Und wohin nun mit all den Passwörtern?

Ich wage zu behaupten, wer mehr als ein paar Benutzerkonten hat und sich deren Passwörter merken kann, ist entweder ein Genie oder hat bescheidene Passwörter. 

Wir erinnern uns an die drei goldenen Regeln für sichere Passwörter:

– die Länge soll mindestens 24 Zeichen betragen, 

– sie sollen zufällig sein, d.h. nicht aus Wörterbüchern ableitbar und

– für jedes Benutzerkonto müssen wir ein neues, einmaliges Passwort wählen.

So einfach die Regeln klingen, so schwierig erscheinen die Konsequenzen. Wir haben dann ja auf einmal ganz schnell zig oder hundert Passwörter, idealerweise alle auf dem Niveau von MqF\qa/5mTB2B4HDx>kQ/4CP. Merken will sich das ja keiner. Kann auch niemand. Und trotzdem, wenn uns etwas an dem Schutz unserer Daten liegt, müssen wir eine Lösung finden, um unsere Passwörter aufzubewahren. 

Das kleine, schwarze Buch

… geht natürlich zur Aufbewahrung unserer Passwörter schon. Wenn wir das sicher verwahren und uns über Diebstahl und neugierige Kollegen keine Gedanken machen, prima. Bitte dann noch dafür sorgen, dass im Falle eines Feuers oder des Verlusts irgendwo ein Backup existiert. Nachteilig ist, dass man jedesmal ein kompliziertes Passwort aus dem Buch abtippen muss. Aber wenn man das als Training für das finden exotischer Zeichen auf der Tastatur betrachtet, warum nicht. 

Die unverschlüsselte Passwortdatei 

Was überhaupt nicht geht, ist eine einfache Datei mit den Passwörtern auf dem Computer. Also eine unverschlüsselte Text- oder Exceldatei, die jeder, der Zugang zu unserem Computer hat, einfach lesen kann. Jetzt mag man einwenden, wo ist denn da der Unterschied zu dem schwarzen Buch? Das kann doch auch jeder lesen, der dazu Zugang hat. Während ich aber bei meinem Buch “nur” dafür sorgen muss, dass niemand durch Fenster und Tür kommt, ist das bei einem Computer ungleich schwieriger. Einmal eine Schadsoftware wie Viren und Trojaner eingefangen, kann diese unsere Passwortdatei klauen und im Internet Kriminellen zur Verfügung stellen. Und im Gegensatz zu einem Einbruch oder Diebstahl merken wir das oft erst sehr spät oder gar nicht. Solange kann dann jemand mit unseren Benutzerkonten Schindluder treiben.  

Das Risiko erhöhen wir noch mehr, wenn die unverschlüsselte Datei mit einem Synchronisierungsdienst wie Dropbox zwischen unseren Geräten wie Smartphone, Laptop … ausgetauscht wird. Denn diese Dienste sind wegen der interessanten Daten, die damit geteilt werden, begehrte Angriffsziele für Kriminelle.

Wie sieht denn nun die sichere und bequeme Alternative aus?

Überlegen wir uns doch mal die Anforderungen, die wir an ein gutes Hilfsmittel zur Aufbewahrung so sensitiver Informationen wie unserer Passwörter stellen: 

– Das Ganze soll bequem sein. Wir wollen die Passwörter ja nicht bei jeder Anmeldung eines Benutzerkontos eintippen, sondern das Programm soll das idealerweise (fast) automatisch erledigen.

– Dann ist uns Sicherheit wichtig. Sicher heisst hier zunächst, dass nur der rechtmäßige Anwender Zugriff auf die Passwörter hat.

– Wir können die Sicherheit sogar noch steigern. Und zwar indem wir ein Tool verwenden, dass uns vor Phishing schützt. Unter Phishing versteht man den Versuch, über gefälschte Internetseiten an die Anmeldeinformationen eines Benutzerkontos zu kommen. Z.B. gauckelt uns eine Webseite vor, die Sparkasse zu sein und bringt uns so dazu, dort unsere Kontonummer und unser Passwort einzutragen. Der Fälscher der Internetseite hat damit unsere Zugangsdaten und kann diese missbrauchen. Während wir Menschen gut gefälschte Seiten kaum erkennen können, fällt ein Programm darauf nicht rein.

