Ein Passwort für diese Webseite, ein Kennwort für jenes Mailkonto – da geht schnell die Übersicht verloren. Verschiedene digitale Schlüsselbünde bieten sich als Erinnerungshilfe an.

Die Strategien, sich Passwörter für viele unterschiedliche Zugänge zu merken, sind vielfältig. Manche verwenden einfach immer das gleiche Passwort, andere schreiben Passwörter auf Notizzettel oder in – bestenfalls GnuPG-verschlüsselte – Textdateien. Eine unverschlüsselte Ablage ist jedoch unsicher und eine verschlüsselte oft kompliziert zu handhaben. Das dezentrale Authentifizierungssystem OpenID für Webseiten reduziert zwar die Anzahl der sich zu merkenden Passwörter im Internet, funktioniert jedoch bei weitem nicht mit jedem Angebot [1]. Passwort-Formeln helfen dabei, sich unterschiedliche Passwörter zu merken [2]. Einfache Kennworte lassen sich leicht erraten, kompliziertere erweisen sich oft als unpraktisch.

Passwortspeicher wie Kwalletmanager, Gnome Keyring, Keepassx oder Passwordsafe bieten einen Kompromiss zwischen Sicherheit und Alltagstauglichkeit: Sie speichern mehrere Passwörter in einer elektronischen Brieftasche, die sie mit dem Hash-Wert aus einem Master-Passwort schützen. Die Sicherheit einer solchen elektronischen Brieftasche steht und fällt mit dem Master-Passwort. Wer es kennt, hat Zugang zu allen gespeicherten Passwörtern. Mehrere digitale Brieftaschen mit unterschiedlichen Passwörtern, zum Beispiel eine für Webseiten und eine für Online-Bezahldienste, reduzieren das Risiko.

Gehostete Online-Passwortmanager wie Clipperz.com, Passpack.com, Enterprise-password-safe.com, Mysafebox.com und Lastpass.com lassen wir im Folgenden außen vor, obwohl auch diese die Passwörter verschlüsselt auf dem Server ablegen. Von Clipperz.com gibt es eine Community-Edition für den eigenen Server [3].

Integriert

Für Gnome- und KDE-Anwender bieten sich die integrierten Passwortmanager Keyring und Kwalletmanager (kurz: Kwallet) an [4]. Die integrierten Passwortspeicher interagieren mit Programmen der entsprechenden Desktop-Umgebung direkt. Möchte ein Programm ein Passwort erfahren, fragt ein Dialogfenster um Erlaubnis für den Zugriff auf die digitale Brieftasche. Der Gnome Keyring bietet zudem die Möglichkeit, den Schlüsselbund bereits beim Anmelden zu entsperren.

Von der KDE-Variante existiert seit KDE SC 4 eine Windows- sowie eine Mac-Variante. Unter Windows verwenden Sie die Datei kdewin-installer-gui-0.9.7-0.exe. Wer nur das Nötigste installieren möchte, wählt bei Install Mode die Option Package Manager und unter Package Selection das Paket kdeutils-vc90.

Im Test funktionierte die Version stable-latest – derzeit stable-4.4.4 – einwandfrei (Abbildung 1). Das Programm stand nach Installation unter Alle Programme | KDE 4.4.4 Release | System | KWalletManager bereit. Unter Linux installieren Sie das Paket kdeutils, für OpenSuse kdeutils4.

Abbildung 1: Der Kwalletmanager läuft auch unter Windows.

Für die Gnome-Variante installieren Sie unter vielen Distributionen das Paket gnome-keyring, unter Debian und Ubuntu libpam-gnome-keyring beziehungsweise unter OpenSuse gnome-keyring-pam. Gnome Keyring bietet eine SSH-Agent-Integration sowie mit PKCS#11 eine Schnittstelle, um Geheimnisse anderen Anwendungen, die diesen Standard sprechen, sicher zu übermitteln.

Der Kwalletmanager nistet sich als Brieftaschen-Symbol im Systemabschnitt der Kontrollleiste ein. Wollen Sie ihn immer sehen, so stellen Sie in den Einstellungen zum Systemabschnitt der Kontrollleiste die Sichtbarkeit von Dienstprogramm für digitale Brieftasche auf Immer. Ein Doppelklick auf das Symbol öffnet das Programm, neue Einträge und Ordner erstellen Sie via Kontextmenü.

