Zur mobilen Ansicht wechseln »

KNOWHOW Wie sichere Passwörter bequem werden.

Foto: William Neuheisel/CC
Für alle Dienste ein anderes und auch noch kompliziertes Passwort? Geht nicht? Mit den richtigen Werkzeugen ist mehr Sicherheit ganz easy.

Immer wieder kommt es vor, dass Datendiebe Benutzernamen und Passwörter von Onlinediensten entwenden. Dem Nutzer hilft das Jammern in so einem Fall wenig. Man sollte sich immer bewusst sein, dass das Speichern von Benutzerdaten in lesbarer Textform zwar grob fahrlässig aber dennoch bei manchen Betreibern Gang und Gäbe ist.

Weil vielfach immer dieselbe Kombination aus Benutzername und Passwort genutzt wird, gibt es in so einem Fall eine Kettenreaktion: Hat der Datendieb eine Benutzerkennung, kennt er viele andere auch. Die meisten Nutzer denken sich: „Wird mir eh nicht passieren.“ Gelangt ein Eindringling einmal in das PayPal-Konto oder in den Amazon-Account, ist das für den Nutzer die Einbahnstraße in die Hölle. Und das kann jedem passieren.

Problematisch ist dies auch, weil immer noch viele Onlinedienste quasi als Erinnerung das Passwort per E-Mail zusenden. Apropos E-Mail: Dieser Zugang sollte speziell geschützt werden, da man mit Hilfe des E-Mail-Kontos meist alle anderen Passwörter zurücksetzen kann.

Wer also für alle Dienste ein Passwort nutzt, müsste dieses bei allen möglichen Diensten nach so einem Fall stets austauschen. Doch wer tut das? Der Umgang mit sicheren Passwörtern ist zugegebenermaßen komplizierter, als überall „susi1234“ zu verwenden. Aber Passwortmanager bieten auch jede Menge Komfort. So braucht man sich viel weniger zu merken und muss die vielen Benutzernamen und Passwörter künftig nicht einmal mehr eintippen.

Eines gleich vorweg: Das komplett sichere Passwort, das niemals entdeckt oder geknackt wird, gibt es beinahe nicht. Man kann nur möglichst hohe, aber niemals vollständige Sicherheit haben. Ein sicheres Passwort muss eine ganze Reihe von Merkmalen erfüllen. Es soll möglichst lange sein (mind. 14 Stellen), Ziffern und Sonderzeichen in völlig zufälliger Reihenfolge enthalten. Es darf nicht in einem Wörterbuch stehen, sollte nur einmal benutzt und von Zeit zu Zeit geändert werden.

Das ideale Passwort sieht ungefähr so %vUAz0dpZs]6G-ünh9D oder 8vD.twW6PP*öGt},cdy aus. Abgeschreckt? Die Sache ist natürlich mühsamer und nicht mehr merkbar.

Passwortmanager übernehmen in diesem Kontext gleich mehrere Aufgaben:

* Sie errechnen nach dem Zufallsprinzip möglichst sichere Passwörter.

* Sie speichern die Kennwörter in verschlüsselten Dateien, die nur durch Eingabe eines Master-Passworts zugänglich sind. Dieses eine Kennwort muss man sich weiter merken und es sollte möglichst sicher sein.

* Browsererweiterungen sorgen für Komfort: Sie können nach Eingabe des Master-Passworts auf den Datentresor zugreifen und den gerade benötigten Benutzernamen sowie das Passwort automatisch einfügen.

* Um auf mobilen Endgeräten sicheren Zugang zu den eigenen Passwörtern zu erhalten, gibt es Apps. Die drei später vorgestellten Lösungen synchronisieren ihre Daten mit Smartphones und Tablets – dabei gibt es allerdings große Unterschiede.

So einfach ist das, wenn man eine passende Browsererweiterung für den Passwort-Manager nutzt:

1. Auf der Anmeldeseite klickt man das Symbol des Passwortmanagers an und gibt sein Master-Passwort ein.

Anmeldeseite - Masterpasswort
Foto: GH

2. Man wählt die Site aus, bei der man sich anmelden möchte. Üblicherweise wird hier die richtige Website gleich als Erstes angezeigt.

Site-Auswahl
Foto: GH

3. Anschließend werden Benutzernamen und Passwort automatisch eingetragen.

Benutzername und Passwort werden automatisch ausgefüllt.
Foto: GH

Bei der Einrichtung des Passwortes lässt sich noch festlegen, ob sich der Browser mittels Cookie an einen erinnern soll.

Fertig! So einfach kann deutlich mehr Sicherheit sein.

