Sesam, öffne dich! Der Schlüssel zum besten Passwortmanager10 min Lesezeit

Die heißen Sommertage lassen sich prima dazu nutzen, dem Computer beim Schmelzen zuzusehen. Ha! Nach erfolgreichem Totalabsturz ist ein neues Arbeitsgerät eine gute Gelegenheit, eine Dateninspektion vorzunehmen und einen Sicherheitscheck zu machen: Wie gut steht es um die eigenen Passwörter? Ein kleiner Einblick in die Schatzkiste.

Schon lange verwende ich für berufliche und private Zwecke einen Passwortmanager. Ich stehe bei ca. 700 Login-Elementen, das ist händisch nicht mehr zu verwalten. Aber auch wer weniger Passwörter zu speichern hat, ist gut mit einem Passwortmanager beraten. Das Tool meiner bisherigen Wahl, 1Password, hat kürzlich von einem Kauf- auf ein Abo-Angebot umgestellt. Auch wenn es grundsätzlich keine schlechte Entscheidung ist, in Sicherheitsfragen auf Bezahlprodukte zu setzen, habe ich dies trotzdem zum Anlass genommen, mein Setup zu evaluieren und bin auf eine neue Lösung gekommen.

Welche Passwortmanager gibt es?

Zu Passwortmanagern kursieren viele Tests und Vergleiche im Netz, sie kommen mitunter auf unterschiedliche Ergebnisse, darunter: netzwelt.de 06/2019 empfiehlt LastPass, EnPass und Passwort-Depot und bietet insgesamt eine gute Übersicht über Stärken/Schwächen, onlinesicherheit.at 05/2019 empfiehlt KeePass, Avira Password Manager und Password Safe, saferinternet.at zusätzlich auch noch Keeper.

Gute Passwort-Manager:

Auch Browser wie Google Chrome und Firefox oder Betriebssysteme (etwa Keychain auf Mac) bieten integrierte Passwort-Speichersysteme an. Diese lassen aber Flexibilität vermissen: Etwa müssen Sie immer denselben Browser verwenden und Ihre Passwörter lassen sich nicht so leicht übertragen.1 Außerdem ist der Browser generell eine Schwachstelle für Angriffe von außen, weshalb auch die Browser-Erweiterungen für Passwortmanager generell als Sicherheitsrisiko einzustufen sind.

Was macht einen guten Passwortmanager aus?

Welche Faktoren spielen in der Auswahl eine Rolle? Ein paar Schlagwörter:

