Sensible Informationen sicher schützen Passwort Manager für mehr Sicherheit

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Sichere Passwörter zu erstellen ist schwer, sie sich zu merken noch schwerer. Passwort Manager schaffen hier Abhilfe. Sie speichern Zugangsdaten verschlüsselt ab und integrieren sich auf Wunsch in Browser oder andere Programme. Security-Insider stellt passende Programme vor und bewertet die in den Browsern integrierten Funktionen.

Firma zum Thema

Anwender müssen sich immer mehr Passwörter merken. Gerade bei sicheren Passwörtern wird das immer schwerer. Passwort Manager wollen hier Abhilfe schaffen. (Fotolia)
Anwender müssen sich immer mehr Passwörter merken. Gerade bei sicheren Passwörtern wird das immer schwerer. Passwort Manager wollen hier Abhilfe schaffen. (Fotolia)

In den letzten Jahren häuften sich spektakuläre Angriffe bekannt, bei denen die Kriminellen teilweise mehrere Millionen Nutzernamen und Passwörter abgreifen konnten. Nachdem kurz darauf weitere Konten der gleichen Nutzer geknackt wurden, erhielt ein altes Problem neue Aufmerksamkeit: Die Mehrfachnutzung von Zugangsdaten. Hat ein Nutzer einmal eine vermeintlich gute Kombination aus Nutzername und Passwort, setzt er diese immer wieder ein. Die Angreifer machen sich diese Sorglosigkeit zu Nutze und probieren die abgefangenen Passwörter automatisiert gegen Webdienste wie etwa Googlemail, Paypal oder eBay aus.

Diese Attacke zeigt eine fundamentales Problem: Starke Passwörter sind schwierig zu erstellen, hat man einmal eins gefunden, so will man es nicht für jeden Dienst neu ändern. Die Tipps zu sicheren Passwörtern werden immer umfangreicher, allein das BSI behandelt diese Problematik in mehreren Dokumenten, einmal für Firmen, einmal für Endanwender.

Bildergalerie
Bildergalerie mit 14 Bildern

Eine elegante Lösung ist der Einsatz eines Passwort Managers. Diese Programme sichern nicht nur die Zugangsdaten in einer verschlüsselten Umgebung, sie helfen meist auch beim Erstellen sicherer Logins. Wer sich zum Einsatz dieser Programme entscheidet, dem stehen im Grunde zwei Möglichkeiten offen - die Speicherung auf dem PC oder die Nutzung eines Cloud-Dienstes.

Online-Passwortverwaltung mit LastPass

LastPass wirbt mit dem Slogan „Das letzte Passwort, das Sie sich merken müssen“. Das fasste den Dienst ziemlich gut zusammen. Sobald der Nutzer seinen Account angelegt (und mit einem möglichst starken Passwort versehen) hat, wird im Browser das LastPass-Addon installiert. Der Dienst kann bereits auf dem System gespeicherte Passwörter importieren, unterstützt werden die diversen Browser sowie andere Programme wie RoboForm, 1Password oder KeePass.

Der Dienst integriert sich in allen unterstützten Browsern in einer separaten Leiste oder als Icon neben der Adressleiste. Erkennt LastPass eine Seite, für die Zugangsdaten hinterlegt sind, schlägt die Applikation vor, diese automatisch einzufügen. Alternativ kann man sich die Zugangsdaten anzeigen lassen oder sie in die Zwischenablage kopieren. Meldet man sich bei einem neuen Dienst an, bietet LastPass einen Passwort-Generator. Dieser ist enorm umfangreich und erstellt beliebig lange Passwörter. Der Trick dabei: Sie werden automatisch nach LastPass übernommen, im Grunde müssen Nutzer also nur auf „Generieren“ drücken und können anschließend LastPass alles weiter übernehmen lassen.

Neben Passwörtern bietet LastPass auch die Möglichkeit, Notizen im verschlüsselten Bereich abzulegen. In der aktuellsten Version kann man hier auch die in Windows gespeicherten WLAN-Passwörter importieren. Praktisch ist, dass LastPass neben dem Master-Passwort auch andere Sicherheitsfunktionen zum Anmelden unterstützt. Android-Besitzer können die App Google Authenticator zur Sicherung des Zugriffs nutzen, wer einen Finger-Print-Scanner zur Verfügung hat, der kann diesen auch zur Freigabe des Tresors nutzen.

Der Cloud-Ansatz bringt aber verschiedene Vor- und Nachteile mit. Positiv ist, dass der Dienst auf jedem System verfügbar und synchronisiert die Informationen zwischen verschiedenen Browsern und unterschiedlichen Systemen. Allerdings muss man natürlich dem Anbieter und seinen Zusagen zur Sicherheit vertrauen - LastPass ist Closed-Source, es gibt also keine Möglichkeit, die Software zu überprüfen.

LastPass ist mit Windows, Linux und Mac OS kompatibel. Die Plugins für den IE, Firefox, Chrome oder Opera sind kostenlos. Wer die Applikation allerdings auf Smartphones mit iOS, Blackberry oder Android nutzen möchte, der muss ein Premiumkonto abschließen, dieses kostet zum Testzeitpunkt zwölf US-Dollar pro Jahr.

