Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Passwortsicherheit V: Passwort-Manager
Nun kommen wir zum letzten Teil dieser Serie. Nachdem Sie im vierten Teil erfahren haben, dass falsche Passwort-Regelungen in einem Unternehmen, je nach Größenordnung, sehr viel Geld kosten können, möchte ich mich in diesem abschließenden Beitrag mit dem Einsatz von Passwort-Managern beschäftigen.
Im Allgemeinen haben Sie drei Möglichkeiten Ihre Passworte zu verwalten. Die Erste ist, sich alle zu merken. Das ist wohl der sicherste Weg, doch wird es sehr schwierig, sich die hoffentlich unterschiedlichen und genügend langen Passworte alle zu merken. Der Zweite ist, sich auf die Passwort-Speicherfunktion Ihres Webbrowsers zu verlassen und der Dritte, einen Passwort-Manager zu benutzen. Nachdem sich die erste Möglichkeit soeben geklärt hat, beschäftigen wir uns nun mit den beiden letzteren Varianten.
Webbrowser
Die Speicherung von Passwörtern in Webbrowsern, egal welchen Sie benutzen oder von welchem Hersteller der Webbrowser auch stammt, halte ich für sehr riskant. Ist ein Angreifer erst einmal auf das System des Opfers gekommen und sieht sich z.B. die Datei key3.de und die zugehörige SQL-Lite Datenbank (Beispiel Firefox) etwas genauer an, kommt er sehr schnell in den Besitz der im Webbrowser gespeicherten Passworte. Zudem zeigen Webbrowser immer noch Sicherheitslücken, oder Exploits auf, die schwer vorhersagbar sind. In der aktuellen Version von Firefox ist nicht einmal der Zugang zu den Passworten mit einem Master-Passwort abgesichert.
Für Passworte von unwesentlicher Bedeutung, kann man durchaus die Speicherfunktion eines Webbrowsers benutzen. Das muss jeder Nutzer für sich selbst entscheiden.
Passwort-Manager
Eine elegantere Methode ist der Einsatz eines Passwort-Managers. Passwort-Manager können pro Dienst den Sie aufrufen, ein zufälliges Passwort erzeugen. Zudem können Sie selbst bestimmen, aus wie vielen und aus welchem Zeichenvorrat sich das Passwort zusammensetzen soll. Durch eine so genannte Auto-Fil-In Funktion, setzt Ihr Passwort-Manager bei jedem Aufruf einer Web-Seite mit Login und Passwort sofort die richtigen Daten automatisch in die Web-Seite. Da es sich in der Regel bei der Erstellung von Passworten eben nicht um Wörter mit Zahlenkombinationen handelt, ist eine hohe Lebensdauer der Passworte schon einmal gesichert. Sie haben dazu einen guten Überblick über Ihre Zugänge und Passworte.
Welche Schwachstellen haben aber unsere Passwort-Manager? Zumindest für die Verwaltung der Datenbank müssen wir uns ein Master-Passwort merken. Dieses ist eine Schwachstellte von Passwort-Managern. Das Master-Passwort gehört nicht auf das System. Niemals! Sollte das System kompromittiert sein, so kann der Angreifer über das Master-Passwort Zugriff auf die Passwort-Datenbank haben. Aber auch Passwort-Manager legen alle erzeugten Passwörter in eine verschlüsselte Datenbank ab und die liegt in der Regel auf Ihrem System. Ein weiterer Schutz ist die Auslagerung dieser Passwort-Datenbank, z.B. auf einen externen USB-Stick oder ein externes Laufwerk. Persönlich verwende ich den Passwort-Manager KeePass, den es als Open-Source-Software schon über Jahre hinweg gibt und bislang noch keine gravierenden Schwachstellen aufgewiesen hat. Als Tipp: Das Master-Passwort in die Schublade unter dem Schreibtisch und die Datenbank des Passwort-Managers auf einen externen USB-Stick.
Es gibt aber auch Anwendungen, die mit einem sehr kurzen Passwort, z.B. nur 4 — 5 Ziffer-/Zahlenkombinationen, auskommen, beispielsweise das alte PIN/TAN-Verfahren beim Online Banking. Hier liegt die Sicherheit in der Anzahl der Versuche, die meistens auf drei Fehlversuche begrenzt ist. Dann wird der Zugang gesperrt und Sie müssen sich wieder neu legitimieren. Die Chance das richtige Passwort zu erraten liegt bei 3/99999 oder 0,003%.
Ich hoffe Sie haben viel Spaß bei dieser kleinen Serie über Passworte gehabt und hoffentlich eine Menge neues Erfahren können. Denn eins ist sicher, nichts ist sicher!
Ihr Udo H. Kalinna
Prof. Udo H. Kalinna, Hochschule Emden/Leer
Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hochschule Emden/Leer die Verwaltungsprofessur für Informatik und IT-Sicherheit und arbeitet gleichzeitig als Unternehmensberater mit dem Schwerpunkt Applikations- und Cloud-Sicherheit. Bevor er 2010 zur Hochschule wechselte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Computer tätig, bevor er als Unternehmer und CEO 2001 erfolgreich sein eigenes Software-Security Unternehmen gründete, welches nach kurzer Zeit zur Aktiengesellschaft firmierte. Mit seiner Software traf das Unternehmen eine Marktlücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Innovation des Jahres“ ausgezeichnet.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare