Fünf Security-Tipps für deine KeePass-Datenbank

Aktuell wandert eine Neuauflage des Citadel-Trojaners durchs Netz. Diesmal hat es der kleine Schnüffler unter anderem auf KeePass und Password Safe abgesehen. Also beides Open Source Passwort-Manager. Wurde man Opfer des Trojaners, versucht dieser beim Start beider Anwendungen das Masterkennwort per Keylogger mitzuschneiden. Dann muss ihm nur noch die Datenbank in die digitalen Hände fallen und das Entschlüsseln kann beginnen. Für Hacker, dank zahlreicher Automatismen, ein einträgliches Geschäft. Doch halt, als Nutzer kann man solchen Passwortdieben auch Steine in den Weg legen und seine Datenbank, sowie das Masterkennwort schützen. Ich verrate dir in diesem Blogartikel nützliche Security-Tipps, um deine KeePass-Datenbank vor Fremden abzusichern.

Computersicherheit (Quelle: Yuri Samoilov, Liz. CC BY 2.0)
Computersicherheit (Quelle: Yuri Samoilov, Liz. CC BY 2.0)

1. Wähle ein sicheres Hauptkennwort

Klar, dieser Tipp muss gleich zu Beginn kommen. Das Masterkennwort ist das Passwort, welches jedem Angreifer Haus und Hof zu all deinen Passwörtern öffnet. Daher solltest du hier ein sehr starkes Kennwort wählen. Im Idealfall sind 16-20 Zeichen zu empfehlen und sollten Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Verzichte auf Wörter oder zusammenhängende Wortphrasen. Vor drei Jahren veröffentlichte ich ein paar hilfreiche Tipps für die Wahl sicherer Passwörter. Da schadet ein Blick auch nicht. Das Kennwort sollte man in regelmäßigen Intervallen ändern.

2. Erstelle zu jeder KeePass-Datenbank einen Schlüssel

Legst du eine neue Datenbank in KeePass an, hast du die Wahl zwischen verschiedenen zusätzlichen Sicherheitsmerkmalen. Dazu zählt ebenso die Generierung eines Key-Files. Das hat den Vorteil, dass du zum Öffnen immer die Datenbank, dein Masterkennwort und die Schlüssel-Datei benötigst. Ansonsten ist der Zugriff auf deine Passwörter nicht möglich. Das erhöht die Sicherheit schon um ein Vielfaches. Wenn du einen neuen Schlüssel erstellst, bietet dir KeePass die Möglichkeit auf zwei Arten neue Bits hinzuzufügen. Fahre mit der Maus so lange über den linken Bereich, bis dieser 256 Bit zeigt und auf der rechten Seite fügst du einen kryptischen String ein. Auf passwordsgenerator.net findest du einen entsprechenden Generator. Am besten nimmst du 2048 Zeichen.

KeePass-Schlüssel-Datei generieren
KeePass-Schlüssel-Datei generieren

Die Zeichenkette muss man sich nicht merken oder irgendwann wieder eingeben. Es geht nur darum, den Schlüssel mittels zusätzlicher Zeichen zu verändern. Für den Fall, dass du die KeePass-Datenbank nur auf demselben Computer und immer dem gleichen User-Account nutzen willst, kannst du den Aufruf zusätzlich an den Windows-Benutzeraccount koppeln. Dadurch ist es fast schon unmöglich, deine Datenbank zu knacken. Denn den Windows-Account kann dir keiner so einfach klauen. Diese Option ist nichts für Nutzer, die ihre Datenbank von überall aus öffnen wollen. Daher bietet das Key-File hier das sicherste Feature. Nachträglich können diese Einstellungen über Datei ⇒ Master-Schlüssel ändern neu gesetzt werden. In regelmäßigen Abständen sollte man einen neuen Schlüssel generieren. Damit verliert das alte Key-File seine Gültigkeit.

3. Setze einen hohen Wert bei der Schlüsseltransformation

In den Datenbank-Einstellungen gibt es unter dem Tab-Reiter Sicherheit den Punkt zur Schlüsseltransformation. Hierbei handelt es sich um einen Schutz vor Wörterbuchattacken auf das Hauptkennwort. Wird der Wert entsprechend hoch gewählt, erschwert es Hackern das Knacken des Masterkennworts per Brute Force. Allerdings muss man bedenken, desto höher der Wert, umso länger dauert auch das Laden und Speichern der Datenbank. Wähle hier eine Zahl, die zwischen 17-18 Millionen Transformationen liegt. Das sind ohnehin schon recht gigantische Werte. Ansonsten muss man es einfach ausprobieren, wie hoch der Wert maximal sein darf, damit ein entspanntes Arbeiten noch angenehm ist.

