Ratgeber
*

Gratis Passwort-Safe auf deutschem Server - so geht's

Wie kann man 150 Passwörter online sicher speichern, sodass sie von mehreren Geräten bequem abrufbar sind? Wir haben den Selbstversuch gemacht, berichten über die Wahl von Software und Cloud und beschreiben die Einrichtung.
AAA
Teilen (407)

Im Laufe des digitalen Lebens sammeln sich unzählige Passwörter an - für Shopping-Accounts, Online-Banking, E-Mail, Webdienste oder soziale Netzwerke. In unserem Selbsttest fiel uns auf, dass es kaum möglich ist, sich - wie in unserem Fall - über 150 Passwörter zu merken. Und dass es sicherheitstechnisch nicht empfehlenswert ist, für alle Dienste dasselbe Passwort zu verwenden, ist klar.

Für viele Nutzer, die den Großteil ihres Lebens digital administrieren, ist es daher wichtig, ihre Zugangsdaten, Passwörter und Geheimzahlen für EC-/Kreditkarten an einem zentralen Platz zu verwalten. Doch dabei stellt sich die Frage: Was ist die beste Aufbewahrungsmethode? Ganz ohne Computer auf einem handschriftlichen Zettel? Offline auf dem Computer oder Smartphone als pure Textdatei? Oder online in einem mehr oder weniger vertrauenswürdigem Cloud-Dienst?

Dringend: Niemals dasselbe Passwort für mehrere Dienste verwenden

Gratis Passwort-Safe auf deutschem ServerGratis Passwort-Safe auf deutschem Server - so geht's In unserem persönlichen Fall haben sich seit Beginn unserer ersten Begegnung mit dem Internet im Jahr 1998 rund 150 Online-Accounts angesammelt. Darunter sind nicht nur Accounts bei Online-Shops, Mail- und Webdiensten, sondern auch Accounts bei Banken, Versicherungen, Vermietern, der Krankenkasse, ÖPNV-Ticketanbietern, Post und Bahn sowie Cloud, Musik- und Videodiensten.

Ein Problem ist, dass insbesondere staatliche Stellen, Banken und Versicherungen mitunter Kombinationen aus Benutzername und Passwort versenden, die vom Nutzer nicht auf eine leicht merkbare Variante abgeändert werden können. Hierzu mussten wir seither stets den Leitz-Ordner mit den Unterlagen aus dem Regal ziehen oder die entsprechende Mail heraussuchen, was auf die Dauer unpraktisch ist. Auch die PIN von EC-/Kreditkarte kann der Nutzer nicht verändern. Und die ständige Nutzung der "Passwort vergessen"-Funktion bei jedem Login-Vorgang trägt auch nicht zu einer besseren Übersicht bei.

Aus Sicherheitsgründen verwenden wir für Shopping-Accounts und Webdienste mit hinterlegten Zahlungsdaten (Bankverbindung, Kreditkartennummer..) stets abweichende Passwörter. Eine Zeitlang hatten wir beispielsweise für eBay und Amazon dieselbe Kombination aus E-Mail-Adresse und Passwort. Nach einem Hack bei eBay vor einigen Jahren probierten die Hacker die Kombination bei Amazon aus und tätigten einen kostenfreien Test-Download eines Spiels in unserem Account, was uns per E-Mail bestätigt wurde. Nur durch das schnelle Ändern unseres Amazon-Passworts konnte Schlimmeres verhindert werden.

Der richtige Speicherort für die Passwortsammlung: Offline oder online?

