Hintergrund

Passwort-Manager richtig verwenden

Keys by Cica Ghost, Weed (179, 31, 48)

Diese Nachricht gibt es inzwischen fast täglich: „Onlinedienst gehackt, tausende Anmeldedaten gestohlen“. Auch wenn es nervt: Anwender müssen sich selbst um die Sicherheit ihrer Online-Konten kümmern. Ein Passwortmanager kann dabei helfen.

Veröffentlicht am
Autor
Schlagworte
Bildschirmsperre · Code · Passwort-Manager · Passwörter · SIM-Code
Drucken

Für gute Passwörter gibt es zwei wichtige Regeln: Zuerst gilt es zu vermeiden, das selbe Passwort mehrfach einzusetzen. Sonst genügt der Diebstahl einer einzigen Datenbank, um sich bei vielen anderen Diensten im Namen des Opfers anzumelden.

Außerdem sollten Kennwörter mindestens zwölf Zeichen lang sein und aus zufällig zusammengewürfelten Zeichenketten wie „fSL*JF@uA3Vn“ bestehen. Dann sind sie schwer zu knacken.

Wer diese beiden Regeln beachten will, merkt schnell, dass ein Passwort-Manager notwendig ist. Denn niemand kann sich viele solcher Zeichenketten merken – schon gar nicht eine eigene für jedes Online-Konto.

Der Passwort-Tresor

Passwort-Manager sind Programme, die dem Anwender zwei wichtige Aufgaben abnehmen: Sie erzeugen Zeichenketten aus zufällig zusammengesetzten Zeichen und speichern diese auch gleich.

Die Datenbank, in der die Passwörter gespeichert sind, nennt man auch Passwort-Tresor. Die Passwörter werden dort verschlüsselt abgelegt. Beim nächsten Login holt das Programm den Nutzernamen und das sichere Passwort aus dem Tresor und füllt es automatisch ein.

Passwortmanager gibt es schon länger. Früher funktionierten sie hauptsächlich als Erweiterung des Webbrowsers. Entsprechend konnten sie den Anmeldevorgang nur für Webseiten erledigen.

Auf dem Mobilgerät meldet man sich aber nicht nur auf Webseiten im Browser an, sondern auch in vielen Apps. Daher bieten sich für das Mobilgerät Passwortmanager an, die Anmeldedaten sowohl in anderen Apps als auch im Browser eintragen können.

Viele Lösungen für verschiedene Ansprüche

Unter dem Betriebssystem Android gibt es einige Lösungen, die das beherrschen. Zum Beispiel der weit verbreitete Passwortmanager „LastPass“ des US-amerikanischen Herstellers LogMeIn Inc.

Unter Apples Betriebssystem iOS ist ein solch weitreichender Zugriff nicht ohne Weiteres möglich. Hier müssen App-Entwickler den Login-Vorgang auf den Passwortmanager abstimmen, damit er Passwörter in entsprechend kompatible Apps einfügen kann.

Für die iOS-Variante von LastPass haben zahlreiche populäre Anbieter wie Twitter, Zalando oder Dropbox eine solche Anpassung eingerichtet. Auch der weit verbreitete Manager „1Password“ (Hersteller AgileBits Inc., Geschäftssitz Kanada) ist mit vielen Apps unter iOS kompatibel.

Open Source oder Closed Source?

Unter den Open-Source-Lösungen ist der Passwortmanager „KeePass“ am weitesten verbreitet. KeePass ist ein Gemeinschaftsprojekt, das der deutsche Programmierer Dominik Reichl 2003 ins Leben gerufen hat. Es gibt zahlreiche Varianten des Programms: Für Android zum Beispiel KeePassDroid oder Keepass2Android, für iOS die App MiniKeePass. Sie beherrschen aber nur das Einfüllen von Passwörtern in den Browser. Mit mehreren Geräten ist KeePass zudem nicht ganz einfach zu nutzen.

Ist ein Open-Source-Produkt sicherer? Generell ist es wünschenswert, dass der Programmcode zur Überprüfung durch unabhängige Experten frei zugänglich ist (Open Source). Nur so können sich Experten davon überzeugen, dass die Software keine Hintertüren mitbringt und die verwendeten Verschlüsselungsverfahren fehlerfrei in die Software eingebaut wurden.

