Passwortmanager auf dem Smartphone

In diesem Blogpost möchten wir euch erklären, wie ein paar der wichtigsten Passwortmanager funktionieren. Am ende wird es auch ein kleines Spiel geben, um euer Wissen zu Prüfen.

Passwörter

Das Bild zeigt ein hochdetailliertes, futuristisches Schloss mit einem glänzenden, metallischen Finish und komplexen technologischen Details. Das Design des Schlosses ist modern und strahlt eine fortschrittliche Ästhetik aus, mit klaren Linien, integrierten digitalen Schnittstellen und möglicherweise biometrischen Sicherheitsmerkmalen. Ein Schlüssel, der ebenfalls ein High-Tech-Design aufweist, mit Elementen wie LED-Lichtern oder holografischen Projektionen, befindet sich im Vordergrund und scheint das Schloss zu öffnen. Das Schloss und der Schlüssel sind beleuchtet durch Umgebungslicht in Neonfarben, die von ihren metallischen Oberflächen reflektiert werden und eine moderne, sichere digitale Atmosphäre erzeugen. Der Hintergrund ist dunkel gehalten, um die Szene für den Kontext einer Cryptoparty zu passen.

Unter Passwörter verstehen wir eine reihenfolge von Charakteren, die geheim bleiben sollen. Etwas das nur für uns bestimmt ist. Niemand anderes soll diese sehen. Deswegen ist umso wichtiger diese zu Schützen. Und hierfür verwenden wir Passwortmanager. Man kann auch wahlweise ein Notizbuch nehmen. Allerdings werden wir hier auf die Nutzung mittels Passwortmanager eingehen.

Warum überhaupt?

Wer hat das nicht schon mal gehört. Bitte wechselt euer Passwort regelmäßig. Diese Anweisung ist seit vielen Jahren quatsch1 und wird ersetzt durch “Bitte benutzt pro Service ein Passwort”. Das heißt, ihr sollt pro Website und pro Service ein Passwort genau einmal benutzen. Und dieses nicht für mehrere Dienste. Dadurch macht ihr es Personen schwerer bereits öffentliche Passwörter bei anderen Diensten auszuprobieren. Damit wir nicht den überblick verlieren über diese ganzen Passwörter, helfen Passwortmanager dabei immer die richtigen Passwörter zu benutzen. Diese helfen auch sichere Passwörter zu erstellen und auch zu überwachung, ob mein Passwort veröffentlicht wurde. Zusätzlich schützen diese davor, Passwörter in die falsche Website zu tippen.

Passwortmanager

Das Logo von KeepassXC

Es gibt eine vielzahl von Passwortmanagern die alle gut sind. Wir werden hier auf insgesamt 3 eingehen. Und zwar Bitwarden, iOS Schlüsselbund und Keepassxc. Für den zweiten Faktor werden wie Aegis.

Warum diese drei? Ganz einfach, weil wir damit so ziemlich alle Arten von Passwortmanagern haben. Bitwarden ist hierbei ein Service den man sich einkaufen kann. Hier werden die Schlüssel von einer dritten Firma für uns zwischen Geräten synchronisiert wenn wir dies wünschen. Der Schlüsselbund von iOS ist eingebaut in Apple-Betriebssystemen und gehört damit fest zum Gerät. Dieser kann auch Passwörter zwischen den Geräten synchronisieren. Keepassdx gehört zur keepass Familie wie auch KeepassXC und ist ein reines offline Programm. Hier muss sich die Person selber um Backups und synchronisierung kümmern.

Masterpasswort

Das Comic besteht aus vier Panels. Im ersten Panel wird ein traditioneller Ansatz zur Passworterstellung gezeigt, der die Verwendung einer komplexen Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen empfiehlt, was zu einem schwer zu merkenden Passwort führt. Ein Beispiel dafür ist „Tr0ub4dor&3“. In den folgenden Panels argumentiert der Autor, dass ein langes Passwort aus vier einfachen, zufälligen Wörtern, wie „correct horse battery staple“, nicht nur sicherer, sondern auch leichter zu merken ist. Die Logik dahinter ist, dass die erhöhte Länge des Passworts die Anzahl der möglichen Kombinationen drastisch erhöht, wodurch es für Angreifer schwieriger wird, das Passwort durch Brute-Force-Angriffe zu knacken. Das letzte Panel zeigt eine humorvolle Illustration, die zwei Wörter aus dem langen Passwort „correct horse battery staple“ darstellt, mit einem Bild eines Pferdes, das dem Betrachter bestätigend nickt, neben einem Stapel Batterien, was die Merkbarkeit und die ungewöhnliche Kombination der Wörter im Passwort unterstreicht. Das Comic spielt auf die Idee an, dass Benutzerfreundlichkeit und Sicherheit bei der Passworterstellung nicht immer im Widerspruch zueinander stehen müssen und dass einfache Konzepte oft effektiver sind als komplexe Regeln, die schwer zu befolgen sind.

Wenn wir uns für einen Passwortmanager entschieden haben, wird jedes von denen ein Masterpasswort haben wollen von euch. Außer den von iOS, denn der nutzt euer Appleid Passwort. Also dieses eine Passwort ist wichtig, dass ihr euch das merken könnt. Wie erstelle ich also eines das Sicher und gleichzeitig zu merken ist? Ganz einfach denkt euch einen langen Satz aus. Am besten einen den ihr euch leicht merken könnt oder auch häufiger liest. Ich habe hierfür z.B. einen Satz der für mich eine Musikgruppe beschreibt die ich gut finde. Denkt euch also einen Satz aus und merkt euch diesen nun.

Browser

Wir raten davon ab, Browser als Passwortmanager zu nutzen. Diese haben oft zu viele Funktionen, was das absichern gegen Angriffe vor die uns ein Passwortmanager schützen sollen schwer macht. Auch unterliegen Passwortmanager einem höheren grad von Auditierung. Diese werden also häufiger auf spezielle Schwachstellen untersucht. Außerdem können wir zusatzinformationen in Passwortmanagern für unseren Account ablegen. Dateien z.B. die wir für die Authentifizierung gebrauchen könnten. Die sogenannten Sicherheitsfragen oder einfach andere Notizen. Diese dinge sind dann genau so gut gesichert wie das Passwort.

Bitwarden

Für bitwarden muss sich zuerst ein Konto eingerichtet werden. Dies ist kostenlos. Nach dem einrichten, wird sich einmal in der App angemeldet. Als nächstes rufen wir die testseite Authgame auf. Auf dieser werden wir nun diese App testen.

Damit Bitwarden richtig funktioniert, müssen einige änderungen an den Einstellungen vorgenommenw werden. Übersicht von Bitwarden mit einer Roten umrandung des Einstellungsknopfs Hier suchen wir dann die Einstellung automatisch Einfügen. Einstellungen von Bitwarden wo Automatisch Einfügen rot umrandet ist Hier werden wir nun einige Einstellungen vornehmen müssen. Das Automatisch Einfügen fenster wird gezeigt. Wir werden beim ersten Knopf von Android gefragt ob wir dies zulassen wollen. Hierfür werden uns eine reihe von möglichen Apps angezeigt. Wir wählen hier Bitwarden aus. Wir sehen ein Fenster von Android in denen oben Steht Autofill-Service. Zur Auswahl stehen Keine App,Google,Bitwarden und Firefox. Bitwarden ist dabei rot umrandet Danach sind wir wieder in Bitwarden und erlauben genau so Bedienungshilfe verwenden. Bitwardens Aotmatische Einfügen übersicht in der Auto-Ausfüllen-Dienst und Bedienungshilfe verwenden nun angeschaltet sind Wir haben nun alle nötigen einstellungen vorgenommen.

Nun können wir die ersten Passwörter speichern. Wenn wir nun eine Website aufrufen, wo wir ein neues Passwort brauchen, machen wir das direkt über die Android Tastatur. Dafür müssen wir erstmal die Website besuchen.

Hier können wir nun unten sehen, dass Bitwarden uns vorschlägt den Tresor zu öffnen. Der Tresor enthält unsere Passwörter.

Hier erstellen wir nun mittels dem Plus unten rechts einen neuen Eintrag.

Dort angekommen, drücken den Knopf für neues Passwort generieren. Natürlich können wir hier auch einfach eins eintippen. Nicht vergessen auch den Nutzernamen einzutragen.

So sieht das generieren am Ende aus. Ich bin zufrieden mit dem generierten Passwort und drücke hier Auswählen. Danach speichern drücken. Wir gehen zurück zu der Website.

Wir können hier sehen, dass Bitwarden uns nun schon das Passwort vorschlägt um dieses in das Feld einzufügen. Und damit haben wir das erste Passwort eingerichtet.

KeepassDX

Für KeepassDX sieht der Prozess ähnlich aus

Zuerst müssen wir eine neue Datenbank erstellen.

Wir werden gefragt, ob wir benachrichtigungen zulassen. Das akzeptieren wir.

Wir erstellen ein neues Passwort für unsere Datenbank.

Und speichern diese auf unserem Telefon. Hier kann auch ein Cloudspeicher genutzt werden zum Speichern.

Danach landen wir auf der Übersicht. Hier werden normalerweise unsere Einträge angezeigt aber wir haben noch keine. Wir wollen auch erstmal die Einstellungen bearbeiten. Die finden oben Links.

Hier wollen wir das Ausfüllen von Formularen erlauben.

Hier den Standard Autofill-Service festelen. Damit wollen wir, dass KeepassDX auf unserem Telefon passswörter ausfüllen darf. Dies müssen wir erst erlauben.

Einfach KeePassDX auswählen. Danach wollen wir KeePassDX noch als Gerätetastatur benutzen. Für die fälle wo das Automatische ausfüllen nicht funktioniert.

Hier auch wieder KeepassDX auswählen. Auch genannt Magickeyboard.

Das sieht dann so aus, dass nun mehrere Tastaturen ausgewählt sind.

Danach wollen wir weiter unten in den Einstellungen noch einstellen, dass wir Benachrichtigungen bekommen, wenn Passwörter im zwischenspeicher liegen.

