Hallo
@heiko-rech
ich habe für Dich noch paar Tipps. Insbesondere, weil Du Linux nutzt lässt sich einiges gut absichern. Es wird teilweise etwas technisch, aber wenn Du mit Linux arbeitest, hast Du sicherlich schon etwas Know-How.
Passwortverwaltung und -speichern
Erstmal muss man unterscheiden nach persönlichen und technischen Passwörtern. Man kann es eigentlich gut verallgemeinern. Wenn es Dein persönliche User ist, mit dem Du sich täglich auf den Systemen anmeldest ist es ein persönliche Passwort. Alles andere kann man als technische User bezeichnen.
Die Passwortverwaltung kannst Du mit den lokalen Mitteln erledigen, so dass es z. B. nach X Tagen geändert werden muss etc. Dafür brauchst kein KeePass oder ähnliches. Entscheiden ist, dass Du das Passwort zurücksetzen kannst. Wenn Du mit mehreren Maschinen (mehr als 2-3) arbeitest, lohnt sich eine Art Active Directory auf Linux aufsetzen und mit Hilfe von Samba und Kerberos recht sicher umsetzten. Samba ist kein großer Akt, für die Konfiguration von Kerberos muss man schon etwas Wissen haben.
Alternativ lässt sich die /etc/shadow Dateien zwischen den System synchronisieren. Dabei ist wichtig die gleichen IDs zu haben. Dies musste man auch initial mehr testen, da so was wie "salt" können Probleme bereiten. Ob man heutzutage eine Unter-Shadow-Datei haben kann (z. B. für definierte User-Gruppe) musste man nachlesen. Die Verteilung von Shadow mit rsync ist aber eine gängige und einfache Methode, um die Kennwörter auf Linux-Maschinen gleich zu halten.
Speichern von Passwörter ist meiner Meinung ein Muss. Größere Menge von Kennwörter lässt sich ohne sicheres Speichern nicht schützen. Hier kommt z. B. KeePass und ähnliches ins Spiel.
Zugangsdaten für Online-Dienste/-Webseiten
Heutzutage haben praktisch alle Dienste/Webseiten die Möglichkeit die Passwörter zurückzusetzen. Wenn nur nur selten eine Seite/Dienst nutzen möchtest, vergibt einfach generischen Passwort. Du kann ihn speichern, muss aber nicht. Es lässt sich einfach immer zurücksetzten und neu vergeben. Regelmäßiges Passwortwechsel erhört sogar die Sicherheit erheblich.
Individuelle Zugänge pro Dienst/Webseite
Wenn Du eigene Domäne hast und sie auf eigenen E-Mail-Server betreibst, kannst Du den so konfigurieren, dass alles *@deine-domäne.tlp zu Dir zentral zugestellt wird. Du brauch also kein separates Postfach, um mehrere E-Mail-Adressen zu nutzen. Wenn Du es passend konfigurierst, kannst Du irgendeine E-Mail-Adresse (z. B. ziel-webseite@deine-domäne.tlp) einfach als Username angeben und dazu z. B. generischen Passwort.
Es kommt eigentlich selten vor, dass man von dieser Adresse was verschicken muss. Selbst dies lässt sich mit dem imapd Deiner Wahl konfigurieren. Du muss dabei aber normalerweise eine neue "Identität" initial z. B. im Thunderbird anlegen und verschickst aus Deinem Hauptpostfach als z. B. ziel-webseite@deine-domäne.tlp. Diese Zugänge kannst Du z. B. im KeePass o.ä. speichern.
Zusätzliches Vorteil: Wenn an diese E-Mail-Adresse z. B. plötzlich spam kommt, weißt Du sofort, dass diese Adresse mehr oder weniger kompromittiert ist und mit höher Wahrscheinlichkeit der Dienstleister gehäckt wurde. Mit eine Zeile in der Konfiguration des E-Mail-Servers kannst Du sie ins /dev/null laufen lassen oder anders ablehnen.
Sicheres Speicher von Passwortdatenbanken
Du kannst verschiedene Datenbanken (z. KeepPass-Files) mit verschiedenen Passwörter schützen und deren Zugangspasswörter wieder in andere Datei speichern oder sich merken. Es hängt nur davon ab, ob es "shared" Dateien sein sollten. Also ob mehrere Personen darauf zugreifen müssen. So kannst also Gruppen von Passwörter nach Schutzbedarf strukturieren.
Diese Datenbanken kannst Du zusätzlich in einer virtuelle Festplatte (*.hdd o.ä.) speichern und "diese Platte" nochmal verschlüsseln mit Passwort oder Schlüssel. Solche virtuelle Festplatten lassen sich sehr gut absichern/backupen. Diese Datei kann Betriebssystem spezifisch sein und auf separaten USB-Stick gespeichert werden. Das Passwort für die virtuelle Images kann man einfach in dem Standard-Schlüsselbund der jeweilige nach erster Nutzung speichern.
Beispieleinsatz: USB-Stick einstecken, Doppelklick auf virtuelle Platte (mounten) und dann z. B. KeePass starten, der sich die Pfad für Datebank-File normalerweise schon gemerkt hat. Das Passwort für den Datenbank angeben und die Passwörter stehen zur Verfügung.
Wäre beim solchen Fall jemand Dein USB-Stick (klauen und) irgendwo einstecken, muss erst dass Passwort für die virtuelle Festplatte kennen. Erst dann kann er das Inhalt der Stuktur sehen. Danach braucht er also noch das Passwort/Schlüssel für den Datenbank. Anders gesagt - doppelt abgesichert.
Nachteil: Wenn Du die virtuelle Festplatte z. B. aus Bequemlichkeit doch auf der Maschine kopierst, um nicht jedes mal USB-Stick zu nutzen, muss man diese Dateien nach Änderungen synchronisieren. Dies ist nicht schwierig (z. B. rsync) man muss es aber tun, um die neuste Passwörter immer parat zu haben. Es hängt auch davon ab, wie oft man was ändert oder neue Elemente hinzufügt. Im privaten Bereich passiert es eher selten. Da reicht oft manuelle "Sync" aus.
Nachtrag für die Verwaltung von Passwörtern bei Diensten/Webseiten
Eine echte Verwaltung lässt sich praktisch nur mit solchen Produkten wie CyberArk lösen. Meiner Meinung ist es aber nur selten nötig und es kommt nur dann vor, wenn man zwingend wissen möchte, wer ein shared-Passwort verwendet hat und man sofortige Passwortwechsel vornehmen möchte, damit der User welcher das "ausgecheckte" Passwort nicht mehr nutzen soll. Für privat oder kleine Gewerbe m. M. deutlich übertrieben. Der Aufwand für den Betrieb und Fehleranalyse nach Updates von der Webseite/Diensten ist zu hoch.
Viele Grüße
Jaro
