DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pass­wort­si­cherheit V: Passwort-Manager

Nun kommen wir zum letzten Teil dieser Serie. Nachdem Sie im vierten Teil erfahren haben, dass falsche Passwort-Rege­­lungen in einem Unter­nehmen, je nach Grö­ßen­ordnung, sehr viel Geld kosten können, möchte ich mich in diesem abschlie­ßenden Beitrag mit dem Einsatz von Passwort-Managern beschäf­tigen.
 
Im All­ge­meinen haben Sie drei Mög­lich­keiten Ihre Pass­worte zu ver­walten. Die Erste ist, sich alle zu merken. Das ist wohl der sicherste Weg, doch wird es sehr schwierig, sich die hof­fentlich unter­schied­lichen und genügend langen Pass­worte alle zu merken. Der Zweite ist, sich auf die Passwort-Spei­­cher­­funktion Ihres Web­browsers zu ver­lassen und der Dritte, einen Passwort-Manager zu benutzen. Nachdem sich die erste Mög­lichkeit soeben geklärt hat, beschäf­tigen wir uns nun mit den beiden letz­teren Vari­anten.
 
 
Web­browser
 
Die Spei­cherung von Pass­wörtern in Web­browsern, egal welchen Sie benutzen oder von welchem Her­steller der Web­browser auch stammt, halte ich für sehr riskant. Ist ein Angreifer erst einmal auf das System des Opfers gekommen und sieht sich z.B. die Datei key3.de und die zuge­hörige SQL-Lite Datenbank (Bei­spiel Firefox) etwas genauer an, kommt er sehr schnell in den Besitz der im Web­browser gespei­cherten Pass­worte. Zudem zeigen Web­browser immer noch Sicher­heits­lücken, oder Exploits auf, die schwer vor­her­sagbar sind. In der aktu­ellen Version von Firefox ist nicht einmal der Zugang zu den Pass­worten mit einem Master-Passwort abge­si­chert.
Für Pass­worte von unwe­sent­licher Bedeutung, kann man durchaus die Spei­cher­funktion eines Web­browsers benutzen. Das muss jeder Nutzer für sich selbst ent­scheiden.
 
Passwort-Manager
 
Eine ele­gantere Methode ist der Einsatz eines Passwort-Managers. Passwort-Manager können pro Dienst den Sie auf­rufen, ein zufäl­liges Passwort erzeugen. Zudem können Sie selbst bestimmen, aus wie vielen und aus welchem Zei­chen­vorrat sich das Passwort zusam­men­setzen soll. Durch eine so genannte Auto-Fil-In Funktion, setzt Ihr Passwort-Manager bei jedem Aufruf einer Web-Seite mit Login und Passwort sofort die rich­tigen Daten auto­ma­tisch in die Web-Seite. Da  es sich in der Regel bei der Erstellung von Pass­worten eben nicht um Wörter mit Zah­len­kom­bi­na­tionen handelt, ist eine hohe Lebens­dauer der Pass­worte schon einmal gesi­chert. Sie haben dazu einen guten Über­blick über Ihre Zugänge und Pass­worte.
 
Welche Schwach­stellen haben aber unsere Passwort-Manager? Zumindest für die Ver­waltung der Datenbank müssen wir uns ein Master-Passwort merken. Dieses ist eine Schwach­stellte von Passwort-Managern. Das Master-Passwort gehört nicht auf das System. Niemals! Sollte das System kom­pro­mit­tiert sein, so kann der Angreifer über das Master-Passwort Zugriff auf die Passwort-Datenbank haben. Aber auch Passwort-Manager legen alle erzeugten Pass­wörter in eine ver­schlüs­selte Datenbank ab und die liegt in der Regel auf Ihrem System. Ein wei­terer Schutz ist die Aus­la­gerung dieser Passwort-Datenbank, z.B. auf einen externen USB-Stick oder ein externes Laufwerk. Per­sönlich ver­wende ich den Passwort-Manager KeePass, den es als Open-Source-Software schon über Jahre hinweg gibt und bislang noch keine gra­vie­renden Schwach­stellen auf­ge­wiesen hat. Als Tipp: Das Master-Passwort in die Schublade unter dem Schreib­tisch und die Datenbank des Passwort-Managers auf einen externen USB-Stick.
 
Es gibt aber auch Anwen­dungen, die mit einem sehr kurzen Passwort, z.B. nur 4 — 5 Ziffer-/Zah­­len­­kom­­bi­­na­­tionen, aus­kommen, bei­spiels­weise das alte PIN/TAN-Ver­­­fahren beim Online Banking. Hier liegt die Sicherheit in der Anzahl der Ver­suche, die meistens auf drei Fehl­ver­suche begrenzt ist. Dann wird der Zugang gesperrt und Sie müssen sich wieder neu legi­ti­mieren. Die Chance das richtige Passwort zu erraten liegt bei 3/99999 oder 0,003%.  
 
Ich hoffe Sie haben viel Spaß bei dieser kleinen Serie über Pass­worte gehabt und hof­fentlich eine Menge neues Erfahren können. Denn eins ist sicher, nichts ist sicher!
 
Ihr Udo H. Kalinna

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Udo H. Kalinna, Hoch­schule Emden/Leer

Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hoch­schule Emden/Leer die Ver­wal­tungs­pro­fessur für Infor­matik und IT-Sicherheit und arbeitet gleich­zeitig als Unter­neh­mens­be­rater mit dem Schwer­punkt Appli­ka­tions- und Cloud-Sicherheit. Bevor er 2010 zur Hoch­schule wech­selte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Com­puter tätig, bevor er als Unter­nehmer und CEO 2001 erfolg­reich sein eigenes Software-Security Unter­nehmen gründete, welches nach kurzer Zeit zur Akti­en­ge­sell­schaft fir­mierte. Mit seiner Software traf das Unter­nehmen eine Markt­lücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Inno­vation des Jahres“ aus­ge­zeichnet.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.