Ratgeber

Passwort-Speicher gratis auf deutschem Server - so gehts

Wie kann man 200 Pass­wörter online sicher spei­chern, sodass sie von mehreren Geräten bequem abrufbar sind? Wir berichten über die Wahl von Soft­ware und Cloud und beschreiben die Einrich­tung mit KeePass.
Von

Im Laufe des digi­talen Lebens sammeln sich unzäh­lige Pass­wörter an - für Shop­ping-Accounts, Online-Banking, E-Mail, Webdienste oder soziale Netz­werke. In unserem Selbst­test fiel uns auf, dass es kaum möglich ist, sich - wie in unserem Fall - über 200 Pass­wörter zu merken. Und dass es sicher­heits­tech­nisch nicht empfeh­lens­wert ist, für alle Dienste dasselbe Pass­wort zu verwenden, ist klar. Vor allem dann, wenn ein Pass­wort einmal bei einem Hacker-Angriff erbeutet wurde, was man in spezi­ellen Daten­banken heraus­finden kann.

Für viele Nutzer, die den Groß­teil ihres Lebens digital admi­nis­trieren, ist es daher wichtig, ihre Zugangs­daten, Pass­wörter und Geheim­zahlen für Giro-, Debit- und Kredit­karten an einem zentralen Platz zu verwalten. Doch dabei stellt sich die Frage: Was ist die beste Aufbe­wah­rungs­methode? Ganz ohne Computer auf einem hand­schrift­lichen Zettel? Offline auf dem Computer oder Smart­phone als pure Text­datei? Oder online in einem mehr oder weniger vertrau­ens­wür­digem Cloud-Dienst? Gratis Passwort-Safe auf deutschem Server Gratis Passwort-Safe auf deutschem Server - so gehts
Logo: KeePass, Montage: teltarife.de

Drin­gend: Niemals dasselbe Pass­wort für mehrere Dienste verwenden

In unserem persön­lichen Fall haben sich seit Beginn unserer ersten Begeg­nung mit dem Internet im Jahr 1998 rund 200 Online-Accounts ange­sam­melt. Darunter sind nicht nur Accounts bei Online-Shops, Mail- und Webdiensten, sondern auch Accounts bei Banken, Versi­che­rungen, Vermie­tern, der Kran­ken­kasse, ÖPNV-Ticket­anbie­tern, Post und Bahn sowie Cloud-, Musik- und Video­diensten.

Ein Problem ist, dass insbe­son­dere staat­liche Stellen, Banken und Versi­che­rungen mitunter Kombi­nationen aus Benut­zer­name und Pass­wort versenden, die vom Nutzer nicht auf eine leicht merk­bare Vari­ante abge­ändert werden können. Hierzu mussten wir seither stets den Leitz-Ordner mit den Unter­lagen aus dem Regal ziehen oder die entspre­chende Mail heraus­suchen, was auf die Dauer unprak­tisch ist. Auch die PIN von Giro-, Debit- und Kredit­karte kann der Nutzer oft nicht verän­dern. Und die stän­dige Nutzung der "Pass­wort vergessen"-Funk­tion bei jedem Login-Vorgang trägt auch nicht zu einer besseren Über­sicht bei.

Aus Sicher­heits­gründen verwenden wir für Shop­ping-Accounts und Webdienste mit hinter­legten Zahlungs­daten (Bank­ver­bin­dung, Kredit­kar­ten­nummer...) stets abwei­chende Pass­wörter. Eine Zeit­lang hatten wir beispiels­weise für eBay und Amazon dieselbe Kombi­nation aus E-Mail-Adresse und Pass­wort. Nach einem Hack bei eBay vor einigen Jahren probierten die Hacker die Kombi­nation bei Amazon aus und tätigten einen kosten­freien Test-Down­load eines Spiels in unserem Account, was uns per E-Mail bestä­tigt wurde. Nur durch das schnelle Ändern unseres Amazon-Pass­worts konnte Schlim­meres verhin­dert werden.

Der rich­tige Spei­cherort für die Pass­wort­samm­lung: Offline oder online?

Unsere Ordnerstruktur in KeePass Unsere Ordnerstruktur in KeePass
Screenshot: teltarif.de / Alexander Kuch Vor der Erstel­lung unserer Pass­wort-Samm­lung sinnierten wir lange über den "sichersten" Spei­cherort bei gleich­zeitig einfa­cher Nutz­bar­keit. Dass dies nicht zu 100 Prozent mitein­ander vereinbar ist, wurde schnell klar. Eine Lage­rung im Bank­schließ­fach oder Berg­werk schied wegen Unprak­tika­bilität ebenso aus wie hand­schrift­liche Zettel im Geld­beutel oder in der Schub­lade. Im Übrigen halten wir offline gespei­cherte Text­dateien auf PC, Laptop. Smart­phone oder USB-Stick auch für unsi­cher, wenn nicht das Gerät mit einem Pass­wort, einer sicheren Entsperr­geste oder am besten durch eine Voll­ver­schlüs­selung des Daten­spei­chers geschützt ist. Und das Herum­tragen von Giro­card- und Kredi­karten-PINs auf einem Zettel im Geld­beutel gleich­zeitig mit der dazu­gehö­rigen Karte ist nicht nur eine unver­zeih­liche Nach­läs­sig­keit, bei einem Verlust des Geld­beu­tels schließen die Banken bis zur Sper­rung des Kontos die Haftung für von den Dieben abge­hobene Geld­beträge in der Regel aus.

Da wir auf die Pass­wort­datei von verschieden eigenen, aber niemals fremden Geräten zugreifen wollen, entschieden wir uns für eine Online-Lösung. Hierzu wollten wir uns aber nicht auf einen fremden, proprie­tären und dazu noch kosten­pflich­tigen Dienst wie beispiels­weise den Steganos Pass­wort Manager, SecureSafe, LastPass, NordPass und andere verlassen. Unsere Lösung sollte kostenlos sein und die Daten grund­sätz­lich immer in Deutsch­land bleiben. Die Spei­che­rung in einem Cloud-Dienst von Google, Apple, Micro­soft, Amazon oder Dropbox schlossen wir wegen den Nutzungs­bedin­gungen und dem mögli­chen Spei­cherort in den USA kate­gorisch aus. Außerdem sollte die verwen­dete Soft­ware möglichst nicht­kom­mer­ziell und Open Source sein.

Unsere Wahl fiel nach dem Vergleich verschie­dener PC-Programme, Apps und Webdienste schließ­lich auf das seit 2003 exis­tie­rende Open-Source-Programm KeePass, da dieses für eine Viel­zahl an Platt­formen erhält­lich ist - und im übrigen kostenlos und Open Source.

Mehr zum Thema Passwörter

mehr zum Thema

Einrich­tung, Spei­cherort und Benut­zung von KeePass

Für die erste Samm­lung unserer rund 200 Account-Daten und Giro-/Debit-/Kredit­karten-PINs luden wir KeePass auf den Computer, und zwar ohne das Programm unter Windows zu instal­lieren, sondern als portable Version. So taucht die Soft­ware nicht im Programm­ordner von Windows oder in der Registry auf. Anschlie­ßend luden wir unter "Trans­lations" die deut­sche Sprach­datei herunter und kopierten diese in den Ordner, in der auch die KeePass.exe liegt. Anschlie­ßend muss im Programm unter "View - Change Language" die deut­sche Sprach­datei ausge­wählt werden.

Beispieleinträge in der Sektion Web-Dienste Beispieleinträge in der Sektion Web-Dienste
Screenshot: teltarif.de / Alexander Kuch Gleich­zeitig instal­lierten wir Keepass2Android auf zwei unserer Android-Smart­phones - für die Erstel­lung der Pass­wort­datei nutzen wir aber ausschließ­lich die PC-Soft­ware.

KeePass spei­chert alle Pass­wort­daten in einer Datei mit der Endung *.kdbx. Und hier stellt sich dieselbe Frage, wie wir es bereits auf der ersten Seite unseres Ratge­bers erör­tert haben: Wo ist der sicherste und gleich­zeitig prak­tika­belste Spei­cherort? Eine Spei­che­rung der kdbx-Datei auf dem unver­schlüs­selten Laptop- oder Smart­phone-Spei­cher schlossen wir aus Sicher­heits­gründen aus.

Glück­licher­weise bietet KeePass von Haus aus die Online-Spei­che­rung per FTP, HTTP(S) und WebDAV an, per Plugin kommt noch eine Unter­stüt­zung für SCP, SFTP und FTPS dazu. Es ist also wichtig, einen Online-Spei­cherort für die kdbx-Datei zu wählen, der zumin­dest einen dieser Stan­dards unter­stützt.