Unter Gnome zeigt das ursprünglich nur fürs Verwalten von PGP- und SSH-Schlüsseln entwickelte Seahorse den Inhalt eines Passwortspeichers an, wenn Sie bei einem Schlüsselbund im Reiter Passwörter im Kontextmenü Entsperren wählen (Abbildung 2). Ein neues Passwort fügen Sie mit Datei | Neu… aus dem Menü in der Titelleiste des Fensters hinzu. Wählen Sie Gespeichertes Passwort als Eintragstyp. Mit Umlauten im Schlüsselbundnamen kam das Programm auf einem UTF-8-System übrigens nicht klar.

Abbildung 2: Seahorse verwaltet unter Gnome Passwörter und Schlüssel.

Mozillas Manager

Die Mozilla-Programme Firefox und Thunderbird bieten mit dem Software Security Device eine eigene Lösung. Für Firefox gibt es Addons, um Passwörter stattdessen in Kwallet oder Keyring zu speichern ([5],[6]). Die Gnome-Variante läuft nicht mit dem aktuellen Firefox 3.6.12. Das Addon für KDE sucht zumindest in der stabilen Version 0.4 mit KDE 4.5 an der falschen Stelle nach der KWallet-Daemon-Bibliothek. Abhilfe schafft der Befehl:

sudo ln -s /usr/lib/kde4/libkdeinit/libkdeinit4_kwalletd.so /usr/lib

In den Webbrowsern Firefox und Konqueror gemeinsame Passwörter über das Addon zu nutzen, klappt nicht: Es speichert Passwörter in der Brieftasche kdewallet in einem eigenen Ordner Firefox, anstatt die Ordner Form Data und Passwords mitzuverwenden. Die Beta-Version 0.6, die die gleichen Ordner wie KDE-Anwendungen verwendet, funktionierte im Test nicht.

Firefox merkt sich beim Einfügen gespeicherter Passwörter in Web-Formulare nur die Domain, nicht aber das Unterverzeichnis und den Dateinamen der Webseite. Der Browser prüft auch nicht, an welche Adresse das Formular die Passwörter verschickt [7]. Das ermöglicht es Angreifern, mit präparierten Webseiten und Javascript-Programmen Passwörter zu entwenden. Der von Heise Online bereitgestellte Test funktioniert selbst mit Firefox 3.6.12 [8]. Konqueror aus KDE 4.5.1 gab hingegen die Zugangsdaten der fremden Webseite nicht preis.

Ansonsten bleibt die Möglichkeit, ein Passwort über die Zwischenablage in eine Anwendung zu übertragen. Eine direkte (auch Auto-Type genannte) Eingabemöglichkeit zum Umgehen der Zwischenablage bieten die integrierten Lösungen nicht. Für Kwallet gibt es mit KWallet CLI im Debian/Ubuntu-Paket kwalletcli zusätzlich eine Befehlszeilen-Oberfläche [9]. So zeigt kwalletcli -f Amarok -e lastfm_password das von Amarok gespeicherte Last.fm-Passwort. Allerdings greift Kwallet CLI immer auf die Standard-Brieftasche kdewallet zu; den Wechsel zu einer anderen Brieftasche unterstützt die Software derzeit nicht.

Prominente Vielfalt

Zu den bekannteren Vertretern der eigenständigen Passwort-Manager gehören Keepass und Password Safe. Allerdings erschweren mehrere unterschiedliche Versionen für verschiedene Betriebssysteme sowie unterschiedliche Dateiformate den Überblick.

Das Programm Keepass [10] gibt es in drei Ausführungen: Keepass 1 für Windows, Keepassx für Linux/Unix, Windows und Mac OS X sowie Keepass 2 für Windows, das via Mono auch auf Linux läuft. Das neue Dateiformat von Keepass 2 unterstützen Keepass 1 und Keepassx nicht, Keepass 2 liest die älteren Formate jedoch. Der Entwickler von Keepassx arbeitet an einer neuen Version, die das V2-Format unterstützten, und die neue Funktionen wie Netzwerksynchronisation bietet [11].

