Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Oliver Jensen 6. April 2009

Kennwörterarchivierung – Ein sicheres System für meine Passwörter?

Kein Beitragsbild

Wer kann schon behaup­ten, alle benö­tig­ten Kennwörter im Gedächtnis zu haben? Je mehr Onlineangebote man nutzt, des­to schwe­rer wird es, die Übersicht zu behal­ten. Eine elek­tro­ni­sche Kennwortarchivierung wäre der Ausweg. Doch sind sol­che Programme wirk­lich sicher? Und was leis­ten die klei­nen Helfer?

Im Zeitalter des Internets sind wir von unzäh­li­gen Passwörtern umge­ben. Ob wir nun auf das Online-Banking, das Kreditkarten-Konto, dem E-Mail-Account oder ein Chat-Programm zugrei­fen wol­len; zual­ler­erst wird nach den Zugangsdaten gefragt. Kein Wunder also, dass man­che Menschen die Übersicht ver­lie­ren und nicht mehr wis­sen, wel­che Zugangsdaten für wel­che Internetangebote sind. Am liebs­ten möch­te man all die Kennwörter auf­schrei­ben, doch dies wäre mit einem Sicherheitsrisiko ver­bun­den. Würden die Daten näm­lich in die fal­schen Hände gera­ten, wären geschäft­li­che und finan­zi­el­le Schäden die siche­re Konsequenz. Benötigt wird also ein Archivierungssystem, das vor unbe­fug­ten Zugriffen sicher geschützt ist. Genau dies sol­len soge­nann­te Kennwörtertresor-Programme bie­ten.

Das Prinzip die­ser Programme ist sim­pel: Alle Zugangsdaten wer­den archi­viert und mit einem Masterpasswort geschützt. Der Vorteil dar­an ist, dass man sich nur noch die­ses eine Passwort mer­ken muss, um auf all die sons­ti­gen Zugangsdaten Zugriff zu haben. Oftmals ist auch eine gute Übersicht vor­han­den, weil die Daten nach Kategorien (etwa für Bankgeschäfte, E-Mail Accounts etc.) abge­spei­chert wer­den kön­nen. Und auch das Einloggen gestal­tet sich durch vie­le die­ser Softwares kom­for­ta­bler, denn man muss nicht mehr manu­ell die Webseite des betref­fen­den Internetangebots auf­ru­fen. Stattdessen legt man ein­fach einen Link an, und bei Aufruf loggt sich das Programm mit den Zugangsdaten auto­ma­tisch ein.

Die Sicherheit

Für Angreifer ist ein Kennworttresor-Programm gewis­ser Weise eine Schatzkiste. Dementsprechend aktiv sind Angreifer, um sich einen Zugriff zu ver­schaf­fen. Mit Spezialprogrammen wer­den Millionen mög­li­che Kennwörter aus­pro­biert, so dass ein unsi­che­res Passwort schon nach weni­gen Sekunden geknackt ist. Sollte dies nicht funk­tio­nie­ren, grei­fen die Hacker ger­ne zu einer Software, mit der sich der Arbeitsspeicher aus­le­sen lässt. Wenn die Daten des Programms hier unver­schlüs­selt hin­ter­legt sind, ist die Kennwort-Sammlung qua­si ein offe­nes Buch. Aus die­sen Gefahren ergibt sich, dass man zu einem Kennwörter-Programm größ­tes Vertrauen braucht. Als Benutzer möch­te man wirk­lich abso­lut sicher sein, dass sich kein Angreifer einen Zugriff ver­schaf­fen kann.

Eben die­se Sicherheit bie­tet lei­der nicht jede Software. Gerade als die Kennworttresor-Programme erst­ma­lig den Markt über­schwemm­ten, wie­sen die meis­ten Softwares die glei­che Sicherheitslücke auf. Entweder das Masterpasswort oder die archi­vier­ten Zugangsdaten wur­den unver­schlüs­selt im Arbeitsspeicher hin­ter­legt. In den Medien wur­de auf die­ses Problem mehr­fach auf­merk­sam gemacht, und man­che Hersteller haben tat­säch­lich dar­auf reagiert und die­se Sicherheitslücke beho­ben. Bei allen Programmen ist dies aber noch nicht der Fall, daher rich­ten wir unse­re Aufmerksamkeit aus­schließ­lich auf Softwares, die in die­ser Hinsicht Sicherheit bie­ten.