Wahl eines geeig­neten Haupt-Pass­worts und Einrich­tung der Telekom MagentaCloud

Beim ersten Anlegen der kdbx-Datei muss ein Master-Pass­wort einge­geben werden. Dieses sollte man sich unbe­dingt im Kopf merken können und an keiner Stelle notieren müssen. Tabu sind bestehende Worte, Namen und Zahlen, die von einem Geburts­datum abge­leitet sind. Am besten sind sinn­lose Buch­staben- und Zahlen­kom­bina­tionen mit Sonder­zei­chen, die nur für den Nutzer selbst einen Sinn ergeben. Man könnte beispiels­weise das Zitat aus Goethes Faust, Vers 3456 auswählen: "Gefühl ist alles; Name ist Schall und Rauch". Davon wählt man die Anfangs­buch­staben in der rich­tigen Groß- und Klein­schrei­bung und hängt die Vers­nummer an. Das Pass­wort "Gia;NiSuR3456" wird wohl kaum jemand erraten können und auch für Pass­wort­kna­cker-Tools ist das eine Kombi­nation, die in keiner Pass­wort­daten­bank verzeichnet sein dürfte.

Aufgrund der strengen Daten­schutz­bedin­gungen und der in der Regel zuver­lässig funk­tio­nie­renden Dienste der Deut­schen Telekom entschlossen wir uns, für die Spei­che­rung der kdbx-Datei die MagentaCloud zu verwenden. Egal ob man Kunde bei der Telekom ist oder nicht, erhält man hier nach einer kurzen Regis­trie­rung eine E-Mail-Adresse @t-online.de sowie 3 GB (Telekom-Kunden: 15 GB) Webs­pei­cher­platz gratis. Ausge­nutzt werden die von der kdbx-Datei aber mitnichten - unsere Datei mit unge­fähr 200 Einträgen ist gerade einmal 120 kB groß.

Nach der Regis­trie­rung muss die kdbx-Datei einmalig entweder webba­siert in die MagentaCloud kopiert werden oder über den Windows-Explorer per WebDAV. Hierzu ist es wichtig, in der MagentaCloud zuvor ein anwen­dungs­spe­zifi­sches Proto­koll-Paswort für den WebDAV-Zugang fest­gelegt zu haben. Anschlie­ßend klickt man im Windows-Explorer unter "Extras" auf "Netz­lauf­werk verbinden" und gibt dort die Adresse https://magentacloud.de/remote.php/webdav ein. Dann werden [Nutzer­name]@t-online.de und das Proto­koll-Pass­wort einge­geben und die Ordner der Cloud erscheinen im Windows-Explorer. Hier wird die kdbx-Datei am besten in einen sepa­raten Ordner kopiert.

Später lässt sich die kdbx-Datei direkt von KeePass aus aufrufen, und zwar im Menü "Datei - Öffnen - URL-Öffnen". Hier muss der komplette Pfad zur kdbx-Datei ange­geben werden, also beispiels­weise https://magentacloud.de/remote.php/webdav/KeePassDatei/LieschenMueller.kdbx, und wiederum Telekom-Benut­zer­name, Proto­koll-Pass­wort für die Magenta Cloud und Pass­wort für die kdbx-Datei.

An dieser Stelle sollte man unter keinen Umständen vergessen, die ursprüng­lich auf dem PC abge­legte kdbx-Datei wieder zu löschen und auch sofort aus dem Papier­korb zu entfernen, damit diese nicht in falsche Hände gelangt.

Alter­native Spei­cher­orte, Benut­zungs-Tipps und Fazit

Es mag viel­leicht Verschwö­rungs­theo­retiker geben, die gege­benen­falls nicht einmal der Telekom und ihren Servern in Deutsch­land trauen, vor allem auch nach einer lang­wie­rigen tech­nischen Umstel­lung bei der MagentaCloud mit mehreren Pannen.

Wer bei der Telekom Bauch­schmerzen hat, wird bei GMX und Web.de fündig. Denn auch die Gratis-Spei­cher in den Post­fächern von Web.de und GMX sind per WebDAV aufrufbar (https://webdav.mc.gmx.net bezie­hungs­weise https://webdav.smartdrive.web.de). Nebenbei bemerkt haben wir in einer sepa­raten Über­sicht wich­tige Online-Spei­cher-Dienste mit Rechen­zen­tren in Deutsch­land und sogar in der Schweiz zusam­men­getragen.

Eine noch stär­kere Kontrolle bietet gege­benen­falls die Einrich­tung einer eigenen, selbst gehos­teten Cloud mit der kosten­losen Open-Source-Soft­ware von Next­cloud. Diese kann selbst auf einen eigenen Server zuhause oder in einem Rechen­zen­trum aufge­spielt werden. Viele Webhos­ting-Provider bieten bereits güns­tige Hosting-Pakete mit vorin­stal­lierter Cloud-Soft­ware an. Hier ist der Nutzer zwar Herr über die Cloud, doch auch hier sollte man darauf achten, wo der Hosting-Provider seinen Sitz bezie­hungs­weise seinen Server­standort hat.

