Passwort Manager KeePass
Geschrieben von: Markus Junginger in Tools, tags: KeePass, Passwort Manager
Wieder mal ein Passwort vergessen? Wer noch keinen Passwort-Safe hat, dem kann ich das Open-Source Programm KeePass empfehlen, das sich schon einige Zeit bei mir bewährt. Das Prinzip ist einfach: mit einem einzigen Master-Passwort schaltet man die verschlüsselte Passwort-Datendatei frei.
In dieser kleinen Datenbank werden nicht nur Benutzername und Passwörter gespeichert, sondern man kann sich zum Beispiel Notizen machen und eine URL vermerken, die sich dann mit einem Doppelklick öffnen lässt. Die Einträge kann man in hierarchischen Gruppen anordnen und lassen sich auch durchsuchen. Praktisch ist auch das automatische Ausfüllen von Benutzernamen und Passwort in Dialogen: Mit Strg+V wird der selektierte Eintrag im Format Benutzername[TAB]Passwort[Return] an das zuletzt aktive Fenster gesendet.
Die Passwortdatei lässt sich auch gut mitsamt dem KeePass Programm auf einem USB Stick mitnehmen. Aber damit nicht genug: diverse Portierungen erlauben die Nutzung der Passwortdatei auch auf PocketPC, Linux und Mac OS X.
Einträge (RSS)
Sowas gibt es auch Web-basiert. Auf savr.de kann man online seine Passwörter verwalten. So kann man auch von jedem Betriebssystem drauf zugreifen und ist nicht an ein Programm gebunden. Ein Großer Vorteil ist, man muss seine Passwörter nicht immer bei sich tragen, sondern kann – egal wo – immer darauf zugreifen…
Hallo basti. Rein interessehalber: gibt es tatsächlich Nutzer die bereit sind, ihre Passwörter online zu speichern?
Ich persönlich habe lieber meine Passwörter bei mir auf dem Rechner oder bei Bedarf auch auf dem Memory Stick. Damit bin ich selbst verantwortlich für Aufbewahrung und muss nicht auf Dritte vertrauen. Bedenklich finde ich auch, dass sich ein derartiger Service geradezu nach Hackerangriffen schreit. Jedenfalls wenn die Ver- und Entschlüsselung nicht vollständig auf dem Client stattfindet.
ja gibt es
Natürlich sind deine Bedenken gerecht, aber ehrlich gesagt würde ich einem Linux-Webserver wesentlich mehr trauen als einem Windows Desktop-PC.
Die Verschlüsselung ist auch ziemlich sicher, siehe z.B. die Informationen im Bereich Sicherheit bzw. den Artikel bei Wikipedia zu AES: “AES wird u. a. vom Verschlüsselungsstandard 802.11i für Wireless LAN und seinem Wi-Fi-Äquivalent WPA2 sowie bei SSH und bei IPsec genutzt. Außerdem wird der Algorithmus zur Verschlüsselung diverser komprimierter Dateiarchive verwendet, z.B. bei 7-Zip und RAR. Des Weiteren nutzt Skype laut eigenen Angaben AES. In PGP und GnuPG findet AES ebenfalls einen großen Anwendungsbereich.“.
D.h. jeder der sein WLan mit WPA2 absichert, der kann auch der Verschlüsselung von savr.de vertrauen
Gut, mein ICQ Passwort würde ich vielleicht noch online speichern, aber wirklich sensible definitiv nicht. Hast Du dazu mal eine Umfrage gemacht, wie die Bereitschaft im allgemeinen ist?
Ohne die Windows vs. Linux Kiste aufzumachen, ist ein Web-Server erstmal Angriffen aus potentiell dem gesamten Internet ausgesetzt, während der Desktop PC meist relativ geschützt hinter einer Firewall ist. Also wäre die spannende Frage, was ein Hacker anstellen könnte, wenn er sich tatsächlich root Rechte auf dem Web-Server verschaffen könnte.
Die Verschlüsselung ist ein Aspekt, aber damit ist ein System noch lange nicht sicher.
Machst Du savr eigentlich als Privatperson?
“Ohne die Windows vs. Linux Kiste aufzumachen”
Die können wir gerne geschlossen lassen
“Also wäre die spannende Frage, was ein Hacker anstellen könnte, wenn er sich tatsächlich root Rechte auf dem Web-Server verschaffen könnte.”
Die Daten werden u.a. mit dem eigenen Benutzer-Kennwort verschlüsselt. D.h. wenn jemand sowohl die verschlüsselten Daten als auch den PHP-Code in die Hände bekommt, kann er damit noch lange nicht auf die Benutzerdaten zugreifen. Auch der Loginname / Emailadresse sind verschlüsselt gespeichert. Sollte jemand die gespeicherten Daten in die Hände bekommen, dann hat er nur den verschlüsselten Text und keinerlei Benutzerinformationen.
“Machst Du savr eigentlich als Privatperson?”
Welche Antwort wäre dir denn am liebsten?
ja, ich mache savr als Privatperson.
Nunja, wenn der Hacker erstmal soweit ist – dann fehlt ihm doch nur noch etwas Brute Force. Die Verschlüsselung ist dann nur noch so gut wie das Passwort – und die meisten sind wahrscheinlich innerhalb von Sekunden geknackt. Oder hab ich was übersehen?
Sicherer wäre es Apache vom Rest (PHP & Daten) zu trennen und dann auch unterschiedlichen Rechnern mit einer Firewall dazwischen laufenzulassen.
Jedenfalls finde ich es mutig, einen derart sensiblen Service als Privatperson anzubieten.
“Die Verschlüsselung ist dann nur noch so gut wie das Passwort – und die meisten sind wahrscheinlich innerhalb von Sekunden geknackt. Oder hab ich was übersehen?”
Das ist doch bei jeder Verschlüsselung so
Glauben kann ich das nicht, dass es Leute gibt, die ihre Passwörter online speichern. Noch dazu bei irgend jemandem, über den ich nichts weiss. Eigentlich zeugt diese “Geschäftsidee” auch davon, dass es mit der Sachkenntnis nicht weit her sein kann. Einmal pennt einer oder ist unachtsam bei der Konfiguration, schon stehen meine Bankdaten im Web? Nein danke, aber ich wünsche viel Glück und viele Kunden.;)
Hi.
Ich benutzte den KeePass Manager auf USB Stick. Aber nur zum “VERWALTEN” meiner Passwörter. Es gibt da so viele Möglichkeiten die Passwörter zu gestalten in Form des Generators. Bei Homebanking, Ebay, oder bessergesagt, alle “mir” wichtigen Adressen, ist es mir wichtig “sichere” Passwörter zu haben. Das ermöglicht der Generator. Habe z.B. bei Ebay und bei Home banking ein 20-stelliges Passwort, das aus Zeichen, Buchstaben und Zahlen besteht. Dieses wird wiederum nach 30-60 Tagen, oder wer will kann es ja auch wöchentlich;-) ändern, geändert. Ich denke mal das man privat nicht mehr tun kann um es den Hackern schwerer zu machen. Wie es sich mit der Sicherheit verhält wenn man den Stick in ein Online Cafe mitnimmt und verwendet kann ich leider nichts dazu sagen. Ob es was hilft wenn man die Temporären Internet Files löscht, wäre schön zu erfahren ob das was bringt. Aber wer macht schon seine Finanziellen Geschäfte im Internet Cafe!
Fazit: Für “MICH” gibt es zur Zeit nicht`s besseres wie den Kee Pass!!
Und den USB versteck ich, wenn ich fertig bin, vor meiner Frau in meiner Unterhose!!
Hang loose
braui
Hallo Markus,
guter Artikel, jedoch habe ich keine so guten Erfahrungen mit Keepass. Ich verwende Password Depot, kennst du das? War in der letzten PC Pro auch Testsieger.
Gruß
Jürgen
Hallo Jürgen, Danke für dein Feedback. Was waren denn die Probleme mit KeePass? Beziehungsweise was kann Password Depot besser? Im Gegensatz zum kostenlosen KeePass kostet es 30 Euro wie ich gerade herausgefunden habe.
Hi,
also ich war gerade auf der Suche nach einer Alternative zu Password Depot, da ich jetzt auf meinem System Win Xp und Ubuntu installiert habe, stellt sich mir die frage ob ich die Passwörter von password depot auch in Keepass importieren kann.
Gruß
David
Ich bin im Moment auch noch Passwort Depot Nutzer. Gut finde ich dort die Toolbar, den Schutz vor Key-Loggern, die virtuelle Tastatur und den Installationsassistent. Negativ sind leider die anfallenden Gebühren.
Keepass ist ganz nett, kommt aber noch nicht ans Passwort Depot ran.