top of page

Security Pilot Weekend Briefing Nr. 12 - Passwortmanager

Aktualisiert: 28. Juli


Nachdem wir im letzten Briefing das Passwort selbst thematisiert haben, so wollen wir in diesem Briefing klären, wie man Passwörter sich speichern, verwalten und generieren kann. Das geht am besten mit einem


Passwortmanager


Was ist die Aufgabe eines Passwortmanagers?

Passwortmanager übernehmen das (sichere) Speichern der vielen verschiedenen Passwörter an einer zentralen Stelle. Diese zentrale Stelle (üblicherweise eine kleine Datenbank) wird dann entsprechend geschützt.

Benötige ich ein Passwort aus meinem Passwortmanager, so muss ich mich beim Passwortmanager anmelden und kann dann das gesuchte Passwort auslesen, herauskopieren oder direkt eintragen lassen.


Passwortmanager sind unheimlich praktisch, denn sie nehmen mir die Aufgabe ab, mir die vielen verschiedenen Passwörter merken zu müssen.

Außerdem können Sie mir sichere Passwörter generieren, die die typischen Merkmale eines Passworts enthalten und eine Mindestlänge haben.

So wird aus "Passwort123" gut und gerne mal "|=SwFIQj#s^O?O="4Cu/" - und wer möchte sich sowas schon merken?!


Jeder kennt es - der übliche Weg für eine Anmeldung ist die Verwendung einer Kombination aus Nutzername und Passwort.


Um es mir einfach zu machen, speichern Passwortmanager zusätzlich zum Passwort noch den dazugehörigen Nutzernamen und den Namen der Webseite, teilweise sogar deren Webadresse oder die Namen der Applikation zu der die Anmeldedaten gehören.

Viele Passwortmanager verfügen zudem über eine automatische Eingabefunktion, d.h. ich muss nicht händisch Nutzername und Passwort in die Eingabefelder kopieren, sondern der Passwortmanager macht dies automatisch für mich.

Die Bezeichnungen für diese Funktion unterscheidet sich von Hersteller zu Hersteller, aber es geht immer um die "automatische Eingabe".


Wir haben damit also mindestens drei wesentliche Funktionen eines Passwortmanagers identifiziert:

  • Passwort generieren

  • Passwort speichern

  • Passwort verwalten


Unterschiede zwischen Passwortmanagern


Worin unterscheiden sich jetzt die verschiedenen Passwortmanager am Markt?


Ein wesentliches Unterscheidungskriterium ist, WO die Passwortdatenbank gespeichert wird, nämlich

  • lokale (offline) oder

  • online


und wie man sich am Passwortmanager authentifiziert, also z.B.

  • mit Nutzername und sogenanntem Masterpasswort

  • mit einem Zertifikat

  • mit einem Hardware-Schlüssel (Key)


Speicherort

Der Vorteil einer lokal gespeicherten Datenbank ist natürlich, dass sie geschützt auf meinem Rechner liegt und es damit potenziellen Angreifern erschwer wird, auf sie zuzugreifen. Ich kann (und muss!) selbst dafür sorgen, dass niemand unbefugt auf die Datenbank zugreifen (und sie möglicherweise stehlen) kann.


Ist die Datenbank online bei einem Anbieter gespeichert, so hat dies den Vorteil, dass ich von allen Geräten mit Internetanschluss darauf zugreifen kann. Liegt die Datenbank nur lokal auf meinem Rechner, muss ich sie immer auf das Gerät kopieren, wo ich sie benötige, was zu einem nicht unerheblichen Aufwand führen kann, wenn ich mehrere Geräte nutze, da ich immer dafür sorgen muss, dass die aktuellste Datenbank verfügbar ist.

Nutze ich eine Online-Datenbank, nutze ich stets die aktuellste Version.

Schwachstelle bei einer Online-Datenbank ist immer der Anbieter. Nicht nur muss ich diesem zuerst einmal vertrauen, dass er meine Passwörter sicher speichert und mir den Zugriff gewährt, wenn ich diesen benötige, ich muss auch darauf vertrauen, dass der Anbieter alle erforderlichen Sicherheitsmaßnahmen einsetzt, um meine Passwörter vor fremdem Zugriff zu schützen.

Leider ist gerade letzteres in der Vergangenheit häufiger ein Problem gewesen.

Diverse Anbieter sind bereits Opfer von Cyberangriffen gewesen (sie sind natürlich ein spannendes Ziel für Angreifer) und daher muss es wohl überlegt sein, wem man seine Passwörter anvertraut.