Tipps für die Benut­zung von KeePass auf PC und Smart­phone

Ordner unter KeePass2Android Ordner unter KeePass2Android
Screenshot: teltarif.de / Alexander Kuch Im Haupt­fenster sind für die Pass­wortein­träge bereits bestimmte Ordner vorge­geben, wir haben diese zum Teil umbe­nannt und neue Ordner ergänzt, insbe­son­dere "E-Mail", "Fest­netz", "Mobil­funk", "Finanzen", "Musik­dienste", "Shop­ping", "Web-Dienste" u.v.a. Jedem Ordner lässt sich ein einpräg­sames Icon zuordnen.

Alle in dem Ordner neu ange­legten Pass­wortein­träge erhalten dann dasselbe Icon, wir haben stets Benut­zer­name, Pass­wort und die Login-URL gespei­chert. Das Anlegen eines Eintrags geht hierbei fix vonstatten - in unserem Fall hat das Zusam­men­suchen der Pass­wörter oder das Erin­nern und Auspro­bieren deut­lich mehr Zeit gekostet als das Eintippen. Ist man sich über die Sicher­heit der eigenen Pass­wörter im Unklaren, kann man KeePass auch ein neues gene­rieren lassen.

Die Nutzung erfolgt auf den mobilen Apps analog, aller­dings stehen nicht so viele Einstell­mög­lich­keiten wie im PC-Programm zur Verfü­gung. Wir nutzen daher die mobilen Apps über­wie­gend zum Abruf von Pass­wör­tern unter­wegs und pflegen die Einträge wenn möglich auf dem Computer. Hat man ein langes Haupt­pass­wort für die kdbx-Datei vergeben und womög­lich viele Sonder­zei­chen einge­baut, ist das auf der Smart­phone-Tastatur umständ­lich einzu­geben. Keepass2Android bietet darum die Möglich­keit zu einem Quick-Login. Sperrt der Nutzer die Datei, ohne die App zu beenden, muss er beim nächsten Mal nur die letzten drei Ziffern des Haupt­pass­worts eingeben. Die Länge dieses Quick-Login-Pass­worts lässt sich auch vari­ieren, wir haben dies in den Einstel­lungen der App sicher­heits­halber auf vier Zeichen ausge­dehnt.

Fazit

Die von uns gewählte Kombi­nation aus KeePass und Telekom MagentaCloud bietet für unsere Begriffe ein gutes Verhältnis zwischen Preis (kostenlos), Prak­tika­bilität und Sicher­heit. KeePass ist eine deutsch­spra­chige Open-Source-Lösung, die bereits seit vielen Jahren exis­tiert und die dank der quellof­fenen Soft­ware auch mit großer Wahr­schein­lich­keit noch viele weitere Jahre entwi­ckelt wird. Abstürze und Programm­fehler haben wir keine erlebt.

Ein großer Vorteil ist die umfang­reiche Platt­form­unter­stüt­zung von KeePass. Die Wahl eines sicheren Haupt-Pass­worts, das nicht erraten oder per Brut-Force-Attacke in kurzer Zeit erraten werden kann, obliegt weiterhin dem Nutzer.

Eine 100-prozen­tige Sicher­heit kann und wird es aber nicht geben, weder bei einer Spei­che­rung der Pass­wort­datei auf PC, Smart­phone oder USB-Stick und auch nicht bei einer Spei­che­rung im Internet. Kein Web-Dienst ist per se sicher, auch hier trägt der Nutzer eine gewisse Mitver­ant­wor­tung bei der Wahl eines nicht leicht zu erra­tenden Pass­worts. In unserem Fall wäre der Benut­zer­name für die Telekom (weil iden­tisch mit Mail­adresse) wahr­schein­lich leicht heraus­zufinden, aber danach müsste der Hacker zwei lange, kryp­tische Pass­wörter (für Cloud und kdbx-Datei) über­winden, die aus völlig sinn­losen Buch­staben-Zahlen-Sonder­zei­chen-Kombi­nationen bestehen.

Wichtig ist es natür­lich, lokale Kopien der kdbx-Datei stets zu löschen - dann sollte das von uns entwi­ckelte System ein recht hohes Maß an Sicher­heit bieten, wenn man nicht Note­book oder Smart­phone mit geöff­neter Pass­wort­datei unbe­auf­sich­tigt in der Öffent­lich­keit herum­liegen lässt.

Ratgeber zum Thema "Sicherheit im Internet"

Mehr zum Thema Passwörter

mehr zum Thema