Die Angebote im Internet

Wer sich für ein sol­ches Programm inter­es­siert, braucht gar nicht erst ein Fachportal auf­zu­su­chen, denn die Auswahl ist ver­schwin­dend gering. Die Software wird teil­wei­se kos­ten­los und teil­wei­se kos­ten­pflich­tig ange­bo­ten.


Ein Kennwort-Eintrag bei Password Depot

Zu den Kostenpflichtigen zählt AceBIT Password Depot (Win).  Mittlerweile in Version 4 erhält­lich, steht sie zu einem Kaufpreis von 29,90 Euro zum Herunterladen bereit. Zuvor kann man sich die Testversion her­un­ter­la­den und sich so einen Eindruck von dem Programm ver­schaf­fen. Dabei gefällt vor allem die leich­te Bedienung. Nach Programmstart legt man eine Kennwörterdatei an und bestimmt das Masterpasswort, wobei man direkt ange­zeigt bekommt, ob das aus­ge­wähl­te Kennwort wirk­lich sicher ist. Die Software ist dabei sehr streng. Ein Passwort mit vier Ziffern und einem eng­lisch­spra­chi­gen Wort wird zum Beipsiel von dem Freemail-Anbieter GMX als sicher ein­ge­stuft, doch bei AceBit gilt es als unzu­rei­chend. Positiv ist auch, dass man sich vom Programm ein siche­res Passwort gene­rie­ren las­sen kann.

Nachdem die­se Einrichtung been­det ist, wen­det man sich dem Anlegen der Kennwort-Einträge zu. Nach einem Klick auf den Button “Hinzufügen” erscheint ein ent­spre­chen­des Fenster, wo man das jewei­li­ge Kennwort, den Benutzername und die URL ein­gibt, damit sich das Programm eigen­stän­dig ein­log­gen kann. Auch bei dem Anlegen eines sol­chen Kennwort-Eintrags wird wie­der geprüft, ob das Passwort sicher ist. Mit hoher Wahrscheinlichkeit ent­deckt man dabei, dass das ein oder ande­re Passwort nicht aus­rei­chend sicher war.

Wer sich hin­ge­gen für ein kos­ten­lo­ses Programm ent­schei­det, soll­te vor­sich­tig sein. Denn nicht jede Software ist wirk­lich vor Angriffen geschützt. Wie bereits erwähnt wur­de, wei­sen vie­le Programme die Schwäche auf, dass die Passwörter unver­schlüs­selt im Arbeitsspeicher hin­ter­legt wer­den. Sich ein­fach für ein belie­bi­ges Programm zu ent­schei­den, könn­te also ein Fehler mit schwer­wie­gen­den Konsequenzen sein.

Man muss dar­auf ach­ten, wel­che Programme rela­tiv sicher sind. Dazu zäh­len Password Safe, Keepass (auch Mac und Linux) und Alle mei­ne Passworte. Letztere Beiden bie­ten sogar eine deut­sche Sprachausgabe. Ansonsten gestal­tet sich die Bedienung die­ser drei Softwares sehr ähn­lich: Einen neu­en Kennwort-Eintrag auf­ru­fen, die vor­ge­fer­tig­ten Felder aus­fül­len und schon ist der Vorgang abge­schlos­sen. Die drei Programme erschei­nen zwar nicht so über­sicht­lich wie AceBit und bie­ten auch weni­ger Einstellungsmöglichkeiten, rei­chen für den ein­fa­chen Gebrauch aber völ­lig aus.


All mei­ne Passworte steht kos­ten­los zum Herunterladen bereit

Einziger Wermutstropfen ist, dass auch die sichers­ten Programme noch kei­nen kom­plet­ten Schutz vor soge­nann­ten Brute Force Angriffen (auch bekannt als Wörterbuchattacken) bie­ten. Sie kön­nen ledig­lich die Erfolgswahrscheinlichkeit eines sol­chen Angriffs begren­zen. Und dabei macht das kos­ten­pflich­ti­ge Password Depot den bes­ten Job. Weil nach der Eingabe eines fal­schen Passwortes eine klei­ne Zwangspause (0,8 Sekunden) ein­ge­legt wird, wäre hier eine effek­ti­ve Wörterbuchattacke mit einem Aufwand von Tagen, Monaten oder gar Jahren ver­bun­den; je nach­dem wie sicher das Passwort eben ist.

