Heute ist Welt-Passwort-Tag. Was steckt dahinter? Braucht man diesen Tag überhaupt? Wie muss ein optimales, sicheres Passwort aussehen?
Dieser Tag bietet eine gute Gelegenheit, über die eigenen Passwörter nachzudenken. Sowohl das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) als auch diverse andere Institutionen, die sich

mit IT-Sicherheit beschäftigen, geben seit Jahren gute Hinweise, wie ein sicheres Passwort aussehen sollte.

Trotzdem war laut dem Hasso-Plattner-Institut im Jahr 2019 das beliebteste Passwort in Deutschland die Ziffernfolge „123456“, gefolgt von „123456789“. Auf den nachfolgenden Plätzen sieht es ähnlich aus. Ein Vergleich mit 2017 zeigt also keine großartigen Veränderungen.

Autor Jürgen Schmidt vom Heise-Verlag fordert in seinem Kommentar zum „Ändre dein Passwort“-Tag 2019, dass Online-Dienste in Sachen Sicherheit stärker zur Verantwortung gezogen werden sMan sieht, wie viele digitale Einbrüche bei Online-Diensten in den letzten Jahren aufgedeckt und wie viele Zugangs- sowie Zahlungsdaten hierbei „gestohlen“ wurden. Die Website „https://haveibeenpwned.com/“ und auch das HPI führen Listen bekannter Leaks und bieten an, die geleakten Daten gegen die eigene Identität/Mail-Adresse zu prüfen. Solange bei diesen Diensten jedoch kein Umdenken stattfindet kann ein gutes, sicheres Passwort nicht schaden. Dieses sollte je nach Anbieter unterschiedlich gewählt sein. Hierbei kann ein Passwort-Manager, wie z.B. KeePass Hilfestellung bieten. Denn wer soll sich die empfohlenen 15-stelligen Konglomerate aus Buchstaben, Zahlen und Sonderzeichen noch merken können?

KeePass

KeePass ist ein Open-Source Passwort-Manager. Implementierungen sind für alle gängigen Betriebssystem-Plattformen (inklusive Mobilgeräten) erhältlich. Die Passwörter werden in Dateien („Datenbanken“) abgelegt, die sich irgendwo im Dateisystem des Geräts befinden. „Irgendwo“ heißt an dieser Stelle, dass man Cloud-Dienste wie Microsoft OneDrive, Google Drive oder Dropbox dafür bemühen kann. Das ermöglicht, die gespeicherten Passwörter auf alle Geräte synchronisieren zu können. Ob man für mehr Komfort in Kauf nimmt, dass die Passwort-Datei in der Cloud liegt, muss wohl jeder Nutzende für sich entscheiden. Die Datenbanken werden mit einem Master-Passwort verschlüsselt. Dieses ist notwendig, um auf die in der Datei gespeicherten Zugangsdaten zuzugreifen.

Für die Installation von KeePass und die grundliegende Einrichtung hat die Universität Münster eine Anleitung auf Deutsch verfasst. An dieser Stelle wird lediglich auf einige Features eingegangen, die den alltäglichen Umgang mit Passwörtern vereinfachen:

Passwort-Generatoren

Die Tipps, die von verschiedenen Seiten für die Erstellung eines guten, sicheren Passworts gegeben werden ähneln sich:

  • Länge: 8, 15 oder mehr Stellen
  • Alle möglichen Arten von Zeichen werden verwendet (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Jedes Passwort wird nur einmal verwendet

Um schnell ein solches Passwort zu erstellen verfügt KeePass über einen eingebauten, konfigurierbaren Generator. Dieser ist beim Erstellen eines neuen Datenbank-Eintrags auch über das Menü „Tools“ bzw. „Werkzeuge“ verfügbar. Im einfachsten Fall muss lediglich die Länge des zu generierenden Passworts und der gewünschte Zeichenvorrat bestimmt werden. Es ist jedoch auch möglich, externe Algorithmen über Plug-Ins anzusteuern. (Ein solches Plug-In wird noch vorgestellt). Eine Ergebnis-Vorschau ist auf dem „Preview“-Reiter verfügbar. Hier werden 30 unterschiedliche Passwörter gemäß den getätigten Angaben generiert.

Auto-Type

Beim Hinzufügen oder Ändern eines Datenbank-Eintrags steht ein Reiter Namens „Auto-Type“ zur Verfügung. Auf diesem können ein Ziel-Fenster und eine Sequenz angegeben werden. Letztere enthält eine Serie von Tastendrücken und Variablen (z.B. den Benutzernamen und das Passwort). Beim Bedienen einer Tastenkombination (im Standard Strg+AltA), wird die Sequenz an das Zielfenster gesendet. Somit ist eine Anmeldung an einer Applikation möglich, ohne den Benutzernamen oder das Passwort aus dem entsprechenden KeePass-Eintrag manuell zu kopieren. Dieses Feature ist z.B. bei der Anmeldung an SAP-Systemen sehr nützlich.