Unsere Ordnerstruktur in KeePassUnsere Ordnerstruktur in KeePass Vor der Erstellung unserer Passwort-Sammlung sinnierten wir lange über den "sichersten" Speicherort bei gleichzeitig einfacher Nutzbarkeit. Dass dies nicht zu 100 Prozent miteinander vereinbar ist, wurde schnell klar. Eine Lagerung im Bankschließfach oder Bergwerk schied wegen Unpraktikabilität ebenso aus wie handschriftliche Zettel im Geldbeutel oder in der Schublade. Im Übrigen halten wir offline gespeicherte Textdateien auf PC, Laptop. Smartphone oder USB-Stick auch für unsicher, wenn nicht das Gerät mit einem Passwort, einer sicheren Entsperrgeste oder am besten durch eine Vollverschlüsselung des Datenspeichers geschützt ist. Und das Herumtragen von EC- und Kredikarten-PINs auf einem Zettel im Geldbeutel gleichzeitig mit der dazugehörigen Karte ist nicht nur eine unverzeihliche Nachlässigkeit, bei einem Verlust des Geldbeutels schließen die Banken bis zur Sperrung des Kontos die Haftung für von den Dieben abgehobene Geldbeträge in der Regel aus.

Da wir auf die Passwortdatei von verschieden eigenen, aber niemals fremden Geräten zugreifen wollen, entschieden wir uns für eine Online-Lösung. Hierzu wollten wir uns aber nicht auf einen fremden, proprietären und dazu noch kostenpflichtigen Dienst wie beispielsweise den Steganos Passwort Manager verlassen. Unsere Lösung sollte kostenlos sein und die Daten grundsätzlich immer in Deutschland bleiben. Die Speicherung in einem Cloud-Dienst von Google, Apple, Microsoft, Amazon oder Dropbox schlossen wir wegen den Nutzungsbedingungen und dem Speicherort in den USA kategorisch aus. Außerdem sollte die verwendete Software möglichst nichtkommerziell und Open Source sein.

Unsere Wahl fiel nach dem Vergleich verschiedener PC-Programme, Apps und Webdienste schließlich auf das seit 2003 existierende Open-Source-Programm KeePass, da dieses für eine Vielzahl an Plattformen erhältlich ist - und im übrigen kostenlos und Open Source.

Einrichtung, Speicherort und Benutzung von KeePass

Für die erste Sammlung unserer rund 150 Account-Daten und EC-/Kreditkarten-PINs luden wir KeePass auf den Computer, und zwar ohne das Programm unter Windows zu installieren, sondern als portable Version. So taucht die Software nicht im Programmordner von Windows oder in der Registry auf. Anschließend luden wir unter "Translations" die deutsche Sprachdatei herunter und kopierten diese in den Ordner, in der auch die KeePass.exe liegt. Anschließend muss im Programm unter "View - Change Language" die deutsche Sprachdatei ausgewählt werden.

Beispieleinträge in der Sektion Web-DiensteBeispieleinträge in der Sektion Web-Dienste Gleichzeitig installierten wir Keepass2Android auf zwei unserer Android-Smartphones - für die Erstellung der Passwortdatei nutzen wir aber ausschließlich die PC-Software.

KeePass speichert alle Passwortdaten in einer Datei mit der Endung *.kdbx. Und hier stellt sich dieselbe Frage, wie wir es bereits auf der ersten Seite unseres Ratgebers erörtert haben: Wo ist der sicherste und gleichzeitig praktikabelste Speicherort? Eine Speicherung der kdbx-Datei auf dem unverschlüsselten Laptop- oder Smartphone-Speicher schlossen wir aus Sicherheitsgründen aus.

Glücklicherweise bietet KeePass von Haus aus die Online-Speicherung per FTP, HTTP und WebDAV an, per Plugin kommt noch eine Unterstützung für SCP, SFTP und FTPS dazu. Es ist also wichtig, einen Online-Speicherort für die kdbx-Datei zu wählen, der zumindest einen dieser Standards unterstützt.

Wahl eines geeigneten Haupt-Passworts und Einrichtung der Telekom MagentaCloud

Beim ersten Anlegen der kdbx-Datei muss ein Master-Passwort eingegeben werden. Dieses sollte man sich unbedingt im Kopf merken können und an keiner Stelle notieren müssen. Tabu sind bestehende Worte, Namen und Zahlen, die von einem Geburtsdatum abgeleitet sind. Am besten sind sinnlose Buchstaben- und Zahlenkombinationen mit Sonderzeichen, die nur für den Nutzer selbst einen Sinn ergeben. Man könnte beispielsweise das Zitat aus Goethes Faust, Vers 3456 auswählen: "Gefühl ist alles; Name ist Schall und Rauch". Davon wählt man die Anfangsbuchstaben in der richtigen Groß- und Kleinschreibung und hängt die Versnummer an. Das Passwort "Gia;NiSuR3456" wird wohl kaum jemand erraten können und auch für Passwortknacker-Tools ist das eine Kombination, die in keiner Passwortdatenbank verzeichnet sein dürfte.

Aufgrund der strengen Datenschutzbedingungen und der in der Regel zuverlässig funktionierenden Dienste der Deutschen Telekom entschlossen wir uns, für die Speicherung der kdbx-Datei die Magenta Cloud zu verwenden. Egal ob man Kunde bei der Telekom ist oder nicht, erhält man hier nach einer kurzen Registrierung eine E-Mail-Adresse @t-online.de sowie 10 GB (Telekom-Kunden: 25 GB) Webspeicherplatz gratis. Ausgenutzt werden die von der kdbx-Datei aber mitnichten - unsere Datei mit ungefähr 150 Einträgen ist gerade einmal 25 kB groß.

Nach der Registrierung muss die kdbx-Datei einmalig entweder webbasiert in die Magenta Cloud kopiert werden oder über den Windows-Explorer per WebDAV. Hierzu klickt man im Windows-Explorer unter "Extras" auf "Netzlaufwerk verbinden" und gibt dort die Adresse https://webdav.magentacloud.de ein. Dann werden [Nutzername]@t-online.de und das Passwort eingegeben und die Ordner der Cloud erscheinen im Windows-Explorer. Hier wird die kdbx-Datei am besten in einen separaten Ordner kopiert.

Später lässt sich die kdbx-Datei direkt von KeePass aus aufrufen, und zwar im Menü "Datei - Öffnen - URL-Öffnen". Hier muss der komplette Pfad zur kdbx-Datei angegeben werden, also beispielsweise https://webdav.magentacloud.de/KeePassDatei/LieschenMueller.kdbx, und wiederum Telekom-Benutzername, Passwort für die Magenta Cloud und Passwort für die kdbx-Datei.

An dieser Stelle sollte man unter keinen Umständen vergessen, die ursprünglich auf dem PC abgelegte kdbx-Datei wieder zu löschen und auch sofort aus dem Papierkorb zu entfernen, damit diese nicht in falsche Hände gelangt.

Alternative Speicherorte, Benutzungs-Tipps und Fazit

Es mag vielleicht Verschwörungstheoretiker geben, die gegebenenfalls nicht einmal der Telekom und ihren Servern in Deutschland trauen. Wer bei der Telekom Bauchschmerzen hat, könnte sich beispielsweise Strato HiDrive mit 5 GB Gratis-Speicher anschauen. Hier heißt die WebDAV-Adresse https://webdav.hidrive.strato.com .

Auch die Gratis-Speicher in den Postfächern von Web.de und GMX sind per WebDAV aufrufbar (https://webdav.mc.gmx.net/ beziehungsweise https://webdav.smartdrive.web.de). Nebenbei bemerkt haben wir in einer separaten Übersicht wichtige Online-Speicher-Dienste mit Rechenzentren in Deutschland und sogar in der Schweiz zusammengetragen.

Eine noch stärkere Kontrolle bietet gegebenenfalls die Einrichtung einer eigenen, selbst gehosteten Cloud mit der kostenlosen Open-Source-Software von OwnCloud oder Nextcloud. Diese kann selbst auf einen eigenen Server zuhause oder in einem Rechenzentrum aufgespielt werden. Viele Webhosting-Provider bieten bereits günstige Hosting-Pakete mit vorinstallierter Cloud-Software an. Hier ist der Nutzer zwar Herr über die Cloud, doch auch hier sollte man darauf achten, wo der Hosting-Provider seinen Sitz beziehungsweise seinen Serverstandort hat.

