Kennwörterarchivierung – Ein sicheres System für meine Passwörter?
Wer kann schon behaupten, alle benötigten Kennwörter im Gedächtnis zu haben? Je mehr Onlineangebote man nutzt, desto schwerer wird es, die Übersicht zu behalten. Eine elektronische Kennwortarchivierung wäre der Ausweg. Doch sind solche Programme wirklich sicher? Und was leisten die kleinen Helfer?
Im Zeitalter des Internets sind wir von unzähligen Passwörtern umgeben. Ob wir nun auf das Online-Banking, das Kreditkarten-Konto, dem E-Mail-Account oder ein Chat-Programm zugreifen wollen; zuallererst wird nach den Zugangsdaten gefragt. Kein Wunder also, dass manche Menschen die Übersicht verlieren und nicht mehr wissen, welche Zugangsdaten für welche Internetangebote sind. Am liebsten möchte man all die Kennwörter aufschreiben, doch dies wäre mit einem Sicherheitsrisiko verbunden. Würden die Daten nämlich in die falschen Hände geraten, wären geschäftliche und finanzielle Schäden die sichere Konsequenz. Benötigt wird also ein Archivierungssystem, das vor unbefugten Zugriffen sicher geschützt ist. Genau dies sollen sogenannte Kennwörtertresor-Programme bieten.
Das Prinzip dieser Programme ist simpel: Alle Zugangsdaten werden archiviert und mit einem Masterpasswort geschützt. Der Vorteil daran ist, dass man sich nur noch dieses eine Passwort merken muss, um auf all die sonstigen Zugangsdaten Zugriff zu haben. Oftmals ist auch eine gute Übersicht vorhanden, weil die Daten nach Kategorien (etwa für Bankgeschäfte, E-Mail Accounts etc.) abgespeichert werden können. Und auch das Einloggen gestaltet sich durch viele dieser Softwares komfortabler, denn man muss nicht mehr manuell die Webseite des betreffenden Internetangebots aufrufen. Stattdessen legt man einfach einen Link an, und bei Aufruf loggt sich das Programm mit den Zugangsdaten automatisch ein.
Die Sicherheit
Für Angreifer ist ein Kennworttresor-Programm gewisser Weise eine Schatzkiste. Dementsprechend aktiv sind Angreifer, um sich einen Zugriff zu verschaffen. Mit Spezialprogrammen werden Millionen mögliche Kennwörter ausprobiert, so dass ein unsicheres Passwort schon nach wenigen Sekunden geknackt ist. Sollte dies nicht funktionieren, greifen die Hacker gerne zu einer Software, mit der sich der Arbeitsspeicher auslesen lässt. Wenn die Daten des Programms hier unverschlüsselt hinterlegt sind, ist die Kennwort-Sammlung quasi ein offenes Buch. Aus diesen Gefahren ergibt sich, dass man zu einem Kennwörter-Programm größtes Vertrauen braucht. Als Benutzer möchte man wirklich absolut sicher sein, dass sich kein Angreifer einen Zugriff verschaffen kann.
Eben diese Sicherheit bietet leider nicht jede Software. Gerade als die Kennworttresor-Programme erstmalig den Markt überschwemmten, wiesen die meisten Softwares die gleiche Sicherheitslücke auf. Entweder das Masterpasswort oder die archivierten Zugangsdaten wurden unverschlüsselt im Arbeitsspeicher hinterlegt. In den Medien wurde auf dieses Problem mehrfach aufmerksam gemacht, und manche Hersteller haben tatsächlich darauf reagiert und diese Sicherheitslücke behoben. Bei allen Programmen ist dies aber noch nicht der Fall, daher richten wir unsere Aufmerksamkeit ausschließlich auf Softwares, die in dieser Hinsicht Sicherheit bieten.
Die Angebote im Internet
Wer sich für ein solches Programm interessiert, braucht gar nicht erst ein Fachportal aufzusuchen, denn die Auswahl ist verschwindend gering. Die Software wird teilweise kostenlos und teilweise kostenpflichtig angeboten.
Ein Kennwort-Eintrag bei Password Depot
Zu den Kostenpflichtigen zählt AceBIT Password Depot (Win). Mittlerweile in Version 4 erhältlich, steht sie zu einem Kaufpreis von 29,90 Euro zum Herunterladen bereit. Zuvor kann man sich die Testversion herunterladen und sich so einen Eindruck von dem Programm verschaffen. Dabei gefällt vor allem die leichte Bedienung. Nach Programmstart legt man eine Kennwörterdatei an und bestimmt das Masterpasswort, wobei man direkt angezeigt bekommt, ob das ausgewählte Kennwort wirklich sicher ist. Die Software ist dabei sehr streng. Ein Passwort mit vier Ziffern und einem englischsprachigen Wort wird zum Beipsiel von dem Freemail-Anbieter GMX als sicher eingestuft, doch bei AceBit gilt es als unzureichend. Positiv ist auch, dass man sich vom Programm ein sicheres Passwort generieren lassen kann.
Nachdem diese Einrichtung beendet ist, wendet man sich dem Anlegen der Kennwort-Einträge zu. Nach einem Klick auf den Button „Hinzufügen“ erscheint ein entsprechendes Fenster, wo man das jeweilige Kennwort, den Benutzername und die URL eingibt, damit sich das Programm eigenständig einloggen kann. Auch bei dem Anlegen eines solchen Kennwort-Eintrags wird wieder geprüft, ob das Passwort sicher ist. Mit hoher Wahrscheinlichkeit entdeckt man dabei, dass das ein oder andere Passwort nicht ausreichend sicher war.
Wer sich hingegen für ein kostenloses Programm entscheidet, sollte vorsichtig sein. Denn nicht jede Software ist wirklich vor Angriffen geschützt. Wie bereits erwähnt wurde, weisen viele Programme die Schwäche auf, dass die Passwörter unverschlüsselt im Arbeitsspeicher hinterlegt werden. Sich einfach für ein beliebiges Programm zu entscheiden, könnte also ein Fehler mit schwerwiegenden Konsequenzen sein.
Man muss darauf achten, welche Programme relativ sicher sind. Dazu zählen Password Safe, Keepass (auch Mac und Linux) und Alle meine Passworte. Letztere Beiden bieten sogar eine deutsche Sprachausgabe. Ansonsten gestaltet sich die Bedienung dieser drei Softwares sehr ähnlich: Einen neuen Kennwort-Eintrag aufrufen, die vorgefertigten Felder ausfüllen und schon ist der Vorgang abgeschlossen. Die drei Programme erscheinen zwar nicht so übersichtlich wie AceBit und bieten auch weniger Einstellungsmöglichkeiten, reichen für den einfachen Gebrauch aber völlig aus.
All meine Passworte steht kostenlos zum Herunterladen bereit
Einziger Wermutstropfen ist, dass auch die sichersten Programme noch keinen kompletten Schutz vor sogenannten Brute Force Angriffen (auch bekannt als Wörterbuchattacken) bieten. Sie können lediglich die Erfolgswahrscheinlichkeit eines solchen Angriffs begrenzen. Und dabei macht das kostenpflichtige Password Depot den besten Job. Weil nach der Eingabe eines falschen Passwortes eine kleine Zwangspause (0,8 Sekunden) eingelegt wird, wäre hier eine effektive Wörterbuchattacke mit einem Aufwand von Tagen, Monaten oder gar Jahren verbunden; je nachdem wie sicher das Passwort eben ist.
Das richtige Masterpasswort
Die Wahl des Masterpasswortes muss gut überlegt sein. Schließlich schützt man mit diesem einen Kennwort alle vorhandenen Zugangsdaten. Dass das eigene Geburtsdatum oder der Name der Freundin nicht unbedingt ideal geeignet ist, dürfte weitestgehend bekannt sein. Doch welches Passwort ist nun wirklich sicher? Wenn das Programm keine Passwort-Generierung ermöglicht und man sich nicht selber mit der Frage nach dem sicheren Passwort beschäftigen möchte, nutzt man einfach die Hilfe einer passenden Software. Der Passwort Generator kann beispielsweise kostenlos heruntergeladen werden und erstellt nach wenigen Klicks ein sicheres Passwort.
Wer mit der englischen Sprache nicht vertraut ist, kann unter „Extras“ die deutsche Sprache auswählen. Die Bedienung gestaltet sich dann relativ leicht. Unter den einfachen bzw. erweiterten Einstellungen darf man einige Wünsche zum Passwort angeben (etwa lang oder kurz, „leicht zu merkendes Passwort“ oder „leicht zu lesendes Passwort“). Je mehr Spielraum man dem Programm lässt, indem man zum Beispiel das Verwenden von Sonderzeichen gestattet, desto ein sichereres Passwort kann auch generiert werden. Sind alle Einstellungen getätigt, klickt man auf den Button „Generieren“ und das Programm spuckt 23 passende Kennwörter aus, die den angegebenen Wunschvorstellungen entsprechen.
Verschiedene Voreinstellungen führen beim Passwort Generator zum gewünschten Kennwort
Suche eine software die die passwörter in email konten wie yahoo, google, outlook usw. in regelmäßigen Zeitabständen automatisch und zentral gesteuert ändert ohne dass man das ganze immer wieder manual durch führen muss
Ich finde den Artikel ziemlich seltsam, auch wenn man aus den Kommentaren sicherlich noch etwas nützliches mitnehmen kann (v. A. wenn man als OS-X-Neuling noch nicht auf 1Password gestoßen sein sollte).
Die stärksten Vorbehalte habe ich hinsichtlich des Sicherheitsaspektes, denn das mit der Zwangspause ist imho mittelschwerer Unsinn. Wenn jemand den Schutz mit Brute Force umgehen will, wird er die Datenbank angreifen und nicht pro Sekunde mehrere Kombinationen artig in ein Textfeld eingeben. Woran man erkennt, dass die Programme „relativ sicher sind“ wird leider auch so gar nicht erläutert.
Ansonsten … joa, das wahrscheinlich (zweit-)interessanteste Kriterium, die Browserintegration, wird gar nicht angesprochen. Die als Einleitung beschriebene Problematik der zahlreichen zu merkenden Passworte existiert in der Praxis wohl nicht, da auch jeder Browser Anmeldedaten speichert. Dass der beste Passwort-Safe nichts nutzt, wenn man die Daten parallel im Browser ablegt, hätte sicher auch einer Erwähnung bedurft.
Was bleibt, sind ein paar mehr oder weniger willkürliche Namensnennungen von Programmen und der Rat, sichere Passwörter zu verwenden.
…lastpass.com mit firefox-plugin – so sicher, wie man sein kann, wenn man seine Passwörter Dritten anvertraut…. Ist aber einen Test immer wert…
Ich verwende Steganos LockNote (Freeware).
Ich nutze auch KeePass. Sehr gut finde ich die besondere Festlegung eines Masterpasswortes (wobei ich aber nicht weiß, inwiefern das andere Programme ebenfalls anbieten):
Anstatt eines eintippbaren Passwortes kann man auch eine KEY-Datei erstellen lassen, die man dann z.B. auf einem USB-Stick speichern kann (und auch noch mindestens einmal sichern sollte) und beim Programmstart auswählt. Eine Absicherung über eine solche externe Zufallsdatei ist wohl – zumindest vergleichsweise – ziemlich sicher Brute-Force-Angriffen gegenüber. Wer mag, kann auch beide Methoden miteinander kombinieren.
Ich speichere all meine Passwörter in einem TiddlyWiki, in dem ich auch meine Kontakte, Aufgaben und Notizen verwalte. Das Ganze ist mit dem TiddlerEncryptionPlugin verschlüsselt und begleitet mich immer auf meinem USB-Stick.
Nachteil: Keine Extras wie automatisches Login oder Passwort-Generierung.
Vorteil: Plattformunabhängig, da es nur einen Javascript-fähigen Browser benötigt (soll sogar auf einigen Smartphones laufen). Das verschlüsselte TW kann man auch auf einen Webserver legen und so online darauf zugreifen.
Früher habe ich KeePass genutzt, weil es die Software auch für alle wichtigen OS gibt. Aber schöner, als eine Software überall installieren zu können, finde ich es, erst gar keine installieren zu müssen ;-)
Auf dem Mac: 1Password. Einfach zu bedienen, schön in die Browser integriert und vermutlich recht sicher (nachprüfen ist da ja schwierig)
Das ist ja fast wie meins: 1passwort.
Vielleicht doch ein bißchen unsicher…
Ich verwende 1password.
Ich habe die unwichtigeren Paßwörter wie für Flickr im Browser gespeichert. Ausgenommen natürlich Safari. Dem würde ich niemals irgendwelche Daten anvertrauen.
Alle Paßwörter, bei denen es um Geld geht, stehen auf einem handgeschriebenen Zettel. Ich gebe sie bei Bedarf über die virtuelle Tastatur meines AV-Programms ein.
Ist alles eine Frage von Vertrauen. Ich benutze 1 Password Pro und fühle mich damit gut aufgehoben. Die Speicherverschlüsselung macht das meines Erachtens auch. KeePass finde ich auch gut, aber an einigen Stellen etwas unübersichtlich.
unter http://keepass.info/download.html gibts keepass auch für linux und diverse andere systeme –> mac
Anm. der Redaktion: steht doch genau so im beitrag, sascha.
Ich benutzte bereits seit ein paar Jahren Roboform (http://www.roboform.com/) und bin damit sehr zufrieden.
Sehr praktisch sind z.B. auch die Identitäten, mit denen man z.B. mit einem Klick auf einer noch nie besuchten Seite alle Personendaten (z.B. bei einer Bestellung) ausfüllen lassen kann.
Hi,
ich bin absolut beigeistert von Foxmarks. Das ist ein Firefox-Plugin, dass neben Bookmark-Synchronisierung über mehrere PCs hinweg auch Passwörter synchron hält und mit einem Master-Passwort sichert. Die hinterlegten Passwörter werden automatisch eingetragen, wenn das Plugin aktiv ist.
