Use a Passwordmanager

Es gibt ja Tage des Passwortes, viele Mythen um Passwörter, wie sie besser sein sollen, sich besser merken lassen, u.s.w.

Einiges davon war in der Vergangenheit sinnvoll, manches ist es noch heute, aber das meiste was ihr darüber wisst könnt ihr getrost vergessen, also:

• Freie Software! Damit eure Passwörter auch eure Passwörter bleiben - und nicht plötzlich in Geiselhaft genommen werden.
• Ihr müsst euch nur noch EINE gute Passphrase merken, welche auch nie das Haus verlässt - also woanders aufgebraucht wird
• Ihr könnt immer die maximal mögliche Anzahl von Buchstabenkombinationen verwenden
• Und für jedes Konto separate Zugangsdaten, Hinweise und mehr verwalten
• Unterstützung von Zwei-Faktor-Token
• Verschlüsselte DB - auch mit zusätzlicher Sperrdatei u.o. Token, dann braucht es Wissen und Besitz zum Zugriff
• Automatische DB Versionierung
• Die Passwort-Datenbank lässt sich in verschiedene Dateien aufteilen - zB. um nur bestimmte PWs auf das Handy zu laden - so geht nie alles in fremde Hände
• Verschiedene Zweige in der DB verwalten - zB Arbeit, Privat, Familie, …
• Clients für Computer, Handy, und Web - wenn's unbedingt sein muss
• Bei Verwendung des Browserplugins hilft dieses gegen Phishing, da die Erweiterung bei gefälschten URL's erst gar nicht ein Passwort anbietet
  (!) Unter Einstellungen/Allgemein/Autotype 'URL verwenden um passendes Fenster für Autotype …' aktivieren!

Wer keines hat ist selber schuld. Sagt schon das alte Sprichwort.

Standardmäßig erzeugt KeepassXC nur eine einzelne *.bak der Key-DB bei Änderungen. Das lässt sich erweitern in dem unter:

Einstellungen/Allgemein/Grundeinstellungen

unter Dateiverwaltung, 'Automatisch_Speichern' und 'Vor_Schreiben_der_DB_Backup_anlegen' ausgewählt und in 'Sicherungsziel' darunter folgendes eingetragen wird:

{DB_FILENAME}.old.{TIME:yyyy-MM-dd_hh:mm:ss}.kdbx

KeepassXC erzeugt nun bei jeder Änderung eine neue Datei mit Zeitstempel. Sollte gelegentlich aufgeräumt werden, aber so existiert zu jeder Version immer eine separate Datei die sich durch umbenennen wieder herstellen läßt.

(!) Das ist KEIN Backup, nur Versionierung. Für ein Backup müsst ihr dafür sorgen das der Key-DB Ordner komplette, am besten automatisch und nach den üblichen Backupregeln auf andere Laufwerke geschrieben wird. Sonst gilt im Schadensfall wieder oben stehendes.

In der Key-DB lassen sich Zweige zur synchronisation auslagern. Dabei bleiben immer alles Daten in der Haupt-DB und lassen sich aus dieser auch wieder herstellen. Die Dateien der einzelnen Zweige sind ebenfalls nach Einstellungen verschlüsselt und beinhalten nur die Keys der ausgewählten Zweige.

Auf diese Weise lassen sich einzelne Gruppen/Bereiche definieren, etwa: Handy, Firma, Privat, Familie, … Welche dann nur den jeweiligen Akteuren und Geräten zugänglich gemacht werden. Auf diese Weise haben diese dann nur die für sie relevanten Zugangsdaten.

Der Passwormanager zeigt euch auch die Entrophie eines Passwortes oder der Passphrase an. Faustregel: Je höher desto besser!

Mehr Entrophie bedeutet mehr Widerstand, konkret mehr Zeit um mit Bruteforce (ausprobieren aller Möglichkeiten) das Passwort zu knacken.

Ein Passwort besteht aus einer Reihe von Zeichen, eine Passphrase ist eher Wortorientiert. Wenn irgendwo Passphrase erwähnt wird, meint dies meist ein wirklich gutes und längeres Password zur Absicherung besonders schützenswerter Daten. Eine Passphrase sollte unvergesslich sein.

Denn wird die Passphrase zB. des Passwortmanagers vergessen, sind alle dort gespeicherten Anmeldedaten verloren. Ist das nur mit einem einfachen Passwort geschützt, ist es vielleicht viel zu leicht zu knacken.

Phishing bezeichnet Angriffe mit nachgemachten Inhalten, mit dem Ziel den Anwender dazu zu bringen geheime/private Daten auf einer vom Angreifer kontrollierten Seite einzugeben / zu offenbaren.

Bei Phishing sind zB. auch die URL's umgeschrieben - soll ja auf den Server der BadBoys gehen.

Dazu gibt es eine Reihe von Tricks, der perfideste: Ersetzen einzelner Zeichen durch ähnlich/gleich aussehende Zeichen (Im UTF-Standard gibt es hundertausende Zeichen). Mensch sieht das nicht, aber für die Maschine ist es 'türlich was ganz anderes, drum trägt KeepassXC dort auch nix ein - passt ja nicht die URL.

Die Passwort-Datenbank ist nur eine Datei, gilt auch für ausgelagerte Zweige und diese lassen sich einfach auf andere Geräte bringen. Je nach Paranoialevel zB. direkt aufs Handy via USB, ein Synchronisationsprogramm, oder die Cloud. Bei Cloud sollte das vielleicht besser die eigene sein; Nextcloud bietet sich hier an.

Für ein Plus an Sicherheit ist es dann sinnvoll noch einen Weiteren Faktor in Form einer Schlüsseldatei zum Öffnen der Key-DB eingerichtet zu haben. Diesen synchronisiert ihr dann NICHT über die Cloud sondern übertragt den einmalig direkt auf das Gerät.

• https://keepassxc.org/ ist zB in vielen Repos vorhanden und kann direkt aus dem System installiert werden
• https://f-droid.org/de/packages/com.kunzisoft.keepass.libre/ fürs Handy
• https://www.passwordstore.org/ Für Konsolenjunkies

Es gibt noch sehr viele weitere Programme und Anbieter, grundsätzlich kann ich euch nur mitgeben:

Achtet und prüft so was vorher und bedenkt: Handelt es sich um einen Anbieter, ein Projekt mit nur einem Entwickler, ist es keine freie Software, liegen eure Daten auf fremden Servern, ist ein Fork nicht möglich? Dann lauft ihr möglicherweise in einen LockIn und seid dem Hersteller auf Geweih und Verderb ausgeliefert.

Ja, muss nicht sein, aber auch wenn alles toll ist, Firmen und Projekte werden Ver- und Gekauft, werden gehackt, verkaufen Daten, … Was Heute ist gilt Morgen schon nicht mehr - Nur eure Daten, die hat dann ein Unbekannter und was der damit macht…