Stellt sich die Frage: Wie kommen die Passwörter in den Passwort-Safe?

Bei der ersten Anmeldung registriert das Browser-Plugin, dass es sich dabei um einen neuen Eintrag handelt, der noch nicht im Passwort-Tresor steht. Daraufhin fragt der Passwort-Manager das Master-Passwort ab und will wissen, unter welchem Stichwort die Anmeldung abgelegt werden soll? Im Beispiel unten ist es eine Anmeldung auf Twitter.

Neue Logins automatisch eintragen und sichere Passwörter errechnen.
Foto: GH

Meldet man sich zum ersten Mal bei einer Website an, kann man den Passwortmanager dazu bemühen, ein starkes und völlig zufälliges Passwort zu errechnen (siehe oben), das nur extrem schwer zu knacken ist.

Die Daten aus dem Browser-Plugin sind auch in einer App einsehbar, wo man alle Zugänge übersichtlich ansehen kann.

Passwortverwaltung in der Anwendung am Beispiel von 1Password.
Foto: GH

Wichtig dabei: Die angelegte Passwortdatei sollte man von Zeit zu Zeit auch durch ein Backup sichern.

Alle aktuellen Browser haben übrigens einen Passwortmanager bereits eingebaut, dieser ist aber eher rudimentär und nicht immer ganz sicher.

Wer hat heutzutage nur einen Computer und wer nutzt nicht auch ein Smartphone oder Tablet, um auf diverse Webdienste zugreifen zu können?

Für jeden Passwortmanager gibt es auch mobile Apps. 1Password etwa speichert seine Passwortdatei auf Wunsch verschlüsselt in der Cloud, um sie via Dropbox ganz einfach am zweiten Computer oder auf mobilen Geräten nutzbar zu machen. Dies könnte dann problematisch sein, wenn das Master-Passwort schwach ist. LastPass ist dagegen vollkommen cloudbasiert - es gibt also gar kein Desktop-Programm, sondern nur die Anmeldung via Browser. Auch hier gilt: Wenn der Dienst genutzt wird, ist das Master-Passwort kritisch.

KeePass verzichtet von Haus aus auf eine automatische Cloud-Synchronisation. Erst über Plugins kann man auch Dropbox, Google Drive oder Amazon S3 dafür nutzen.

Wobei wir - nach Cloud oder nicht Cloud - bei der zweiten Glaubensfrage wären: OpenSource oder ClosedSource? Beim OpenSource-Passwortspeicher KeePass ist der Quellcode von jedem einsehbar. Das hat zur Folge, dass es garantiert keine Hintertüren geben kann und Fehler im Quellcode schneller entdeckt werden.

LastPass und 1Password besitzen diesen Vorteil nicht - allerdings darf man den Anbietern unterstellen, dass sie ihr Möglichstes tun, um die Sicherheit ihrer Nutzer zu gewährleisten. Sollte es zu Lücken kommen, wäre deren Geschäftsbasis mit einem Schlag weg.

Zudem hat OpenSource auch nur dann einen Vorteil, wenn es komplett durchgängig ist. Eine KeepPass-App, die nicht OpenSource ist, bricht das Konzept.

Alle drei weit verbreiteten Dienste und Anwendungen, die im Folgenden vorgestellten werden, kann man zurzeit ein hohes Maß an Sicherheit attestieren. In der aktuellen Version halten sie, was sie versprechen. Wer dennoch von 1Password oder LastPass auf KeePass umsteigen will, kann über die Export- und Importfunktion der jeweiligen (Web-)Anwendung seine Passwörter sichern.

Den Favorit für viele sicherheitsbewusste Anwender gibt es als kostenlosen Download für Windows. Inoffizielle Portierungen gibt es für quasi jedes Betriebssystem - von Linux über Macs bis hin zu iPhones, Android, Blackberry oder Windows Phone. Deren Einsatz aber nur ratsam ist, wenn man deren Quelle kennt oder deren Einsatz von der Community empfohlen wird. Ist dies nicht der Fall, hat man vom großen Vorteil, dass das Programm OpenSource ist, nichts mehr.

Die KeePass-Anwendung
Foto: GH

Logins und Passwörter werden in vorgefertigten Ordnern verwaltet - neue Gruppen und Untergruppen lassen sich bei Bedarf hinzufügen.

Keypass lässt sich mit jeder Menge Plugins erweitern, deren Einsatz aber auch nur ratsam ist, wenn man deren Quelle kennt oder sie explizit empfohlen werden. KeePass bringt von Haus aus jede Menge Sicherheitsfunktionen mit. So gibt es einen Schutz vor Keyloggern. In die Zwischenablage kopierte Zugangsdaten werden automatisch nach einigen Sekunden wieder gelöscht.

