≡ Navigation

Passwort-Manager – eine Liebeserklärung

Früher war es einfach. “ChefIstdoof” – “Wurstsalat” und “Panzertrulla” waren 1999 zwar keine große Herausforderung für Hacker, dennoch kann man das damalige Sicherheitsgefühl als endlos bezeichnen.

Obwohl führende IT-Experten seit 2001 immer wieder auf die Notwendigkeit entschlüsselungsfester Passwörter hinweisen, haben sich bis 2018 in vielbeschäftigten Kreisen (Politiker, Stars etc.) die einfachsten Begriffe wacker gehalten und sogar vermehrt:

  • an dieser Stelle würde ich gerne einen Link setzen, aber §13 eines in Bayern / Europa gebackenen Gesetz zum Schutz der Content-Verwerter macht mich Glauben, das sei keine gute Idee. Suchen Sie einfach bei Google nach “kein Hacker Datensammler Politiker betroffen”.

Das Problem einfacher Passwörter

“herbertFrank25cool” ist vermutlich besser als “muttibackthaschkekse”, aber in der letzten Konsequenz trotzdem nur als schwach bis mittel einzustufen.

Versetzen wir uns einmal in die Lage eines modernen Hackers. Dieser geht ja nicht auf Ihren Login-Screen und testet die Vornamen Ihrer Verwandschaft durch, sondern besorgt sich Benutzerdatenbanken mit verschlüsselten Passworteinträgen. Diese zunächst wertlosen Daten werden jedoch mit einem sehr schnellen Rechner in vertretbarer Zeit wieder nutzbar. Wieso? ganz einfach:

Eine Datenbank kann man sich zur Vereinfachung wie ein Bündel Excel-Tabellen vorstellen. Wer also die “Benutzer-Tabelle” mit Email und verschlüsseltem Passwort bekommt, kann die Verschlüsselung in einigen Fällen mit einem einfachen Phone-Book-Hack bespaßen. Dabei gleicht ein kleines Programm willkürliche Wortkombinationen, mit und ohne Zahlen, mal groß, mal klein, mit dem zu entschlüsselnden Hash-Wert des verschleierten Passworts ab.

Sobald ein “Treffer” in Form einer Übereinstimmung vorliegt, wird der Kundendatensatz separiert. Nun kann ein Bot, oder ein Nerd, oder Ihre Tante die Kombination aus Passwort und Mailadresse an vielen Stellen und Diensten ausprobieren.

Ähnliches Prinzip, nur rückwärts

Hier kommt ein Passwort-Manager ins Spiel. Bei modernen Tools können Sie ein zentrales Passwort für den Zutritt zu Ihrer Passwort-Tabelle/Datenbank mittels eines weiteren Elements so stark verschlüsseln, das ein Angriff von außen erheblich erschwert ist. Immerhin müsste ein Angreifer entweder Ihren versteckten “Schlüssel” kennen und mitsamt des Passworts und der Datenbankdatei entwenden.

Noch besser ist übrigens eine 2-Faktor-Authentifizierung. Dazu mehr in einem anderen Blog-Eintrag.

Der Passwort-Manager gibt nach erfolgreichem Login die Schreib-Leserechte auf Ihre Einträge frei. Der Clou beginnt allerdings dann, wenn Sie das Programm nicht nur einfch befüllen, sondern mittels diesem auch die cryptischen Passwörter generieren lassen.

So besteht die Möglichkeit ein Passwort mit allen Sicherheitsanforderungen zu erzeugen, ohne dieses in “Textform” jemals zu Gesicht zu bekommen. Die Zwischenablage macht es möglich. Und diese wird z.B. nach 10 Sekunden wieder geleert.

Königsklasse – virtuelle Tastatur

Bevor uns jemand zuruft: “Ey, man kann ja die Tastatur-Signale der Funktastatur abhören”, hier die Lösung:

dem Passwortmanager kann man in der Regel auch gleich die Login-Seite mit auf den Weg geben.

Nach erfolgtem Start eines Makros im Passwort-Manager übernimmt dieser die komplette Anmeldeprozedur. Niemand muss somit die Tastatur berühren, noch einen verräterischen Blick aus das Passort in Reinform vornehmen.

Unsere Empfehlung – keepass

Wäre nun jemand so neugierig und würde fragen welches Tool wir einem Neuling empfehlen würden, wäre wäre wäre die Antwort

keepass – PasswortSafe

und zusätzlich noch eine Internetverbindung über einen VPN-Kanal.

“Na toll, viel zu kompliziert”

Darum stehen wir ja auch gerne für einen kleinen Workshop, ein Online-Meeting oder ein Telefonat zur Verfügung.

In regelmäßigen Abständen veranstalten wir zu diesem Thema Online-Sessions um einen guten Einblick in die Möglichkeiten zu gewähren.

Gerne stehen wir auch für Ihr Unternehmen beratend zur Verfügung.