Liebe Gemeinde,
allen ist klar, dass „sonnenblume95“ kein sicheres Passwort ist. Aber was ist ein sicheres Passwort? Manchen ist sogar klar, dass man Passworte nicht wiederverwenden soll. Aber nur den wenigsten ist klar, wie man die Fülle an Passworten sinnvoll verwalten kann, ohne komplett wahnsinnig zu werden. Obendrauf kommt auch noch die 2-Faktorauthentifizierung. Von dieser wissen wiederum noch weniger Menschen. Und Passkeys? Was ist dass denn? In diesem Artikel versuche ich einen kleinen Überblick zu geben und meine Arbeitsweise mit Keepass darzulegen.
Grundsätzliches
Grundsätzlich muss man sagen, gibt es viele Dienste die Passwörter verlangen. Seien es Zahlencodes, wie z.B. PINs, oder komplexe Passworte für Logins z.B. bei E-Mailaccounts. Es kursiert eine hübsche Grafik, die zeigt, wie lange man mit den heutigen Rechenleistungen benötigt, um ein Passwort zu berechnen.
Auf dieser Grafik erkennt man schnell, dass man ein Passwort aus bis zu elf Zahlen sofort knacken kann und auch Passworte mit sechs Zeichen, Zahlen, Großbuchstaben und Symbolen sofort als geknackt gelten. Allein die Erhöhung um zwei Zeichen reicht noch nicht, um länger als ca 40 Minuten standzuhalten. Erst ab neun Zeichen mit größter Auswahl an Buchstaben, Symbolen und Zahlen kommt man auf zwei Tage Rechenzeit, bis das Passwort berechnet wurde. Jeder erkennt schnell, dass also klar gilt: Je länger das Passwort ist, desto besser ist es bzw. länger dauert es, es zu brechen bzw. zu berechnen. Wohlgemerkt, bei heutiger Rechenleistung.
Meine Empfehlung lautet daher immer: Wie lang darf das Passwort sein? Und wenn der Dienst keine Beschränkung vorgibt, versuche ich es mit 128 Zeichen. Leider ist es nämlich so, dass die Dienste eine Beschränkung oft nicht anzeigen, aber dennoch das Passwortfeld limitiert ist. Hier muss man echt aufpassen, da das Passwort an einer nicht bekannten Stelle abgeschnitten werden kann. Oft klappen die Logins dann irgendwie nicht. Auch, wird manchmal nicht klar kommuniziert, dass bestimmte Sonderzeichen nicht erlaubt sind. Oder Umgekehrt: Nur bestimmte Sonderzeichen sind erlaubt. Im Einzelfall sehr anstrengend.
Ein 128 Zeichen langes Passwort? Wie merkst du dir das?
Die Antwort ist: Gar nicht! Ich merke mir nur noch sehr wenige Passworte. Für die Passwortverwaltung am PC nutze ich KeepassXC (https://keepassxc.org). Keepass ist ein kleines Programm, zur Verwaltung von Passworten. In diesem Programm ist es möglich, wie in einer Art digitalen Karteikasten, auch in Kategorien sortiert, Zugangsdaten abzulegen. Die Passworte werden in einer Passwort-Datei gespeichert. Ich merke mir also nur noch mein ordentliches Passwort für diese Datenbank.
Zum Beispiel kann in der Kategorie „Internet“, die Unterkategorie „Streaming“ angelegt werden. Darin werden dann die Zugangsdaten der einzelnen Dienste als Einträge abgelegt.
Vergib zuerst einen Titel für den Eintrag, dann den Benutzernamen, das Passwort und auch die Adresse des Dienstes kann angeben werden, wenn es sich um einen Online-Dienst handelt.
Besonders praktisch ist das Notizfeld darunter. Hier kannst du zum Beispiel Wiederherstellungscodes für die 2-Faktor-Authentifizierung (2FA) ablegen. Dazu später mehr.
Passworte Generieren und Passwortsätze merken
Manche Passworte braucht man öfter oder möchte sich diese Passworte auch merken, um sie selbst eingeben zu können. Ich empfehle daher gern, sich einen Passwortsatz auszudenken und sich daraus die Zeichen zu merken.
Ein Beispiel:
Heute ist ein wunderschöner Tag um sich das neue Joomla zu installieren!
Jetzt könntest du dir überlegen, jeden ersten Buchstaben aus diesem Satz als Passwort zu übernehmen. Dann würde dein Passwort lauten: „HiewTusdnJzi!“. Allein das sind schon 13 Zeichen. Darunter große und kleine Buchstaben und ein Sonderzeichen. Garniert man das noch mit einer Zahl; z.B. einfach der Anzahl an bisher verwendeten Zeichen, wächst das Passwort auf 15 Zeichen: „HiewTusdnJzi!13“. Kurzer Blick auf die obere Tabelle: Mit 15 Zeichen und der von uns bisher schon gewählten Komplexität dauert die Berechnung des Passwortes ca eine Milliarden Jahre. Jetzt sind weitere Komplexitäten denkbar:
- Ein Passwortsatz, aber nur jeder zweite Buchstabe wird verwendet.
- Ein Passwortsatz, aber nur jeder letzte Buchstabe wird verwendet.
- Ein Passwortsatz, aber nur der jeweils zweite Buchstabe wird verwendet.
- An das Passwort wird ein Wunschdatum mit Punkten hinzugefügt. Also „HiewTusdnJzi!19.11.2024“. (Ich würde nur nicht unbedingt das eigene Geburtsdatum nehmen.)
Du kannst aber auch den Passwortgenerator in Keepass nutzen. Aufmerksame Leser:innen haben ja schon das Würfelsymbol neben dem Passwortfeld gesehen. Hier liegt der Passwortgenerator von Keepass versteckt. Du kannst einfach eingeben, wie viele Zeichen du haben möchtest und darunter die Komplexität und die zu verwendenden Zeichensätze: Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und dann sogar noch der erweiterte ASCII-Satz. Hier gebe ich zu, dass ich diesen ASCII-Satz bisher noch nicht eingesetzt habe.
Unter dem generierten Passwort ist eine Passwort-Qualitätsanzeige. Du kannst neben dem Passwortfeld auf den gedrehten Pfeil klicken, und dir immer neue Passworte erzeugen lassen.
Sobald du dir ein Passwort damit generiert hast, klickst du auf „Passwort anwenden“ und das eben generierte Passwort landet im entsprechenden Eintrag in deinem Keepass.
Solltest du ein richtiges „Angeberpasswort“ erzeugen wollen, kannst du auch einen ganzen „Passwortsatz“ von Keepass generieren lassen. Dann generiert Keepass aus einer Wortliste eine zufällige Reihe von Wörtern, die mit einem anzugebenen Trenner verbunden sind. Es ist möglich sich weitere Wortlisten herunterzuladen. Ich bin aber bisher immer bei langen, zufälligen Buchstaben-Zahlen-Sonderzeichen-Kombinationen geblieben. Muss ich mir ja sowieso nicht merken.
2-Faktor-Authentifizierungen, Passkeys und eine Schlüsseldatei
Neben normalen Passworten ist heute auch die Nutzung von einer 2-Faktor-Authentifzierung (2FA) ein guter Standard. Meist muss dafür ein QR-Code gescannt werden, der ein sog. „Geheimnis“ enthält.
Keepass kann auch solche 2FA speichern. Keepass selbst warnt auf seiner Webseite davor und empfiehlt es in eine separate Datenbank zu speichern.
Falls du die 2FA speichern möchtest, musst du in Keepass ein TOTP (Timed One-Time-Passwords) hinzufügen. Diese TOTP bestehen aus 6 Zahlen, die sich alle 30 Sekunden ändern.
Aus der Übersicht aller Einträge wählst du mit der rechten Maustaste deinen Eintrag aus und klickst auf „TOTP einrichten“. Dann gibst du den geheimen Schlüssel in das Feld oben ein und speicherst es. Ab jetzt wird in der Datenbank auch ein zeitlich ablaufender Code generiert, der sich aus Keepass nutzen lässt.
Passkeys sind der nächste Schritt in der 2-Faktor-Authentifizierung. Sie sind an biometrische Merkmale (z.B. einen Fingerabdruck oder ein Gesicht) oder an ein Endgerät gebunden. Keepass beherrscht auch die Verwendung von Passkeys unter bestimmten Bedingungen. Ehrlicher Weise bin ich noch nicht soweit, dass ich genau weiß, wie man mit Keepass die Passkeys benutzt. Eine Anleitung dafür findet sich in englischer Sprache auf der Seite des Entwicklers
Auch für die ganze Passwort-Datenbank gibt es neben dem möglichst langen und komplexen Passwort auch eine weitere Absicherungsmöglichkeit: Die Schlüsseldatei. Du kannst direkt beim Erstellen der neuen Datenbank auch eine Schlüsseldatei erzeugen lassen. Ohne diese Schlüsseldatei lässt sich auch mit dem richtigen Passwort, die Passwortdatenbank von Keepass nicht öffnen. Das nutze ich auch.
Absichern, auch unterwegs...?
Damit ich auch unterwegs meine Passwortliste dabei habe, nutze ich auf meinem Android die App KeepassDX. Die Passwort-Datei übertrage ich über meine NextCloud auf mein Handy. Das geht bestimmt auch mit jeder anderen Cloud-Lösung, bei der die Datei regelmäßig synchron gehalten wird.
Achtung: Die Schlüsseldatei zum Öffnen der Datenbank liegt natürlich NICHT in der Cloud. Diese habe ich über ein Kabel auf mein Handy übertragen. Sollte also jemand in die Cloud einbrechen, kann er die Passwortdatenbank zwar stehlen, aber ohne die Schlüsseldatei kann er auch mit richtigem Passwort die Passwortdatenbank nicht öffnen.
Mit dieser Anleitung und meinen Hinweisen könnt ihr nun überall einzigartige, lange und sichere Passworte nutzen.
Viel Erfolg beim Einsatz eurer Passwörter wünscht euch
Euer Niko