bitcoin key mster seed speichern sicher verwalten passwort

Wenn Sie unterschiedliche Passwörter für alle möglichen Seiten, Apps und Services verwenden (und das sollten Sie), dann kommen Sie schnell an Ihre Grenzen, sich diese alle im Kopf zu merken. Nach dem ich in den letzten Tagen im engeren Freundes- und Bekanntenkreis herumgefragt habe, wie diese Ihre Passwörter managen, wurde mir klar, dass dort dringender Handelsbedarf besteht, nicht nur bei der Verwaltung von Bitcoin Wallets sondern allgemein für alle Passwörter, Keys und Pins.

Als ich anfing mich mit dem Thema Bitcoins zu beschäftigen, so stieß ich unweigerlich auch auf das Thema Sicherheit und Passwörter. So habe ich mich mit dem Thema ein wenig beschäftigt und kann deshalb einige Tipps geben, wie man seine Passwörter, zumindest einigermaßen sicher aufbewahrt.

So sollte man es nicht machen!

Viele der Befragten, die ich als Personen mit geringem technischen Verständnis bezeichnen würde, verwendeten hauptsächlich ein und dasselbe Passwort immer wieder, meist in diversen Kombinationen mit Zahlen und Sonderzeichen, falls diese für die Anmeldung erforderlich sind. Das ist der erste Fehler den viele machen.

Der zweite Fehler ist, die Passwörter unverschlüsselt in einer Liste aufzubewahren. Ein Freund von mir hatte sogar auf seinem Desktop eine Excel-Datei mit dem Namen “Passwörter”.

Dabei weiß jeder, dass dies keine sicheren Praktiken sind. Warum machen es trotzdem so viele? Meist liegt dies an einer Kombination aus Bequemlichkeit und Unwissenheit an Alternativen.

Welche Alternativen gibt es?

Ein sicheres Passwort existiert nur, wenn es einmalig ist und möglichst kompliziert und zufallsgeneriert. Dabei sollten keine echten Wörter verwendet werde. Es sollte aus Klein- und Großbuchtaben bestehen, Zahlen und Sonderzeichen enthalten. Ein sicheres Passwort hat 12-Stellen oder mehr.

Da sich niemand hunderte solcher individuellen Passwörter merken kann, müssen diese irgendwo gespeichert werden. Eine Variante ist das Aufschreiben auf Papier. So ist man gegen Cyberangriffe geschützt. Dafür ist man allerdings nicht geschützt, gegen physikalischen Zugriff. Außerdem kann es schnell sehr nervig werden, wenn man jedesmal beim Einloggen erst eine halbe Ewigkeit braucht, das Passwort abzutippen. Eine Lösung mit Copy&Paste muss also her.

Die Lösung heißt Passwort-Manager. Wichtig ist, dass die Passwörter verschlüsselt gelagert sind.

Brower Passwortmanager

Jeder moderne Browser bietet heutzutage eine solche Funktion. Mit Synchronisation über einen Account, sind die Passwörter auch auf allen Geräten, auf denen der Browser installiert ist, abrufbar. Wichtig ist natürlich, dass der Zugriff auf das Gerät ausreichend geschützt ist. Das mindeste ist es, dass Benutzerkonto mit einem Passwort zu schützen (zufallsgeneriert!). Als weitere Sicherheitsstufe ist es außerdem zu empfehlen, Ihre Festplatte zu verschlüsseln (vor allem wenn sie Kryptowährungen auf der Festplatte lagern).

Das Speichern der Passwörter im Browser bietet nicht die allerhöchste Sicherheit, jeder der Zugriff auf den PC bekommt, kann sich diesen bemächtigen. Da diese Passwortverwaltung allerdings sehr bequem ist, bietet es sich an, hier Passwörter zu speichern, die als nicht kritisch eingestuft werden können. Darunter verstehe ich Passwörter wie Forenzugänge oder Logindaten für alle möglichen Webservices, die keine wichtigen Daten von mir gelagert haben. Ich persönlich speichere allerdings gar keine Passwörter mehr in den Browsern.

Cloud Passwordmanager

Als Alternative gibt es Services wie Dashlane und LastPass. Hier werden Ihre Passwörter verschlüsselt auf Cloudservern gespeichert. Kritisch sind hier etwas die automatischen Formularausfüller, die die Passwort und Benutzernamenfelder automatisch ausfüllen. Diese bieten Angriffsfläche für Hacker. Insgesamt bieten diese Passwortmanager aber einen guten Kompromiss aus Komfort und Sicherheit und lassen sich auch einfach zwischen mehreren Geräten synchronissieren. Verschlüsselt werden alle Passwörter mit einem Masterpasswort, welches das einzige ist, dass sie sich merken müssen. Fazit: Für die meisten Passwörter sehr gut geeignet, sehr sensible Passwörter wie komplette Kreditkarteninformationen, Zugangsdaten für Online-Banking, Bitcoin-Marktplätze oder gar Master-Seeds für Wallets würde ich hier aber auf gar keinen Fall lagern.

Open-Source Passwordmanager

Daneben gibt es noch Programme wie Keepass, das verschlüsselte Datenbanken lokal abspeichert. Diese Datenbaknen lassen sich mit diversen Programmen öffnen. Für Windows gibt es KeePass, für Mac KeePass X und für Android KeePassDroid. Um die Datenbank öffnen zu können, wird ein Passwort benötigt. Für zusätzliche Sicherheit sorgt eine Keyfile, mit dieser und dem Passwort zusammen wird die Datanbank verschlüsselt. Will jemand an die Datenbank ran, muss also nicht nur dass Passwort geknackt, sondern auch Zugriff auf die Keyfile erlangt werden.

Ich empfehle, mehrere Datenbanken zu erstellen, z.B.:

  1. Häufig benutzte Alltags-Zugangsdaten, z.B. Facebook, Email, Dropbox etc.
  2. Kritischere Logindaten wie Online-Banking

Diese Datenbanken können Sie auf Cloudservern speichern, mit Key-Files behalten Sie lokal auf Ihren Geräten (Backups machen!). Hackt jemand Ihren Cloudserver, so muss er immer noch neben dem Passwort, auch auf Ihr lokales Gerät zugreifen, um an die Keyfiles zu kommen.

Warum in der Cloud speichern? Das hat den Vorteil, dass Sie die Datenbank synchronisiert halten können, zwischen den einzelnen Geräten. Tragen Sie also ein neues Passwort ein und speichern die Datenbank, können Sie dieses mit einem anderen Gerät abrufen, solange Sie auf diesem Die Keyfile haben und sich an das Passwort erinnern können.

Verwenden Sie ein kompliziertes Passwort, um die Datenbank zu verschlüsseln. Wenn Sie die Datenbank täglich öffnen, haben Sie sich dieses schnell gemerkt. Zusätzlich können Sie sich dieses auf einen Zettel aufschreiben und sicher aufbewahren.

KeePass erfreut sich relativ großer Beliebtheit, aber es gibt auch hier weitere, vielversprechende Open-Source Alternativen, u.a. Passbolt und Padlock.

Fazit

Absolute Sicherheit? Gibt es nicht. Auf jedenfall sind Sie so aber sicherer als mit einer Excel-file “Passwörter”. Angriffsfläche bieten immer noch Keylogger und Screen Capture Malware. Master-Seeds für Bitcoin Wallets mit größeren Summen würde ich also niemals eintippen, sondern lieber per Hand auf einen Zettel schreiben und diesen sicher lagern.

Featured image von Christiaan Colen. Lizenz CC.

Leave a Reply

Your email address will not be published. Required fields are marked *