Grüße aus dem sonnigen Marburg an der Lahn
Ich persönlich muss da ganz offen sagen das ich meine Passwörter alle im Firefox abspeicher und dann ein Masterkennwort vergebe.
Ob der Firefox diese sicher „für sich“ behält etc. ist dahin gestellt und kann ich nicht fachkundig beurteilen, jedoch denke ich, hat er die genauso „sicher“ im System wie die Auswahl an PW Speicher-Systemen.
Viele Grüße aus Leipzig
Eine Ergänzung zur „Zwangspause“ als Schutz gegen Wörterbuch-Angriffe: Zum einen ist dieses Vorgehen sinnlos, wenn sie nur durch eine software-technische Pause erzeugt wird und nicht durch hohen Rechenaufwand – ob das bei „Password Depot“ so ist, kann man nicht sagen, da kein Quelltext einsehbar ist.
Dasselbe Feature (und zwar richtig implementiert) bietet übrigens auch das kostenlose KeePass: In den Datenbankeinstellungen kann man im Registerreiter Sicherheit die Anzahl der Schlüsseltransformationen einstellen – das ist die Anzahl an Operationen, die auf das eingegebene Masterpasswort ausgeführt wird. Mit einem Klick auf die blaue Schrift darunter bestimmt Keepass die Anzahl, die auf dem eigenen Rechner 1 Sekunde lang dauert (jeder Passwort-Versuch braucht damit auf dem eigenen Rechner 1 Sekunde, eine prima Zeit gegen Wörterbuchangriffe). Die Einstellung gilt afaik nur für neue Datenbanken, bei einer bestehenden Datenbank muß man vermutlich einmalig ein neues Masterpasswort setzen.
Die meisten Passwörter stammen üblicherweise aus den dutzenden von Webanwendungen, Foren, etc… hierfür gibt es eine elegantere Lösung als das Nachschlagen in einem externen Programm in Form von Firefox-Plugins wie Password Hasher. Ich habe hier vor geraumer Zeit eine Übersicht über die Funktionsweise dieses Ansatzes geschrieben.
Ein weiterer Nachteil: die genannten Programme laufen nur unter Windows. Gibt es auch gute Alternativen für Linux?
Man sollte in dem Fall auf Online-Tools verzichten, da hier die Sicherheit geringer ist als bei Offline-Safes.
Kostenlos, empfehlenswert, portabel (USB-Stick in der Hosentasche) und vor allem in einer einzigen Datei ist Safey: http://www.safey.de.
Nutze ich und bin zufrieden.
Safey erstellt auf Wunsch sichere Passwörter. Es verschlüsselt den gesamten Inhalt inklusive Masterpasswort mit dem Blowfish-Algorithmus und einem 448-Bit-Schlüssel. Läuft ohne Installation direkt vom USB-Stick. Man kann Notizen erfassen und auch Dateien verschlüsseln. Einfach mal ausprobieren.
Nachteil: nur für Windows
Was hier fehlt, ist der Umstand, dass man im Prinzip bei jeder Verschlüsselungssoftware eine gewisse Vorsicht an den Tag legen sollte, wenn der Quellcode nicht öffentlich verfügbar ist. Die kommerziellen Produkte sind da schon mal weitgehend außen vor.
Bei KeePass kommt ein Vorteil hinzu, es gibt den Client für verschiedene Betriebssysteme und alle nutzen das gleiche Dateiformat. Das macht es sehr einfach, eine Schlüsseldatei beispielsweise auf einen Windows-Mobile-Client zu synchronisieren und mit dem Windows-Mobile-Client zu öffnen. Vorbei die Zeiten, in denen man die Passwörter nicht parat hatte.
@Thomas: Ob es die anderen Programme können, weiß ich nicht – KeePass kann es.
ich nutze keepass, und dort ist es relativ einfach! ein passwort einzusezten.
in dem man einfach das gewünschte passwort markiert und strg+v drückt (wie einfügen) keepass wechselt dann zur letzt aktiven anwedung und „tippt“ benutzername und passwort ein.
es gibt auch noch plugins für eine besser browser integration ich hab sie mir aber noch nicht näher angesehen.
http://www.keepass.info/plugins.html
Welches dieser Programme läuft im Hintergrund mit und füllt Formulare auf eine Tastenkombination hin automatisch mit den Logindaten aus? Das ewige Fenster wechseln, Username kopieren, Fenster wechseln, Username einfügen, Feld wechseln, Fenster wechseln, Passwort kopieren, Fenster wechseln, Passwort einfügen – ist ziemlich nervig. Welche(s) der genannten Programme kann das – und wie gut?