Trotz zahlreicher angebotener Alternativen, die meisten davon als Cloudservice, erfreut sich KeePass in meinem Umfeld großer Beliebtheit. Einige Voreinstellungen sind meiner Meinung nach jedoch sehr unglücklich gewählt, weswegen ich in den Folgenden Posts gerne meine persönlichen Konfigurationsanpassungen auflisten und erklären möchte. Vielleicht ist ja für den ein oder anderen etwas Hilfreiches dabei. :-)
Allgemeines
Multi-Faktor Authentisierung
Völlig unabhängig davon, ob ihr Standardpasswörter in eurem Kopf oder hochkomplexe, zufällig generierte Kennwörter in einem Passwortmanager nutzt: eine zusätzliche Absicherung der Konten über Multi-Faktor Authentisierung (MFA) oder Zwei-Faktor-Authentisierung ist immer besser als sich ausschließlich auf das Kennwort zu verlassen. Insbesondere Konten, die direkt oder indirekt mit euren Finanzen verknüpft sind oder für den Identitätsdiebstahl verwendet werden können, solltet ihr entsprechend absichern.
Bei der Wahl des zweiten Faktors gilt folgende Auflistung, sehr grob sortiert nach absteigender Sicherheit:
- Hardware-Token mit TOTP
- Software-Token mit TOTP, bspw. eine “Authenticator”-App auf dem Smartphone
- Übermittlung eines One-Time-Passwords (OTP) per SMS
- Übermittlung eines One-Time-Passwords (OTP) per E-Mail
- (i)TAN-Liste
Zusätzlich gibt es weitere Ansätze, Passwörter zu ergänzen oder abzulösen, mit derzeit eher geringer Verbreitung, die sich vielleicht eines fernen Tages durchsetzen werden.
(Regelmäßiger) Kennwortwechsel
Der regelmäßige Kennwortwechsel ist in den meisten Fällen der Kennwortsicherheit abträglich, da er zu schwächeren Kennwörtern führt, insbesondere wenn man sich diese merken können soll. Der Wechsel eines Kennworts ist nur dann sinnvoll, wenn ihr vermutet oder wisst, dass euer jeweiliges Kennwort Dritten bekannt sein könnte, entweder weil ihr es selbst wissentlich weitergegeben habt oder ihr ein Konto auf einer Seite hattet, der die Passwortdatenbank abhanden gekommen ist. In beiden Fällen lässt euch die konsequente Nutzung eines Passwortmanagers (d.h. ein zufällig generiertes Kennwort pro Zugang) ruhiger schlafen, da ihr davon ausgehen konnt, dass ihr das Kennwort nur für einen Zugang verwendet habt und eure Konten auf allen anderen Seiten weiterhin sicher sind.
Aber auch wenn für einige eurer Zugänge aufgrund veralteter Sicherheitsrichtlinien weiterhin ein regelmäßiger Wechsel des Kennworts erzwungen wird, hilft euch der Passwortmanager, da ihr nicht darauf Rücksicht nehmen müsst, ob ihr euch das Kennwort merken könnt. Das neue Kennwort wird ebenso sicher sein wie das Alte.
Das Master-Passwort
Unabhängig davon, für welchen Passwortmanager ihr euch entscheidet: ein letztes Kennwort werdet ihr euch merken müssen. Das eine Kennwort, das euch den Zugang zu allen anderen Kennwörtern verschafft. Verliert oder vergesst ihr dieses Kennwort, gibt es in der Regel keine Möglichkeit, den Zugriff auf die Kennwörter wiederzuerlangen. Wählt es daher sorgfältig und notiert es nötigenfalls auf einem Stück Papier, das ihr vor dem Zugriff Dritter sicher verwahrt. Speichert das Master-Passwort auf keinen Fall in einer Textdatei auf eurem Rechner.
KeePass-Spezifisches
Die Hinweise und Screenshots beziehen sich auf KeePass2 (unter Windows), lassen sich jedoch in der Regel auf entsprechende KeePass-Varianten anderer Betriebssysteme übertragen.
Sinnvolle Passwortprofile
Die mitgelieferten Passwortprofile sind meiner Meinung nach unglücklich gewählt. Diese nutzen das gängigerweise verfügbare Alphabet für Passworte oder Passphrasen nicht aus und erzeugen daher unnötig schwache Kennwörter. Ich verwende daher zusätzlich die folgenden Profile (die Namen sind natürlich beliebig wählbar):
20char: 20 Zeichen / ~109 Bits Entropie (viel ist gut :)
32char: 32 Zeichen / ~180 Bits Entropie
64char: 64 Zeichen / ~360 Bits Entropie
Im Vergleich zu den voreingestellten Profilen:
Hex Key (40 Bit): 10 Zeichen / ~40 Bits Entropie
Hex Key (128 Bit): 32 Zeichen / ~128 Bits Entropie
Hex Key (256 Bit): 64 Zeichen / ~256 Bits Entropie
MAC Address: 17 Zeichen / ~70 Bits Entropie
Stark vereinfacht beschreibt die Entropie den Informationsgehalt des Kennworts. Sollte das Kennwort in gehashter (“einwegverschlüsselter”) Form abhanden kommen, bestimmt die Entropie im Wesentlichen, wie viel Zeit bzw. Rechenleistung für das Knacken des Kennworts aufgewendet werden muss.
Die voreingestellten Profile eignen sich aufgrund des sehr eingeschränkten Alphabets (1-0, A-F) nicht für die Verwendung als Kennwort und sollten daher nicht genutzt werden.
Ich beschränke mich in meinen Profilen auf gängigerweise erlaubte Sonderzeichen. Die Stärke der Passwörter würde sich durch die Verwendung weiterer Sonderzeichen natürlich weiter erhöhen lassen, als grobe Faustregel gilt allerdings: Länge schlägt Komplexität.
20char
Leider existieren Websites, die ein Zeichenlimit von 20 in Passwörtern vorsehen. In der Regel bedeutet das, dass die Kennwörter im Klartext gespeichert werden und die Länge daher durch die Datenbank begrenzt ist. Insbesondere auf solchen Seiten solltet ihr ein generiertes Passwort verwenden und keinesfalls eines eurer “Standardkennwörter”, da diese Seiten es offenbar mit der Sicherheit besonders genau nehmen und ihr davon ausgehen müsst, dass im Falle eines Datendiebstahls eure Kombination aus Benutzername und Passwort veröffentlicht wird.
32char
Mein Standardprofil, dass sich von oben Genanntem nur in der Länge des generierten Kennworts unterscheidet.
64char
Das “besonders sichere” Passwortprofil, für Kennwörter, die ich mit sehr hoher Wahrscheinlichkeit niemals mit der Hand tippen werden muss und/oder für Konten, bei denen es um besonders Schützenswertes (bspw. Finanzen) geht, insbesondere auf Seiten, die keine Multi-Faktor-Authentisierung anbieten.
Das Standard-Profil
Es empfiehlt sich, das Standard-Profil mit einem von euch gewählten, sichereren Profil zu überschreiben. Öffnet dafür den Passwort-Generator, wählt beispielsweise das Profil mit 32 Zeichen aus und speichert das Profil. Wählt beim Speichern den Eintrag “(Automatically generated passwords for new entries)”.
So wird das Profil automatisch angewendet, wenn ihr einen neuen Eintrag in KeePass erzeugt, ohne dass ihr das jeweilige Profil händisch auswählen müsst.
Weitere Postings zu (meiner Meinung nach) sinnvollen KeePass-Optionen folgen. Bestimmt. Demnächst. Geplant sind:
- KeePass Teil 2 – Mehr Komfort: Optionen
- KeePass Teil 3 – Noch mehr Komfort: AutoType
- KeePass Teil 4 – Passwörter unterwegs: Synchronisierung