle den KeePass Password Safe und möchte hier eine komplette Einführung für ihn geben:
1) Installation
Natürlich muss man die Software erst mal herunterladen (hier, “Installer” von Version 2.x) und installieren. Man kann aber auch die portable Version (ohne Installation) verwenden. Unbedingt die 2er Version nehmen.
Nach dem Starten von KeePass muss man einmalig eine neue Datenbank-Datei für seine zu speichernden Passwörter anlegen. Hierzu muss man einen Speicherort für die Passwortdatei auswählen. Danach wird das Masterpasswort für seine Datenbank vergeben. Achtung: Hierbei handelt es sich um das Passwort, welches alle anderen Passwörter in der Datei verschlüsselt. Das heißt: Hier bitte ein wirklich gutes/langes/kompliziertes/schwer-zu-erratendes/usw. Passwort verwenden! Außerdem sollte man es *wirklich* nicht vergessen. Im nächsten Schritt kann man noch einen Namen für die Datenbank wählen (z.B. “Passwort-Safe von Johannes Weber”). Alle anderen Einstellungen kann man so lassen. Den “Emergency Sheet” im letzten Fenster sollte man sich ausdrucken. Hierauf sollte man per Hand das Masterpasswort schreiben und diesen Zettel dann gut verstauen, zum Beispiel zu den sowieso sicher verstauten Aktenordnern im Keller oder ins Portemonnaie.
2) Einträge anlegen
Nun kann man seine Passwörter sinnvoll strukturiert anlegen. Ein paar Ordner sind bereits vorhanden. Und los geht’s: Per Klick auf “Add Entry” (viertes Icon) legt man ein neues Passwort an. Eigentlich sollten sich alle Felder von selbst erklären. Im Titel vergibt man einen sinnvollen Namen für die Anwendung, in der man den Login benötigt. Der Username ist meistens eine Mailadresse oder ein zusammengeschriebener Name. Ein neues Passwort steht automatisch im Passwortfeld bereit. Dieses wurde durch den “Password Generator” von KeePass völlig zufällig erstellt und bietet daher eine hohe Sicherheit.
Man kann sein Passwort aber auch selber eingeben. Entweder zwei Mal hintereinander (um gleich zu überprüfen, ob man sich auch nicht vertippt hat), oder nur einmal, wenn man auf die drei Punkte klickt (siehe Screenshot), um sich das Passwort direkt im Klartext anzeigen zu lassen.
Im URL Feld kann man die Adresse der Webseite hinterlegen, zu der man den Login angelegt hat. Es ist quasi eine Art Bookmark.
3) Einträge benutzen
Das eigentliche Ziel ist es ja, relativ unkompliziert ein Passwort in eine Anwendung (zumeist einen Browser) zu kopieren. Das geht wie folgt: Als erstes ruft man die gewünschte Login-Seite im Browser auf. Hierfür kann man entweder im Browser die Seite gezielt ansurfen, oder man markiert den entsprechenden KeePass Eintrag (1x klicken) und verwendet die Tastenkombination “Strg + u“. Hierbei wird die Webadresse aus dem URL Feld im Browser geöffnet.
Dort muss man nun den Curser im Bereich des Loginfensters beim Benutzernamen platzieren. Dann geht man zurück zu KeePass und drückt “Strg + v“. KeePass wechselt nun automatisch das aktive Fenster und fügt den angegebenen Benutzernamen und das Passwort in die Login-Felder ein und drückt auch noch automatisch Enter. Schon ist man eingeloggt ohne irgendeine Angabe manuell getätigt zu haben.
4) [optional] Passwort Datenbank online verfügbar machen
Damit man seine Passwortdatei an mehreren Rechnern verwenden kann, muss man sie irgendwie ins Internet bringen und synchronisieren. Man kann sie zum Beispiel in seinen Dropbox/OneDrive/Whatever Ordner legen. Da die KeePass Datei ja komplett verschlüsselt ist, muss man sich auch keine Sorgen bezüglich dieser Cloudspeicher machen. Ohne das Masterpasswort sehen diese nur Datenmüll. Ich persönlich habe meine KeePass-Datei auf meiner eigenen Nextcloud.
Für Smartphones gibt es natürlich Apps, welche die KeePass Datei mit der Endung *.kdbx öffnen können, wie beispielsweise KeePassium für iOS oder KeePassDroid für Android. (Es gibt verschiedenste KeePass Anwendungen für Smartphones, allein für iOS mindest fünf. Das macht es natürlich nicht leicht, sich für “die Richtige” zu entscheiden.)