Das richtige Masterpasswort

Die Wahl des Masterpasswortes muss gut über­legt sein. Schließlich schützt man mit die­sem einen Kennwort alle vor­han­de­nen Zugangsdaten. Dass das eige­ne Geburtsdatum oder der Name der Freundin nicht unbe­dingt ide­al geeig­net ist, dürf­te wei­test­ge­hend bekannt sein. Doch wel­ches Passwort ist nun wirk­lich sicher? Wenn das Programm kei­ne Passwort-Generierung ermög­licht und man sich nicht sel­ber mit der Frage nach dem siche­ren Passwort beschäf­ti­gen möch­te, nutzt man ein­fach die Hilfe einer pas­sen­den Software. Der Passwort Generator kann bei­spiels­wei­se kos­ten­los her­un­ter­ge­la­den wer­den und erstellt nach weni­gen Klicks ein siche­res Passwort.

Wer mit der eng­li­schen Sprache nicht ver­traut ist, kann unter “Extras” die deut­sche Sprache aus­wäh­len. Die Bedienung gestal­tet sich dann rela­tiv leicht. Unter den ein­fa­chen bzw. erwei­ter­ten Einstellungen darf man eini­ge Wünsche zum Passwort ange­ben (etwa lang oder kurz, “leicht zu mer­ken­des Passwort” oder “leicht zu lesen­des Passwort”). Je mehr Spielraum man dem Programm lässt, indem man zum Beispiel das Verwenden von Sonderzeichen gestat­tet, des­to ein siche­re­res Passwort kann auch gene­riert wer­den. Sind alle Einstellungen getä­tigt, klickt man auf den Button “Generieren” und das Programm spuckt 23 pas­sen­de Kennwörter aus, die den ange­ge­be­nen Wunschvorstellungen ent­spre­chen.


Verschiedene Voreinstellungen füh­ren beim Passwort Generator zum gewünsch­ten Kennwort

Oliver Jensen

arbeitet als freiberuflicher Texter und Journalist und ist für Zeitschriften, Redaktionen und verschiedene Firmen tätig. Bevor er diesen Werdegang einschlug, konzentrierte er sich auf die dramaturgischen Aufgaben, wobei er ein Theaterstück und Drehbücher für Kurzfilme und Showreels schrieb.

21 Kommentare

  1. Suche eine soft­ware die die pass­wör­ter in email kon­ten wie yahoo, goog­le, out­look usw. in regel­mä­ßi­gen Zeitabständen auto­ma­tisch und zen­tral gesteu­ert ändert ohne dass man das gan­ze immer wie­der manu­al durch füh­ren muss

  2. Ich fin­de den Artikel ziem­lich selt­sam, auch wenn man aus den Kommentaren sicher­lich noch etwas nütz­li­ches mit­neh­men kann (v. A. wenn man als OS-X-Neuling noch nicht auf 1Password gesto­ßen sein soll­te).

    Die stärks­ten Vorbehalte habe ich hin­sicht­lich des Sicherheitsaspektes, denn das mit der Zwangspause ist imho mit­tel­schwe­rer Unsinn. Wenn jemand den Schutz mit Brute Force umge­hen will, wird er die Datenbank angrei­fen und nicht pro Sekunde meh­re­re Kombinationen artig in ein Textfeld ein­ge­ben. Woran man erkennt, dass die Programme “rela­tiv sicher sind” wird lei­der auch so gar nicht erläu­tert.

    Ansonsten … joa, das wahr­schein­lich (zweit-)interessanteste Kriterium, die Browserintegration, wird gar nicht ange­spro­chen. Die als Einleitung beschrie­be­ne Problematik der zahl­rei­chen zu mer­ken­den Passworte exis­tiert in der Praxis wohl nicht, da auch jeder Browser Anmeldedaten spei­chert. Dass der bes­te Passwort-Safe nichts nutzt, wenn man die Daten par­al­lel im Browser ablegt, hät­te sicher auch einer Erwähnung bedurft.

    Was bleibt, sind ein paar mehr oder weni­ger will­kür­li­che Namensnennungen von Programmen und der Rat, siche­re Passwörter zu ver­wen­den.

  3. …lastpass.com mit fire­fox-plugin – so sicher, wie man sein kann, wenn man sei­ne Passwörter Dritten anver­traut.… Ist aber einen Test immer wert…

  4. Ich ver­wen­de Steganos LockNote (Freeware).

  5. Ich nut­ze auch KeePass. Sehr gut fin­de ich die beson­de­re Festlegung eines Masterpasswortes (wobei ich aber nicht weiß, inwie­fern das ande­re Programme eben­falls anbie­ten):

    Anstatt eines ein­tipp­ba­ren Passwortes kann man auch eine KEY-Datei erstel­len las­sen, die man dann z.B. auf einem USB-Stick spei­chern kann (und auch noch min­des­tens ein­mal sichern soll­te) und beim Programmstart aus­wählt. Eine Absicherung über eine sol­che exter­ne Zufallsdatei ist wohl – zumin­dest ver­gleichs­wei­se – ziem­lich sicher Brute-Force-Angriffen gegen­über. Wer mag, kann auch bei­de Methoden mit­ein­an­der kom­bi­nie­ren.