Authentifizierung

Die Anmeldung mit Nutzername und Masterpasswort ist oft gängige Praxis. Die Sicherheit hängt also im Wesentlich an der Komplexität und Sicherheit des Master-Passworts. Passwörter quasi nur mit einem anderen Passwort zu schützen, klingt merkwürdig, insbesondere wenn die Passwort-Datenbank online gespeichert ist. Von einem Angriff (Brute Force) gegen meine Passwort-Datenbank kriege ich nichts mit, es liegt am Anbieter hier dafür zu sorgen, dass dies nicht so einfach möglich ist.


Aus diesem Grund hat sich eine weitere Anmeldung mit Zertifikat ergeben. Hier wird (zumeist auf einem weiteren Gerät, wie z.B. eine, USB-Stick) ein Zertifikat gespeichert, nur wenn ich mich mit Nutzername, Masterpasswort UND dem Zertifikat authentifiziere, erhalte ich Zugang zu der Datenbank. Dieser zusätzliche Faktor erhöht signifikat die Sicherheit, macht es aber auch wesentlich umständlicher, da ich immer den zusätzlichen Faktor bei mir haben muss, wenn ich an meine Passwörter möchte. Dies ist nicht unbedingt immer praktisch.


Aus diesem Grund hat sich eine weitere Methode entwickelt, nämlich einen Hardwareschlüssel zu nutzen. Bekannt sind Yubikeys, dies sind auch kleine USB-Sticks, die man einfach im USB-Port stecken lässt oder aber mit sich trägt. Herausforderung ist wie oben, wenn das Gerät dauerhaft im Computer steckt, könnte auch ein Angreifer darauf zugreifen, wenn ich es mit mir herumtragen muss, habe ich es wahrscheinlich immer genau dann nicht bei mir, wenn ich mein Passwort benötige. Deshalb ist die nächste Ausbaustufe, dass ich den sicheren Speicher meines Mobiltelefons hierfür nutze. Das Handy wird zu meinem zweiten Faktor.

Auf dem Handy ist eine App, mit der ich mich an der Passwort-Datenbank authentifiziere, dazu nutze ich schon einmal die sicheren Methoden des Mobilgeräts, wie PIN, Passwort, Muster, Biometrie o.ä. und zusätzlich wird der im Gerät gespeicherte Schlüssel aus dem sicheren Speicher benutzt.

Den Yubikey nutze ich quasi als Backup als alternative Methode mich an der Online-Datenbank anzumelden, wenn ich mein Telefon doch mal nicht dabeihaben sollte oder es verloren geht.

Auf dem Computer hat man die dazu passende App und kann so mit dem Mobiltelefon eine Anmeldung bestätigen.


Als zuverlässige Offline-Lösung habe ich bisher auf KeyPass gesetzt.


Mittlerweile bin ich allerdings auf eine Online-Lösung gewechselt, die auf eine sichere Authentifizierung und Speicherung der Passwörter setzt, ich nutze Heylogin, einem Unternehmen, welches auch hier in Braunschweig gegründet wurde.

Die sichere Authentifizierung ohne Master-Passwort hat mich hier überzeugt, ebenso wie der Fakt, dass der Anbieter kein Zugriff auf die Passwort-Datenbank hat.

Und da ich verschiedene Computer und Betriebssysteme nutze, ist es wesentlich komfortabler, da die Datenbank stets aktuell ist und ich nicht ständig die lokale Datenbank hin und her kopieren muss.


Fazit


Passwortmanager sind eine wertvolle Unterstützung bei der sicheren Verwaltung von Passwörtern und wärmstens zu empfehlen.

Ob Online- oder Offline-Variante, dies muss jeder nach persönlicher Vorliebe entscheiden. Beide Varianten haben Vor- und Nachteile.

Aber keinen Passwortmanager zu verwenden ist aus meiner Sicht heute nicht mehr zeitgemäß, denn dies geht zwangsläufig mit einer entweder unsicheren Speicherung einher oder aber mit einem Haufen Zettelwirtschaft für die vielen Passwörter, sofern man nicht überall das Gleiche oder immer nur Varianten eines einzelnen Passworts benutzt, a la "Passwort123Amazon", "Passwort123Netflix" usw. Keine gute Idee!


Wie handhabt Ihr es mit Euren Passwörtern?

Wenn Ihr Lust habt, Heylogin näher kennenzulernen, dann kommt gern auf mich zu.

Im privaten Bereich ist es sogar kostenlos!

Ich freue mich auf Euer Feedback!

7 Ansichten0 Kommentare

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page