von Anjola Adeniyi, securonix
Heutzutage hat so gut wie jeder eine kaum noch überschaubare Zahl verschiedener Online-Konten. Jedes einzelne von ihnen ist an sensible Daten wie Bank- und Kontoinformationen oder Adressdaten gebunden. Wer einigermaßen sicherheitsbewusst ist, der benutzt Passwort-Manager um die Zugangsdaten zu diesen Konten sicher zu speichern.
Ein Passwort-Manager ist eine verschlüsselte Datenbank mit deren Hilfe der Benutzer seine Passwörter kategorisieren und verwalten kann. Dazu kommen Empfehlungen wie man am besten ein möglichst sicheres Passwort erstellt (das sich ohne Hilfe ohnehin niemand merken kann). Passwort-Manager haben den Vorteil, dass Benutzer ihre Passwörter nicht irgendwo notieren, und sie unterstützen den Nutzer dabei seine Bequemlichkeit zu überwinden und nicht ein und dasselbe Passwort für unterschiedliche Konten zu verwenden. Passwort-Manager sind ganz offensichtlich ein unverzichtbares Tool für jeden Nutzer. Aber machen wir uns nichts vor. Genau die Eigenschaft, die sie für den Benutzer so interessant macht, macht sie auch zu einem bevorzugten Ziel für Hacker. Denn schließlich werden in Passwort-Managern sensible Informationen gespeichert, mit denen sich eine ganze Menge anfangen lässt.
Wenig überraschend warnte kürzlich eine Studie von Independent Security Evaluators (ISE), dass zahlreiche der beliebtesten Passwort-Manager schwerwiegende Sicherheitsschwachstellen aufweisen. Schwachstellen, die beispielsweise das Master-Passwort dem Risiko eines potenziellen Angriffs aussetzen. Die Forscher hatten herausgefunden, dass das Master-Passwort in lesbarem Klartext im Arbeitsspeicher des Computers untergebracht ist. Mit dem Master-Passwort haben Hacker dann so etwas wie den Jackpot gezogen. Wer im Besitz des Master-Passwortes ist, der kann problemlos Benutzernamen ebenso entschlüsseln wie die Passwörter des betreffenden Nutzers. Die Schwachstelle betrifft fünf der populären Passwort-Manager: 1Password7, 1Password4, Dashlane, KeePass und LastPass. Die Schwachstelle lässt sich ausnutzen, wenn der Passwort-Manager im Hintergrund läuft. Selbst dann, wenn der Passwort-Manager gesperrt ist oder der Benutzer sich bereits abgemeldet hat. Ein Hacker kann über diese Schwachstelle sowohl physisch als auch remote auf den betreffenden Rechner zugreifen.
Das Studienergebnis sollte aber nicht dazu führen, Passwort-Manager jetzt in Grund und Boden zu verdammen. Passwort-Manager sind nur über den Speicher des Computers erreichbar. Sie werden also nur dann zu einem Sicherheitsrisiko, wenn der Angreifer physisch auf den Rechner zugreifen kann, oder wenn der Nutzer sich hat verleiten lassen, eine Malware auf seinen Rechner herunterzuladen. Das ist allerdings vergleichsweise unwahrscheinlich, wenn der Nutzer die aktuellste Version einer Antiviren-Software eingespielt hat.
Trotz der Ergebnisse der Studie sind Passwort-Manager nach wie vor relevant, weil sie helfen eine ganze Reihe riskanter Praktiken zu vermeiden. Dazu gehören der Gebrauch von unsicheren Passwörtern, die Wiederverwendung ein und desselben Passwortes für unterschiedliche Konten und das Notieren von Passwörtern (nebst dem Aufbewahren wenig sicheren Plätzen).
Passwort-Manager sind ein klassisches Beispiel für das Abwägen der Sicherheitsrisiken einer Lösungen oder Technologie verglichen mit den Gefahren, die damit verbunden sind, sie nicht zu nutzen. Oder um es mit den Worten des bekannten Sicherheitsexperten Troy Hunt zu sagen: „Passwort-Manager müssen nicht perfekt sein, sie müssen nur besser sein als es ist keinen zu verwenden“.
Die Empfehlung kann also nur lauten, sicherzustellen, dass der Passwort-Manager nicht im Hintergrund läuft, wenn er gerade nicht gebraucht wird und eine Antiviren-Software einzusetzen, die verhindert, dass Angreifer über eine Malware eine Hintertür installieren. Wo die Möglichkeit besteht zusätzlich eine Multi-/Zwei-Faktor-Authentifizierung zu nutzen, da sollten Nutzer das auch vollumfänglich tun. Zwei-Faktor-Authentifizierung gehört nach wie vor zu einer der besten Methoden um Cybersicherheitsrisiken zu senken.
Schluss mit Passwörtern, es lebe die Passphrase – Ilove2laugh&haveFun#9wfrkt!
Aber auch wenn man einen Passwort-Manager benutzt sollte man einige grundlegende Regeln bei der Wahl des Passwortes berücksichtigen. Man sagt gemeinhin „Passwörter sind das schwächste Glied der Kette“. Das trifft in Umgebungen wie wir sie heute üblicherweise vorfinden mehr denn je zu. Je länger und komplexer ein Passwort ist, desto schwerer ist es zu knacken. Passphrasen sind also so etwas wie die neuen Passwörter.
Passphrasen kombinieren mehrere Wörter. Sie sollten etwas sein, dass nur der Benutzer weiß (und wissen kann) und sich nicht einfach so erraten lässt. Bei der Auswahl einer Passphrase sollte man folgendes beachten:
- Passphrasen sollten sich immer von System zu System und von Konto zu Konto unterscheiden
- Der Nutzer sollte sie so auswählen, dass sie sich nicht einfach so erraten lassen
- In jedem Fall sollte man sich für die Passphrase mit der maximal möglichen Länge für jedes einzelne System entscheiden
- Auf Wörter, die sich in Wörterbüchern einer beliebigen Sprache finden lassen, sollte man verzichten
- Passwort-Manager-Programme helfen Benutzern ihre Passwörter zu verwalten und nachzuvollziehen wo sie wie verwendet werden. Es gibt etliche frei verfügbare Programme, die man ausprobieren sollte. Mit ihnen kann man im Übrigen auch Passphrasen erstellen.
Auch wenn die Forschungsergebnisse nicht unbedingt ermutigend sind, sollten sie niemanden davon abhalten Passwort-Manager zu benutzen. Sie sind und bleiben der effektivste Weg Anmeldeinformationen zu schützen. Trotzdem darf man die Ergebnisse getrost als Weckruf verstehen sich so gut wie möglich vor Malware-Varianten zu schützen, die sich gezielt gegen Passwort-Manager richten.