Wer kann schon behaupten, alle benötigten Kennwörter im Gedächtnis zu haben? Je mehr Onlineangebote man nutzt, desto schwerer wird es, die Übersicht zu behalten. Eine elektronische Kennwortarchivierung wäre der Ausweg. Doch sind solche Programme wirklich sicher? Und was leisten die kleinen Helfer?
Im Zeitalter des Internets sind wir von unzähligen Passwörtern umgeben. Ob wir nun auf das Online-Banking, das Kreditkarten-Konto, dem E-Mail-Account oder ein Chat-Programm zugreifen wollen; zuallererst wird nach den Zugangsdaten gefragt. Kein Wunder also, dass manche Menschen die Übersicht verlieren und nicht mehr wissen, welche Zugangsdaten für welche Internetangebote sind. Am liebsten möchte man all die Kennwörter aufschreiben, doch dies wäre mit einem Sicherheitsrisiko verbunden. Würden die Daten nämlich in die falschen Hände geraten, wären geschäftliche und finanzielle Schäden die sichere Konsequenz. Benötigt wird also ein Archivierungssystem, das vor unbefugten Zugriffen sicher geschützt ist. Genau dies sollen sogenannte Kennwörtertresor-Programme bieten.
Das Prinzip dieser Programme ist simpel: Alle Zugangsdaten werden archiviert und mit einem Masterpasswort geschützt. Der Vorteil daran ist, dass man sich nur noch dieses eine Passwort merken muss, um auf all die sonstigen Zugangsdaten Zugriff zu haben. Oftmals ist auch eine gute Übersicht vorhanden, weil die Daten nach Kategorien (etwa für Bankgeschäfte, E-Mail Accounts etc.) abgespeichert werden können. Und auch das Einloggen gestaltet sich durch viele dieser Softwares komfortabler, denn man muss nicht mehr manuell die Webseite des betreffenden Internetangebots aufrufen. Stattdessen legt man einfach einen Link an, und bei Aufruf loggt sich das Programm mit den Zugangsdaten automatisch ein.
Die Sicherheit
Für Angreifer ist ein Kennworttresor-Programm gewisser Weise eine Schatzkiste. Dementsprechend aktiv sind Angreifer, um sich einen Zugriff zu verschaffen. Mit Spezialprogrammen werden Millionen mögliche Kennwörter ausprobiert, so dass ein unsicheres Passwort schon nach wenigen Sekunden geknackt ist. Sollte dies nicht funktionieren, greifen die Hacker gerne zu einer Software, mit der sich der Arbeitsspeicher auslesen lässt. Wenn die Daten des Programms hier unverschlüsselt hinterlegt sind, ist die Kennwort-Sammlung quasi ein offenes Buch. Aus diesen Gefahren ergibt sich, dass man zu einem Kennwörter-Programm größtes Vertrauen braucht. Als Benutzer möchte man wirklich absolut sicher sein, dass sich kein Angreifer einen Zugriff verschaffen kann.
Eben diese Sicherheit bietet leider nicht jede Software. Gerade als die Kennworttresor-Programme erstmalig den Markt überschwemmten, wiesen die meisten Softwares die gleiche Sicherheitslücke auf. Entweder das Masterpasswort oder die archivierten Zugangsdaten wurden unverschlüsselt im Arbeitsspeicher hinterlegt. In den Medien wurde auf dieses Problem mehrfach aufmerksam gemacht, und manche Hersteller haben tatsächlich darauf reagiert und diese Sicherheitslücke behoben. Bei allen Programmen ist dies aber noch nicht der Fall, daher richten wir unsere Aufmerksamkeit ausschließlich auf Softwares, die in dieser Hinsicht Sicherheit bieten.
Die Angebote im Internet
Wer sich für ein solches Programm interessiert, braucht gar nicht erst ein Fachportal aufzusuchen, denn die Auswahl ist verschwindend gering. Die Software wird teilweise kostenlos und teilweise kostenpflichtig angeboten.
Ein Kennwort-Eintrag bei Password Depot
Zu den Kostenpflichtigen zählt AceBIT Password Depot (Win). Mittlerweile in Version 4 erhältlich, steht sie zu einem Kaufpreis von 29,90 Euro zum Herunterladen bereit. Zuvor kann man sich die Testversion herunterladen und sich so einen Eindruck von dem Programm verschaffen. Dabei gefällt vor allem die leichte Bedienung. Nach Programmstart legt man eine Kennwörterdatei an und bestimmt das Masterpasswort, wobei man direkt angezeigt bekommt, ob das ausgewählte Kennwort wirklich sicher ist. Die Software ist dabei sehr streng. Ein Passwort mit vier Ziffern und einem englischsprachigen Wort wird zum Beipsiel von dem Freemail-Anbieter GMX als sicher eingestuft, doch bei AceBit gilt es als unzureichend. Positiv ist auch, dass man sich vom Programm ein sicheres Passwort generieren lassen kann.