KeePass: Offline und Open Source

KeePass verfolgt eine andere Strategie als LastPass. Statt die Informationen in einem Online-Dienst abzulegen, werden alle Zugangsdaten einer lokalen verschlüsselten Datenbank abgelegt. KeePass unterstützt beliebig viele Datenbanken. Jede wird wahlweise mit einem Masterpasswort verschlüsselt oder ist mit einer Schlüsseldatei oder dem Nutzerkonto von Windows gekoppelt. Die Software unterteilt alle Zugangsdaten in sechs verschiedene Gruppen: Allgemein, Windows, Netzwerk, Internet, eMail und Homebanking. Alle diese Gruppen lassen sich umbenennen, wer mehr benötigt, kann neue hinzufügen. Die Software ist grundsätzlich auf Englisch, mit der passenden Sprachdatei lässt sie sich aber auf Deutsch übersetzen.

KeePass nutzt eine umfangreiche Plugin-Architektur, um zusätzliche Funktionen zu ermöglichen. Wer die Software etwa in Browser wie IE oder Firefox integrieren möchte, der kann die entsprechenden Erweiterungen herunterladen. Die Übersichtsseite bietet noch Lösungen für weitere, mehr exotische Einsatzszenarien. So kann KeePass die gespeicherten Daten etwa als QRCode darstellen oder in verschiedene Formate exportieren. Interessant ist auch das Tool-Menü. KeePass erstellt nicht nur einzelne Passwörter, sondern auf Wunsch ganze Listen. Wer Online-Banking nutzt, kann die TANs importieren, der verstärkte Einsatz von mTANs oder Chip-TANs macht diese Funktion aber hoffentlich bald überflüssig.

Ein Nachteil der lokalen Installation ist, dass sich die Daten nicht ohne weiteres zwischen verschiedenen Systemen abgleichen lassen. Allerdings kann man dieses Problem umgehen - solange man seine Datenbank Anbietern wie Dropbox anvertrauen möchte. Kopiert man die Datenbank in den Abgleichordner eines solchen Cloud-Anbieters, ist sie in allen angeschlossenen Systemen verfügbar.

Sticky Password: Kommerziell unterstützt und lokal installiert

Eine Alternative zu KeePass ist die Anwendung Sticky Password. Sie ist eine kommerzielle Applikation, die ähnlich wie LastPass eine kostenlose und eine Pro-Version bietet. Die Gratis-Version kann allerdings maximal 15 verschiedene Konten verwalten. Sticky Password integriert sich neben den Schaltflächen oben rechts im Browser. Ein Klick darauf blendet das Menü von Sticky Password ein und gibt Zugriff auf die verschiedenen Funktionen.

Interessant an Sticky Password ist, dass die Applikation nicht nur verschiedene Browser unterstützt. Das Programm kann zusätzlich auch Passwörter von Tools wie Trillian, iTunes, Filezilla oder DropBox verwalten. Auch hier ist ein Passwortgenerator integriert, ebenso ist wie die Möglichkeit, Notizen im verschlüsselten Bereich des Programms abzulegen.

Die Software kann auf mehrere Arten entsperrt werden: Entweder gibt man das zu Beginn festgelegte Masterpasswort an, nutzt einen USB-Speicherstick zur Freigabe oder koppelt ein bestimmtes Bluetooth-Gerät mit dem PC. Sobald sich dieses in Reichweite befindet, wird die Software entkoppelt.

Neben der fest installierten Version bieten die Macher Sticky Password auch als portable Version an. Wer das Programm allerdings auf einem Smartphone verwenden möchte, der ist aktuell auf das iPhone angewiesen. Die Pro-Version der Anwendung kostet zum Testzeitpunkt 23,95 Euro.

Integrierte Sicherheit - die Verwaltungssysteme der Browser

Neben den dedizierten Passwort-Programmen bietet mittlerweile jeder aktuelle Browser eine integrierte Verwaltung für Passwörter. Das mag auf den ersten Blick praktisch genug wirken, allerdings sind diese Systeme oftmals gegenüber den dedizierten Programmen beschränkt.

Mit Ausnahme von Firefox bieten sind die gespeicherten Daten größtenteils ungeschützt, Bei Chrome haben die Entwickler den Schutz durch ein Master Passwort mit der Begründung abgelehnt, dass ein Auslesen der gespeicherten Passwörter nur lokal möglich sei. Nachdem zu diesem Zeitpunkt der Rechner ohnehin bereits kompromittiert sei, würde ein Master Passwort dann auch nichts mehr helfen. Die passenden Tools um die Informationen auszulesen finden sich kostenlos im Web, ein guter Startpunkt sind etwa die Freeware-Programme von Nirsoft. Wer Firefox nutzt, sollte in jedem Fall das Master Passwort aktivieren, um die Daten zumindest rudimentär zu schützen.

Interessant ist aber, dass die Browser-Hersteller die Mehrfachnutzung scheinbar angehen wollen. Google beispielsweise plant laut diesem Blogpost einen eigenen Passwortgenerator, der direkt im Browser neue Eingabedaten erstellen kann.

Fazit

Passwort Manager erfordern anfangs die Umstellung des Nutzers. Statt die Daten direkt im Browser verfügbar zu haben, muss man sich damit abfinden, dass wichtige Informationen in Dritt-Applikationen oder sogar auf den Servern externer Anbieter gesichert sind. Bereits nach kurzer Zeit gewöhnt man sich an die neuen Dienste und dann wird das Leben deutlich einfacher. Wer künftig neue Konten erstellt, der muss sich nicht mehr neue Passwörter überlegen, sondern lässt sich einfach beliebig lange und starke Daten erstellen.

Allerdings sollte man nicht vergessen, dass man selbst mit diesen Systemen nicht hundertprozentig geschützt ist. Ein schwaches Master-Passwort ist ebenso gefährlich wie ein auf dem System installierter Keylogger oder eine noch nicht entdeckte Schwachstelle im jeweiligen Programm.

(ID:32382790)