Password-Manager oder doch lieber Eigenkreation à la GPG?

Durch meine ausgeprägte Paranoia und meinem gesunden Pessimismus dank der Arbeit und Projekten in der IT-Security, hinterfrage ich oft technische Fortschritte als auch Technologien und daraus resultierende Software auf ihre Legitimation. Auch die Nutzung von kommerzieller und proprietärer Software, welche gegebenenfalls nur auf gewissen Geräten oder systemabhängig nutzbar sind, fallen durch meinen Filter. Daher kam ich irgendwann zu dem Punkt, wie sinnvoll und legitim ist eine Password-Manager Software wirklich? Wie sieht es mit der Transparenz des Unternehmens aus und wieso nicht einfach selber machen?

… selber machen? Ohne großartig zu programmieren und wenig Aufwand? – Verschlüsselung mit GPG!

Fast jedes auf dem Markt verfügbare Linux OS hat von Grund auf GPG zur Verfügung. Man kann selbst entscheiden, auf welches Verschlüsselungssystem ich zurückgreifen will und wie stark diese sein soll. Des Weiteren muss man sich nicht über die Transparenz den Kopf zerbrechen bei einer unter GNU-GPL linzenzierten Software. Ein großteil der Community trägt zu dem Projekt seit 1970 bei und der Hauptentwickler ist immer noch der Gründer des Projektes.

Im Gegensatz zu manch anderer Software auf dem Markt, muss man sich nicht um mangelnde Sicherheitsupdates oder Bugs, als auch Langlebigkeit der Software Gedanken machen. So wie es bei kommerziellen Password-Managern, wie Keepass und deren Ableger KeepassX für Mac und so weiter, der Fall ist… Natürlich bleibt auch GPG nicht fehlerfrei von Lücken und auch dort kommt dies vor. Der Ablauf der Lösungswege und des Resultates ist aber ein ganz anderer, dank der Transparenz.

 

Gesagt getan, drüber nachgedacht und als gut empfunden, machte ich mich an die Arbeit. Das Ziel war erstmal so simpel wie möglich und ohne großen Aufwand einen großen Sicherheitsschutz auf die Beine zu stellen.

Erstmal eine Textdatei angelegt mit dem Namen passdb.txt und dort dann die Benutername/Email und dazugehöriges Passwort chronologisch den Diensten zugeordnet.

vi /home/user/passdb.txt

 

Danach überlegt man sich welche Verschlüsselungsart und Stärke. Ich habe mich für eine symetrische Verschlüsselung (-c) mit AES256 (–cipher-algo) entschieden. Das sollte ausreichend sein und ein Master-Passwort das stark genug ist sollte auch merkbar sein.

gpg -c –cipher-algo AES256 /home/user/passdb.txt

 

Nachdem das Master-Passwort gesetzt wurde, wurde aus der vorhandenen Textdatei eine neue verschlüsselte Textdatei angelegt mit .txt.gpg endend. Als Nächstes sollte getestet werden, dass sich die Datei auch durch die Angabe des Passworts fehlerfrei entschlüsseln (-d) und öffnen lässt.

gpg -d /home/user/passdb.txt.gpg

 

Sobald alles ohne Problem funktioniert, kann die Textdatei, welche durch die verschlüsselte Datei ersetzt wurde, gelöscht werden. Entweder man löscht einfach oder sicher mit der schon vorinstallierten Software shred force (-f), remove (-u) und overwrite zero (-z). Wer es lieber sicher mag…

shred -f -u -z /home/user/passdb.txt

 

Ich nutze dies nun seit fast zwei Jahren so. Das Einrichten und Ändern von Einträgen finde ich auch sehr einfach gestaltet mit wenig Aufwand. Da ich Online-Banking, Einkäufe über eBay, Amazon und Co, als auch Versicherungsaccounts und so weiter, nur über mein Laptop mit Linux durchführe, bin ich nicht sonderlich auf einen Client für alle Gerätschaften und Systemunabhängigkeit angewiesen. Ich brauche daher keine Passwörter auf meinem Handy oder unter meinen Windows Rechnern aufzurufen.

Allerdings sollte der Beitrag rein zur Verdeutlichung dienen, wie einfach es sein kann, seinen eigenen simplen Password-Manager zu kreieren, der auch seinen Zweck vollkommen erfüllt und dabei noch für Transparenz sorgt. Habt ihr schon etwas ähnliches geschrieben oder nutzt ihr auch eine Eigenkreation?

 

over & out,

jonsch

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.