Allein an der Anzahl der kursierenden Passwortverwaltungen lässt sich schon ermessen, welchen Stellenwert ein sicherer und komfortabler Passwort-Safe bei den Anwendern besitzt. Dieser kritische Beitrag will aber keine Lösung wie Lastpass, Keepass-X, Revelation, Password Safe oder One-ID zum Allheilmittel erklären, sondern eher die Grenzen aufzeigen: Eventuell brauchen Sie gar keine externe Software für diesen Zweck.
Lokale Passwörter mit Keepass-X
Nur noch wenige Passwortmanager wie das bewährte Keepass-X arbeiten als rein lokale Software auf dem Rechner. Das ist im Prinzip die sicherste Lösung, weil die Daten in diesem Fall den Rechner nicht verlassen. Das Öffnen der lokalen Datenbankdatei erfordert die Eingabe des Master-Passworts und ist daher auch bei physischem Fremdzugriff geschützt. Der große Nachteil liegt aber auch auf der Hand: Wer mehrere Rechner oder Geräte nutzt, hat dort je unterschiedliche Passwortdaten, die sich nur relativ mühsam manuell synchronisieren lassen. Im Falle von Keepass-X müsste die verschlüsselte KDB-Datei (standardmäßig im Home-Verzeichnis des Users) in der aktuellsten Form jeweils auf die Geräte mit älteren Daten kopiert werden. Dies ist nicht nur lästig, sondern führt erfahrungsgemäß dazu, dass gelegentlich Daten überschrieben werden, weil der Rechner, der die KBD-Datei empfängt, doch ein paar jüngere Einträge enthielt. Zumindest für PCs und Notebooks mit Linux und Windows lässt sich Keepass-X aber durchaus zum synchronisierten Passwortmanager aufwerten. Sie brauchen nur einen FTP-Server oder einen Cloud-Speicher, wohin Sie die KBD-Datei immer nach dem Einsatz von Keepass-X kopieren und immer vor dem Einsatz der Software abholen. Dafür reicht ein Tool wie curl, wie in anderem Zusammenhang unten beschrieben.
Noch einfacher ist der Abgleich über den lokalen Synchronisierungsordner einer Cloud wie Dropbox. Dann genügt es, Keepass-X mit der immer aktuellen KBD-Datei über den Aufruf
keepassx ~/Dropbox/[name].kbd
zu laden. Dieser direkte Aufruf der Datenbank mit dem Pfadnamen funktioniert unter Linux wie Windows. Der Cloud-Ordner muss für diesen Zweck nicht verschlüsselt sein, weil Keepass-X selbst für sichere Verschlüsselung sorgt. Keepass-X ist in den Paketquellen enthalten und etwa unter Debian/Ubuntu mit
sudo apt-get install keepassx
schnell installiert. Ihre Datenbank müssen Sie mit „Datei -> Neue Datenbank“ und Vergabe eines Hauptpassworts anlegen. Einzelne Datensätze erstellen Sie dann über „Einträge -> Neuen Eintrag hinzufügen“. Keepass-X hat eine einfache Oberfläche und lässt sich mit Gruppen übersichtlich gliedern. Dennoch bedeutet der Aufbau einer neuen Passwortsammlung einigen Aufwand. Auch fehlt die Integration in den Browser: Am einfachsten ist es, Passwörter über die Zwischenablage nach Rechtsklick auf einen Eintrag zu übergeben. Keepass-X hat für diesen Notbehelf einen Timeout eingebaut (Standard: 20 Sekunden), wann die Zwischenablage aus Sicherheitsgründen wieder geleert wird. Keepass-Add-ons für Firefox (Passfox) und Chrome/Chromium (Chromepass) sind ebenfalls nur Workarounds.
