Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

Was machen, wenn die Zahl der Passwörter überhandnimmt? Eine einfache Lösung ist es, nicht ständig neue Passwörter anzulegen. Nach einer Zeit neigen die Hirnwindungen dazu, sich zu verzetteln, womit der Weg der Erinnerung kurvenreich wird. Schlimmstenfalls enden die mentalen Verbindungen zu den Passwörtern im Nichts. Das kann es nicht sein, deshalb ist es praktisch, nur eines oder wenige Passwörter zu verwenden. Das mag die einfachste Option sein, für sie spricht ihre Schnelligkeit und Simplizität. Aber es ist die denkbar schlechteste aller Optionen, denn sie ist unsicher. Sehr unsicher.

Es gibt viele Gründe, die gegen ein Universal-Passwort sprechen. Der wichtigste ist klar: Ist erst einmal raus, wie das Passwort lautet, steht nicht nur die Haustür offen, sondern auch die im ganzen Straßenzug, dem Viertel, der Stadt. Je nachdem wie viele Seiten mit demselben Passwort versehen wurden. Aber wie wahrscheinlich ist es denn schon, dass jemand darauf kommt, wo das Passwort noch gültig ist. Stimmt, doch spielt den möglichen Übeltätern die menschliche Gewohnheit und Berechenbarkeit in die Karten. Das Internet ist groß, die Menschen allerdings betreten in der Summe immer wieder dieselben digitalen Pfade. Es ist kein Geheimnis, welche Seiten im Netz eine hohe Sogwirkung haben. Und es kostet kaum Zeit und keinerlei Müde, die vergleichsweise geringe Zahl der Netzgiganten abzuklappern. Spielen wir mal ein Szenario durch.

John Doe hat ein Passwort, das er fast überall im Netz verwendet. Jemand kommt an seine Benutzerdaten bei einer beliebigen Seite. Das Problem ist, sein Benutzername – nehmen wir eine E-Mail-Adresse an – und sein Passwort sind nun bekannt. Der diebische Jemand macht sich zuallererst daran, bei der E-Mail-Adresse einen Anmeldeversuch zu unternehmen. Und siehe da – es geht. Nun hat Jemand also Zugriff auf das E-Mail-Konto. Nur ein wenig in der Ablage gestöbert, schon waren weitere Seiten bekannt. Auch die waren sofort übernommen. Das sind aber alles nur Spielereien, mal eben in einigen Social Networks ein paar Sachen gepostet. Noch nichts Schlimmes, allerhöchstens peinlich. Aber Jemand versucht es jetzt bei einem Online-Bezahldienst, aber das Passwort ist dort doch ein anderes. John hat immerhin hier aufgepasst. Oder doch nicht? Jemand klickt mal auf Passwort vergessen, prompt folgt eine Sicherheitsabfrage (Mädchenname der Mutter), die weiß Jemand nicht. Aber er kann sie ja mal per Mail fragen. Nach ihrer Antwort dann wird eine Mail verschickt, die einen Link enthält, wo das Passwort geändert werden kann. Die E-Mail-Adresse ist praktischerweise die vom übernommenen Konto. Und schon ist der Zugang da.

Zugegeben, es ist ein wenig hypothetisch. Doch gänzlich auszuschließen ist das nicht. Und es wäre so einfach zu verhindern. Bessere und unterschiedliche Passwörter machen es schon erheblich schwieriger. Aber es ist nicht ohne ein wenig Arbeit und Organisation möglich. Unterm Strich ist es aber nicht viel Aufwand.

Ein Weg ist eine Passwortverwaltung. Einige machen es in Tabellenkalkulationslisten oder Textdateien. Mal ehrlich, wer glaubt, dass das niemand findet. Nur weil es im Ordner Unwichtig abgelegt ist? Kommt schon, machen wir uns nichts vor. Es ist der richtige Ansatz, aber die völlig falsche Umsetzung. Ordentlich verschlüsselt sollte es schon sein. Dafür gibt es auch Anwendungen, die beliebige Dateien verschlüsseln. Doch geht meine Empfehlung in Richtung einer eigenen Software, die eine Verschlüsselung der Datenbank übernimmt. Es gibt viele solcher Programme, doch Platzhirsch bleibt für Endanwender KeePass.

KeePass hat eine einfache Oberfläche, doch dahinter schlummert eine Datenbank, die mit AES oder Twofish verschlüsselt wird. Beide bieten auch für gehobenere Ansprüche gute Sicherheit, weswegen von der Seite ein deutliches Plus an Sicherheit erreicht wird. Ein weiterer Vorteil von KeePass ist die Vielzahl der Ports. Der Einsatz ist auf diverse Weise unter allen gängigen Betriebssystemen möglich und bietet so eine hohe Flexibilität. Passwörter können dort ordentlich abgelegt und auch erstellt werden.

Es braucht also dann nur noch ein Passwort, eben das für KeePass selbst, den Rest muss man nur noch in die Eingabefelder hieven, wofür wiederum verschiedene Möglichkeiten angeboten werden. Das ist, das muss gesagt werden, immer noch ein Schwachpunkt, denn Keylogger und andere Schadsoftware können diese Form des Datentransfers abfangen, allerdings ist auch bei allen oben genannten Alternativen diese Gefahr gegeben, andere Bruchstellen werden durch KeePass aber geschlossen.

Aber was, wenn ich mehrere Rechner habe? Dann legt die Datenbank doch in die Dropbox. Und was, wenn ich gerade unterwegs bin? Auch da gibt es Lösungen, für das iPhone fallen mir beispielsweise MiniKeePass, KyPass oder PassDrop ein, die alle ihre Vorzüge und Nachteile haben. Ich verwende derzeit PassDrop, da es eine schöne Integration von Dropbox hat. So konn ich schnellstens neue Daten ablegen und mir sicher sein, dass auch über all der neueste Stand vorhanden ist.

Nur eines sollte dann schon geschehen: Das Passwort für KeePass muss extrem sicher sein, also bitte nicht an der falschen Stelle sparen. Es kann nicht so schwer sein, sich ein, sagen wir, vierzigstelliges Passwort zu merken. Oder? Aber dafür gibt es auch einige Trick. Mehr dazu in der nächsten Woche.

Ein Gedanke zu „Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.