Kennwörter sicher verwalten mit Keepass und Yubikey (MFA)

Dass ein Kennwort ein generell unsichere Sache ist, haben inzwischen sogar Unternehmen wie Microsoft verstanden. Das grundsätzliche Problem von Kennwörtern ist, dass sie meist unsicher sind, oder nicht leicht zu merken. Das ist vor allem deshalb problematisch, da heute jede Website gerne eine Benutzerkonto anlegen möchte. Die Wiederverwendung von Kennwörtern verbietet sich eigentlich von selbst, da man niemals sicher sein kann, wie gut ein Anbieter seine Nutzerdaten schützt. Und ist ein Kennwort erst einmal öffentlch geworden, was man unter https://haveibeenpwned.com/ prüfen kann, ist jedes Benutzerkonto, auf dem das Kennwort verwendet wurde, unsicher. 

Der sicherste Weg, um dem entgegen zu wirken ist ein Passwort-Manager, der Kennwörter verschüsselt abspeichert, wie z.B. Keepass. Der Vorteil von Passwort-Managern ist, dass man sich nur das Kennwort zum Passwort-Tresor merken muss, man aber für jedes Konto ein individuelles Kennwort speichern kann. Keepass unterstützt den Benutzer durch Plugins sogar, indem es, nachdem der Tresor entsperrt ist, die Kennwörter automatisch in Formulare eingtragen kann, und ist dazu kostenlos und Open Source. Da die Tresore selber stark verschlüsselt sind, kann man sie sogar über jeden beliebigen Dateisynchronisationsdienst wie Google Drive, Dropbox oder Onedrive über mehrere Geräte synchronisieren. Der Anbieter oder ein Hacker, der in den Besitz der Datenbank kommt, kann Sie nicht knacken - solange der Tresor mit einem sicheren Kennwort verschüsselt ist. 

Was ist ein sicheres Kennwort überhauipt? Sichere Kennwörter sind vor allem eins - lang und nicht mit einer Wörterbuchattacke zu knacken. Wörterbuchattacken verwenden Listen von bekannten Wörtern und deren Permutationen (Austausch von Groß-Kleinschreibung, Buchstaben-Ersetzungen durch Zahlen und Sonderzeichen). Ein wirklich sicheres Kennwort besteht am Besten aus Buchstaben, Zahlen und Sonderzeichen in zufälliger Kombination. Wenn Sie keine Sonderzeichen verwenden möchten, können Sie Ihre Kennwörter einfach länger machen, um die gleiche Sicherheit zu erreichen - die Sonderzeichen haben nur den Zweck, die Anzahl der Zeichen pro Stelle zu erhöhen. Die Stärke eines zufälligen Kennworts ergibt sich einfach aus der Menge der Zeichen plus der Anzahl an Zeichen, die pro Stelle verwendet werden können. Und Keepass kann Ihnen einfach zufällige Kennwörter beliebiger Länge erzeugen - Sie müssen sich also nie wieder Gedanken über ein sicheres Kennwort machen. 

Das Hauptproblem besteht im Schutz des Tresors - wenn er geknackt wird, sind alles Ihre Kennwörter mit einem Schlag unsicher. Aber natürlich möchte sich niemand für den Tresor ein 20 Zeichen langes, aus zufälligen Zeichen generiertes Kennwort merken. Zum Glück gibt es auch hierfür eine Lösung mit Keepass. Zum einen können Sie Ihre Datenbank durch Ihr Windows-Benutzerkonto schützen. Keepass verwendet dann in Windows integrierte Mechanismen (DPAPI), um das Kennwort der Datenbank abzusichern. Diesen Mechanismus können Sie mit einem Kennwort kombinieren, um mehrer Faktoren gemeinsam zur Authentifizierung zu benutzen. Man spricht dann von Zwei- oder Multifaktor-Authentifzierung (MFA). Leider hilft das nicht weiter, wenn Sie Ihre Datenbank auch auf Ihren Mobilgeräten mit Android oder iOS verwenden möchten. Alternativ können Sie ein Schlüsselfile (eine Datei, die einen zusätzlichen Schlüssel enthält) verwenden. Wenn Sie diese Datei aber über einen Datei-Synchronisationsdienst mitsynchronisieren, ist das, als würden Sie Ihren Schlüssel unter die Haustürmatte legen. Sie können das Schlüsselfile natürlich auf einem USB-Datenträger ablegen, aber den bekommen Sie nur mit Schmerzen an Ihr Mobilgerät. 

