Die besseren Alternativen zu 123456
In der Adventszeit gibt es jede Menge Gelegenheiten in irgendeinem Adventskalender im Internet einen Passwortmanager zu ergattern. Das ist gut so, auch wenn solche Programme oft nur mit einer Einjahreslizenz gereicht werden. Kostenlose Alternativen (Open Source) gibt es aber auch: KeePass, Bitwarden oder auch KeePassXC.
Kürzlich wurde bekannt, dass der Passwortmanager KeePassX nicht mehr weiterentwickelt wird. Das letzte Update ist fünf Jahre her und so verwundert es nicht, dass sich Alternativen an einem einstigen Open Source-Liebling vorbeigeschoben haben. Der Ur-KeePass-PW-Manager ist aber immer noch eine Empfehlung des BSI wert, und auch heise widmete KeePass einen Adventskalender-Artikel.
Passwortmanager: Bitwarden vs. KeePassXC
Es gibt ja die Geschichte mit den vielen Köchen …, die trifft hier aber nicht zu. Hier sind viele Augen der Käfer Tod (sinnbildlich). Sowohl Bitwarden als auch KeePassXC (DX für Android) sind zuverlässige Wegbegleiter. Einzig die Erweiterung „KeePassXC-Browser“ (Firefox/ Chromium) habe ich auf dem Linux-System Elementary OS und Manjaro nicht zum Laufen gebracht. Auf Linux MX hingegen schon. Bitwarden bietet für Linux eine AppImage an, falls die Distribution Bitwarden nicht ausliefert, was wiederum bedeutet, um Updates muss man sich selber kümmern und dann die Einstellung „Darf als Programm gestartet werden“ vornehmen.
Die Integration beider Programme mit einer Erweiterung in einen Browser ist keine große Sache, auch für Ungeübte gut zu bewältigen. Bei KeepassXC sollte man sich die Einstellungen schon mal anschauen.
KeePassXC:
Ein zusätzlicher Schutz – Die „Schlüsseldatei“
Was der andere Liebling der Gemeine, Bitwarden, nicht hat, hat KeepassXC, ein optional zusätzlichen Passwortschutz. Quasi noch eine zu der eingebauten Zwei-Faktor-Authentisierung.
Bei Erstellung einer Datenbank wird man gefragt, ob die Datenbank eine Schlüsseldatei bekommen soll. Das bedeutet, ohne diese Schlüsseldatei ist mit der kdbx-Datenbank nicht viel anzufangen – trotz Passwort. Und diese Datei kann irgendein Erbe sein: Bild, Film, Font, Text, Musik etc. Man sollte sich nur behalten, welche Datei es ist, sonst ist die Datenbank rettungslos verloren.
Tipp: Die Dateinamenserweiterung des Passwortmanager KeePassXC muss nicht zwangsläufig .kdbx sein, sie kann auch umgetauft werden. Beispiel: Von „Passwörter.kdbx“ zu „Passwörter.doc“.
Diese Vorgehensweise funktioniert auf allen Plattformen (ich nehme mal an, auf einer Apple-Hardware auch). Zusätzlich kann man auch nur einen Teil der Gesamtdatenbank für das Smartphone erstellen, für den Fall. Man muss nicht alles mit sich herumschleppen. Ich weiß, es hat kein Gewicht, aber ich brauche z. B. keine Online-Banking-Geschichten unterwegs. Ich musste dies auch meiner Bank erklären, als sie mit ihrer Android-App ankam. Und je mehr die Welt schnüffelt, trackt, desto weniger finden sie auf dem Smartphone vor. Aber das muss jede:r mit sich selbst ausmachen. Jedenfalls ist dieses System, was auch KeePass hat, gut und brauchbar.
Und wer es ganz ausgefuchst haben will:
KeepassXC unterstützt von Haus aus Zwei-Faktor-Authentifizierung per TOTP (Time based One Time Password): Wurde ein Schlüssel beim Anbieter erstellt, kann dieser neben einer TOTP-App auch in KeepassXC hinterlegt werden. Aus dem Schlüssel und der aktuellen Uhrzeit generiert der Passwortmanager dann den sechsstelligen TOTP-Code, der beim Login als zweiter Faktor angegeben wird.
