Sichere Passwortverwaltung im Alltag
Am 03.05.2020 ist Welt-Passwort-Tag. Dieser Tag bietet eine gute Gelegenheit, über die eigenen Passwörter nachzudenken. Sowohl das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) als auch diverse andere Institutionen, die sich mit IT-Sicherheit beschäftigen, geben seit Jahren gute Hinweise, wie ein sicheres Passwort aussehen sollte.
Trotzdem war laut dem Hasso-Plattner-Institut im Jahr 2019 das beliebteste Passwort in Deutschland die Ziffernfolge „123456“, gefolgt von „123456789“. Auf den nachfolgenden Plätzen sieht es ähnlich aus. Ein Vergleich mit 2017 zeigt also keine großartigen Veränderungen. Autor Jürgen Schmidt vom Heise-Verlag fordert in seinem Kommentar zum „Ändere-dein-Passwort“-Tag 2019, dass Online-Dienste in Sachen Sicherheit stärker zur Verantwortung gezogen werden. Man sieht, wie viele digitale Einbrüche bei Online-Diensten in den letzten Jahren aufgedeckt und wie viele Zugangs- sowie Zahlungsdaten hierbei „gestohlen“ wurden. Die Website „https://haveibeenpwned.com/“ und auch das HPI führen Listen bekannter Leaks und bieten an, die geleakten Daten gegen die eigene Identität bzw. Mail-Adresse zu prüfen.
Solange bei Online-Diensten jedoch kein Umdenken stattfindet kann ein gutes, sicheres Passwort nicht schaden. Dieses sollte je nach Anbieter unterschiedlich gewählt sein. Hierbei kann ein Passwort-Manager, wie z.B. KeePass Hilfestellung bieten. Denn wer soll sich die empfohlenen 15-stelligen Konglomerate aus Buchstaben, Zahlen und Sonderzeichen in der heutigen Account-Anzahl noch merken können?
KeePass
Eine Merkhilfe kann, wie bereits erwähnt, der Open-Source Passwort-Manager „KeePass“ sein. Implementierungen sind für alle gängigen Betriebssystem-Plattformen (inklusive Mobilgeräten) erhältlich. Die Passwörter werden in Dateien („Datenbanken“) abgelegt, die sich irgendwo im Dateisystem des Geräts befinden. „Irgendwo“ heißt an dieser Stelle, dass man Cloud-Dienste wie „Microsoft OneDrive“, „Google Drive“ oder „Dropbox“ dafür bemühen kann. Das ermöglicht die gespeicherten Passwörter auf allen Geräten synchronisieren zu können. Ob man für mehr Komfort in Kauf nimmt, dass die Passwort-Datei in der Cloud liegt, muss wohl jeder Nutzende für sich entscheiden. Die Datenbanken werden mit einem Master-Passwort verschlüsselt. Dieses ist notwendig, um auf die in der Datei gespeicherten Zugangsdaten zuzugreifen. So muss man sich lediglich ein Passwort wirklich merken.
Für die Installation von KeePass und die grundliegende Einrichtung hat die Universität Münster eine Anleitung auf Deutsch verfasst. An dieser Stelle soll auf einige Features eingegangen werden, die den alltäglichen Umgang mit den Passwörtern vereinfachen:
Passwort-Generatoren
Die Tipps, die von verschiedenen Seiten für die Erstellung eines guten, sicheren Passworts gegeben werden, ähneln sich:
Länge: 8, 15 oder mehr Stellen
Alle möglichen Arten von Zeichen werden verwendet (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
Jedes Passwort kommt nur einmal zum Einsatz
Um schnell ein solches Passwort zu erstellen verfügt KeePass über einen eingebauten, konfigurierbaren Generator. Dieser ist beim Erstellen eines neuen Datenbank-Eintrags auch über das Menü „Tools“ bzw. „Werkzeuge“ verfügbar. Im einfachsten Fall muss lediglich die Länge des zu generierenden Passworts und der gewünschte Zeichenvorrat bestimmt werden. Es ist jedoch auch möglich, externe Algorithmen über Plugins anzusteuern. (Ein solches Plugin wird noch vorgestellt). Eine Ergebnis-Vorschau ist auf dem „Preview“-Reiter verfügbar. Hier werden 30 unterschiedliche Passwörter gemäß den getätigten Angaben generiert.
Auto-Type
Beim Hinzufügen oder Ändern eines Datenbank-Eintrags steht ein Reiter Namens „Auto-Type“ zur Verfügung. Auf diesem können ein Ziel-Fenster und eine Sequenz angegeben werden. Letztere enthält eine Serie von Tastendrücken und Variablen (z.B. den Benutzernamen und das Passwort). Beim Bedienen einer Tastenkombination (im Standard Strg+Alt+A), wird die Sequenz an das Zielfenster gesendet. Somit ist eine Anmeldung an einer Applikation möglich, ohne den Benutzernamen oder das Passwort aus dem entsprechenden KeePass-Eintrag manuell zu kopieren. Dieses Feature ist z.B. bei der Anmeldung in SAP-Systemen sehr nützlich.
