c't 7/2019
S. 122
Praxis
KeePass und NFC

Funk-Safe

Datenbanken des Passwortmanagers KeePass unter Windows mit NFC entsperren

Die Datenbanken des quelloffenen Passwortmanagers KeePass 2 entsperrt man mit einem langen Passwort – oder auch per NFC. Dafür braucht man etwas Zusatzsoftware, einen passenden Reader und einen kompatiblen NFC-Chip.

Statt sich ein langes Passwort zu merken, kann man den Schlüssel zu seiner KeePass-Datenbank als NFC-Chip in der Tasche oder im Implantat unter der Haut tragen [1]. Ein Plug-in erweitert den Passwortmanager um die Möglichkeit, NFC-Chips als Schlüssel oder zweiten Faktor zu verwenden. Hierfür wird die chipspezifische Seriennummer (UID) benutzt.

NFC ist nicht grundsätzlich sicherer als andere Verfahren, sondern eine Alternative mit spezifischen Vor- und Nachteilen: Den Datenbankschlüssel auf einer NFC-Karte hat man entweder dabei – oder lässt ihn daheim, wenn man ihn nicht braucht. Letzteres geht beim Sonderfall Chip-Implantat nicht, dafür kann man diesen Schlüssel nicht verlieren oder vergessen. Wenn der Chip als Zugangsschlüssel dient, muss man sich das Masterpasswort nicht mehr zwingend merken, kann NFC aber auch zusätzlich zum Passwort nutzen, um den Schutz vor unbefugtem Zugriff zu erhöhen [2].

Auf NFC-Chips muss man genauso aufpassen wie auf jeden klassischen Schlüssel. Man kann sie verlieren, sie können geklaut oder von potenziellen Datendieben ausgelesen oder – mit einigem Aufwand – sogar kopiert werden, wenn sie unbemerkt mit speziellen Lesegeräten in die Nähe der Chips gelangen. Das Ausleserisiko kann man mit sogenannten Sicherheitskarten etwas verringern; man steckt sie neben den sensiblen Karten ins Portemonnaie, wo sie unerwünschte Zugriffe auf Smartcards abblocken [3].

Kommentieren