Das sind alles mehr Anforderungen, als das kleine schwarze Buch erfüllen kann.

Der Passwordsafe

Als sichere und bequeme Verwaltungssoftware für Passwörter, aber auch andere wichtige Informationen wie PINs und die Antworten auf Sicherheitsfragen, bieten sich Programme wie Passwordsafes oder Passwortmanager an.

Unter einem Passwordsafe versteht man ein Programm, das Passwörter sicher verschlüsselt in einer Datenbank speichert. Sicher verschlüsselt bedeutet, dass nur der berechtigte Benutzer Zugriff auf die gespeicherten Informationen hat.

Dafür gibt es ein so genanntes Master- oder Hauptpasswort. Wird also die Datenbank mit den Passwörtern gestohlen, kann der Dieb nichts damit anfangen, außer, er kennt das Hauptpasswort zur Entschlüsselung dieser Datenbank. Eine Steigerung der Sicherheit können wir dadurch erreichen, dass selbst bei Kenntnis dieses Hauptpasswortes die Passwörter nur lesbar sind, wenn der Benutzer einen zweiten Schlüssel, z.B. eine spezielle Datei auf einem USB-Stick, zur Verfügung stellt.

Der Passwordsafe erlaubt uns also, alle unseren komplizierten Passwörter sicher zu speichern. Und alles was wir tun müssen ist, uns ein einziges gutes Passwort zu merken, das für den Safe, das Hauptpasswort.

Aber wir hatten ja noch mehr Anforderungen. 

Speichern wir neben dem Passwort für ein Benutzerkonto auch noch den Benutzernamen und die Adresse der Webseite, so kann der Passwortsafe auf Tastendruck automatisch die Daten in unserem Webbrowser eintragen und wir müssen in Zukunft weder Benutzernamen noch Passwörter tippen.

Und damit kommt auch noch der dritte Vorteil ins Spiel. Dadurch, dass wir die Adresse der Webseite eingetragen haben, erkennt der Passwortsafe, wenn auf einer gefälschten Webseite ein Passwort eingetragen werden soll und verhindert das.

Trotz all der Vorteile bleibt da immer noch bei vielen Menschen eine gewisse

Angst

beim Thema Passwordsafe. Diese ist aber, bei guter Auswahl des Tools und des Hauptpasswortes, meist unbegründet. 

Die größte Angst ist die, dass mit einem Passwortsafe alle Passwörter an einem Ort liegen. Und das stimmt ja auch. Aber warum ist das hier kein Problem? Wählen wir das richtige Programm, z.B. KeePass[1], dann ist nach Meinung vieler Experten die Verschlüsselung so gut, dass Ihr die Passwortdatenbank öffentlich verteilen könntet und niemand könnte etwas damit anfangen. Noch weniger, wenn Ihr das oben beschriebene Verfahren mit einem zweiten Schlüssel auf einem USB-Stick anwendet. Wichtig ist aber wie immer, Euer Hauptpasswort muss gut sein. Aber wie sowas aussieht habt ihr ja hier gelernt.

Sicherheitsexperten sind sich einig, die Gefahren durch einen richtig angewandten Passwortsafe sind viel geringer als die durch schlechte Passworte. Und gute Passwörter müsst Ihr irgendwo speichern, da ist der Passwortsafe die Methode der Wahl.

Und nun Butter bei die Fische

Um den Einstieg leichter zu machen betrachten wir im nächsten Artikel ein Passwortsafe-Programm im Detail. Wir werden uns das Schritt-für-Schritt anschauen und Einrichtung und Nutzung in der Praxis ausprobieren. Denn wie immer heisst es “learning by doing”.

m


[1] https://keepass.info/

2 Antworten auf „Und wohin nun mit all den Passwörtern?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.