Passwortsicherheit: Kennwörter systematisch verwalten und generieren
Ein Deutscher, der im Internet unterwegs ist, muss sich mittlerweile schon durchschnittlich 25 Passwörter merken.
Da wird man schnell bequem und verwendet stets das gleiche Passwort oder verliert schnell den Überblick. Systematische Methoden für mehr Passwortsicherheit helfen weiter. Es gibt drei Methoden, wie Sie zum „Master of Passwortsicherheit“ werden:
- Passwörter auf Papier generieren und verwalten
- Passwörter elektronisch generieren und mit „Passwort-Safes“ speichern
- Passwörter mit der 2-Faktor-Authentifizierung generieren und verwalten.
1. Passwörter auf Papier generieren und verwalten
Digital orientierte Menschen mögen jetzt zusammenzucken — doch insbesondere die konsequente Trennung von der digitalen Welt, in der die Passwörter generiert werden, kann genau die richtige Lösung für mehr Passwortsicherheit sein. So funktioniert die Print-Passwort-Generierung, die ein Basispasswort mit einem zweiten Passwort aus dem jeweiligen Einsatzort kombiniert:
- Grundpasswort mit mindestens acht zufälligen alphanummerischen Zeichen ausdenken, zum Beispiel: dU4%K/8§
- Seitenschlüssel für die spezielle Nutzung erzeugen, zum Beispiel für ebay: ey34
- Das neue, kombinierte Passwort lautet: dU4%K/8§ey34 oder ey34dU4%K/8§
Eine weitere sehr systematische Offline-Möglichkeit, um Kennwörter händisch mit Zettel und Stift zu verwalten, ist die „Passwortkarte“. Diese Sicherheitsvariante wurde von c’t in Heft 18/2014 ausführlich vorgestellt. Dabei kann sich ein Endanwender einen Passwort-Manager aus Papier basteln auf den kein Computerschädling oder Cyberkrimineller zugreifen kann. Mit diesem Konzept erarbeitet man sich ein Schema mit einer Tabelle. Diese wird mit dem Kopierer verkleinert und sicher aufbewahrt und schon besitzt ein Nutzer einen Passwortmanager im Kreditkartenformat. Hier können Sie die c’t Passwortkarte direkt herunterladen (ZIP)
2. Passwörter elektronisch generieren und speichern mit „Passwort-Safes“
Experten raten zur Nutzung eines sogenannten „Passwort-Safes“ — einem digitaler Ort, an dem alle benutzten Zugangsdaten (Login-Namen und Passwörter) gespeichert sind und die Passworte elektronisch generiert werden. Somit muss sich der Nutzer nur noch das Master-Passwort generieren und merken. Alle anderen liegen im „Safe“.
Es gibt eine Vielzahl von kostenlosen Passwort-Managern und -Tools, die zufällige, nur schwer hackbare Passworte generieren und Ordnung ins Passwort-Chaos bringen. Durch diese Programme werden Passworte erzeugt, die sich nur schwer knacken lassen. Aber absolut sicher ist auch hier nichts.
Ein Vorteil von Passwort-Safes ist auch gleich der Nachteil: Einige Anbieter laden den persönlichen Passwortsafe in die Cloud. Nutzer können die Kennwörter bequem auf vielen Kanälen wie auch Smartphone und Tablet benutzen. Wenn sich nur ein einziger Trojaner unbemerkt im gewählten System installiert und unbemerkt bleibt, kann er mit einem Keylogger das Masterpasswort abgreifen und hat zugleich Zugang zu sämtlichen Passwörtern. Die Gretchenfrage hinsichtlich digitaler Passwortsicherheits Safes lautet: Möchte ich meine „Kronjuwelen“ aus der Hand zu einer Firma geben, die diese verwaltet?
Hier einige wichtige Anbieter von kostenlosen digitalen Passwort-Managern:
KeePass Password Safe. Das Tool ist eine crossmediale Kennwortdatenbank, mit der Nutzer Passwörter vom PC, aus dem Internet, von einem USB-Stick und auch über mobile Endgeräte abrufen können. KeePass verschlüsselt alle Daten und steht in 40 Sprachen zur Verfügung. Sprachdateien müssen zusätzlich heruntergeladen werden.
PWgen. Ein Programm, das zufällige Passwörter generiert. Das Besondere: Es können standardmäßig Passwörter erzeugt werden, die gängig und leicht aussprechbar sind.
Lastpass. Das Programm wurde bereits mehrfach Ziel von Angriffen von Hackern, ist aber wegen seiner Plattformflexibilität, den mobilen Apps und des hohen Komforts sehr beliebt. Die Community war allerdings weniger begeistert über die Übernahme des Unternehmens durch den Cloud-Anbieter LogMein und die damit verbundene Gefahr des Datenmissbrauchs (mehr).
Wer plattformübergreifend oder mit hohem Funktionsumfang Passwörter high-level managen möchte, muss dafür schon etwas Geld locker machen:
1Password von AgileBits bietet LIVE-Datensynchronisation, Auto-Log-In auf unterschiedlichen Plattformen und Webseiten, kostet aber um die 50 US-Dollar. Es gibt auch günstigere Apps für iOS und Android.
mSecure von mSeven synchronisiert Passwörter unter Windows, Mac, Android, iPhone und iPad über WLAN und transportiert die Daten in die Cloud. Das Windows-Programm kostet zurzeit etwa 20 Euro, die mobilen Versionen für Android und Apple-Geräte etwa 10 Euro.
3. Zwei-Faktor-Authentifizierung (2FA)
Ein hochwertiges neues Sicherheitskonzept — auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für mehr Passwortsicherheit die Zwei-Faktor-Authentifikation im IT-Grundschutz-Katalog. Der Name sagt es eigentlich schon: Ein Nutzer benötigt zwei Komponenten, um sich unabhängig voneinander als Person identifizieren zu können:
- Einloggen mit seinem Benutzernamen und Passwort (diese kennt er)
- Ein Gerät, das dieses Passwort genau zuordnet
Wie funktioniert 2FA? Zunächst loggt sich der Nutzer wie gewohnt mit Benutzernamen und Passwort ein. Der 2FA-Anbieter prüft anschließend im zweiten Schritt, ob der Zugriff mit dem Account erfolgte, das mit dem Gerät verknüpft ist. Dies erfolgt zum Beispiel über den Versand eines Zusatzcodes via SMS oder E-Mail. Alles Informationswege, die nur dem Gerätinhaber zur Verfügung stehen.
Was passiert bei Handydiebstahl? Da Smartphones jedoch ein beliebtes Ziel für „Datenklau“ sind, birgt die 2-Faktor-Methode ein Risiko. Ein spezieller Krypto-USB-Key mit U2F-Standard oder Hardware-Token sind gute Alternativen. Die Geräte haben den Nachteil, dass auch sie parallel gestohlen werden können, der Angreifer mit einem vereinfachten Wiederherstellungsverfahren das Kennwort zurücksetzen kann und somit offenen Zugang zu dem entsprechenden Login hat.
Wer keinen Stick mit sich herumtragen möchte, kann auch auf sogenannte biometrische Verfahren, wie Gesichtserkennung oder den Fingerabdruck zurückgreifen — für private Personen eine recht sichere Methode, jedoch nicht für sicherheitsrelevante Projekte. Eines sollte aber jedem klar sein: Je weiter die Technik und Forschung auf diesem Gebiet voranschreitet, umso ausgeklügelter werden auch die Hacker-Systeme.
Wer bietet 2FA an? Immer mehr sehr bekannte Webanbieter setzen auf 2FA — dazu zählen beispielsweise: Google, Facebook, Dropbox, Twitter, Microsoft Outlook und Evernote, um nur einige bekannte Player zu nennen. Eine ausführliche Liste der 2FA-Anbieter befindet sich hier.
Passwortsicherheit in Zukunft: Log-Ins ohne Passwort?
Wenn Sie wissen wollen, warum Passwörter künftig überflüssig werden und welche Bedrohung die sogenannten biometrischen Verfahren darstellen, klicken Sie hier.
Weiterführende Links zum Thema Daten verschlüsseln
Warum Daten verschlüsseln und sichern so wichtig ist
Aktuelle News und Informationen zum Thema Daten verschlüsseln und sichern
Schutz vor Phishing und betrügerische E-Mails: Lassen sie sich nicht angeln!
Schutz vor Malware, Trojanern und Viren: lohnenswerter Kampf oder Kampf gegen Windmühlen?