Passwörter sind ein zentraler Faktor in der digitalen Welt. Egal ob es sich um E-Mail Accounts, Google-Konten, Cloud-Anwendungen oder Bankkonten handelt, eines haben alle Dienste gemein, sie erfordern ein Passwort.
Da man heutzutage meist nicht nur ein E-Mail Konto hat, nicht nur einen Cloud-Service nutzt und noch viele weitere internetbasierte Dienste gebraucht, benötigt man viele Passwörter. Meist sind es so viele, dass die Verwaltung zum Chaos verkommt.
Bevor Sie sich aber über die Verwaltung der Passwörter Gedanken machen, sollten Sie sich mit der Erstellung sicherer Passwörter beschäftigen. Leider ist es immer noch weit verbreitet, einfache und leicht merkbare Namen und Wörter zu verwenden. Oftmals sind dies Namen der eigenen Kinder, Angehörigen oder Haustiere.
Beliebt sind auch Passwörter wie 123456 oder Admin123. Dies ist natürlich ein Fiasko. Somit wird es selbst für den dümmsten Datendieb einfach. Denn die Namen der Angehörigen sowie die Geburtsdaten sind schnell herauszufinden und auch schnell in austauschbarer Kombination auszuprobieren.
Für Profis sind diese auch ohne Kenntnis des Umfeldes schnell knackbar. Was also muss man tun um sichere Passwörter zu erstellen? Im Folgenden möchte ich Ihnen ein paar Möglichkeiten des Passwort-Managements darlegen, ohne einen Anspruch auf Vollständigkeit zu erheben.
1. Das gute alte Notizbuch, die klassische Variante mit Kopf, Papier und Stift:
Die wohl „hackresistenteste“ Lösung ist ein Notizbuch aus Papier. Zugegeben es ist zeitaufwendig und pflegeintensiv, aber eben virensicher.
Ein Trojaner hat bei dieser Lösung schlechte Karten. Was die scheinbare Sicherheit wieder etwas relativiert, ist das Risiko ein solches Buch zu verlieren. Deshalb ist auch bei der haptischen Variante ein Backup wichtig. Der gute alte Kopierer ist in diesem Fall der Backup-Assistent.
Die Kopie hinterlegt man an einem sicheren zweiten Ort, beispielsweise ein Bankschließfach. Sollte das Buch nun verlorengehen oder ein Brand die Passwörter zerstören, hat man schnellen Zugang auf die Passwörter und kann diese bei Diebstahl ändern oder bei Brand die Kopie direkt weiterverwenden.
Aufwändig ist es bei der Druckversion beide Versionen stets synchron zu halten. Passwortänderungen in regelmäßigen Abständen geraten ebenfalls zum zeitaufwändigen Nervenspiel. Spätestens an diesem Punkt denkt auch der letzte Traditionalist an eine softwaregestützte Lösung.
Passworterstellung
Bei der Erstellung guter Passwörter ohne Software-Unterstützung, gibt es ein paar einfache Grundsätze zu beachten:
- Verwenden Sie keine einfachen Wörter, die Namen oder nachschlagbare Begriffe enthalten. Verwenden Sie stattdessen eine willkürliche, zufällige Kombination aus Buchstaben, Ziffern und Sonderzeichen. Beachten Sie, dass ein gutes Passwort mit weniger als zehn Zeichen nicht existiert. Idealerweise sollten Passwörter 16-20 Zeichen enthalten. Da dies in der Praxis schwer merkbar sein dürfte, können Sie einen einfachen Trick anwenden.
- Denken Sie sich einen Satz aus und verwenden Sie die „Satzmethode“. Nutzen Sie für das Passwort die ersten Buchstaben des jeweiligen Wortes. Somit haben Sie Klein- und Großbuchstaben, die scheinbar zufällig kombiniert sind. Da Buchstaben aber für ein sicheres Passwort nicht reichen, müssen Sie den erdachten Satz mit Zahlen und Sonderzeichen anreichern. Um diese einzuflechten können Sie einen virtuellen Weg beschreiten. Nehmen Sie einen Satz, der Sie durch einen schönen Ort führt, bei dem Sie beispielsweise an Hausnummern verweilen (bitte nicht das eigene Haus verwenden). Nun haben Sie die Anfangsbuchstaben und ein paar Zahlen. Wenn Sie bei Ihrem erdachten Weg noch an einer Bank vorbeikommen, können Sie als Sonderzeichen dafür das Dollar-Zeichen verwenden und schon haben Sie eine Kombination aus Buchstaben, Ziffern und Zahlen.