Nachdem diese Einrichtung beendet ist, wendet man sich dem Anlegen der Kennwort-Einträge zu. Nach einem Klick auf den Button “Hinzufügen” erscheint ein entsprechendes Fenster, wo man das jeweilige Kennwort, den Benutzername und die URL eingibt, damit sich das Programm eigenständig einloggen kann. Auch bei dem Anlegen eines solchen Kennwort-Eintrags wird wieder geprüft, ob das Passwort sicher ist. Mit hoher Wahrscheinlichkeit entdeckt man dabei, dass das ein oder andere Passwort nicht ausreichend sicher war.
Wer sich hingegen für ein kostenloses Programm entscheidet, sollte vorsichtig sein. Denn nicht jede Software ist wirklich vor Angriffen geschützt. Wie bereits erwähnt wurde, weisen viele Programme die Schwäche auf, dass die Passwörter unverschlüsselt im Arbeitsspeicher hinterlegt werden. Sich einfach für ein beliebiges Programm zu entscheiden, könnte also ein Fehler mit schwerwiegenden Konsequenzen sein.
Man muss darauf achten, welche Programme relativ sicher sind. Dazu zählen Password Safe, Keepass (auch Mac und Linux) und Alle meine Passworte. Letztere Beiden bieten sogar eine deutsche Sprachausgabe. Ansonsten gestaltet sich die Bedienung dieser drei Softwares sehr ähnlich: Einen neuen Kennwort-Eintrag aufrufen, die vorgefertigten Felder ausfüllen und schon ist der Vorgang abgeschlossen. Die drei Programme erscheinen zwar nicht so übersichtlich wie AceBit und bieten auch weniger Einstellungsmöglichkeiten, reichen für den einfachen Gebrauch aber völlig aus.
All meine Passworte steht kostenlos zum Herunterladen bereit
Einziger Wermutstropfen ist, dass auch die sichersten Programme noch keinen kompletten Schutz vor sogenannten Brute Force Angriffen (auch bekannt als Wörterbuchattacken) bieten. Sie können lediglich die Erfolgswahrscheinlichkeit eines solchen Angriffs begrenzen. Und dabei macht das kostenpflichtige Password Depot den besten Job. Weil nach der Eingabe eines falschen Passwortes eine kleine Zwangspause (0,8 Sekunden) eingelegt wird, wäre hier eine effektive Wörterbuchattacke mit einem Aufwand von Tagen, Monaten oder gar Jahren verbunden; je nachdem wie sicher das Passwort eben ist.
Das richtige Masterpasswort
Die Wahl des Masterpasswortes muss gut überlegt sein. Schließlich schützt man mit diesem einen Kennwort alle vorhandenen Zugangsdaten. Dass das eigene Geburtsdatum oder der Name der Freundin nicht unbedingt ideal geeignet ist, dürfte weitestgehend bekannt sein. Doch welches Passwort ist nun wirklich sicher? Wenn das Programm keine Passwort-Generierung ermöglicht und man sich nicht selber mit der Frage nach dem sicheren Passwort beschäftigen möchte, nutzt man einfach die Hilfe einer passenden Software. Der Passwort Generator kann beispielsweise kostenlos heruntergeladen werden und erstellt nach wenigen Klicks ein sicheres Passwort.
Wer mit der englischen Sprache nicht vertraut ist, kann unter “Extras” die deutsche Sprache auswählen. Die Bedienung gestaltet sich dann relativ leicht. Unter den einfachen bzw. erweiterten Einstellungen darf man einige Wünsche zum Passwort angeben (etwa lang oder kurz, “leicht zu merkendes Passwort” oder “leicht zu lesendes Passwort”). Je mehr Spielraum man dem Programm lässt, indem man zum Beispiel das Verwenden von Sonderzeichen gestattet, desto ein sichereres Passwort kann auch generiert werden. Sind alle Einstellungen getätigt, klickt man auf den Button “Generieren” und das Programm spuckt 23 passende Kennwörter aus, die den angegebenen Wunschvorstellungen entsprechen.