Synchronisierte Passwörter via Webserver
Der Erfolg von Passwortmanagern wie Lastpass ist nicht so recht nachvollziehbar: Hier werden die Log-in-Daten und Kennwörter auf einem Server des Herstellers gespeichert und auf diesem Weg für alle Geräte des Benutzers synchronisiert. Dazu ist natürlich eine Registrierung erforderlich. Das einzige Passwort, das sich der Benutzer merken muss, ist das Master-Passwort von Lastpass.
Das klingt erst mal gut, allerdings stellt sich dabei die grundsätzliche Frage, warum man sich ein zusätzliches Browser-Add-on holen sollte, um danach seine Daten einer amerikanischen Firma anzuvertrauen? Firefox kommt von der vertrauenswürdigen gemeinnützigen Mozilla-Foundation und bietet mit Firefox Sync und optionalem Master-Passwort annähernd dasselbe. Chrome/Chromium synchronisieren zwar auf weniger vertrauenswürdigen Google-Servern, können aber alle Daten über eine „Synchronisierungspassphrase“ verschlüsseln („Erweiterte Synchronisierungseinstellungen“), so dass Google die Daten garantiert nicht lesen kann. Dazu ist keinerlei zusätzliche Software erforderlich, und die Integration im Browser ist nativ. Firefox und Chrome gibt es für alle Plattformen, auch für Android und iOS.
Soweit es um synchronisierte Online-Kennwörter geht, gibt es aus unserer Sicht kein Motiv, sich einen externen Passwortmanager auf sein Gerät zu holen. Lastpass musste Mitte 2015 einen Hackerangriff einräumen und seine Benutzer zum Ändern des Master-Passworts aufrufen. Solche Pannen sind nirgendwo auszuschließen, aber bei Mozilla und Google unwahrscheinlicher als bei einer kleinen Software-Firma.
Synchronisierte Passwörter ohne Fremdhilfe
Wer einfach seine gesamten Online-Kennwörter, Server-Log--ins, Kontaktdaten, Adressen, Notizen zentral und sicher bereitstellen will, kommt auch ganz ohne fremde Hilfe aus. Notizen sprechen wir auch deshalb an, weil sie etwa ein Lastpass neben der eigentlichen Passwortverwaltung als „Secure Notes“ anbietet. Für solche Zwecke reicht eine halbwegs sortierte Textdatei oder eine strukturierte Office-Tabelle, sofern man sich etwas mehr Mühe machen will. Die Datei muss verschlüsselt auf einem Online-Server liegen und von jedem Gerät zu beziehen und zu ändern sein. Am technisch einfachsten ist das über eine verschlüsselte Datei im Sync-Verzeichnis eines Cloud-Anbieters zu erledigen. Aber dies nötigt zu einem Sync-Client auf jedem Gerät, den Sie vielleicht weder wollen noch anderweitig brauchen.
Der unabhängigste Ort ist ein FTP-Server auf Ihrer Homepage oder im heimischen Netz. Wenn Sie eine dieser Möglichkeiten haben, genügt ein kleines Script, um die Passwortdatei etwa mit curl oder wget abzuholen, mit einem Packer wie 7-Zip zu entschlüsseln und dann in einen Editor zu laden. Sobald die Datei wieder geschlossen wird, packt 7-Zip diese wieder mit Passwort ein und curl schickt sie zurück zum Server – im Prinzip:
curl -O ftp://server.de/ordner/file.7z --user ftpuser:ftpkennwort
7z x -p"geheim" -o"." file.7z
gedit -w file.txt
7z a -p"geheim" file.7z file.txt
curl -T file.7z ftp://server.de/ordner/file.7z --user ftpuser:ftpkennwort
Den ausführlichere Beispielcode für Linux-Bash finden Sie unter http://paste.ubuntu.com/13001688/ und für Windows-cmd unter http://paste.ubuntu.com/13001944/. Beachten Sie, dass sich die Tools curl und 7z im Systempfad befinden müssen. Unter Windows ist das eher unwahrscheinlich – dort ist es am einfachsten, „curl.exe“ und „7z.exe“ einfach in das Verzeichnis der Batchdatei zu kopieren.
(PC-Welt/ad)