Für Keepassx installieren Sie unter Debian und Ubuntu das Paket keepassx (Abbildung 3). Die portable Version von Keepass 2 bringen Sie mit unter Debian und Ubuntu mit den Paketen mono-runtime, libmono-winforms2.0-cil, libmono-system-runtime2.0-cil sowie unter OpenSuse mono-core und mono-winforms an den Start. Für das automatische Eingeben von Passwörtern in Anwendungen (Auto-Type) installieren Sie unter Debian und Ubuntu xdotool.

Abbildung 3: Die Qt-Anwendung Keepassx mit dem leistungsfähigen Passwortgenerator.

Entpacken Sie KeePass-2.13.zip mit unzip KeePass-2.13.zip oder aus dem Kontextmenü von Dolphin oder Nautilus. Wechseln Sie dann in das Verzeichnis KeePass-2.13 und starten Sie das Programm mit dem Befehl mono KeePass.exe (Abbildung 4). Das funktioniert auch von einem USB-Stick, wenn es sich beim Zielsystem entweder um Windows mit .NET oder ein Linux mit den passenden Mono-Paketen handelt. Für die deutsche Übersetzung kopieren Sie die Datei aus German-2.13.zip in das Programm-Verzeichnis und wählen die Sprache unter Ansicht | Sprache ändern….

Als Besonderheit bieten beide Keepass-Varianten eine Zwei-Faktor-Authentifizierung aus etwas, was der Benutzer weiß, und etwas, was er bei sich trägt: Neben dem Master-Passwort unterstützen beide Programme auch eine Schlüsseldatei, die beispielsweise auf einem USB-Stick liegen kann.

Abbildung 5: Nur Keepassx und Keepass 2 bieten eine Zwei-Faktor-Authentifizierung mit Passwort und Schlüsseldatei.

Abbildung 6: Keepass 2 und Keepassx sammeln Zufallsdaten, um die Sicherheit zu erhöhen.

Bei Password Safe gibt es noch mehr unterschiedliche Versionen. Der Unix-Port Pwsafe 0.2 im Debian/Ubuntu-Paket pwsafe arbeitet im Textmodus [12]. Für Windows gibt es Password Safe 3.1.3, auf dem der Linux/Unix-Port Password Safe 0.0.1 Beta basiert [13]. Debian- und Ubuntu-Pakete gibt es auf der Sourceforge-Projektseite [14]. Für neuere Debian-Versionen ab “Squeeze” installieren Sie das Ubuntu-Paket, für “Lenny” die Debian-Version.

Eine parallele Installation der Textversion und der grafischen Variante über das Paketmanagement klappt nicht, denn die ausführbare Datei heißt in beiden Fällen pwsafe. Die Textversion unterstützt das neuere V3-Format nicht. Die KDE-Version Mypasswordsafe im gleichnamigen Debian/Ubuntu-Paket basiert noch auf KDE 3.

Der Beta-Status spiegelt sich im Praxiseinsatz von Password Safe 0.0.1 wider: So verabschiedete sich das Programmfenster des öfteren vom Desktop und ließ sich auch über das mit Grafikfehlern dargestellte Symbol im Systemabschnitt der Kontrollleiste eines KDE-SC-4.5-Desktops nicht wieder hervorholen. Das Programm Pwsafe 2 funktionierte zwar zuverlässig, doch die letzte Upstream-Version stammt von September 2005, und das alte V2-Format macht eine Brute Force-Attacke um den Faktor 1000 schneller als das neuere V3-Format [15]. Ein sicheres und möglichst langes Passwort mindert das Risiko allerdings.

Exoten

Daneben gibt es noch eine Reihe von weniger bekannten Programmen. Eine Alternative zu Pwsafe 2 bietet das Ncurses-basierte Yapet [16] mit einem sichereren Speicherformat sowie einer menügesteuerte Textoberfläche (Abbildung 7). Die Software stellt allerdings auf einem UTF-8-System die Umlaute nicht richtig dar. Das GTK-Tool Figaro’s Password Manager 2 (fpm2, [17]) bietet konfigurierbare Programmstarter, die für eine URL beispielsweise einen Webbrowser oder einen einen SSH-Client starten (Abbildung 8).

Abbildung 7: Der menügesteuerte, konsolenbasierte Passwortmanager Yapet.