  • Passwort-Manager oder nicht? Auch wenn Passwortmanager selbst nicht zu 100 % unangreifbar sind, so überwiegt doch eindeutig der Nutzen über der Gefahr: Haben Sie einen, verwenden Sie längere und sicherere Passwörter, die Sie sich nicht merken müssen/können. Außerdem verwenden Sie für alle Dienste unterschiedliche Zugänge und treffen womöglich noch zusätzliche Schutzmaßnahmen wie das regelmäßige Ändern der Passwörter, weil Sie bequem daran erinnert werden.
  • Ein Tresor (vault, wallet) ist das Bündel an Passwörtern, das Sie speichern. Legen Sie bei der Auswahl des Passwortmanagers Wert auf einen möglichen Export der Inhalte in offenen, übertragbaren Formaten (z. B. CSV), um nicht in einen Dienst eingeschlossen zu sein – Sie möchten nicht später händisch hunderte Passwörter übertragen müssen, sollten Sie sich einmal für einen anderen Dienst entscheiden. Dasselbe gilt natürlich auch für den neuen Manager, außerdem sollte dieser Import-Funktionen anbieten. (Etwa war der Export-Import via CSV von 1Password zu KeePass reibungslos möglich).
  • Master-Passwort. Die Grundfunktion: Sie müssen sich nur mehr dieses eine Passwort merken, um an alle anderen Ihrer Passwörter zu gelangen. Dass Sie sich bei diesem Zauberwort, das den Sesam öffnet, nicht der Einfachheit halber für „123“ entscheiden sollten, steht außer Frage – stattdessen sollten Sie dafür ein möglichst sicheres, aber für Sie leicht merkbares Passwort wählen (siehe weiter unten).
  • Synchronisation der Passwörter/des Tresors. Als Backup, aber auch zur Nutzung auf mehreren Geräten, hilft die Synchronisation der Daten in die Cloud. Dazu werden die Inhalte des Tresors in der Cloud gespeichert, entweder auf den Servern des Diensteanbieters (Ihres Passwortmanagers) oder auf eigenen Clouds wie Dropbox, iCloud u. ä. Lokal gespeicherte Tresore sind viel schwieriger angreifbar, müssen aber klarerweise dann anders – oft manuell – gesichert und übertragen werden.
  • Browser-Erweiterungen. Hier wird es eng: Natürlich ist es genau die Browser-Erweiterung in Chrome, Firefox und Co., die das Ausfüllen von Passwörtern so einfach und bequem macht. Grundsätzlich sind aber genau diese Erweiterungen ein mögliches Sicherheitsrisiko, weil Angriffspunkt. Sicherer ist einfaches Copy-Paste über den lokalen Zwischenspeicher des Computers.2
  • Zwei-Faktor-Anmeldung. Wie Sie es vielleicht vom Online-Banking oder der Handy-Signatur kennen, gibt es auch bei Passwortmanagern eine Zwei-Faktor-Anmeldung, also die Anmeldung mittels zweier unabhängiger Geräte. Würde jemandem Ihr Master-Passwort in die Hände fallen, könnte er somit ohne das zweite Gerät (z. B. die App auf dem Handy) nicht auf die Passwörter zugreifen.
  • E-Mail-Passwörter. Da Sie sich bei den meisten Onlinediensten mit Ihrer E-Mail-Adresse anmelden und mit dieser ein Passwort auch meist leicht wiederherzustellen bzw. zu ändern ist, ist es grundsätzlich eine gute Idee, – neben dem Master-Passwort – vor allem auf die Passwörter Ihrer E-Mail-Adressen großen Wert zu legen und diese sicher zu machen. Wählen Sie lange Passwörter und ändern Sie diese regelmäßig. Wenn Sie kontrollieren möchten, ob Ihre E-Mail-Adresse von einer Datenpanne betroffen ist, können Sie dies auf haveibeenpwnd oder mit dem HPI Identity Leak Checker tun.

Auch Sicherheit braucht gute Usability

Gut gefällt mir die Vorstellung der Balance zwischen Sicherheit und Bequemlichkeit. Je bequemer etwas ist, desto höher ist die Chance, dass es nicht so sicher ist und je sicherer ein System ist, desto schneller wird es unbequem in der Bedienung. Gute Usability bleibt aber auch im Sicherheitskontext sehr wichtig: Wenn Sicherheitssysteme nicht einfach zu benutzen sind, ist die Gefahr groß, dass auf weniger sichere Alternativlösungen ausgewichen wird. Kurze, einfache Wege sind ein natürlicher Instinkt des Menschen, der von IT-Systemen unterstützt werden muss. Grundsätzlich muss sich Software am Menschen orientieren und nicht der Mensch an der Software. Daran ist nicht zu rütteln!

Oder wie es der User AviD auf Stackexchange formuliert:

Sicherheit auf Kosten der Benutzerfreundlichkeit geht auf Kosten der Sicherheit.3

Offenes Herz: KeePass als Open-Source-Lösung

KeePass ist ein Passwortmanager für Windows und in der Variante KeePassXC auch auf dem Mac nutzbar. Browser-Erweiterungen und USB-Stick-Lösungen gibt es auch. Der Passwortmanager ist Open Source und OSI zertifiziert, was bedeutet, dass keine Hintertüren für etwaigen Datenklau möglich sind.

KeePass ist eine alleinstehende App, in der die Passwörter in einer Liste hinter einem Master-Passwort versteckt sind. Soweit nichts Neues. Alternativ kann zusätzlich auch eine Schlüsseldatei auf einem externen Speichermedium wie einem USB-Stick abgelegt werden (Zwei-Faktor-Authentifizierung) oder das Öffnen des Tresors vom Nutzer des Betriebssystem abhängig gemacht werden.

