Workshop: In KeePass gespeicherte Passwörter auf Leaks prüfen

KeePass ist ein ausgezeichneter Passwortmanager, der in seiner Standardkonfiguration die gespeicherten Passwörter allerdings nicht auf Datenleaks überprüft. Wir zeigen, wie Sie diese Funktion über ein zusätzliches Plug-in nachrüsten.

Die zahlreichen Datenleaks der letzten Jahre stellen für viele Unternehmen ein Problem dar. Immer wieder stehlen Cyberangreifer unbemerkt Zugangsdaten und melden sich über das Internet an geschäftlich genutzten Ressourcen an. Eine der wichtigsten Maßnahmen dagegen ist ein sicheres Virtuelles Privates Netzwerk (VPN), das das Ausspionieren vertraulicher Verbindungen unmöglich macht.

Einen weiteren Schutz vor Angriffen mit gestohlenen Zugangsdaten bietet die Multi-Faktor-Authentifizierung (MFA). Sie erfordert bei der Anmeldung zusätzlich zur Kombination aus Benutzerkennung und Passwort die Eingabe eines zeitlich begrenzten Einmalcodes (One-Time Password, OTP). Allerdings setzen noch nicht alle Unternehmen die MFA konsequent ein. Ihre Einführung ist auch nicht überall möglich, so unterstützen sie beispielsweise noch längst nicht alle Cloud-Anbieter.

Unternehmen haben verschiedene Möglichkeiten, die Verwendung sicherer Passwörter zu erreichen. Zu den wichtigsten Maßnahmen zählen:

  • Passwortrichtlinien: Sie verhindern, dass Passwörter leicht zu erraten oder zu knacken sind. So lässt sich etwa eine Mindestlänge von 12 oder 20 Zeichen sowie die Verwendung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen vorschreiben.
  • Passwortwechsel: Passwörter, die in falsche Hände geraten, lassen sich durch regelmäßige Änderungen im Abstand von beispielsweise 90 Tagen unbrauchbar machen.
  • Passwortmanager: Diese Tools helfen den Mitarbeitern dabei, für jede genutzte Anwendung individuelle, komplexe und praktisch nicht zu erratende Passwörter zu erstellen.

Im Folgenden stellen wir Ihnen den Passwortmanager KeePass genauer vor und zeigen, wie Sie die darin gespeicherten Passwörter automatisch auf Leaks testen.

Den Passwortmanager KeePass einrichten und nutzen

Der Passwortmanager KeePass ist ein bewährtes Open-Source-Tool, das auch Unternehmen kostenlos verwenden können. Das Programm generiert sichere Passwörter und speichert diese in einer verschlüsselten Datenbank. Ein Master-Passwort schützt diese Daten, nur mit diesem lässt sich die Datenbank öffnen. 

Auch technisch weniger versierte Mitarbeiter können KeePass in der Regel problemlos installieren und verwenden. Für jedes Konto lässt sich ein neuer Datenbankeintrag anlegen, der Informationen wie den für eine Anwendung oder einen Dienst verwendeten Benutzernamen, das Passwort sowie eine URL zum Anklicken und ein großes Kommentarfeld für Notizen enthält.

Zur besseren Übersicht bietet KeePass im Reiter „Eigenschaften“ auch die Möglichkeit, Hintergrundfarben festzulegen, um wichtige Einträge schneller wiederzufinden. Außerdem erstellt KeePass automatisch für jeden Datenbankeintrag automatisch ein Protokoll aller Änderungen, das sich dann im Reiter „Vorgänger“ befindet. Dort ist es auch möglich, über die Funktion „Compare“ mehrere Log-Einträge miteinander zu vergleichen, um Änderungen bis ins kleinste Detail zu erkennen.

Die eigenen Passwörter mit KeePass auf Leaks testen

Mithilfe von Plug-ins gelingt es darüber hinaus, KeePass Zusatzfunktionen zu spendieren. Eine dieser Erweiterungen ergänzt den Passwortmanager um die Fähigkeit, gespeicherte Passwörter automatisch mit der Datenbank von Have I Been Pwned? (HIBP) abzugleichen. In dieser Datenbank hat der renommierte Sicherheitsexperte Troy Hunt Informationen über unzählige Passwörter gespeichert, die in den letzten Jahren in Leaks im Internet auftauchten.

