Passwörter im Griff

Sicheres Einloggen mit KeePassX

07.10.2012 Für etliche Internetdienste brauchen Sie Zugangsdaten: Diese alle im Kopf zu behalten und dabei noch sichere, verschiedene Passwörter zu wählen, ist keine leichte Aufgabe. KeePassX erinnert sich für Sie und schützt die sensiblen Daten mit einem Master-Passwort.

Egal ob E-Mail-Provider, User-Forum, Online-Shops oder soziale Netzwerke – heutzutage benötigt man für nahezu jeden Internetdienst eine noch nicht vergebene Nutzerkennung sowie ein zugehöriges, möglichst nichttriviales Passwort. Niemand ist begeistert, wenn Unbefugte Einblick in Konten- und Fonds-Bestände erhalten, von Transaktionen ganz zu schweigen. Darüber hinaus erwarten aber auch der eigene Router und das vielleicht aus mehreren alten Rechnern errichtete Heimnetzwerk eigene Login-Daten – von User-, Root-, BIOS- und Smartphone-Passwörtern ganz zu schweigen. Obwohl aus Sicherheitsgründen ratsam, empfinden gerade Linux-Neulinge das regelmäßig wiederkehrende Ersetzen einmal eingeübter Passwörter durch eine bislang nicht verwendete, möglichst komplizierte Folge von acht oder mehr Zeichen nicht nur für das Langzeitgedächtnis, sondern auch für den erlebten Bedienkomfort als Zumutung.

Es verwundert daher wenig, dass so mancher vernetzte Privatanwender beim wiederholten Passieren von passwortgeschützten Zugangskontrollen vereinfachte oder gar automatisierte Logins attraktiv findet. Wenn Sie sich zu dieser Gruppe zählen, sollte Ihnen bewusst sein, dass ein Zugewinn an Einfachheit häufig mit einem Absinken von Systemsicherheit erkauft wird. Nach einem Schnelldurchlauf durch die in der Praxis verbreiteten Vereinfachungen zeigen wir Ihnen daher im Folgenden, wie Sie mit dem Programm KeePassX [1] wieder Herr über Ihre zahlreichen Login-Daten werden.

Ein Tool für alles?

Die einfachste Möglichkeit, bei einer Vielzahl erforderlicher Login-Vorgänge sein Gedächtnis zu entlasten, ist die Verwendung eines fast identischen, möglichst einfach zu merkenden bzw. herzuleitenden Passworts bei ebenfalls gleich bleibendem Benutzernamen – für alle Seiten. Die Versuchung, einer so simplen Lösung nachzugeben, ist gerade für den sicherheitstechnischen Laien groß – und dürfte daher gängige Login-Praxis vieler Privatanwender im Internet sein. EasyLinux rät Ihnen hiervon nachdrücklich ab! Ein Universalpasswort ist nämlich bestenfalls so sicher wie das hacker-anfälligste System, in dem Sie sich damit einloggen. Ist es einem Hacker oder Passwort-Phisher gelungen, über eine Schwachstelle an Ihre Zugangsdaten zu gelangen, wird es für ihn eine sportliche Übung sein, herauszufinden, ob Sie diese Login-Daten auch noch für andere Zwecke einsetzen. Er kann bei sehr ähnlichen Passwörtern schnell all Ihre Zugänge kontrollieren – womöglich eine gute Zeit lang, ohne dass Sie hiervon etwas erahnen.

App-spezifische Auto-Logins

Desktop-Betriebssysteme und Applikationen, deren Entwickler sich größtmöglichen Bedienkomfort auf die Fahnen geschrieben haben, bieten ihren Nutzern häufig eine zweite Form des vereinfachten Logins an: den applikationsspezifisch eingebauten Passwort-Manager. Ein typisches Beispiel hierfür stellen die in fast jeden Webbrowser integrierten Passwortmanager dar. Wenn Sie sich beispielsweise mit aktiviertem Passwortmanager als neuer Kunde in einem Online-Shop einloggen, merkt sich der Browser auf Wunsch Ihre seitenspezifischen Logindaten und füllt diese beim nächsten Anmelden automatisch ein, so dass Sie für den Zugang häufig nur noch einen Bestätigungsknopf drücken müssen.

Ein erstes Problem bei dieser Vereinfachung ergibt sich daraus, dass der Rechner, auf dem die Passwörter gespeichert sind, vorübergehend oder dauerhaft in falsche Hände gelangen kann. Bei unverschlüsselter Festplatte kann ein Dieb selbst bei nicht knackbarem Root-Passwort relativ leicht alle vom Passwortmanager verwalteten Logindaten auslesen. Ein zweiter Nachteil solcher Passwortmanager wird dann spürbar, wenn Sie das gleiche Programm samt der im integrierten Passwortmanager gespeicherten Logindaten nicht nur auf einem, sondern auf mehreren Betriebssystemen bzw. Computern parallel einsetzen wollen. Die Zugangsdaten auf mehreren PCs synchron zu halten, ist in der Regel noch umständlicher als der inzwischen durchaus verbreitete gemeinsame Zugriff auf Lesezeichen.

Online-ID-Dienste

Zumindest für die Anmeldung auf diversen Internetportalen bieten seit einigen Jahren auch Online-Authentifizierungssysteme wie OpenID, Mozilla Persona (früher: BrowserID) oder Facebook Connect ihre Login-Management-Dienste an. Obwohl einige Systeme im Gefolge beliebter Social-Media-Dienste zunehmend Verbreitung finden, konnte sich bislang noch kein Online-Identitätsdienst WWW-weit als Standard durchsetzen. Aus Sicherheitsgründen sollten Sie es sich ohnehin zweimal überlegen, ob Sie Anmeldungen über einen Online-ID-Dienst durchführen, zu dessen Geschäftsmodell es zählt, das Surf-Verhalten von Nutzern möglichst unterbrechungsfrei aufzeichnen und analysieren zu können.

Alternative KeePassX

Anders als bei den bisher beschriebenen Lösungen, ist das für Linux, Windows und Mac OS verfügbare Programm KeePassX (Abbildung 1) ein guter Kompromiss zwischen einfacher Handhabbarkeit und einem dennoch relativ hohen Grad an Sicherheit. Nach der Installation (siehe Kasten KeePassX-Installation) starten Sie die Anwendung und legen über Datei / Neue Datenbank eine Datenbank mit all Ihren, bei Bedarf auch in bestimmte Kategorien bzw. Gruppen unterteilbaren Zugangsdaten an. Für spätere Zugriffe auf diese zentrale Zugangsdatensammlung sollten Sie ein möglichst sicheres Master-Passwort wählen, da andernfalls ein erfolgreicher Hacker schnell Zugriff auf alle Accountdaten erhält. Über Einträge / Neuen Eintrag hinzufügen können Sie jederzeit witere Logindaten ergänzen. Unter Extras / Passwortgenerator können Sie sich bei Bedarf qualitativ besonders hochwertige Passwörter generieren lassen.

Abbildung 1

Abbildung 1: KeePassX bietet eine komfortable Oberfläche für die Passwortsammlung.

KeePassX-Installation

KeePassX ist auf den von EasyLinux unterstützten Distributionen schnell eingerichtet.

Kubuntu/Ubuntu

KeePassX ist in den Standard-Paketquellen von (K)Ubuntu enthalten. Starten Sie den Paketmanager und spielen Sie das Paket keepassx ein. Sie finden das Programm im KDE-Menü unter Anwendungen / Dienstprogramme / Passwortverwaltung (KeePassX).

OpenSuse

Zur Installation von KeePassX müssen Sie zunächst ein weiteres Repository (eine Paketquelle) einbinden, aus der die Paketverwaltung die Software herunterladen kann.

  1. Starten Sie YaST und rufen Sie über Software / Software installieren oder löschen die Paketverwaltung auf.
  2. Dann wählen Sie Konfiguration / Repositories / Hinzufügen URL eingeben und fügen im Eingabefeld Repository Name: den Namen KeePassX und im Eingabefeld Url die Adresse des OpenSuse-Repositorys [2] ein. Bestätigen Sie mit Weiter.
  3. Klicken Sie im folgenden Dialog auf Vertrauen. Suchen Sie nun nach dem Namen KeePassX und markieren Sie diesen für die Installation.
  4. Klicken Sie auf Akzeptieren und im anschließend erscheinenden Dialog auf Fortfahren. Das YaST-Fenster für die Softwareverwaltung schließt sich automatisch nach der Einrichtung. Sie können nun auch das YaST-Hauptfenster manuell schließen.

Sie finden das installierte Programm im KDE-Menü unter Anwendungen / Dienstprogramme / Sicherheit / Passwortverwaltung (KeePassX).

Zugriff allerorten

Die mit KeePassX erzeugte verschlüsselte Datenbankdatei können Sie lokal auf der Festplatte, auf einem für mehrere Rechner freigegebenen Netzwerkordner, auf den Sie Schreibzugriff haben, oder – noch eleganter – auf einem USB-Stick speichern. Letztere Variante hat den Vorteil, dass Sie damit Ihre verschlüsselten Zugangsdaten überall hin mitnehmen und sich entsprechend problemlos auch über einen Fremdrechner passwortgeschützten Zugriff verschaffen können.