Die Vorteile von KeePass sind die angesehenen Verschlüsselungsalgorithmen, etwa die kryptologische Hash-Funktion SHA-256, und der offen gelegte Code. KeePass bekommt grundsätzlich immer gute Bewertungen. Mittlerweile gibt es auch schon Browser-Erweiterungen, was die Handhabung vereinfacht. Die Passwörter können in TXT, HTML, XML und CSV exportiert und natürlich auch importiert werden. Ein Passwort-Generator ist integriert.

Dafür muss man sich an das altmodische Design gewöhnen – vor allem auf dem Mac tut der Windows-Look dann doch immer noch etwas dem Auge weh.

Screenshot von KeePassXC auf Mac
Screenshot von KeePassXC auf Mac, Eintragen eines neuen Passworts

Nach zwei Monaten erster intensiver Nutzung zeigen sich keine großen Nachteile in der Usability gegenüber 1Password. Die Login-Daten lassen sich bequem mit Shortcuts kopieren und die Browser-Erweiterung zeigt im Test zwar Hickups, ist ingesamt aber eher zu zugeknöpft als zu offen. Die Synchronisation über die Cloud ist möglich, wenn die Datei direkt dort abgelegt und von dort geöffnet wird. Eine klare Empfehlung – sofern man es schafft, beim visuellen Design vorerst noch ein Auge zuzudrücken.

Hacker machen Software sicherer

Open Source arbeitet grundsätzlich entgegen dem Grundsatz „security by obscurity“, bei dem versucht wird, das Verschlüsselungsverfahren selbst geheim zu halten, nicht nur den Schlüssel. Wird das Verschlüsselungsverfahren aber nicht offen gelegt, ist seine Sicherheit schwer zu beweisen. Deshalb ist im Sinne der Transparenz der Code offen zu legen und die Energien werden besser darauf verwendet, einen guten Algorithmus zu bauen und nur den Schlüssel zu schützen, als den Algorithmus selbst zu schützen (dies im Sinne des Kerckhoffs’schen Prinzips). Open Source macht Software also oft sicherer: Mehrere Leute arbeiten an Verbesserungen und am gemeinsamen Ziel, alle zu schützen (durch einen guten Algorithmus) anstelle nur eines einzelnen (durch einen guten Schlüssel).

Hacker (und Haecksen) haben nicht den allerbesten Ruf, wenn sie als kriminelle Computereindringlinge verstanden werden. Sachkundige Hacker mit fundierten Systemkenntnissen tragen aber im Gegenteil fundamental zur Softwaresicherheit bei, indem sie fremde Systeme angreifen, testen und dabei Fehler und Sicherheitslücken aufdecken.

Findet ein Hacker einen Fehler in einer Software, hat er mehrere Möglichkeiten: Er kann sofort die Medien warnen, um Druck auf das Unternehmen auszuüben und potentielle Opfer der Sicherheitslücken zu informieren (sog. full disclosure). Bei einer „verantwortungsvollen Offenlegung“ (responsible disclosure) gibt der Hacker dem Unternehmen Zeit, die Probleme vor einer Veröffentlichung zu beheben.

Um die Suche nach Fehlern zu motivieren, bieten Unternehmen oft proaktiv Belohnungen an. In sog. Bug-Bounty-Programmen wird „Kopfgeld“ für das Finden von Programmfehlern geboten. Diese Prämien sind aber gleichzeitig politisch brisante Mittel, wenn die Sicherheitsprobleme dadurch vor der Öffentlichkeit verheimlicht werden.

Das sichere Passwort

Der ehemalige Astronaut Randall Munroe hat mit seinem (sehr erfolgreichen und sehr zu empfehlenden) Webcomic xkcd den Nagel auf den Kopf getroffen: Früher verwendete man schwierig zu merkende Passwörter, die leicht zu knacken waren, heute kann man leicht zu merkende Passwörter verwenden, die schwieriger zu knacken sind. Eine Erleichterung!

(c) XKCD

Was macht also ein sicheres Passwort aus?