Golem
Vornehm geht die Welt zugrunde
Software und Design gehen oft nicht miteinander konform. Oft ist es so, dass Programmierer keine Designer sind, und Designer keine Programmierer. Ausgenommen jemand in Kassel (nicht wirklich). Hier bei KeePassXC ist quasi eine selten funktionale Harmonie auszumachen. Wer will, kann sich auch über den Browser seiner Wahl die Favicons der einzelnen Seiten reichen lassen – ist gut für den Wiedererkennungswert. Ob das funktioniert, weiß ich nicht. Ich nehme meine Icons, wenn machbar, was für mich schon so eine Art Ritual in all den Jahren geworden ist.
KeePassXC-Browser
Wie zuvor schon erwähnt, hat es bei zwei Linux-Distributionen nicht geklappt, den Browser mit der Datenbank zu verbinden. Der Weg zurück nach „past & copy“ ist schon gewöhnungsbedürftig. Die Sicherheit und die Passwörter gehen dadurch aber nicht verloren.
In der Bitwarden-Erweiterung für den Browser können keine Einstellungen vorgenommen werden, im KeePassXC-Browser hingegen schon – sollte man auch. Da wären unter anderem:
Symbole für Benutzernamensfelder aktivieren
Fügt ein Symbol zu Benutzernamefeldern zum Ausfüllen von Anmeldedaten mit nur einem Mausklick hinzu.
Passwortgenerator aktivieren
Fügt den Passwortfeldern eine Schaltfläche zum Generieren eines neuen Passworts hinzu. Passwörter werden von KeePassXC mit Hilfe Ihres Passwortgenerierungsprofils generiert.
…
Anmeldedaten automatisch abrufen
KeePassXC-Browser ruft Anmeldedaten sofort ab, wenn ein Tab aktiviert wird.
Autovervollständigung für Benutzernamensfelder aktivieren
Eine Dropdown-Liste mit verfügbaren Anmeldedaten für alle Benutzernamensfelder auf einer Seite anzeigen.
Der „Maschinenraum“ sollte Benutzer:innen schon ein Blick wert sein.
Tracker an Bord der Passwortmanager
Für Android bekommt man KeePassDX (XC) sowohl über F-Droid als auch den Google-Store. Bitwarden nur über den Google-Store. Und hier gibt es bei Bitwarden ein bisschen mehr: 2 Tracker inklusive (Google Firebase Analytics und Microsoft Visual Studio App Center Crashes). Das muss dann jede:r selbst mit sich ausmachen.
Unter uns: Der Passwortmanager KeePassXC ist richtig cool. Macht schon was her, wenn wer über die Schulter schaut.
Die Vorgehensweise beim Erstellen einer Datenbank im Passwortmanager sind ähnlich von KeePass oder auch Bitwarden, weswegen ich hier nur auf die Besonderheiten/Abweichungen eingehe. (Anleitung KeePassXC)
Das beste Passwort hilft nicht vor Leichtsinn und einer nerdigen Egalität bei den Anbietern
Aber all diese Vorgehensweisen schützen nicht vor einem Hack irgendwo auf einem Server, wenn dort der Schlendrian ein und aus geht, wie kürzlich bei Gravatar (WordPress) oder Microsoft.
Hat man überall ein anderes Passwort, welches eine 19-stellige Jahreszahl braucht, um von einem Home-PC gehackt zu werden, kann man sich in diesem Fall entspannt zurücklehnen. Bei Log4j sieht das für Admins hingegen anders aus. cu
Nachtrag 16.12.2021: Die Premium-Version des Passwortmanager Bitwarden beinhaltet ebenso Zwei-Faktor-Authentifizierungsmöglichkeiten.
Nachtrag 17.12.2021: 123456 – Deutschlands häufigste Passwörter im Jahr 2021: 123456
Nachtrag 02.04.2024: Das Cyber Safety Review Board (CSRB) hat Microsoft für eine Reihe von Sicherheitslücken kritisiert, die im vergangenen Jahr durch eine in China ansässige Nationalstaatengruppe namens Storm-0558 zu einer Verletzung von fast zwei Dutzend Unternehmen in Europa und den USA führten. Die Ergebnisse, die vom Department of Homeland Security (DHS) am Dienstag veröffentlicht wurden, stellten fest, dass das Eindringen vermeidbar war und dass es aufgrund einer „Kaskade von Microsofts vermeidbaren Fehlern“ erfolgreich wurde.
Bildnachweis: Beitragsbild by mmh30 / Pixabay
Aus dem Umfeld