Tipps für die Benutzung von Keepass auf PC und Smartphone

Ordner unter KeePass2AndroidOrdner unter KeePass2Android Im Hauptfenster sind für die Passworteinträge bereits bestimmte Ordner vorgegeben, wir haben diese zum Teil umbenannt und neue Ordner ergänzt, insbesondere "E-Mail", "Festnetz", "Mobilfunk", "Finanzen", "Musikdienste", "Shopping", "Web-Dienste" u.v.a. Jedem Ordner lässt sich ein einprägsames Icon zuordnen.

Alle in dem Ordner neu angelegten Passworteinträge erhalten dann dasselbe Icon, wir haben stets Benutzername, Passwort und die Login-URL gespeichert. Das Anlegen eines Eintrags geht hierbei fix vonstatten - in unserem Fall hat das Zusammensuchen der Passwörter oder das Erinnern und Ausprobieren deutlich mehr Zeit gekostet als das Eintippen. Ist man sich über die Sicherheit der eigenen Passwörter im Unklaren, kann man KeePass auch ein neues generieren lassen.

Die Nutzung erfolgt auf den mobilen Apps analog, allerdings stehen nicht so viele Einstellmöglichkeiten wie im PC-Programm zur Verfügung. Wir nutzen daher die mobilen Apps überwiegend zum Abruf von Passwörtern unterwegs und pflegen die Einträge wenn möglich auf dem Computer. Hat man ein langes Hauptpasswort für die kdbx-Datei vergeben und womöglich viele Sonderzeichen eingebaut, ist das auf der Smartphone-Tastatur umständlich einzugeben. Keepass2Android bietet darum die Möglichkeit zu einem Quick-Login. Sperrt der Nutzer die Datei, ohne die App zu beenden, muss er beim nächsten Mal nur die letzten drei Ziffern des Hauptpassworts eingeben. Die Länge dieses Quick-Login-Passworts lässt sich auch variieren, wir haben dies in den Einstellungen der App sicherheitshalber auf vier Zeichen ausgedehnt.

Fazit

Die von uns gewählte Kombination aus KeePass und Telekom MagentaCloud bietet für unsere Begriffe ein gutes Verhältnis zwischen Preis (kostenlos), Praktikabilität und Sicherheit. KeePass ist eine deutschsprachige Open-Source-Lösung, die bereits seit 12 Jahren existiert und die dank der quelloffenen Software auch mit großer Wahrscheinlichkeit noch viele weitere Jahre entwickelt wird. Abstürze und Programmfehler haben wir keine erlebt.

Ein großer Vorteil ist die umfangreiche Plattformunterstützung von KeePass. Die Wahl eines sicheren Haupt-Passworts, das nicht erraten oder per Brut-Force-Attacke in kurzer Zeit erraten werden kann, obliegt weiterhin dem Nutzer.

Eine 100-prozentige Sicherheit kann und wird es aber nicht geben, weder bei einer Speicherung der Passwortdatei auf PC, Smartphone oder USB-Stick und auch nicht bei einer Speicherung im Internet. Kein Web-Dienst ist per se sicher, auch hier trägt der Nutzer eine gewisse Mitverantwortung bei der Wahl eines nicht leicht zu erratenden Passworts. In unserem Fall wäre der Benutzername für die Telekom (weil identisch mit Mailadresse) wahrscheinlich leicht herauszufinden, aber danach müsste der Hacker zwei lange, kryptische Passwörter (für Cloud und kdbx-Datei) überwinden, die aus völlig sinnlosen Buchstaben-Zahlen-Sonderzeichen-Kombinationen bestehen.

Wichtig ist es natürlich, lokale Kopien der kdbx-Datei stets zu löschen - dann sollte das von uns entwickelte System ein recht hohes Maß an Sicherheit bieten, wenn man nicht Notebook oder Smartphone mit geöffneter Passwortdatei unbeaufsichtigt in der Öffentlichkeit herumliegen lässt.

Teilen (407)

Mehr zum Thema Passwörter