5) Icons für Einträge und Ordner
Ich persönlich verwende viele verschiedene Icons für einzelne Passwörter als auch für die Ordner. Dadurch hat man eine bessere und schnellere Übersicht. Besonders praktisch finde ich die Tatsache, dass man manuell weitere Icons hinzufügen kann, die dann in der Passwort-Datei mitgespeichert werden. Um Icons anzupassen muss man einfach in einem Passworteintrag auf das Icon rechts oben klicken und das gewünschte Icon auswählen, bzw. hinzufügen. Bei mir sieht die Liste der Icons mittlerweile so aus:
6) [optional] URLs zum Öffnen von externen Anwendungen wie PuTTY
Jetzt kommt eine richtig geniale Sache: Ich benutze standardmäßig PuTTY für SSH-Sessions. Nun ist es möglich, über das URL Feld in KeePass automatisch PuTTY zu öffnen und direkt die Login-Daten rüberzuschicken. Die genaue Beschreibung habe ich von diesem Blog Eintrag hier übernommen.
Man muss zunächst die PuTTY.exe in einen der Systempfade von Windows kopieren. Ich habe sie einfach in den Windows Ordner auf C:\ gepackt. Nun kann man folgende Zeile in das URL Feld aller möglichen SSH-Passworteinträge in KeePass kopieren:
1 |
cmd://putty -load "Default Settings" {TITLE} -l {USERNAME} -pw {PASSWORD} |
Möchte man nun eine neue SSH-Session öffnen, klickt man den entsprechenden Eintrag in KeePass an (1x klicken) und drückt dann “Strg + u“. PuTTY verbindet sich zu dem DNS-Namen/IP-Adresse, der bei KeePass im Titel des Eintrags steht. Außerdem werden natürlich Username und Passwort übergeben. Weitere Optionen für PuTTY kann man hier nachlesen (wie zum Beispiel das “-X” um X11 forwarding zu aktivieren). In der URL-Zeile kann man alternativ den DNS-Namen/IP-Adresse auch händisch anpassen, so wie hier geschehen:
Das gleiche geht übrigens auch für FileZilla wenn man eine neue Verbindung zu einem FTP-Server aufbauen möchte. (Erinnerung: Bei FileZilla selbst kann man zwar auch Passwörter abspeichern, diese werden allerdings im Klartext (!) in einer XML-Datei abgelegt. Das ist also nicht zu empfehlen.) Daher hier die URL für KeePass, bei der der Pfad für die filezilla.exe auf das Standard-Installationsverzeichnis hardcodiert ist:
1 |
cmd://"C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe" ftp://{USERNAME}:{PASSWORD}@{TITLE} |
Auch hierbei wird sich zu dem DNS-Namen/IP-Adresse verbunden, der bei KeePass im Titel steht. Benutzername und Passwort werden ebenfalls direkt weitergegeben.
Für eine RDP-Session kann man leider nicht den Benutzernamen/Passwort übergeben, man kann aber immerhin ein entsprechendes Fenster mit der Verbindung zum richtigen Host öffnen lassen:
1 |
cmd://mstsc.exe /v:{TITLE} /w:1440 /h:900 |
7) [optional] KeePass automatisch sperren
Noch einen erweiterten Tipp: Ich habe mein KeePass so eingestellt, dass es sich nach 10 Minuten Benutzer-Inaktivität automatisch sperrt. Sprich: Man muss bei der nächsten Benutzung das Masterpasswort neu eingeben, hat aber den Sicherheitsvorteil, dass die Passwortdatenbank automatisch gesperrt wird, wenn man einige Zeit nicht am Rechner ist. Ich kann das also nur empfehlen. So geht’s: Tools -> Options -> Lock workspace after […]:
8) [optional] Verbesserte Passwort-Kopiererei
Und noch zwei Sätze zu der automatischen Passworteingabe per “Strg + v”. Erstens: Man kann die default sequence verändern. Standardmäßig wird KeePass immer den Login kopieren, dann 1x Tab drücken, das Passwort kopieren und dann Enter drücken. Wenn man aber vor einem Login-Fenster sitzt, welches zwischendrin noch ein paar Häkchen oder ähnliches hat, welche man erst “überspringen” muss um auf den Login-Button zu kommen, kann man für diesen Passworteintrag eine andere Sequenz auswählen. Man ändert die Einstellung in einem Passworteintrag unter dem Reiter “Auto-Type”. Als Beispiel sei hier das HTTPS Login-Feld einer Juniper SSG erwähnt, welches folgende Sequenz braucht:
1 |
{USERNAME}{TAB}{PASSWORD}{TAB}{TAB}{ENTER} |
Eine weitere Einstellung die ich ganz interessant finde ist die “two-channel auto-type obfuscation“. Damit kopiert KeePass nicht das Passwort im Klartext in den Zwischenspeicher um es dann irgendwo einzufügen, sondern es simuliert quasi einen “Strg + c” Tastaturanschlag, um dann in dem Passwortfeld der Anwendung ein “Strg + v” zu schicken. Außerdem speichert es diverse Hin- und Herhüpfer per Pfeiltasten, um zusätzlich Verwirrung zu stiften ;) Sinn ist der, dass ein potentiell installierter Keylogger nur eben diese Strg Befehle mitloggen kann und somit NICHT das Passwort im Klartext sieht. Sehr cool ;) Man muss diese Funktion für jeden Passworteintrag einzeln aktivieren. Achtung: Es funktioniert nur bei einfachen Login-Feldern, wie sie zum Beispiel in Browsern verwendet werden. (Sprich: Bei Browserfeldern geht es eigentlich immer.) Bei Logins in anderen Anwendungen (CLI, …) wird es nicht immer klappen. Im Zweifelsfall also einfach ausprobieren. Die Warnmeldung, die jedes Mal beim Anklicken des Häkchens kommt, kann man getrost bestätigen, da sie quasi genau auf diese Problematik hinweist.