Abbildung 8: Bunte Vielfalt: Keysafe, Passwordsafe, Password Gorilla und Figaro’s Password Manager.

Das recht einfach gehaltene Tcl/Tk-Programm Password Gorilla [18] versteht sich mit den Formaten von Password Safe 2 und 3. Es braucht aber relativ lange zum Öffnen einer Datenbank mit nur zwei Einträgen. Beim automatischen Sperren der Datenbank nervt es den Benutzer, indem es ein Fenster mit dem Titel Database Locked in den Vordergrund bringt.

Ein interessantes Konzept verfolgt Keysafe [19]: Es trennt die Aufgaben eines Passwortmanagers in den Keysafe Editor ksed und das Abrufprogramm Keysafe. Auf diese Weise wollen die Entwickler das Einfügen von Passwörtern erleichtern, das bei anderen Programm mitunter einige Klicks erfordert. Unter Key Id geben Sie einfach den Eintragsnamen ein, und schon erlaubt es die Software, Benutzername und Passwort in die Zwischenablage zu kopieren. Wer den Eintragsnamen nicht weiß, braucht aber doch wieder den Editor.

Sync übers Netz

Neben Keepass 2, das auf Wunsch die Datenbank über FTP oder eine lokalen Datei abgleicht, bietet nur das nach langer Entwicklungspause zuletzt im Juni 2010 aktualisierte Java-Programm Universal Password Manager (UPM) eine Funktion zum Synchronisieren. Entpacken Sie das Archiv upm-1.6.tar.gz (wahlweise auch auf einen USB-Stick), wechseln Sie in das neue Verzeichnis und starten Sie das Programm mit java -jar upm.jar.

Für die Netzwerk-Synchronisation kopieren Sie die beiden Dateien uploadfile.php und deletefile.php in ein Verzeichnis auf einen Webserver, bei dem Sie für den Server-Dienst – üblicherweise Apache – die Schreibrechte freigeben (Abbildung 9). Wählen Sie aus dem Menü Datenbank | Eigenschaften von Datenbank und geben Sie die URL an, die auf das Verzeichnis mit den PHP-Dateien zeigt.

Abbildung 9: UPM, vom USB-Stick gestartet, synchronisiert seine Datenbank mit einem Webserver.

Sicher sind die Passwörter bereits mit diesem einfachen Setup, da UPM nur die mit dem Master-Passwort verschlüsselte Passwortdatei hochlädt. Alternativ verwenden Sie ab der neuen Version HTTPS. Das Programm steigt jedoch bei selbst signierten oder nicht mehr gültigen Zertifikaten mit einer kryptischen Fehlermeldung aus, anstatt nachzufragen.

Wichtiger ist die Authentifizierung, weswegen Sie nur eine neue Passwort-Datei hochladen dürfen. Erstellen Sie mit Konto | Konto hinzufügen oder [Strg]+[+] ein neues Konto und wählen Sie dieses bei den Eigenschaften zur Datenbank unter Authenzifizierungsangaben aus. Erstellen Sie auf dem Webserver eine .htaccess-Datei mit einem Inhalt wie in Listing 1.

IndexIgnore .htaccess .htpasswd
AuthName "UPM"
AuthType Basic
AuthUserFile /srv/www/domain.de/upm/.htpasswd
Require valid-user

Der Befehl htpasswd -c .htpasswd UPM erstellt die passende Passwortdatei inklusive des Benutzers UPM. Das Programm verwendet den AuthName als Benutzername. Für zusätzliche Sicherheit machen Sie die Passwortdatei nur für den Webserver lesbar und legen eine leere Datei namens index.html an, um das Auflisten des Verzeichnisses im Webbrowser zu verhindern.

Fazit

Es gibt viele Programme zum sicheren Speichern von Passwörtern. Wer KDE oder Gnome verwendet, profitiert vom integrierten Passwortmanager. Als desktopunabhängige Software eignet sich aufgrund ihres Funktionsumfang und hohen Reifegrads die handliche Qt-Applikation Keepassx. Noch mehr Funktionen bringt nur Keepass 2 mit. Der Universal Password Manager gefällt durch seine Portabilität und die Netzwerksynchronisation. Konsolen-Freaks entscheiden sich zwischen Yapet und Pwsafe.