Die bequemste und vielseitigste Anwendung dieses Genres ist 1Password, die allerdings nicht gerade billig ist. Das auf beliebig vielen eigenen Geräten installierbare Windows+Mac-Bundle schlägt mit 69,99 Dollar zu Buche. Das Family-Pack mit 99,99 Dollar. Eine Version für Mac oder Windows kostet jeweils 49,99 Dollar. Die Android-App ist derzeit kostenlos, erscheint aber bald in neuer Version. Die iPhone- und iPad-App kostet satte 15,99 Euro.

1Password am Mac
Foto: GH

Neben einer sehr gelungenen Benutzeroberfläche gibt es noch Extras wie sichere Notizen oder die Verwaltung von Software-Seriennummern.

Wer allerdings Windows Phone nutzt oder einen Blackberry hat, für den ist die Investition umsonst - hierfür gibt es keine Clients. Die Apps für iOS benötigen - wie alle anderen Apps in diesem Bereich - vorab die Eingabe des Master-Passworts. Sie geben einzelne Passwörter preis, indem man lange auf sie drückt. Hier hat man die Wahl, das Passwort anzusehen oder temporär in die Zwischenablage zu kopieren.

1Password for iOS
Foto: GH

1Password synchronisiert seine Passwörter mit anderen Geräten und Apps über Dropbox.

Wer nicht damit leben kann, dass seine Passwörter - verschlüsselt, aber immerhin - in der Cloud gelagert werden - für den ist LastPass nichts. Vor gut zwei Jahren erlebte der Dienst einen Super-Gau , passiert ist zum Glück nichts und man hat mit Sicherheit dazugelernt.

LastPass
Foto: GH

Der Dienst ist prinzipiell kostenlos und für Windows, Macs und Linux sowie eine ganze Reihe von Browsern geeignet. Wer LastPass auch am Smartphone (iOS, Android, Blackberry, Windows Phone, Symbian und webOS) nutzen will, muss sich für das Premium-Angebot entscheiden, das zwölf Dollar im Jahr kostet.

Sehr gute Passwörter sind nach dem Stand der Technik noch längere Zeit vor einer Entschlüsselung sicher, erst Recht, wenn sie völlig zufällig errechnet wurden. Aber das bedeutet nicht, dass es nicht auch andere Mittel und Wege gibt - etwa durch Schadsoftware.

Ein Trojaner könnte etwa per Keylogger das Master-Passwort stehlen und sich Zugang zur Schlüsseldatei in der Dropbox beschaffen. Passwörter werden des Öfteren in die Zwischenablage kopiert - etwa um sie in einer Applikation zu nutzen. Hier könnte Malware die Zwischenablage auslesen. Auch wenn beide Szenarien bei sonst sicherem Umgang mit dem Computer selten sind - ausgeschlossen sind sie keinesfalls.

Was dann noch hilift, ist die Zwei-Faktor-Anmeldung. Hierbei braucht man etwas, das man weiß (Username und Passwort) sowie etwas, das man hat (z.B. Smartphone). Meldet man sich bei einem der Dienste an, die das unterstützen, muss man danach noch einen per App errechneten oder per SMS zugesandten Code eingeben. Ein ausführliches Tutorial dazu gab`s in meinem ersten Artikel für die Futurezone.

Auch wenn man nie 100 Prozent sicher sein kann: Passwortmanager liefern einen sehr guten Kompromiss aus Sicherheit und Bequemlichkeit. Mit ihnen hat man keine Ausrede mehr, dass man sich "eh nix merken kann".

Dieses Tutorial sollte Ihnen zeigen, dass ein Mehr an Sicherheit sogar komfortabel sein kann. Vielleicht ist`s ein Wochenendprojekt, Ihre Passwörter zu tauschen und sicher zu verwalten.

 

Titelfoto: William Neuheisel/CC

Das möglichst sichere Passwort

Datentresore: Wie ein Passwortmanager funktioniert

Einfache Anmeldung in drei Schritten

Mit einem Extra-Klick: Passwörter im "Safe" ablegen

Passwörter mobil: Die Cloud macht’s möglich

Streitfrage: OpenSource vs. Kommerziell

KeePass: der Favorit auf OpenSource-Basis

1Password: der Schönling

LastPass: Alles in der Cloud

Auch das sicherste Passwort hat Sicherheitslücken

(futurezone) Erstellt am 19.07.2013, 06:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Ihr Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!