Und die beiden Optionen “Kopier-Benachrichtigung” und “Beim Schließen löschen” aktivieren. Damit haben wir alle nötigen Einstellungen vorgenommen.

Nun können wir die neue Datenbank nutzen, um unsere Passwörter zu speichern.

Auch hier müssen wir erstmal in das Passwortfeld klicken.

Nun können wir weiter unten sehen, dass KeePassDX uns anbietet, dass wir uns anmelden.

KeepassDX öffnet sich und wir legen einen neuen Eintrag an.

Wir wählen “Eintrag hinzufügen” aus.

Hier generieren wir uns ein neues Passwort.

Hier können wir alles einstellen was wir brauchen aber sind erstmal zufrieden. Also klicken wir das Ok häckchen.

Und dasselbe wieder in dem Account eintrag. Auf das häckchen. Wir können hier noch als Nutzername die E-Mailadresse eintragen die wir vergeben haben.

Zurück in der Website, müssen wir noch mal in das Feld klicken.

Wir sollten nun zur Auswahl haben, dass wir das Passwort von KeePassDX nutzen können.

Und das Passwort wird in das Feld gefüllt ohne das wir das Passwort sehen müssen.

Aegis

Aegis werden hier vorstellen, um den 2. Faktor zu speichern. Dies kann auch in der Passwortmanager app selber geschehen. Weil dies aber nicht in alle kostenlos enthalten ist, schauen wir uns eben diese App an.

Wir sehen hier einen QR-Code und weiter unten eine komische Buchstabenanreihung. Der QR-Code ist hierbei ein Bild, welches den selben Inhalt darstellt, wie die Buchstabenreihe. Dies kann auch ohne App entschlüsselt werden2. Mit dem Knopf überprüfen, können wir sicherstellen, dass wir den zweiten Faktor richtig gespeichert haben. Wir wollen nun also lange auf das Bild klicken und dieses Speichern.

Hier können wir das Bild speichern.

Alternativ kann auch der Text kopiert werden.

Nun wechseln wir zu der AEGIS-App. Und legen hier einen neuen Eintrag an.

Wir wählen hier nun Bild scannen aus. Wenn der Text kopiert wurde, wird hier Manuell eingeben gewählt. Wir können dann den QR-Code als Bild auswählen.

Danach hat AEGIS alles für uns ausgefüllt. Wir speichern also diesen Eintrag. Wichtig nach dem Spechern muss das Bild wieder vom Telefon gelöscht werden.

Wir sind zurück in der Übersicht von AEGIS. Hier kopieren wir nun die Nummern die uns angezeigt werden. Wichtig, diese sind nur für 30 Sekunden gütlig. Also müssen wir hier schnell sein.

Wir tragen die Zahlen in das vorgesehen Feld ein und drücken auf Überprüfen.

iOS

Wenn wir den standard Passwortmanager nutzen wollen auf iOS, müssen wir vorher nichts einstellen. Dieser ist vorinstalliert und kann einfach genutzt werden.

Zuerst müssen wir uns unsere E-Mail kopieren. Damit diese auch im Eintrag gespeichert wird.

Danach im das Passwortfeld wechseln. Hier sollte nun unten ein Passwortsymbol angezeigt sein.

Nach einem Klick auf dieses Symbol, öffnet sich die Passwortmanager App.

Hier können wir einen neuen Eintrag erstellen mit einem Klick auf “Neues Passwort erstellen”.

Hier müssen wir nun die Benutzer:in eintragen. Ansonsten können wir diesen Eintrag nicht speichern.

Danach einfach auf fertig.

Danach hat iOS die Felder für uns bereits ausgefüllt. Wenn wir dann später die Website wieder besuchen, sieht das ganze dann so aus.

Mit einem klick auf den blauen Button werden dann alle Felder ausgefüllt.

Für den zweiten Faktor sieht das ganze ähnlich aus.

Hier können wir durch langes drücken auf den QR-Code diesen zweiten faktor in der App speichern.

Wie sehen ein Dialogfenster dass uns anbietet den Bestätigungscode in “Passwörter” hinzufügen.

Wir landen wieder in unserem Passworteintragn den wir vorher angelegt hatten. Es ist bereits alles für uns eingetragen worden also können wir hier einfach zurück zur Website wechseln. Dort angekommen, können wir sehen, dass uns nun angeboten wird den Bestägigungscode für die Website auszufüllen.

Nach dem klick darauf, erscheinen die Zahlen die wir brauchen auch schon im Feld.

Gelerntes umsetzen

Jetzt können wir das ganze auf auth-game einmal ausprobieren.

Was fehlt Passkeys

Was hier noch fehlt, sind Passkeys. Leider fehlt hier noch eine Unterstützung in alles Passwortmanagern. Wer Passkeys trotzdem gerne einmal ausprobieren will kann das hier tun.

  1. https://pages.nist.gov/800-63-FAQ/#q-b05 [return]
  2. https://qr.blinry.org/ [return]
password  blog 

Siehe auch