Als Alternativ bietet sich ein Sicherheits-Stick an wie der Yubikey an. Der Yubikey beinhaltet einen zusätzlichen Schlüssel, der nur auf Anfrage freigegeben wird. Im Unterschied zum USB-Stick kann der Yubikey aber auch per NFC (Near Field Communication) abgefragt werden, was viele Smartphones heutzutage standardmäßig können, da es auch von mobilen Bezahldiensten verwendet wird. Im folgenden Artikel möchte ich zeigen, wie man Keepass mit einem Yubikey und einem Kennwort absichert und sowohl unter Windows / Linux als auch unter Android verwenden kann. Unter MacOS funktionert das auch, allerdings fehlt mir hierzu die passende Hardware zum testen. 

Zuerst benötigen Sie einen Yubikey 5 NFC. Aktuell unterstützt nur dieser NFC für die Authentifizierung am Smart-Phone. Er kostet ca. 45.- Euro und ist bei allen gängigen Händlern im Internet zu bekommen. Zum einrichten des YubiKeys benötigen Sie außerdem das Yubikey Personalization Tool, dass Sie direkt bei Yubiko herunterladen können.

Installieren Sie das Tool, und wählen Sie im Menü "Challenge-Response" aus. Für die Authentifizierung stehen zwei Methoden zur Verfügung - ein OTP (One Time Password), wie es z.B. die Google- oder Micrsoft-Authenticator-Apps generieren - oder die "HMAC-SHA1" Challenge Handshake Response Methode.

(0) Auf der rechten Seite sehen Sie, ob das Personalization-Tool Ihren Key erkann hat.

(1) Zuerst legen Sie den Konfiguration-Slot fest. Der Stick kann zwei Konfigurationen speichern, wobei die Konfiguration 1 bereits mit den Werkseinstellungen vorbelegt ist. Wählen Sie daher Slot 2. 

(2) Anschließend wählen Sie "Require User Input" aus. Dadurch muß der Benutzer den Schlüssel erst durch berühren freigeben. Vergessen Sie den Stick im Rechner, kann niemand den Schlüssel remote auslösen. 

(3,4) Generieren Sie den Schlüssel, über den der Key die "Challenge" verschlüsselt. Der Programmierer des Plugins für Keypass empfiehlt "Fixed 64 Byte Input", da es mit der variablen Schlüsselänge Probleme gibt. Kopieren Sie den generierten Schlüssel, da Sie ihn für das Erstellen der Master-Datenbank brauchen. Alternativ können Sie ihn auch aus dem Backup-File kopieren, das Sie in (5) erzeugen.

(5) Abschließend schreiben Sie die Konfiguration auf den Key. Speichern Sie die Konfiguration im Dateisystem an einem sicheren Ort. Dadurch können Sie, sollte Ihnen der Schlüssel verloren gehen, einen neuen Schlüssel generieren, oder einen Zweit-Schlüssel erzeugen. Denken Sie aber daran - jeder, der das Backup hat, kann Ihren Yubikey duplizieren!

Wenn Sie Keepass noch nicht installiert haben, können Sie es unter https://keepass.info/ herunterladen. Wenn Sie oft an unterschiedlichen Rechnern arbeiten, empfehle ich die mobile Version, da Sie diese dann direkt aus dem gleichen Ordner starten können, über den Sie auch die Datenbank synchronisieren. Außerdem benötigen Sie das Plugin KeeChallenge. Sie können es unter http://richardbenjaminrush.com/keechallenge/ direkt im Header herunterladen. Entpacken Sie das ZIP-File und kopieren Sie es in den /keepass/Plugins/ Unterordner. Anschließend starten Sie Keepass (neu). 

Erstellen Sie jetzt eine neue Datenbank über "File -> New" und geben Sie einen neuen Pfad für die Datenbank an. Wenn Sie die Datenbank geräteübergreifend nutzen wollen, speichern Sie die Datenbank in einem Ordner, der per Cloud synchronisiert wird. 