Plug-Ins

KeePass kann über einige Plugins in vielen Bereichen erweitert werden. Einige davon, werden im Folgenden vorgestellt:

KeePassHttp

Das Auto-Type-Feature von KeePass lässt sich im Zusammenhang mit den im Browser geöffneten Websites schlecht verwenden. Abhilfe schafft das Plugin KeePassHttp. Dieses stellt eine lokale http-Schnittstelle zur Verfügung, über die Anwendungen Zugangsdaten aus KeePass abrufen können. Bei der ersten Verwendung einer solchen Anwendung muss diese in KeePass autorisiert werden. Man behält somit die Kontrolle darüber, welche Anwendung Daten abrufen darf und welche nicht.

Als Gegenstück muss im verwendeten Browser noch eine Erweiterung installiert werden, die mit KeePassHttp kommuniziert. Für Firefox sind dies “PassIFox” oder „KeePassHttp-Connector “, in Chrome „ChromeIPass“. Bei den Datenbank-Einträgen muss für eine reibungslose Benutzung das Feld „URL“ gefüllt sein. Das Browser-Plugin gleicht die Adresse der aktuell geladenen Webseite mit den Einträgen der KeePass-Datenbank ab und befüllt automatisch die Eingabefelder für Benutzername und Passwort.

Favicon Downloader

Für jeden Eintrag der KeePass-Datenbank kann ein Icon aus einer mitgelieferten Liste verwendet werden. Zusätzlich besteht die Möglichkeit, ein eigenes Bild in fast beliebigem Format zu hinterlegen.

Der Favicon Downloader macht sich letzteres Feature zunutze. Er ruft das Favicon der im Eintrag hinterlegten Webseite ab und nutzt dieses als Icon des Eintrags.

Auch wenn dieses Feature nur „nice to have“ ist – übersichtlicher wird die Datenbank dadurch allemal.

Würfelware

Von verschiedenen Seiten wird empfohlen, keine Passwörter, sondern lieber Passphrasen zu benutzen. Eine Passphrase setzt sich hierbei aus mehreren (in der Regel lesbaren) Wörtern zusammen, die miteinander verkettet ein Passwort ergeben. Diese Passphrasen haben mehrere Vorteile:

  • Sie sind lang (meistens deutlich länger als 20 Zeichen)
  • Sie sind (bei geeigneter Wahl der Wörter) relativ leicht zu merken
  • Sie können leicht angepasst werden, um systembedingten Anforderungen an Passwortsicherheit zu genügen (z.B. Ergänzung um Sonderzeichen)

(Eine solche Passphrase eignet sich übrigens sehr gut als Master-Passwort für die KeePass-Datenbank).

Randall Munroe hat auf seiner Webseite xkcd einen Comic zum Thema Passphrasen veröffentlicht. („Correct Horse Battery Staple“) In einer Diskussion bei reddit zu diesem Comic wurde die Sicherheit einer solchen Passphrase analysiert und für gut befunden. Mittlerweile gibt es basierend darauf, eine Webseite zur Generierung einer Passphrase.

„Würfelware“ ist ein Addon, dass sich als zusätzlicher Algorithmus in den Generierungs-Dialog in KeePass einhängt und zufällige Passphrasen generiert. Diese können anschließend direkt als Passwort in einem KeePass-Eintrag verwendet werden.

Mobile Nutzung

Um KeePass auch auf Mobilgeräten nutzen zu können, muss eine App installiert sein, die das Format der KeePass Datenbanken lesen und im Idealfall auch schreiben kann.

Auf Geräten mit iOS (iPhone/iPad) hat sich die App „KyPass“ des belgischen Herstellers Kyuran bewährt. KyPass ist gut in iOS integriert: es stellt eine Ergänzung zum iCloud Schlüsselbund dar und kann TouchID bzw. FaceID nutzen, was die Eingabe des Master-Passworts erspart. KyPass ist in der Lage, die Datenbank online mit Cloud-Diensten zu synchronisieren. Änderungen an Einträgen werden also sofort mit dem verwendeten Cloud-Dienst abgeglichen.

Und nun?

Letztlich bleibt es jedem selbst überlassen, wie man in Sachen der Passwort-Sicherheit verfährt: Ob man sichere Passwörter verwendet oder doch bei „12346“ bleibt, ob man sie lieber auf Zettel schreibt und diese abheftet oder doch einen Passwort-Manager nutzt, liegt in der Verantwortung des Einzelnen.

Die Empfehlungen der Expertinnen und Experten sind jedoch eindeutig:

  • Verwende sichere Passwörter
    • Mindestens 15 Stellen
    • Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
  • Verwende für jeden Dienst ein anderes Passwort
  • Verwende einen Passwort-Manager
    • Sichere Ablage der Anmeldedaten
    • Komfort-Funktionen helfen bei der Einhaltung der Empfehlungen

Bei aller Sorgfalt in Bezug auf Passwörter sollte man jedoch nicht vergessen, dass die Sicherheit online abgelegter Daten immer und primär von der Sicherheit des Anbieters abhängt – und auf die hat man leider nur bedingt Einfluss.