Wenn gehackte Datenbanken mit Benutzer-Log-ins in die falschen Hände fallen, sind vor allem jene Anwender gefährdet, die identische Log-ins über mehrere Onlinedienste hinweg verwenden. Hacks der Superlative sind gar nicht mehr so selten: Yahoo hat 2014 die Anmeldedaten von 500 Millionen Usern an Hacker verloren, Ebay musste im gleichen Jahr eingestehen, dass die Daten von 145 Millionen Anwendern gestohlen wurden. Letztes Jahr schlug Equifax Alarm, nachdem im Sommer 2017 die Daten von 150 Millionen Zugängen durch eine Sicherheitslücke einsehbar waren.
Tipp: Die peinlichsten Passwort-Fehler im Jahr 2018
Pro Dienst ein eigenes Passwort
Wenn jeder Zugang mit einem individuellen Passwort geschützt ist, hält sich das Risiko für die betroffenen Anwender nach einem Hack in Grenzen. Pro Konto ein eigenes, womöglich regelmäßig geändertes Passwort: Diese Regel macht die Nutzung von Onlinediensten sicherer, trägt aber auch zu einer enormen Menge an Log-ins bei, die es zu verwalten gilt. Tatsächlich kommt kaum mehr jemand daran vorbei, sich die wachsende Zahl an Log-ins irgendwie zu notieren. Dann aber bitte sicher und komfortabel zugleich: Browser wie Firefox und Chromium bieten von sich aus an, Web-Log-ins zu sichern. Aber Browser sind nicht der richtige Ort für die zusätzliche Zahl an Linux-Log-ins, SSH-Anmeldungen und Datenbankpasswörtern, die ein Hobby-Admin immer wieder parat haben muss.
Der Beitrag nimmt sich deshalb sicher verschlüsselte Passwortsafes vor, die unter einer Open-Source-Lizenz stehen und mit vertretbarem Aufwand unter populären Linux-Distributionen wie Debian, Ubuntu, Linux Mint eingerichtet sind. Und natürlich am besten auch unter anderen Systemen wie Windows, Mac-OS und Android. Ein kurzer Steckbrief gibt an, was ein Programm neben Linux noch so abdeckt. Der Punkt „Kompatibilität“ gibt an, von welchen anderen Safes ein Programm die Daten importieren kann.
Keepass XC: Neu aufgelegt
„Keepass XC“ ist kein Tippfehler: Es handelt sich nicht um das bekannte Programm Keepass X, sondern um eine neuere Abspaltung. Diese war nach Ansicht einer kritischen Masse von Entwicklern nötig, weil es um Keepass X zu still geworden war. Bugreports und Funktionswünsche blieben monatelang liegen. Die Nutzergemeinde um die Open-Source-Software hat deshalb die Variante Keepass XC ins Leben gerufen, die Änderungen und Verbesserungen schneller aufnimmt.
Das Open-Source-Programm (GPL) erstellt eine lokale Datenbank, die mit AES-256 oder Twofish verschlüsselt ist. Die Oberfläche ist intuitiv und folgt im Aufbau der Keepass-Familie. Ein Rechtsklick auf einen Eintrag kann die dort hinterlegten Daten wie Benutzernamen und das Passwort in die Zwischenablage kopieren; dort bleibt die Zeichenkette aus Sicherheitsgründen nur zehn Sekunden lang, wonach Keepass XC die Zwischenablage automatisch leert. Eine andere Möglichkeit, Log-ins auf Webseiten automatisch auszufüllen, nennt sich „Autotype“. Dazu hinterlegen Sie in einem Datenbankeintrag im Feld „URL“ die Webadresse des Anmeldeformulars.
Systeme: Linux, Windows, Mac-OS
Besonderheiten: Die Abstammung von der Keepass-Familie hat ihre Vorteile: Der Umstieg von den populären Vorgängern Keepass 2 und Keepass X ist ohne Umgewöhnung möglich – perfekt für Desktopanwender.