Verschiedene Voreinstellungen führen beim Passwort Generator zum gewünschten Kennwort
21 Antworten
Welches dieser Programme läuft im Hintergrund mit und füllt Formulare auf eine Tastenkombination hin automatisch mit den Logindaten aus? Das ewige Fenster wechseln, Username kopieren, Fenster wechseln, Username einfügen, Feld wechseln, Fenster wechseln, Passwort kopieren, Fenster wechseln, Passwort einfügen – ist ziemlich nervig. Welche(s) der genannten Programme kann das – und wie gut?
ich nutze keepass, und dort ist es relativ einfach! ein passwort einzusezten.
in dem man einfach das gewünschte passwort markiert und strg+v drückt (wie einfügen) keepass wechselt dann zur letzt aktiven anwedung und “tippt” benutzername und passwort ein.
es gibt auch noch plugins für eine besser browser integration ich hab sie mir aber noch nicht näher angesehen.
http://www.keepass.info/plugins.html
Was hier fehlt, ist der Umstand, dass man im Prinzip bei jeder Verschlüsselungssoftware eine gewisse Vorsicht an den Tag legen sollte, wenn der Quellcode nicht öffentlich verfügbar ist. Die kommerziellen Produkte sind da schon mal weitgehend außen vor.
Bei KeePass kommt ein Vorteil hinzu, es gibt den Client für verschiedene Betriebssysteme und alle nutzen das gleiche Dateiformat. Das macht es sehr einfach, eine Schlüsseldatei beispielsweise auf einen Windows-Mobile-Client zu synchronisieren und mit dem Windows-Mobile-Client zu öffnen. Vorbei die Zeiten, in denen man die Passwörter nicht parat hatte.
@Thomas: Ob es die anderen Programme können, weiß ich nicht – KeePass kann es.
Man sollte in dem Fall auf Online-Tools verzichten, da hier die Sicherheit geringer ist als bei Offline-Safes.
Kostenlos, empfehlenswert, portabel (USB-Stick in der Hosentasche) und vor allem in einer einzigen Datei ist Safey: http://www.safey.de.
Nutze ich und bin zufrieden.
Safey erstellt auf Wunsch sichere Passwörter. Es verschlüsselt den gesamten Inhalt inklusive Masterpasswort mit dem Blowfish-Algorithmus und einem 448-Bit-Schlüssel. Läuft ohne Installation direkt vom USB-Stick. Man kann Notizen erfassen und auch Dateien verschlüsseln. Einfach mal ausprobieren.
Nachteil: nur für Windows
Ein weiterer Nachteil: die genannten Programme laufen nur unter Windows. Gibt es auch gute Alternativen für Linux?
Eine Ergänzung zur “Zwangspause” als Schutz gegen Wörterbuch-Angriffe: Zum einen ist dieses Vorgehen sinnlos, wenn sie nur durch eine software-technische Pause erzeugt wird und nicht durch hohen Rechenaufwand – ob das bei “Password Depot” so ist, kann man nicht sagen, da kein Quelltext einsehbar ist.
Dasselbe Feature (und zwar richtig implementiert) bietet übrigens auch das kostenlose KeePass: In den Datenbankeinstellungen kann man im Registerreiter Sicherheit die Anzahl der Schlüsseltransformationen einstellen – das ist die Anzahl an Operationen, die auf das eingegebene Masterpasswort ausgeführt wird. Mit einem Klick auf die blaue Schrift darunter bestimmt Keepass die Anzahl, die auf dem eigenen Rechner 1 Sekunde lang dauert (jeder Passwort-Versuch braucht damit auf dem eigenen Rechner 1 Sekunde, eine prima Zeit gegen Wörterbuchangriffe). Die Einstellung gilt afaik nur für neue Datenbanken, bei einer bestehenden Datenbank muß man vermutlich einmalig ein neues Masterpasswort setzen.
Die meisten Passwörter stammen üblicherweise aus den dutzenden von Webanwendungen, Foren, etc… hierfür gibt es eine elegantere Lösung als das Nachschlagen in einem externen Programm in Form von Firefox-Plugins wie Password Hasher. Ich habe hier vor geraumer Zeit eine Übersicht über die Funktionsweise dieses Ansatzes geschrieben.
Ich persönlich muss da ganz offen sagen das ich meine Passwörter alle im Firefox abspeicher und dann ein Masterkennwort vergebe.
Ob der Firefox diese sicher “für sich” behält etc. ist dahin gestellt und kann ich nicht fachkundig beurteilen, jedoch denke ich, hat er die genauso “sicher” im System wie die Auswahl an PW Speicher-Systemen.
Viele Grüße aus Leipzig