9) Passwörter ausdrucken
Klingt komisch, ist aber so: Es wäre natürlich fatal, wenn man aus irgendwelchen Gründen seinen Passwortsafe nicht mehr öffnen kann. Sei es durch Verschlampung der KeePass-Datei oder durch Vergessen des Masterpassworts. Daher empfehle ich, eine Liste der Passwörte über Datei -> Drucken zu erzeugen und diese im ausgedruckten Zustand in einem sicheren Aktenordner zu verstauen. Ja, das ist ernst gemeint! Es klingt zwar komisch, seine ganzen Passwörter im Klartext vor sich zu sehen, aber im Notfall hat man hierdurch doch noch Zugriff auf alle seine Systeme. (Der primäre Sinn von KeePass ist ja der, einem Passwortdiebstahl bei Drittanbietern vorzubeugen, in dem man verschiedene Passwörter verwendet. Im Gegensatz dazu liegt die ausgedruckte Passwortliste zu Hause relativ sicher, da man ohnehin seinen Wohnbereich vor dem Zugriff Dritter schützt.)
10) Fertig :)
Jau, das war meine Einführung in KeePass. Ich hoffe, dass ich hiermit ein paar Leute motivieren kann, nicht nur ihre Passwortsicherheit mit diesem Passwortspeicher zu erhöhen, sondern auch schneller und unkomplizierter diverse SSH- und FTP-Sessions öffnen zu können. ;)
Wer weitere Infos über Passwort-Speicher oder auch Passwörter im Allgemeinen haben möchte kann mal auf der Website “Passwort Generator“ vom Berufsverband der Rechtsjournalisten e.V. vorbeischauen. Dort sind viele Infos ziemlich gut (und fachlich korrekt) aufbereitet.
Featured image “20120721-DSC08746” by Clemens v. Vogelsang licensed under CC BY 2.0.
Frage: Wenn ich die Passwort-Datei z.B. auf einen FTP-Speicher lege, muss ich dann online sein, um die Passwörter nutzen zu können? Oder synct er mit einer lokalen Kopie?
Nein, definitiv nicht. Beim anfänglichen Laden sowie bei jedem Speichern baut er eine FTP Verbindung auf. Also “jein”. Man möchte ja zwischendurch schon mal speichern. Zumal ich ja empfehle, KeePass nach 10 Minuten automatisch sperren zu lassen, und er halt vorher immer noch speichern möchte… Aber nein: du brauchst keine *dauerhafte* Internet Verbindung.
Ich suche verzweifelt eine Möglichkeit die es mir ermöglicht das ich zum speichern neuer Zugangsdaten aufgefordert werde. Soll heißen, ich besuche eine neue Seite und gebe die Zugangsdaten ein. Dann möchte ich von KeePass in Chrome ein Aufforderung zum speichern der neuen Zugangsdaten erhalten
Zur Putty-Integration: Ich verwende für SCP unter Windows WinSCP und bin heute auf diese Möglichkeit der Integration gestoßen, die ich ziemlich elegant finde: http://winscp.net/eng/docs/integration_keepass Analog zu scp ist das wohl per default schon für ssh und Putty aktiviert.
Hallo Johannes,
Andy hat mir den Artikel empfohlen. Der Einstieg in KeePass fiel mir dadurch deutlich einfacher.
Beste Grüße
Jeroen
Hi,
kann man den Emergency Sheet sich im nachhinein ausdrücken lassen oder ist der nun verloren wenn man das Fenster weggeklickt hat?
Beste Grüße
Osbo
Hey Osbo. Den kann man sich auch später noch ausdrucken. Einfach im geöffneten KeePass (also wenn dein eigener Safe gerade geöffnet ist) auf File -> Print -> Print Emergency Sheet klicken. Wobei es hier ja lediglich darum geht, dass du dir dein Masterpasswort einmal händisch aufschreibst, um den Zettel dann irgendwo wegzuheften. Früher oder später wird es jedem mal passieren, dass man sich an dein Masterkennwort nicht mehr erinnert. Dann wird der Zettel seinen Zweck erfüllen. ;)
Danke Johannes