De facto müssen Nutzer den Entwicklern von Open-Source-Projekten in Sachen Verschlüsselung aber genauso blind vertrauen wie kommerziellen Anbietern, deren Programmcode geheim ist. Zumindest so lange, bis die Verschlüsselungsfunktionen von ausgewiesenen Fachleuten auf Fehler untersucht wurden.

Denn im Unterschied zu herkömmlichen Programmierfehlern sind Probleme mit den Verschlüsselungsfunktionen nur von wenigen Experten auszumachen. Für den erwähnten KeePass beispielsweise steht eine solche gründliche Untersuchung noch aus.

Master-Passwort: Sicher muss es sein

Der „Tresor“, also die Datenbank, in der alle Passwörter gespeichert sind, wird stets verschlüsselt abgelegt. Als Schlüssel für diesen Tresor dient das Master-Passwort. Gelangt ein Dieb an die Datenbank – zum Beispiel, indem er das Endgerät stiehlt –, kann er die Passwörter in der Datenbank in diesem Fall trotzdem nicht lesen.

Er kann aber versuchen, das Master-Passwort zu knacken. Die Qualität des Master-Passwortes entscheidet darüber, wie einfach das geht. Ist es zu kurz oder aus Sicht der Knacksoftware zu einfach, dann hält es eventuell nur Minuten stand. Das Master-Passwort sollte ein mindestens zwölfstelliges Passwort sein, das aus zufälligen Sonderzeichen, Buchstaben und Zahlen besteht.

Mehr Faktoren, mehr Sicherheit

Der Schutz des Tresors lässt sich nochmals erhöhen durch den Einsatz von Zwei-Faktor-Authentifizierung. Neben dem bekannten Faktor Master-Passwort muss zum Entsperren des Tresors dann noch ein zweiter Faktor eingegeben werden.

Dieser zweite Faktor kann zum Beispiel ein Gegenstand sein – etwa ein sogenannter Yubikey, eine Art Schlüssel in Form eines USB-Sticks. Solange der Datendieb diesen nicht besitzt, verschafft ihm selbst ein geknacktes Master-Passwort keinen Zugriff. Gute Passwortmanager bieten Verfahren für die Zwei-Faktor-Authentifizierung an.

Lokal oder in der Cloud?

Der Passwortmanager kann den Tresor entweder lokal auf dem Smartphone oder Computer des Nutzers speichern oder in der Cloud, also auf einem Server im Internet.

Es mag auf den ersten Blick leichtsinnig anmuten, seine komplette Passwort-Sammlung auf einem Server im Internet zu speichern. Genau das ist aber nötig, um auf allen Endgeräten die aktuellen Passwörter parat zu haben.

Das Master-Passwort sollte dabei das Endgerät des Nutzers nie verlassen, wie es zum Beispiel bei LastPass der Fall ist. Dann kann der Cloud-Dienstanbieter selbst die Passwörter nicht lesen und das Master-Passwort kann nicht vom Server gestohlen werden.

Ist es schlau, alle Eier in einen Korb zu legen?

Natürlich ist ein solcher Passwort-Tresor ein reizvolles Ziel für Datendiebe. Seriösen Anbietern von Passwortmanagern ist das bewusst. Entsprechend hoch sind die Hürden, die sie einem Datendieb in den Weg legen.

Die Tresore sind – je nach Anbieter – mehrfach mit Verfahren verschlüsselt, bei denen selbst Profi-Passwortknacker nur langsam voran kommen. So braucht zur Zeit ein normaler PC bei den Standardeinstellungen von LastPass etwa zehn Jahre, um ein Passwort mit acht Zeichen (vier Kleinbuchstaben, zwei Ziffern und zwei Sonderzeichen) zu knacken. Ähnlich sieht das bei KeePass aus.

Diese Zahlen stammen von Jens Steube, dem Entwickler der bekannten Passwort-Knack-Software „hashcat„, der die Sicherheit von Passwörtern in verschiedenen Programmen regelmäßig testet.

Und auch die Erfahrung spricht für sich: Nach allem, was öffentlich bekannt ist, waren die großen Anbieter LastPass und 1Password bis heute nie von Attacken betroffen, bei denen massenhaft Kundendaten oder gar Passwort-Tresore in Gefahr waren.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!