  6. Ich spei­che­re all mei­ne Passwörter in einem TiddlyWiki, in dem ich auch mei­ne Kontakte, Aufgaben und Notizen ver­wal­te. Das Ganze ist mit dem TiddlerEncryptionPlugin ver­schlüs­selt und beglei­tet mich immer auf mei­nem USB-Stick.

    Nachteil: Keine Extras wie auto­ma­ti­sches Login oder Passwort-Generierung.

    Vorteil: Plattformunabhängig, da es nur einen Javascript-fähi­gen Browser benö­tigt (soll sogar auf eini­gen Smartphones lau­fen). Das ver­schlüs­sel­te TW kann man auch auf einen Webserver legen und so online dar­auf zugrei­fen.

    Früher habe ich KeePass genutzt, weil es die Software auch für alle wich­ti­gen OS gibt. Aber schö­ner, als eine Software über­all instal­lie­ren zu kön­nen, fin­de ich es, erst gar kei­ne instal­lie­ren zu müs­sen ;-)

  7. Auf dem Mac: 1Password. Einfach zu bedie­nen, schön in die Browser inte­griert und ver­mut­lich recht sicher (nach­prü­fen ist da ja schwie­rig)

  8. Das ist ja fast wie meins: 1passwort.

    Vielleicht doch ein biß­chen unsi­cher…

  9. Ich ver­wen­de 1password.

  10. Ich habe die unwich­ti­ge­ren Paßwörter wie für Flickr im Browser gespei­chert. Ausgenommen natür­lich Safari. Dem wür­de ich nie­mals irgend­wel­che Daten anver­trau­en.

    Alle Paßwörter, bei denen es um Geld geht, ste­hen auf einem hand­ge­schrie­be­nen Zettel. Ich gebe sie bei Bedarf über die vir­tu­el­le Tastatur mei­nes AV-Programms ein.

  11. Ist alles eine Frage von Vertrauen. Ich benut­ze 1 Password Pro und füh­le mich damit gut auf­ge­ho­ben. Die Speicherverschlüsselung macht das mei­nes Erachtens auch. KeePass fin­de ich auch gut, aber an eini­gen Stellen etwas unüber­sicht­lich.

  12. unter http://keepass.info/download.html gibts kee­pass auch für linux und diver­se ande­re sys­te­me –> mac

    Anm. der Redaktion: steht doch genau so im bei­trag, sascha.

  13. Ich benutz­te bereits seit ein paar Jahren Roboform (http://www.roboform.com/) und bin damit sehr zufrie­den.
    Sehr prak­tisch sind z.B. auch die Identitäten, mit denen man z.B. mit einem Klick auf einer noch nie besuch­ten Seite alle Personendaten (z.B. bei einer Bestellung) aus­fül­len las­sen kann.

  14. Hi,

    ich bin abso­lut bei­geis­tert von Foxmarks. Das ist ein Firefox-Plugin, dass neben Bookmark-Synchronisierung über meh­re­re PCs hin­weg auch Passwörter syn­chron hält und mit einem Master-Passwort sichert. Die hin­ter­leg­ten Passwörter wer­den auto­ma­tisch ein­ge­tra­gen, wenn das Plugin aktiv ist.

    Grüße aus dem son­ni­gen Marburg an der Lahn

  15. Ich per­sön­lich muss da ganz offen sagen das ich mei­ne Passwörter alle im Firefox abspei­cher und dann ein Masterkennwort ver­ge­be.

    Ob der Firefox die­se sicher “für sich” behält etc. ist dahin gestellt und kann ich nicht fach­kun­dig beur­tei­len, jedoch den­ke ich, hat er die genau­so “sicher” im System wie die Auswahl an PW Speicher-Systemen.

    Viele Grüße aus Leipzig

  16. Eine Ergänzung zur “Zwangspause” als Schutz gegen Wörterbuch-Angriffe: Zum einen ist die­ses Vorgehen sinn­los, wenn sie nur durch eine soft­ware-tech­ni­sche Pause erzeugt wird und nicht durch hohen Rechenaufwand – ob das bei “Password Depot” so ist, kann man nicht sagen, da kein Quelltext ein­seh­bar ist.