(1) Geben Sie zuerst Ihr Master-Kennwort ein. Das Master-Kennwort muß, wenn es aktiviert wurde, zum Entsperren der Datenbank eingegeben werden. Da wir Multifaktor-Authentifizierung verwenden, sollte das Kennwort zwar einigermaßen sicher sein, muß aber nicht aus völlig zufälligen Kombinationen bestehen. Stellen Sie aber sicher, dass dieses Kennwort von Ihnen noch an keiner anderen Stelle verwendet wurde, da man es sonst evtl. über "https://haveibeenpwned.com/" abfragen könnte.

(2) Aktivieren Sie die Experten-Optionen.

(3) Wählen Sie jetzt als Key File / Provider "Yubikey challenge-response" aus. Taucht das Verfahren hier nicht auf, ist das Plugin nicht richtig installiert worden. Prüfen Sie noch einmal, ob Keepass das Plugin richtig erkannt hat. Das können Sie im Menü "Tools -> Plugins" machen. Eventuell haben Sie ein Unterverzeichnis zu viel erstellt. Keypass fragt Sie jetzt nach dem Kennwort, dass Sie beim Initialisieren des Yubikeys erzeugt haben. 

Wenn Sie eine bestehende Datenbank umstellen wollen, öffnen Sie zuerst die Datenbank, und wählen "File -> Change Masterkey". Sie bekommen dann ebenfalls obigen Dialog und können einen neuen Masterkey erstellen.

Ihre Datenbank ist jetzt mit Yubikey geschützt. Wenn Sie die Datenbank mit Keypass öffen wollen, müssen Sie neben dem Masterkey auch "Key File" aktivieren und "Yubikey challenge-response" auswählen. Wenn Sie OK drücken, muß der Yubikey im USB-Port des Rechners stecken und Sie müssen durch eine Berührung des Schlüssel freigeben. Wenn Sie keine manuelle Freigabe mehr wollen, können Sie beim Initialisieren auch auf "require User input" verzichten - ratsam ist das aus oben angegebenen Gründen aber nicht. 

Nun müssen Sie Keepass noch auf Ihrem Android-Gerät installieren. Verwenden Sie hierfür das großartige und kostenlose Keepass2Android. Die App kann von Haus aus Challenge-Response Authentifizierung, benötigt aber noch einen Provider zum Zugriff auf NFC, ykdroid. Das ältere Yubichallenge wird von Keepass2Android nicht mehr unterstützt. Beides finden Sie im Google Playstore. 

Nun können Sie Keepass2Android starten und eine Datenbank öffnen. Sie können dann einen der vielen Filesharing-Provider auswählen, die Keepass2Android von Haus aus unterstützt. 

Wählen Sie Ihre Datenbankdatei aus. Als Master-Password-Typ wählen Sie "Passwort + Challenge-Response". Geben Sie das Master-Kennwort ein und wählen Sie anschließend "OTP-Hilfsdatei laden". Keepass2Android fragt Sie jetzt nach Ihrem Yubikey. Den Yubikey legen Sie in die Nähe Ihres NFC-Readers, der sich auf der Rückseite Ihres Gerätes befindet. Geben Sie dann über einen Druck auf die Schaltfläche das Kennwort frei. Eventuell muß man das ein paar mal versuchen, bevor es klappt. Zuletzt wählen Sie öffnen. 

Bei mir hat das Erkennen des NFC-Keys anfangs Probleme gemacht. Hier kann es helfen, sich die NFC-Tools aus dem Play-Store zu installieren. Mit den NFC-Tools kann man NFC-Geräte auch beschreiben, aber in erster LInie kann man NFC-Geräte auslesen und so prüfen, wo sich der NFC-Leser im Telefon überhaupt befindet und ob er den Yubikey aulesen kann. 

Sie können Keypass im übrigen mit einem NFC-Cardreader und einem NFC Tag (einer NFC-Chipkarte) verwenden. Das ist nicht ganz so sicher wie ein Yubikey und funktioniert meines Wissens nach nicht mit Keypass2Android, ist aber als Multifkatorauthentifizierung eine günstige Variante auf einem oder mehreren PCs. Die Anleitung zur Einrichtung finden Sie bei heise.