Installation: https://keepassxc.org , die Projekt-Webseite, liefert fertige Pakete für Debian, Ubuntu, Linux Mint, Fedora, Open Suse Leap, Cent-OS, Arch Linux und Gentoo.
Browserintegration (für Firefox, Google Chrome/Chromium und Opera/Vivaldi): Die Funktion „Autotype“ sucht alle Browserfenster nach der in der Passwortdatenbank hinterlegten URL ab und gibt dann selbständig die Log-in-Daten ein.
Kompatibilität: Keepass XC liest unverschlüsseltes CSV ein und beherrscht lesend wie schreibend die KDBX-Dateien von Keepass X. Auch ältere KDB-Datenbanken können importiert werden.
KDE-Wallet: Passwörter für KDE
Die Programme von KDE sind kontaktfreudig. Allein über die KIO-Slaves, die auf entfernte Dateisysteme über SMB, SSH, Web DAV und FTP zugreifen können, ergibt sich häufig die Nachfrage, ob man wiederkehrende Log-in-Daten speichern will, um sie bei Bedarf wieder abzurufen zu können. KDE-Programme wie Dolphin und Krusader schlagen bei der ersten Eingabe eines Passworts von sich aus vor, diese Log-in-Daten sicher im KDE-Wallet zu speichern. Für die Verwaltung anderer Log-in-Daten außerhalb von KDE-Programmen ist das Programm nicht geeignet. KDE-Wallet ist mit dem Programmaufruf „kwalletmanager5“ einsehbar und die gespeicherten Daten lassen sich dort nach der Entsperrung mittels „Datei –› XML exportieren“ in eine unverschlüsselte XML-Datei sichern. Ein chiffriertes Austausch-und Backupformat bietet die Funktion „Datei –› Verschlüsselt exportieren“.
Bitwarden: Ein Griff in die Cloud
Warum nur lokal eine verschlüsselte Passwortdatenbank speichern? Die meisten Anwender benötigen Passwörter auf mehr als einem System. Bitwarden ist erst einmal nur ein Client, der sich in Form einer Desktopapp oder in Webbrowsern installiert. Statt in einem Programm mit lokaler Datenbank sind hier die Daten in der Cloud gespeichert. Es gibt Bitwarden nicht nur als Browsererweiterung, sondern auch als Desktopapp, aber auch diese verbindet sich mit dem Bitwarden-Server, um dort die verschlüsselte Datenbank zu speichern. Das wäre für misstrauische Nutzer ein Ausschlusskriterium. Aber Bitwarden ist eine hybride Lösung:
Besonders bequem ist Bitwarden als Dienst, der ein fremd gehosteter Ersatz für eine Browsersynchronisierung wie Firefox Sync ist. Weniger bequem, aber dafür komplett unter eigener Kontrolle arbeitet Bitwarden als Server für verschlüsselte Passwortdatenbanken auf einem eigenen Linux-Server im LAN oder im Internet. Dazu ist Bitwarden als freie (GPL) Serverkomponente in Form eines Docker-Containers verfügbar und kann auf einem eigenen Linux-System gehostet werden. Das ist die Variante für anspruchsvolle Anwender, die keiner Cloud trauen und lieber ihren eigenen netzwerkfähigen Passwortsafe im lokalen Netzwerk haben. Davon abgesehen erledigt Bitwarden die Ver-und Entschlüsselung der Datenbank auf dem eigenen Rechner und überträgt sie erst dann an den Server im Netzwerk.
Besonderheiten: Bitwarden ist einerseits ein Clouddienst, anderseits ein Open-Source-Server (GPL). Die Serversoftware lässt sich dank Docker-Images aber auch im LAN oder auf dem eigenen Server einrichten. Es gibt die Möglichkeit einer Zwei-Faktor-Authentifizierung. Bitwarden finanziert sich als Dienst über einen kostenpflichtigen Premiumdienst.
Installation: Auf der Website www.bitwarden.com gibt es neben Browsererweiterungen auch ein Desktopprogramm, das selbst eine Verbindung zum eigenen Server oder zur Cloud von Bitwarden aufbaut. Für Linux gibt es diese Desktopapp als universelles Appimage.
Systeme: Linux, Windows, Mac-OS
Browserintegration: Alle prominenten Browser werden unterstützt.
Kompatibilität: Bitwarden beherrscht den Import von mehr als zwei Dutzend bekannter Passwortmanagern, dazu auch den Import von Passwörtern aus Firefox und Opera.
Gnome: Der Gnome-Keyring
In Gnome, Unity, Cinnamon, XFCE und Mate kümmert sich im Hintergrund der Dienst Gnome-Keyring um die Verwahrung von Passwörtern. Anders als KDE-Wallet hält sich der Gnome-Keyring dezent im Hintergrund, fragt nicht nach einem initialen Masterpasswort, sondern nutzt das Log-in-Passwort des Anwenders als Kennwort. Diese Übereinstimmung ist nicht zwingend, aber bequem, denn sonst würde der Gnome-Keyring nach der Anmeldung nochmal nach dem gewählten Passwort zum Entsperren der Passwortdatei fragen.
Gnome-Keyring ist ein Hintergrunddienst, der mit der Desktopumgebung Gnome sowie mit Programmen interagiert, die für diesen Dienst entwickelt wurden. Es gibt aber die Möglichkeit, mit dem Programm Seahorse den Gnome-Keyring zu öffnen und einzusehen. Prinzipiell wäre es möglich, mit Seahorse weitere Passwörter manuell im Gnome-Keyring zu speichern, denn über das Menü „Datei -> Neu –› Gespeichertes Passwort“ könnten Sie beliebige neue Log-ins anlegen. Das wäre aber eine Zweckentfremdung des Gnome-Keyrings, der sich vornehmlich um Passwörter innerhalb der Desktopumgebung kümmert und mit Seahorse nur eine rudimentäre Passwortverwaltung zulässt.
Siehe auch: 10 Fragen und Antworten zu Passwörtern
Password Gorilla: Das Urgestein
Völlig unterschätzt ist der Passwortmanager Gorilla, zumal es in der Zielsetzung des Programms wenig zu verbessern gibt. Password Gorilla speichert eine Datenbankdatei lokal ab, mit Masterpasswort verschlüsselt. Es ist das einfachste Programm mit grafischer Oberfläche in dieser Aufstellung. Benötigt man einen Log-in, dann muss man diesen per Copy & Paste in das entsprechende Feld eintragen. Der Charme von Password Gorilla ist die Portabilität: Das Open-Source-Programm hat keine Ansprüche und ist plattformunabhängig. Das Masterpasswort dient zur Chiffrierung aller Einträge. Die Verschlüsselung arbeitet mit Twofish und SHA256-Cipher für das Masterpasswort.
Die Programmoberfläche ist schlicht und gibt nach der Erstellung einer Passwortdatenbank deren Inhalt nur über den eingebauten Texteditor preis. Bei Brute-Force-Angriffen verlängert Password Gorilla automatisch die Reaktionszeit in Intervallen und erschwert damit Wörterbuchangriffe. Wer nur wenige Passwörter und Log-ins verwalten muss, diese aber mit möglichst wenig Aufwand sicher verschlüsseln und eine Datenbank zwischen unterschiedlichen Systemen austauschen möchte, ist mit dem Password Gorilla gut beraten.
Besonderheiten: Password Gorilla kann mit mehreren Passwortdatenbanken umgehen. Er liegt als Binary vor und eignet sich damit für den portablen Einsatz auf USB-Sticks. Eine Browseranbindung fehlt.
Installation: Die Seite https://github.com/zdia/gorilla liefert neben dem Quellcode eine ausführbare Binary, die unter allen Linux-Systemen funktioniert.
Systeme: Linux, Windows, Mac-OS
Browserintegration: keine, einfaches Copy & Paste
Kompatibilität: Password Gorilla ist ein eigenes Tier: Es gibt keine Import-oder Exportmöglichkeiten, die mit anderen Passwortsafes harmonieren.
Lazlock: Nimm mich mit
Auch Lazlock liegt für Linux als ausführbare Binary vor, die unter allen verbreiteten Linux-Systemen läuft. Die Oberfläche ist ausschließlich englischsprachig. Das Programm ist Open Source (MIT-Lizenz) und noch portabler als alle anderen Passwortmanager. Die Verschlüsselung des Safes ist mit AES-128 vorgegeben und damit elaborierten Angriffen nicht gewachsen, aber sicher genug für den Hausgebrauch. Und nur dafür ist Lazlock gemacht. Das Programm zeigt eine intuitive Oberfläche ohne jedwede Rätsel, wie der Safe funktioniert: Beim ersten Aufruf wird ein Passwort verlangt, das dann als Masterpasswort zur Chiffrierung der Datenbank dient. Die Passworteinträge sind nach Kategorien sortiert und es gibt eine Exportfunktion, die alle Einträge als unverschlüsselte Textdatei exportiert. Der Funktionsumfang in Lazlock ist überschaubar – es geht nur um die manuelle Passwortverwaltung. Browsererweiterungen gibt es keine. Anwender müssen sich mit Copy & Paste begnügen.
Besonderheiten: Eine solide Lösung für gespeicherte Passwörter auf Wechseldatenträgern, die zwischen Windows und Linux ausgetauscht werden. Lazlock kann immer nur mit einer Passwortdatenbank umgehen.
Installation: Auf der Seite https://cpunk-security.com/lazlock.html liegt Lazlock in Form ausführbarer Binaries für Linux vor; eine Installation ist nicht nötig. Das Programm bietet zwei Varianten, einmal mit dem Toolkit GTK (Gnome & Co), ferner mit Qt (KDE) und sollte passend zur Desktopumgebung gewählt werden.
Systeme: Linux, Windows
Browserintegration: keine, einfaches Copy & Paste
Kompatibilität: Lazlock verwendet sein eigenes Format. Die Datenbank kann lediglich als unverschlüsselte CSV-Datei exportiert werden.
Zugangsdaten in Firefox: Zweifel aM Masterpasswort
Firefox war einer der ersten Browser, der einen integrierten Passwortsafe für Formulardaten anbot – erst als lokaler verschlüsselter Speicher auf dem jeweiligen Rechner, später in Zusammenspiel mit der Sync-Funktion, mit der sich Firefox via Mozilla-Server auf mehreren Geräten abgleicht. Von großen Hacks auf die lokalen Firefox-Datenbanken oder gar auf die zentrale Sync-Datenbank, die ein echter Jackpot wäre, war über die Jahre nichts Beunruhigendes zu hören. Die Mozilla Foundation macht ihren Job offenbar gewissenhaft.
Aber es wurden inzwischen Zweifel laut, wie Firefox die lokalen Passwortdaten mit dem optionalen Masterpasswort absichert: Der Add-on-Entwickler Wladimir Palant fand im Quellcode von Mozilla Firefox eine Verschlüsselungsfunktion mit SHA-1. Die nutzt der Browser seit neun Jahren unverändert, obwohl SHA-1 mittlerweile als schwach gilt. Eine Stellungnahme der Mozilla Foundation steht noch aus (Stand Juli 2018). Ganz Vorsichtige werden daher auf Linux-Rechnern mit wichtigen Log-ins eine Verschlüsselung des Datenträgers mittels Luks verwenden, die Ubuntu, Linux Mint und Fedora bei der Installation anbieten.
Autor: David Wolski
David Wolski schreibt hauptsächlich für die LinuxWelt und war vor langer Zeit im sagenumwobenen Praxis-Team der PC-WELT.