  • Ein sicheres Passwort stellt keine Verbindung zu Ihrem Leben und Ihren Daten her (kein Geburtsdatum, Adresse, Kindernamen, Unternehmen, Haustiere etc.). Das Passwort lässt auch keine Rückschlüsse auf den Dienst zu, den Sie verwenden (etwa amazon2019) und jedes Passwort wird nur für einen einzelnen Dienst verwendet (kein Recycling!).
  • Die Länge des Passworts ist stark mit seiner Sicherheit verbunden: Etwas ungenau kann man sagen, je länger, desto besser. Deshalb ist andersrum-voellig-gegenueber-autobahn sicherer als 47av&ga#. Alles unter 12 Zeichen gilt mittlerweile als unsicher.
  • Bei der Wörtermethode, die auch im Comic oben vorkommt, werden mittlerweile 5–6 Wörter empfohlen, die mit oder ohne Zusatzzeichen aneinandergereiht werden: werden-aneinander-hintenrum-vorwaerts-baum-stube. Sicherer wird es noch mit zusätzlichen zufällig platzierten Symbolen.
  • Der Zufall generiert stärkere Passwörter als unsere Gehirne, deshalb gibt es Ideen wie die Würfelmethode, mithilfe derer man aus Wörterlisten willkürliche Passwörter generiert. Wörterlisten gibt es in vielen verschiedenen Sprachen. (Viele Passwortmanager haben diese Funktion eines „Generators“ bereits integriert.)
  • Weil diese Wörterlisten aber öffentlich verfügbar sind, sind sie auch gutes Material für Passwort-Cracker. Idealerweise kommen also zumindest einige dieser Wörter weder in Wörterlisten noch Wörterbüchern vor, sondern sind Eigenkreationen oder Dialektwörter.
  • Bei gleicher Zeichenanzahl ist eine unterschiedliche Art von Zeichen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) tendenziell besser als reine Buchstaben.

Ein mögliches Beispiel? clogs-diesel-hurr4-fASEln-@@pulver-f#ische. Und ab just diesem Moment jedes andere Passwort, nur nicht dieses. (xkcd’s correct horse battery staple ist mittlerweile auch schon in Passwortlisten von Crackern zu finden.)

Was wäre noch besser als Passwörter? Eine Alternative sind Technologien, die nur zwischen zwei UserInnen verifizieren: digitale Signaturen. Hier sind aber größere technische Barrieren zu überwinden, was den Komfort einschränkt und die Durchsetzung der Technik erschwert. Eine bereits verwendete Ergänzung ist die Zwei-Faktor-Authentifizierung, die zusätzlich zum Passwort noch ein weiteres Gerät verlangt. Nicht zuletzt werden zunehmend auch biometrische Methoden (Fingerabdruck, Stimme, Iris) für die Authentifizierung eingesetzt – diese eröffnen eine ganz eigene Ebene der Diskussion um Sicherheit.

Kurzes Fazit: Das Verwenden eines Passwortmanagers ist sinnvoll, die Sicherheitskriterien für Passwörter und andere Authentifizierungsmethoden ändern sich stetig mit den Anpassungen der Cracker und mit dem technischen Fortschritt. Wer auf Open Source setzt, setzt auf Lösungen ohne mögliche Hintertüren und wir alle profitieren von der Arbeit von Hackern.

In diesem Sinne, happy hashing!

Vielen Dank an meinen branchennahen Gesprächspartner zu diesen Sicherheitsthemen, der nicht namentlich genannt werden möchte.

Link zum Thema:

  • ISO 27001: Zertifizierung zu Informationssicherheit

(c) icons8.com

Bildquellen: Alle Illustrationen sind „Abstract“ von Ouch! icons8.com.

  1. Jon Brodkin: The secret to online safety: Lies, random characters, and a password manager, Ars Technica 2013
  2. Genaugenommen sind weder der Zwischenspeicher noch die Tastatur Ihres Computers zu 100 % sicher, beides kann theoretisch abgegriffen werden (sicherer als Funk- sind Bluetooth- oder Kabel-Tastaturen). Dennoch ist dieses Risiko vergleichsweise gering.
  3. Security at the expense of usability comes at the expense of security.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.