Teile der Telefonnummer eines alten Kunden. Initialen meiner Bürogenossen und deren Durchwahl: Petra Weise x11, Martin Burbach x 25, Caroline Neumann x27, Felix Gutmann x43.
Sonderzeichen sind immer schön. Dann noch ein einfacher Merksatz, wie „Heute gehört mir die Welt“. Und wieder beliebte Sonderzeichen.
Komplexe Passwörter
Memorierungstechniken, Codes zu visualisieren, Geschichten daraus zu bauen und abstrakt zu verinnerlichen, braucht Anknüpfungspunkte im realen Leben. Natürlich sind Hacker Spezialisten des social Engineerings und wissen, wie die Kinder heißen, wann sie Geburtstag haben usw. Aber irgendwann schlägt die Komplexität von 29 Stellen und mehreren Herleitungspfaden zu. Am Ende reden wir hier über Rechenzeit. 94 Zeichen, das sind 26 Klein und Großbuchstaben, 10 Zahlen und 32 Sonderzeichen, ergeben bei einer Key Länge von 29 Stellen einen astronomischen Rechenaufwand von Jahrtausenden. Das ist aktuelle Rechenknechte erstmal nicht machbar.
Meine Passwörter
Eben noch mal nachgesehen, ich habe knapp 500 Passwörter in KEEPASS gespeichert und muss mir nur ein langes kryptisches Passwort merken. Das kann ich mittlerweile auf der Tastatur blind im Blindflug tippen, auch auf dem Smartphone.
Früher
Früher habe ich ein Standartpasswort gehabt, das für alles taugte. Dann habe ich an das Standartpasswort noch eine Dienstphrase angefügt, damit es für böse Buben nicht ganz so einfach war.
Heute
Aktuell benutze zufällig erzeugtem Passworte, für jeden Dienst, für jeden Zugang, für jeden Account, die unterschiedlich und vollkommen zufällig sind.
Wenn es geht, verwende ich als Benutzername auch nicht meinen Klarnamen, sondern eine ebenso zufällige Paraphrase. Also warum nicht Frau Gwüsbtp45 heißen.
Ausgelagertes Gedächtnis
Das kann ich nicht in meinem Gedächtnis speichern. Das versuche ich noch nicht einmal. Dafür gibt es Passwort Safes, die die Zugänge zu meiner digitalen Identität speichern und mir möglichst einfach zugänglich machen.
Ich kann meinen Passwortsave auf dem Computer und auf dem Smartphone öffnen und greife immer auf den aktuellen Datenbestand zu. Zwar liegt die Datenbank in einer Google Wald und Wiesen Cloud, ist aber mit AES mit einen hinlänglich langen Key verschlüsselt. Das sollte auch wilderen Versuche (NSA, und Konsorten) der Entschlüsselung wiederstehen.
Warum das Ganze?
Bis vor wenigen Jahren hätte ich dies noch aufwendig begründen müssen. Aber die Realität ist hier ein unerbittlicher Lehrmeister. Oder, wer heute nicht über seine digitale Identität nachdenkt, wer glaubt, dass er in der Legion der Nutzer unsichtbar, sich an allen Gefahren sich vorbeimogeln kann, der darf sich nicht beschweren, wenn er nackt und arm, beschädigt an Name und Ruf, ohne Kredit und Handlungsspielraum, nackt dar steht.
Panzerknacker united
Die kriminelle Energie ist wahrscheinlich in allen Zeitaltern gleich hoch, aber ihr Potential in einer digitalen Welt sind ungleich effektiver. Und das Einfallstor sind primär nicht die Maschine, sondern die Menschen.
Das ist für die meisten abstrakt, grade weil man zwischen Technikgläubigkeit und Technikfeindlichkeit sich seine digitale Nische zurechtgezimmert hat, aber der Dieb steht vor der Tür. Er wird begleitet von datensammelnde Kraken aus dem tiefen Meer der Geheimdienste und dem Küstenfischer der Werbewirtschaft.
Vertrauen
Passwortsafes gibt es viele. Es gibt sie im Netz, auf dem Smartphone, und für den Computer. Man kann sie als Einzelperson, oder als Gruppe verwenden. Das Hauptkriterium ist Vertrauen. Wem kann ich vertrauen. Will ich Apple, Samsung, Google vertrauen? Will ich einen Dienstanbieter vertrauen und womöglich ein Freemium Account benutzen? Will ich staatlichen Stelle vertrauen?
Die Antwort ist eigentlich einfach. In der letzten Konsequenz können wir nur unseren unperfekten Selbst vertrauen.
Es gibt eine Reihe von Passwort Safes. Warum KEEPASS?
Keepass ist Open Source. Das heißt, dass, wenn jemand sich die Mühe macht, kann er den Quellcode auf Fehler und Sicherheitslücken überprüfen. Das hat bei Keepass tatsächlich das BSI und die EU /EU FORSA gemacht.
Keepass speichert dabei alle Daten in eine Datei. Das Programm als Client verschlüsselt die Daten so stark, dass die Datei nicht entschlüsselt werden kann. Der Client dient nur dazu die Datei zu öffnen, zu entschlüsseln und zu editieren. Alle Informationen liegen in dieser verschlüsselten Datei. Auch, wenn die Datei in falsche Hände gerät, ist sie für Dritte wertlos.
Keepass kann auf ein Cloudlaufwerk speichern. Es speichert nicht in die Cloud direkt, sondern nur auf ein lokales Verzeichnis, das in einer Cloud abgeglichen wird. Damit kann eine Datei auf mehreren Endgeräten genutzt werden, wenn diese ein lokales Verzeichnis mit der Cloud abgleichen.
Keepass kann mehrere Dateien, bzw Passwortsammlungen parallel öffnen. Einen Safe für sich selber, einen mit den Zugangsdaten eines Kunden, einen Save für die Daten des Kindes usw.
Wie geht Mann und Frau vor?
5 Schritte zur Glückseligkeit.
1. Auf https://keepass.info/ ist die Desktop Variante von Keepass, der offizielle Client, zu finden. Die aktuelle Version herunterladen und installieren.
2. Unter FILE>NEW generiert man einen neuen Datenbank, also die Datei, die alle Passwörter speichern soll, und die verschlüsselt ist. Die Dateiendung ist kdbx und sollte mit keepass verknüpft werden.
Keepass fragt nach einen Speicherort und dem Dateiname. Wer jetzt noch keinen lokalen Cloud Ordner auf den Rechner hat, kann die Datei in einen beliebigen Ordner speichern. Die Datei selber kann kopiert, verschoben und natürlich auch gelöscht werden.
Dann kommt das Passwort dran. Jetzt muss der neuen Inhaber der Passwort Schatzkiste sein „Sesam öffnen dich“ bestimmen. Ich rate dazu sich vorher Gedanken zu machen. Dazu gehört auch die Frage, wo hinterlege ich das Masterpasswort sicher.
Zuletzt kann ich der Datenbank noch einen Namen geben und einen Emergency Sheet ausdrucken. Damit öffnet sich der Passwortsave und ich kann meine Einträge machen
3. Ob man die vorgeschlagene Ordnerstruktur benutzt, selbst Ordner hinzufügt, oder alles löscht, ist erstmal egal. Hauptsache Postits und herrenlose Notizen mit Passwörtern verschwinden, Hauptsache, alles landet in der Datenbank. Aber bitte vorher die Datenbank schließen und öffnen. Nur damit klarr ist, ob das Master-Passwort auch funktioniert.
4. Unter VIEW> Configure Columns hab ich, weil mich das kolossal genervt hat, die Einträge der Passwörter von **** auf normal lesbar gestellt. In meinem Büro steht keiner hinter mir.
5. Jetzt kann ich Keepass auf den PC nutzen, aber noch nicht auf dem Smartphone. Dazu muss ich die kdbx-, die Keepassdatei Datei in die Cloud stellen, und ich muss meinen PC und mein Smartphone mit der Cloud verbinden. Das ist für viele Menschen, die sich Gedanken über ihre digitale Sicherheit machen, ein großer Schritt. Es tut mir leid dies zur sagen, aber hier geht es um eine Abwägung des Nutzens und des theoretischen Risikos der Ausspähung durch US, NSA und anderen Datensammlern. Tatsächlich benutze ich, ich habe ein Android Smartphone, die Google Cloud.
Aber letztendlich ist das Auswahlkriterium die Stabilität, mit der die Cloud auf meinen Geräten läuft, und die lokalen Verzeichnisse der Geräte zuverlässig mit der Cloud und den anderen Geräten abgleicht. Letztendlich funktioniert aber jeder Cloud.
Jetzt in Kurzform für Google. Ich melde mich an, besorg mir einen Account, wenn nicht schon einen habe. Dann brauche ich den Synchronisierungs-Client und lade ihn herunter. Das ist bei Google „backup &Sync“. Ich installiere ihn und habe auf meinen Rechner jetzt ein Verzeichnis, dass mit den Servern der Cloud Storage Dienstes immer synchronisiert wird. Dort erstell ich einen Ordner und speichere dort meine kdbx- Datei.
Analog verfahre ich auf allen Geräten, auf denen ich Keepass benutzen will. Einen zweiten PC, mein Notebook, mein Smartphone. Überall habe ich nun Zugriff auf die aktuelle Version meiner Daten und eben auch auf die aktuelle Version der Keepass Datei.
Diese kann ich dann immer mit der Keepass Software öffnen.
6. Nicht Windows, sondern Android und Mac.
Der native Client der Keepass Webseite funktioniert nur unter Windows. Für andere Betriebssysteme gibt es eigene Clients, die mit dem Datenbanksystem der Keepass-Datei umgehen können. Das ist der Vorteil an einen Open-Source Öko Systems. Schnittstellen und Formate sind offen und um Keepass ist ein Ökosystem aus Anwendungen entstanden, die nicht nur Linux und MacOs, sondern auch die Smartphones bedienen. Damit ist diese Lösung ähnlich gut handle bar, wie die Konkurrenzprodukte, die auf Webserver, Browser und App basieren.
Mac: https://macpassapp.org/ oder https://www.keepassx.org/
Linux: https://keepassxc.org/
Android: https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de
iOS: Strongbox https://apps.apple.com/de/app/strongbox-keepass-pwsafe/id897283731
Unter https://keepass.info/download.html findet man noch mehr Clients für fast alle Betriebssysteme.
7. Keepass auf dem Smartphon mit der Cloud verbinden
Dies ist kein triviales Thema, aber leider kann ich nur darüber berichten, wie ich auf meinem Smartphone (Android) Keepass2Android verwende. Hier sind die Cloudlösungen schon vorgesehen. Wenn ich „Datei Öffnen“ antippe, kann ich hier Google Drive und meinen Google Account auswählen. Den muss ich deshalb vorher auf dem Smartphone eingerichtet haben.
8. Zu keepassxc.org:
KeePassXC ist der Fork eines Forks https://www.heise.de/ratgeber/Fuer-Windows-Mac-und-Linux-Passwoerter-unter-kontrolle-mit-KeePassXC-4490146.html