    Dasselbe Feature (und zwar rich­tig imple­men­tiert) bie­tet übri­gens auch das kos­ten­lo­se KeePass: In den Datenbankeinstellungen kann man im Registerreiter Sicherheit die Anzahl der Schlüsseltransformationen ein­stel­len – das ist die Anzahl an Operationen, die auf das ein­ge­ge­be­ne Masterpasswort aus­ge­führt wird. Mit einem Klick auf die blaue Schrift dar­un­ter bestimmt Keepass die Anzahl, die auf dem eige­nen Rechner 1 Sekunde lang dau­ert (jeder Passwort-Versuch braucht damit auf dem eige­nen Rechner 1 Sekunde, eine pri­ma Zeit gegen Wörterbuchangriffe). Die Einstellung gilt afa­ik nur für neue Datenbanken, bei einer bestehen­den Datenbank muß man ver­mut­lich ein­ma­lig ein neu­es Masterpasswort set­zen.

    Die meis­ten Passwörter stam­men übli­cher­wei­se aus den dut­zen­den von Webanwendungen, Foren, etc… hier­für gibt es eine ele­gan­te­re Lösung als das Nachschlagen in einem exter­nen Programm in Form von Firefox-Plugins wie Password Hasher. Ich habe hier vor gerau­mer Zeit eine Übersicht über die Funktionsweise die­ses Ansatzes geschrie­ben.

  17. Ein wei­te­rer Nachteil: die genann­ten Programme lau­fen nur unter Windows. Gibt es auch gute Alternativen für Linux?

  18. Man soll­te in dem Fall auf Online-Tools ver­zich­ten, da hier die Sicherheit gerin­ger ist als bei Offline-Safes.

    Kostenlos, emp­feh­lens­wert, por­ta­bel (USB-Stick in der Hosentasche) und vor allem in einer ein­zi­gen Datei ist Safey: http://www.safey.de.

    Nutze ich und bin zufrie­den.
    Safey erstellt auf Wunsch siche­re Passwörter. Es ver­schlüs­selt den gesam­ten Inhalt inklu­si­ve Masterpasswort mit dem Blowfish-Algorithmus und einem 448-Bit-Schlüssel. Läuft ohne Installation direkt vom USB-Stick. Man kann Notizen erfas­sen und auch Dateien ver­schlüs­seln. Einfach mal aus­pro­bie­ren.

    Nachteil: nur für Windows

  19. Was hier fehlt, ist der Umstand, dass man im Prinzip bei jeder Verschlüsselungssoftware eine gewis­se Vorsicht an den Tag legen soll­te, wenn der Quellcode nicht öffent­lich ver­füg­bar ist. Die kom­mer­zi­el­len Produkte sind da schon mal weit­ge­hend außen vor.

    Bei KeePass kommt ein Vorteil hin­zu, es gibt den Client für ver­schie­de­ne Betriebssysteme und alle nut­zen das glei­che Dateiformat. Das macht es sehr ein­fach, eine Schlüsseldatei bei­spiels­wei­se auf einen Windows-Mobile-Client zu syn­chro­ni­sie­ren und mit dem Windows-Mobile-Client zu öff­nen. Vorbei die Zeiten, in denen man die Passwörter nicht parat hat­te.

    @Thomas: Ob es die ande­ren Programme kön­nen, weiß ich nicht – KeePass kann es.

  20. ich nut­ze kee­pass, und dort ist es rela­tiv ein­fach! ein pass­wort ein­zu­sez­ten.

    in dem man ein­fach das gewünsch­te pass­wort mar­kiert und strg+v drückt (wie ein­fü­gen) kee­pass wech­selt dann zur letzt akti­ven anwe­dung und “tippt” benut­zer­na­me und pass­wort ein.

    es gibt auch noch plugins für eine bes­ser brow­ser inte­gra­ti­on ich hab sie mir aber noch nicht näher ange­se­hen.
    http://www.keepass.info/plugins.html

  21. Welches die­ser Programme läuft im Hintergrund mit und füllt Formulare auf eine Tastenkombination hin auto­ma­tisch mit den Logindaten aus? Das ewi­ge Fenster wech­seln, Username kopie­ren, Fenster wech­seln, Username ein­fü­gen, Feld wech­seln, Fenster wech­seln, Passwort kopie­ren, Fenster wech­seln, Passwort ein­fü­gen – ist ziem­lich ner­vig. Welche(s) der genann­ten Programme kann das – und wie gut?

Schreibe einen Kommentar zu W.Wagner Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.