Wert für Schlüsseltransformation festlegen
Wert für Schlüsseltransformation festlegen

4. Speichere Datenbank und Key-File getrennt voneinander

Ganz wichtig, bewahre deine KeePass-Datenbank und die dazu gehörige Schlüssel-Datei immer an verschiedenen und sicheren Orten auf. Also beispielsweise die Datenbank auf der Festplatte und das Key-File auf einem USB-Stick. Vorstellbar wären auch BitLocker-Laufwerke für Schlüssel und Datenbank. Wichtig ist nur, dass du es einem Angreifer erschwerst, beides stehlen zu können.

5. Gib das Masterkennwort nur auf einem sicheren Desktop ein

In den KeePass-Optionen gibt es unter dem Tab-Reiter Sicherheit die Einstellung Hauptschlüssel auf sicherem Desktop eingeben. Diesen Punkt bitte unbedingt aktivieren. Öffnest du danach erneut deine Datenbank, kannst du nur auf KeePass zugreifen. In diesem Zustand werden nur verifizierte Prozesse zugelassen und sollen so Keylogger oder Trojaner aussperren. Trotzdem existiert kein vollwertiger Schutz vor solchen Attacken. Es mindert aber das Risiko.

Option "Hauptschlüssel auf sicherem Desktop eingeben" anwenden
Option “Hauptschlüssel auf sicherem Desktop eingeben” anwenden

Schlussbemerkungen

Mit diesen einfachen Tipps kannst du deine KeePass-Datenbank vor Hackern oder Trojanerangriffen besser schützen. Dass du deinen PC regelmäßig auf den neusten Stand bringst und dein Antivirenprogramm aktuell hältst, setze ich voraus. Falls nicht, solltest du deinen Sicherheitsanspruch grundlegend überdenken. Natürlich gibt es noch weitere Möglichkeiten, um für mehr Sicherheit von KeePass zu sorgen. Der Kreativität sind an dieser Stelle keine Grenzen gesetzt. Man muss nur bedenken, wo der Grad zwischen maximaler Sicherheit und Anwenderfreundlichkeit liegt. Denn was nützt einem eine Datenbank so sicher wie Fort Knox, wenn der Weg zur Gratwanderung wird.

Wenn ihr noch sinnvolle Ideen habt, wie man die Passwort-Datenbank absichern kann, schreibt mir einen Kommentar unter diesen Blogartikel oder gern auch per Kontaktformular.

Update 26.11.2014 — 20:07: In einer früheren Version gab ich an, dass unter Punkt drei Transformationswerte zwischen 1-2 Millionen zu wählen sind. Der Screenshot zeigt aber Standardwerte von KeePass zwischen 17-18 Millionen. Letzteres ist korrekt und wurde oben korrigiert. Da bin ich beim Zählen der Stellen wohl verrutscht. Sorry. Danke an Jan für den Hinweis.

27.11.2014 — 22:50: Jan hat mich noch auf ein weiteres Sicherheits-Feature aufmerksam gemacht. Wer Auto-Type zum Einloggen verwendet, kann diese verschleiern. Dadurch werden die Anmeldedaten quasi durcheinander eingefügt. Allerdings erweist sich das Feature bei mir noch als recht verbuggt. Es klappt nicht immer gleich auf Anhieb mit der Anmeldung. Wer die Funktion trotzdem gern verwenden will, kann sie für jeden Login in den jeweiligen Einträgen unter Auto-Type aktivieren. Einfach bei Zwei-Kanal Auto-Type-Verschleierung einen Haken setzen. Danke an Jan für den Tipp.

28.11.2014 — 07:44: Ich habe jetzt mal selbst einen Keylogger bei mir mitlaufen lassen. Das Resultat ist erschreckend. Bei unverschleiertem Auto-Type (Gelb markiert) kann der Keylogger wirklich alles peinlichst genau mitschneiden. Wird hingegen Auto-Type Verschleierung eingesetzt (Grün markiert) wird dies erheblich erschwert. Hier der Beweis in Bildform.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.