Plugins
KeePass kann über einige Plugins in vielen Bereichen erweitert werden. Hier einige nützliche Beispiele:
KeePassHttp
Das Auto-Type-Feature von KeePass lässt sich im Zusammenhang mit den im Browser geöffneten Websites schlecht verwenden. Abhilfe schafft das Plugin KeePassHttp. Dieses stellt eine lokale http-Schnittstelle zur Verfügung, über die Anwendungen Zugangsdaten aus KeePass abrufen können. Bei der ersten Verwendung einer solchen Anwendung muss diese in KeePass autorisiert werden. Man behält somit die Kontrolle darüber, welche Anwendung Daten abrufen darf und welche nicht.
Als Gegenstück muss im verwendeten Browser noch eine Erweiterung installiert werden, die mit KeePassHttp kommuniziert. Für Firefox sind dies “PassIFox” oder „KeePassHttp-Connector “, in Chrome ist es „ChromeIPass“. Bei den Datenbank-Einträgen muss für eine reibungslose Benutzung das Feld „URL“ gefüllt sein. Das Browser-Plugin gleicht die Adresse der aktuell geladenen Webseite mit den Einträgen der KeePass-Datenbank ab und befüllt automatisch die Eingabefelder für Benutzername und Passwort.
Favicon Downloader
Für jeden Eintrag der KeePass-Datenbank kann ein Icon aus einer mitgelieferten Liste verwendet werden. Zusätzlich besteht die Möglichkeit, ein eigenes Bild in fast beliebigem Format zu hinterlegen. Der Favicon Downloader macht sich letzteres Feature zunutze. Er ruft das Favicon der im Eintrag hinterlegten Webseite ab und nutzt dieses als Icon des Eintrags.
Auch wenn dieses Feature nur „nice to have“ ist – übersichtlicher wird die Datenbank dadurch allemal.
Würfelware
Von verschiedenen Seiten wird empfohlen, keine Passwörter, sondern lieber Passphrasen zu benutzen. Eine Passphrase setzt sich hierbei aus mehreren (in der Regel lesbaren) Wörtern zusammen, die miteinander verkettet ein Passwort ergeben. Diese Passphrasen haben mehrere Vorteile:
Sie sind lang (meistens deutlich länger als 20 Zeichen)
Sie sind (bei geeigneter Wahl der Wörter) relativ leicht zu merken
Sie können leicht angepasst werden, um systembedingten Anforderungen an Passwortsicherheit zu genügen (z.B. Ergänzung um Sonderzeichen)
(Eine solche Passphrase eignet sich übrigens sehr gut als Master-Passwort für die KeePass-Datenbank).
Randall Munroe hat auf seiner Website xkcd einen Comic zum Thema Passphrasen veröffentlicht. („Correct Horse Battery Staple“) In einer Diskussion bei reddit zu diesem Comic wurde die Sicherheit einer solchen Passphrase analysiert und für gut befunden. Mittlerweile gibt es basierend darauf, eine Webseite zur Generierung einer Passphrase.
„Würfelware“ ist ein Add-on, dass sich als zusätzlicher Algorithmus in den Generierungs-Dialog in KeePass einhängt und zufällige Passphrasen generiert. Diese können anschließend direkt als Passwort in einem KeePass-Eintrag verwendet werden.
Mobile Nutzung
Um KeePass auch auf Mobilgeräten nutzen zu können, muss eine App installiert sein, die das Format der KeePass Datenbanken lesen und im Idealfall auch schreiben kann.
Auf Geräten mit iOS (iPhone/iPad) hat sich die App „KyPass“ des belgischen Herstellers Kyuran bewährt. KyPass ist gut in iOS integriert: Es stellt eine Ergänzung zum iCloud Schlüsselbund dar und kann TouchID bzw. FaceID nutzen, was die Eingabe des Master-Passworts erspart. KyPass ist in der Lage, die Datenbank online mit Cloud-Diensten zu synchronisieren. Änderungen an Einträgen werden also sofort mit dem verwendeten Cloud-Dienst abgeglichen.
Und nun?
Letztlich bleibt es jedem selbst überlassen, wie man in Sachen der Passwort-Sicherheit verfährt: Ob man sichere Passwörter verwendet oder bei „123456“ bleibt, ob man sie lieber auf Zettel schreibt und diese abheftet oder doch einen Passwort-Manager nutzt, liegt in der Verantwortung des Einzelnen.
Die Empfehlungen der Expertinnen und Experten sind jedoch eindeutig:
Verwende sichere Passwörter
Mindestens 15 Stellen
Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
Verwende für jeden Dienst ein anderes Passwort
Verwende einen Passwort-Manager
Sichere Ablage der Anmeldedaten
Komfort-Funktionen helfen bei der Einhaltung der Empfehlungen
Bei aller Sorgfalt in Bezug auf Passwörter sollte man jedoch nicht vergessen, dass die Sicherheit online abgelegter Daten immer und primär von der Sicherheit des Anbieters abhängt – und auf die hat man leider nur bedingt Einfluss.
Firmenkontakt und Herausgeber der Meldung:
Inwerken AG
Pappelweg 5
30916 Isernhagen
Telefon: +49 (511) 936206-0
Telefax: +49 (511) 936206-10
http://www.inwerken.de
Ansprechpartner:
Christin Holzwarth
Managerin
Dateianlagen: