Passwortverwaltung mit Owncloud und KeePass 2

Früher hbe ich den komfortablen Passwortmanager LastPass empfohlen. Nun habe ich jedoch einen eigenen Server am Start, mit dem man sehr viel mehr Möglichkeiten hat und nicht mehr einem Drittanbieter vertrauen muss. Durch Owncloud gibt es eine einfach...

Früher hbe ich den komfortablen Passwortmanager LastPass empfohlen. Nun habe ich jedoch einen eigenen Server am Start, mit dem man sehr viel mehr Möglichkeiten hat und nicht mehr einem Drittanbieter vertrauen muss.

Durch Owncloud gibt es eine einfache und zuverlässige Lösung, die Passwort-Datei auf allen Geräten synchron zu halten. Wer keinen eigenen Server hat, kann die Datei aber natürlich auch in der Dropbox speichern, muss dann aber damit leben, dass seine Passwörter – wenn auch verschlüsselt – auf einem Server in den USA liegen.

Es gibt zwar erste Versionen von dedizierten PAsswort-Apps für Owncloud, ich setze bei solchen neuralgischen Sachen aber lieber auf altbewährtes. Mit KeePass 2 konnte ich mich inzwischen so weit anfreunden, dass ich es unter Linux einsetzen kann. Zwar ist die Windows-Emulation via Mono alles andere als schön, aber sie funktioniert. Vorteil von KeePass ist, dass es OpenSource ist und es daher eine Vielzahl von Plugins und Forks für alle denkbaren Plattformen gibt.

die Installation unter Ubuntu ist schnell gemacht

$ sudo apt-get install keepass2 mono-complete

Zu meiner Entscheidung hat auch beigetragen, dass mein Lieblingsbrowser Opera nun auf Chrome basiert und dadurch mit Trick 17 auch Chrome Apps in Opera installiert werden können. Bisher gab es nur für LastPass eine Erweiterung für Opera. Mit der Erweiterung ChromeIPass kann man nun in Chrome bzw. Opera sehr komfortabel auf die Passwortdatenbank in KeePass 2 zugreifen. Eine ähnliche Erweiterung – KeeFox –  existiert auch für Firefox. Somit hat man den Komfort von LastPass auf dem eigenen Server.

Damit Die Browsererweiterung mit KeePass kommunizieren kann, lädt man sich KeePassHttp herunter, man braucht nur die Plugin-Datei.

$ cd /usr/lib/keepass2
$ sudo mkdir plugins
$ cd plugins
$ wget https://chrome.google.com/webstore/detail/chromeipass/
ompiailgknfdndiefoaoiligalphfdae

Danach muss man KeePass 2 neu starten. Es sollte die Erweiterung dann erkennen.

Die Browsererweiterungen unterstützen übrigens nur das aktuelle KeePass 2. KeePass 1 (Classic) und KeePassX (Linux Fork) werden nicht unterstützt, Für den Mac habe ich mir KyPass zugelegt, die App kostet zwar 8 €, tut aber aber Ihren Dienst besser als frühe Versionen von MacPass (kann man nur mit Apples XCode selber kompilieren). Von der Installation von KeePass2 via Mono auf dem Mac schreckte ich dann doch zurück. Auf dem Mac kann ich solche Emulatoren noch weniger leiden als unter Linux.

Für den digitalen Nomaden wird hier auch noch eine WebApp beschrieben, mit der man über den Browser auf den Passwortsafe im heimischen Server zugreifen kann. Ich bin leider noch nicht dazu gekommen, das zu probieren.

Diese Lösung ist auf jeden Fall besser, als der Verschlüsselung eines Drittanbieters zu vertrauen und/oder nicht-freie Software wie 1Password einzusetzen, die ggfs. Backdoors enthält.

Update:
Vor dem Import von KeePass2 kann ich nur warnen. Bei mir fehlen zahllose Einträge. Ich vermute der Import stört sich an bestimmten Sonderzeichen in den CSV-Dateien. Man sollte für alle Fälle irgendwo eine Liste der von Lastpass exportierten Passwörter ablegen!

Hackerangriffe verhindern – gewußt wie

Millionen gehackte Benutzerkonten schrecken derzeit wieder die unwissenden Nicht-Nerds auf. Dabei  ist es doch schon fast alltäglich, dass Hacker schlecht gesicherte Konten übernehmen oder riesige Listen mit Benutzerdaten bei Servereinbrüchen erbeute...

Millionen gehackte Benutzerkonten schrecken derzeit wieder die unwissenden Nicht-Nerds auf. Dabei  ist es doch schon fast alltäglich, dass Hacker schlecht gesicherte Konten übernehmen oder riesige Listen mit Benutzerdaten bei Servereinbrüchen erbeuten. Diese Zugangsdaten werden millionenfach auf der dunklen Seite des Internets gehandelt. Je mehr Informationen über die Person dabei sind, desto höher der Preis.

Gegen das Hacken des eigenen Accounts kann man sich verteidigen

  1. Niemals nie das gleiche Passwort an mehreren Stellen verwenden. Das gilt ganz besonders für dienste, die mit Geld zu tun haben (eBay, Paypal, Amazon) aber auch für Emailkonten. Am besten man benutzt einen Passwort-Manager. Kriminelle versuchen sofort und teilweise voll automatisch die Email-Passwort-Kombination bei allen möglichen Diensten.
  2. Lange und sichere Passwörter, mit Sonderzeichen, Zahlen und vorallem nichts was in einem Wörterbuch steht. Bei Angriffen erbeutete Passwortlisten (Vorsicht, die liste ist mehrere MB groß!) werden immer wieder für neue Angriffe benutzt. Man sollte also wirklich kreativ sein. Unten habe ich eine Liste der häufigsten Nicht-Passwörter angehängt. Ein sicheres Passwort wäre beispielsweise phox-rtij-8koc. Sowas kann man nach drei Eingaben auswendig!
  3. Man sollte seinen Rechner wie hier beschrieben gegen Viren absichern.
  4. Absicherungsfunktionen wie hinterlegte Handynummern, Zweifaktor-Authentifizierung und weitere Email-Adressen nutzen. Dadurch wird es für Angreifer schwer, das Passwort zu ändern und/oder unbemerkt reinzukommen, denn ihr werdet benachrichtigt.
  5. Sicherheitsfragen so komplex wie möglich. Die meisten Account-Übernahmen gelingen, weil die Antwort auf Sicherheitsfragen bei Wikipedia steht (bei Prominenten) oder leicht zu erraten ist.
  6. In Internetcafés darauf achten, dass die Zugangsdaten nicht gespeichert werden.

Hier die TOP10 unsicherer Passwörter

Splashdata, Hersteller von Sicherheits-Software, hat – wie auch in vergangenen Jahren – eine Liste der dümmsten Passwörter aus 2013 veröffentlicht. Die dabei ausgewerteten Zugangsdaten stammen von gehackten Konten.

Platz 10: Auf diesem Platz reiht sich der Neueinsteiger „adobe123“ unter die Top 10 der schlechtesten Passwörter ein. Es ist prinzipiell gefährlich, ein Passwort zu wählen, das so lautet wie eine Webseite, auf der man sich anmeldet.

Platz 9: Das Passwort „iloveyou“ wurde offensichtlich sooft verwendet beziehungsweise gehackt, dass es im Gegensatz zum Vorjahr sogar zwei Plätze innerhalb der Liste der dümmsten Passwörter nach oben gerutscht ist.

Platz 8: Gleich fünf Plätze nach oben innerhalb derselben Liste rutschte die Zahlenreihe „1234567“. Hier bedarf es sicherlich keine Hacker-Kunst, um ein derart simples Passwort herauszufinden.

Platz 7: Zwei Plätze nach oben gerutscht ist das gleichermaßen unsichere Passwort „111111“.

Platz 6: Neu hinzugekommen ist der große Bruder des auf Platz 8 befindlichen Logins. Obwohl „123456789“ um zwei Stellen länger ausfällt, ist es letztendlich genau so unsicher.

Platz 5: Bequem, aber alles andere als sicher ist „123abc“, denn auf diese Kombination kommt nahezu jeder.

Platz 4: Ein Passwort zu wählen, das wie die englischsprachige Tastaturtypenbezeichung „qwerty“ („qwertz“ auf einer deutschsprachigen Tastatur) lautet, ist zu bekannt, um als sicheres Passwort zu dienen.

Platz 3: Unverändert auf dem dritten Platz ist das zwischen Platz 8 und Platz 6 befindliche und ähnlich unsichere Passwort „12345678“.

Platz 2: Auch wenn es gegenüber dem Vorjahr einen Platz nach unten gerutscht ist, gewinnt das Passwort „password“ die Silbermedaille der dümmsten Zugangsdaten.

Platz 1: Zahlenkombinationen scheinen es den Nutzern angetan zu haben – „123456“ ist kürzer als jene auf Platz 8, Platz 6 und Platz 3 und somit noch einfacher herauszufinden.