- Bauen Sie sich Eselsbrücken, indem Sie aus bestimmten Buchstaben immer Sonderzeichen machen. Exemplarisch können Sie aus a = @ oder aus D = $ machen.
2. Passwort-Management Software
Für Unternehmen oder Menschen mit vielen Passwörtern sind softwaregestützte Lösungen die beste Alternative. Der Autor selbst muss aktuell ca. 80 Passwörter verwalten, die geordnet, gepflegt und jederzeit änderbar sein müssen.
Das Login bei diversen Netzwerken und Cloud-Diensten muss schnell funktionieren, ohne dabei auf Sicherheit zu verzichten. Es gibt viele Lösungen und Anbieter.
Einige Anwendungen setzen auf die Cloud, andere verzichten auf die Auslagerung der Daten ins Internet. Allen nachfolgenden Anwendungen gemein ist ein Passwortgenerator, der der schnellen und automatisierten Erstellung sicherer Passwörter dient.
- KeePass und KeePassX:
Die Open Source Variante KeePass ist eine sehr sichere und komplett kostenlose Lösung. Die Datenbank wird lokal auf dem jeweiligen Rechner erstellt und wird mittels Master-Passwort und einer möglichen zusätzlichen Keyword-Datei gesichert. Die Datenbank nutzt zur Verschlüsselung den aktuell sichersten Standard AES oder Twofish mit einem 256 bit Schlüssel.
KeepPass läuft auch auf dem USB Stick und bietet so alternativ zur Cloud eine sichere portable Lösung. Wichtiges Merkmal ist, dass nicht nur die Passwörter selbst verschlüsselt werden, sondern auch die Benutzernamen und sämtliche weitere Datenbankinhalte wie Dateien und Notizen. Derzeit existieren zwei Varianten von KeePass. Die Classic Version 1 und die neuere Pro Version 2. Beide Varianten bieten höchste Sicherheit.
Mac User benötigen zum Installieren von KeePass Mono. „Mono“ ist eine .NET-kompatible Entwicklungs- und Laufzeitumgebung. Unter Mono kann Version 2 installiert werden. Wer keine .NET Laufzeitumgebung auf seinen Mac installieren möchte, greift zu KeePassX.
KeePassX ist eine hervorragende Crossplattform Variante von KeePass und läuft sehr stabil unter OSX. KeePassX benötigt keine Installation und läuft somit auch einwandfrei auf dem USB-Stick. KeePassX nutzt als Basis die Classic Variante von KeePass und ist auch mit Daten dieser Variante kompatibel.
Eine cloudbasierte Anwendung ist LastPass. In der Grundversion ist dieser Dienst kostenlos. Wer die Premium-Variante mit Smartphone-Integration möchte, muss dafür bezahlen. LastPass integriert sich via Plugin nahtlos in fast alle Browser.
Der große Vorteil dieser Lösung ist, dass alle Passwörter jederzeit und überall verfügbar sind. Es wird lediglich ein letztes Passwort benötigt, das Master-Passwort um Zugang zur Datenbank zu erhalten.
Der Hersteller verspricht, dass alle Daten bereits beim Verlassen des Rechners mit 256-bit AES verschlüsselt werden und somit sicher auf den Servern lagern.
Außerdem verspricht der Anbieter Funktionen, die die Bequemlichkeit erhöhen, wie ein Auto-Login für alle gespeicherten Seiten. Die größten Stärken sind aber auch gleichzeitig die Schwächen dieses Systems.
Denn trotz Verschlüsselungsversprechen, ist es rechtlich bedenklich sensible Daten auf Servern in die USA zu übertragen. Gleiches gilt für eine Auto-Login Möglichkeit, die bei leichtsinniger Anwendung Datendieben Tür und Tor öffnet.
Das Handling, Sortieren und Kategorisieren der Passwörter mit LastPass hinterlässt einen guten und unkomplizierten Eindruck. Abschließend bleibt es dem jeweiligen Nutzer überlassen abzuwägen, ob die praktischen Funktionen oder die spezifischen Sicherheitsmerkmale überwiegen.
- Password Safe:
Dieser Passwort-Manager ist für Unternehmen und professionelle Anwender geeignet. Password Safe gibt es in verschiedenen Ausführungen. Hersteller ist die MATESO GmbH aus Deutschland.
Geboten wird dem Nutzer ein umfangreiches Tool, welches in der Premiumvariante netzwerk- und mehrbenutzerfähig ist und die Möglichkeit bietet, Rechte auf Gruppen- und Benutzerebene zu vergeben. Die ambitionierten Varianten sind kostenpflichtig.