April 11 2014

Passwort Verwaltung mit KeePass und Browser Plugin

Nicht erst seit Apples goto fail und dem aktuellen OpenSSL Heartbleed Bug sollte man etwas über seine Passwörter nachdenken.

Die Grundregeln sind einfach: Sichere Passwörter verwenden und pro Dienst ein Passwort.
Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein, Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern enthalten. Wenn das dann kein natürliches Wort oder ein Name ist, dann habt ihr es geschafft. Nach dieser Definition ein sicheres Passwort wäre also: t}BhnqdvE~@U

 

Wie soll man sich denn das alles noch merken?

Variante 1: Du  hast das Megabrain. Super. ;-)

Variante 2: Du verwendest immer das selbe Passwort und variierst es pro Dienst. So kann man z.B. aus der URL das erste und das letzte Zeichen verwenden und in das Passwort einbauen. Bei www.google.com und dem oben genannten Passwort könnte dass dann so aussehen:  t}BghnqdveE~@U. Bei www.nova17.de wäre es dann  t}Bnhnqdv7E~@U

Variante 3: Du verwendest einen Passwort Safe.

Eine gute Open-Source Lösung stellt hier das Programm KeePass dar welches es für eine Vielzahl von Betriebssystemen gibt. Die Datenbank kann man dann mit AES verschlüsselt in die Cloud legen (idealerweise auf dem eigenen ownCloud Storage) und zusätzlich noch mit einer Schlüsseldatei absichern.

Für verschiedene Browser gibt es dann auch Plugins welche Passwörter automatisch in-/exportieren und in Webformulare eintippen – dadurch hat man keinen Nachteil bei der Usability speichert aber seine Passwörter nicht mehr im Browser sondern in der sicheren KeyPass Datenbank.

 

Das ganze funktioniert bei KeyPass ab Version 2.17. Zusätzlich muss das Plugin keepasshttp installiert werden, für Chrome das Plugin ChromeIpass, für Firefox das Plugin KeeFox.

Sobald man das Browserplugin gegen die Datenbank authentifiziert hat und ein Loginfenster im Browser angezeigt wird, kann man das Passwort einfach eintragen lassen:

gallery

 

Spätestens jetzt sollte man es schaffen, pro Dienst ein sicheres Passwort zu verwenden.

Von Lösungen wie RoboForm und LassPass halte ich nicht viel da die Passwortdaten dann bei dem entsprechenden Anbieter abgelegt werden und die Programme alle Closed Source sind. Ein ähnliches Problem habe ich mit 1Password. Hier kann man die Datenbank zwar lokal ablegen, Dank Closed Source hat man aber auch hier einen Einblick was hinter der GUI alles läuft…