Wollen Sie öfter von fremden PCs aus auf Ihre KeePassX-Logindaten zugreifen, aber dort nicht jedesmal lokal KeePassX installieren, können Sie die auf den gängigen Betriebssystemen ausführbaren KeePassX-Binärprogramme zusätzlich mit auf den USB-Stick kopieren und somit KeePassX künftig direkt vom Stick starten. Wenn Sie ein schwer knackbares Master-Passwort gewählt haben, ist neben der mobilen USB- sogar eine noch elegantere Online-Variante vorstellbar: Dazu übertragen Sie die Datei mit den verschlüsselten Logindaten auf Dropbox oder ähnliche Cloud-Dienste und können dann von überall auch ohne USB-Stick darauf zugreifen.

Browser-Auto-Fill

Damit Sie die Logindaten nicht umständlich aus der temporär entschlüsselten KeePassX-Datenbank abschreiben müssen, bietet KeePassX Ihnen die Möglichkeit, die Anmeldeformulare von Webseiten automatisch auszufüllen und Sie einzuloggen. Damit das funktioniert, müssen Sie zunächst ein Tastenkürzel festlegen. Dazu rufen Sie in KeePassX den Menüpunkt Extras / Einstellungen / Fortgeschritten auf. In das Feld hinter Globaler Auto-Type-Kurzbefehl tragen Sie eine Tastenkombination ein, die künftig diese Funktion auslöst. Sie könnten hier z. B. Strg + 1 (für [Strg]+[1]) als Kombination wählen (Abbildung 2).

Abbildung 2

Abbildung 2: Wählen Sie eine Tastenkombination für das automatische Ausfüllen.

Wählen Sie keine Tastenkombination, die von einer Ihrer benutzten Anwendungen schon für eine andere Funktion vorbelegt ist, da die ursprüngliche Funktion sonst überschrieben wird. Außerdem sollten Sie auch darauf achten, dass Sie bei KeePassX-Logins auf Webseiten im Feld Url die jeweils richtige URL angegeben haben. Wenn Sie nun in einem Forum zu einem dort veröffentlichten Beitrag als Forenmitglied einen Kommentar verfassen wollen und nach dem Passwort gefragt werden, prüfen Sie zuerst, ob das Eingabefeld für den Benutzernamen bereits aktiviert ist (Abbildung 3). Falls nicht, klicken Sie mit der Maus zunächst auf das Eingabefeld für den Benutzernamen, und spätestens jetzt können Sie die Tastenkombination, die Sie in KeePassX festgelegt haben, also z. B. [Strg]+[1], drücken, damit KeePassX sich in dem Forum für Sie einloggt.

Abbildung 3

Abbildung 3: Achten Sie vor dem Auto-Fill darauf, dass das Feld für den Benutzernamen aktiviert ist.

Integration in KDE

Damit KeePassX nicht ständig als minimiertes Fenster geöffnet bleiben muss, können Sie mit wenigen Handgriffen dafür sorgen, dass KeePassX sich besser in KDE einbettet und rechts in der Taskleiste als Tray-Symbol erscheint. Wechseln Sie dazu in den KeepassX-Einstellungen (Extras / Einstellungen) auf den Reiter Allgemein (1) und aktivieren Sie sowohl die ersten drei Häkchen als auch den Haken vor KeepassX minimiert starten (Abbildung 4). Die Auto-Fill-Funktion von KeePassX funktioniert nun auch dann, wenn die Anwendung lediglich minimiert als Symbol in der KDE-Taskleiste aktiv ist.

Abbildung 4

Abbildung 4: Diese Einstellungen verbessern die KDE-Integration.

Abbildung 5

Abbildung 5: KeePassX erzeugt ein Tray-Icon in der KDE-Taskleiste.

Fazit

Wenn Sie Anmeldungen bislang noch vollständig unter Rückgriff auf Ihr Langzeitgedächtnis erledigen mussten, werden Sie die Umstellung auf KeePassX als deutliche Entlastung erleben. Da die mit KeePassX in regelmäßigeren Abständen neu generierten Einzelpasswörter in der Regel auch stärker sind, führt der Umstieg auf KeePassX auch zu einer Verbesserung Ihrer Sicherheit.

Wer nur einen einzigen PC verwendet, dem reicht vielleicht die im Browser eingebaute Passwortverwaltung, beim Einsatz mehrerer Rechner wird KeePassX wegen seiner vielfältigen Einsatzmöglichkeiten und der integrierten Auto-Ausfüll-Funktion schnell zum unverzichtbaren Helfer.

Tip a friend    Druckansicht beenden Bookmark and Share
Kommentare