Passwörter, die in einem dieser Leaks enthalten sind, sollten nicht mehr zum Einsatz kommen. Sie müssen davon ausgehen, dass auch Cyberangreifer über diese Daten verfügen und sie in ihre Wörterbücher aufgenommen haben. Mit diesen gelingt es ihnen leicht, Passwörter innerhalb kurzer Zeit herauszufinden, ohne sie dafür aufwendig mit der Brute-Force-Methode knacken zu müssen.

Das KeePass-Plug-in „HIBP Offline Check“ überträgt dabei nicht die im Passwortmanager gespeicherten Daten an Have I Been Pwned?, sondern jeweils nur den Hash. Jeder Datensatz (und jedes Passwort) hat einen solchen einzigartigen Hash, der sich errechnen lässt. Aus diesem Wert lässt sich das eigentliche Passwort nicht wieder herleiten. Findet das Plug-in eine Übereinstimmung mit den bei HIBP gespeicherten Daten, dann sollten Sie das zugehörige Passwort sofort ändern, da es kompromittiert ist.

Das KeePass-Plug-in HIBP Offline Check einrichten

Die Integration von HIBP Offline Check in KeePass ist einfach und in wenigen Augenblicken erledigt. Laden Sie zunächst das Plug-in von der Website des Entwicklers herunter. Klicken Sie dazu rechts auf „Releases“ und dann auf die Datei „HIBPOfflineCheck.plgx“. Speichern Sie diese auf der Festplatte Ihres Computers. 

Öffnen Sie dann KeePass und wählen Sie „Extras, Plug-ins“. Dadurch geht das Plug-in-Fenster auf, in dem Sie dann unten auf „Ordner öffnen“ klicken. Kopieren Sie die heruntergeladene Datei in diesen Ordner, schließen Sie das Plug-in-Fenster und starten Sie KeePass neu.

Klicken Sie anschließend im Hauptfenster von KeePass mit der rechten Maustaste auf einen beliebigen Spaltentitel. Wählen Sie „Spalten konfigurieren“ aus und scrollen Sie nach unten bis zum Abschnitt „Von Plug-ins bereitgestellt“. Setzen Sie das Häkchen vor „Have I Been Pwned?“ und bestätigen Sie mit „OK“. Dadurch blenden Sie die Spalte „Have I Been Pwned?“ ein.

Die Passwörter in KeePass auf Datenleaks prüfen

Jedes Mal, wenn Sie nun einen neuen Datenbankeintrag in KeePass anlegen oder einen bestehenden ändern, prüft das Plug-in auf der HIBP-Website, ob der Hash des zugehörigen Passworts dort bereits bekannt ist. Ist dies der Fall, erscheint in der neuen Spalte der Vermerk „pwned“ und dahinter die Angabe, wie oft das Passwort in Leaks bereits auftauchte. Handelt es sich dagegen um ein unbekanntes Passwort, steht in der Spalte „Secure“. Ältere Einträge überprüfen Sie durch einen Doppelklick auf die entsprechende Zeile in der HIBP-Spalte.

Wenn Sie trotz des Umwegs über Hashes keine Online-Prüfung durchführen wollen, laden Sie die aktuelle Datenbank mit den Hashes aller HIBP bekannten Passwörter herunter und integrieren Sie diese in KeePass. Verwenden Sie dazu den PwnedPasswordsDownloader. Nach dem Download rufen Sie in KeePass „Extras, HIBP Offline Check“ auf. Dort aktivieren Sie unter „Check mode“ die Option „Offline“ und geben darunter den Pfad zur heruntergeladenen Datei an. Fertig.

Und es geht noch sicherer: Passkeys versprechen eine IT-Welt ohne Passwörter und reduzieren das Risiko kompromittierter Accounts. Die flächendeckende Einführung dauert zwar noch ein wenig, in unserem Blog-Beitrag „Was hinter den neuen Passkeys steckt“ erfahren Sie aber jetzt schon mehr über die Technik und die Vorteile von Passkeys.

Jetzt „Was hinter den neuen Passkeys steckt“ lesen!