Pro und Contra Passwort-Manager

Password Manager – Nein Danke?

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Wie bei allen Technologien gibt es auch bei Passwort Managern Licht und Schatten. Der Einsatz eines Passwort Managers aber dennoch zu befürworten, denn der Gewinn an Sicherheit überwiegt die negativen Randeffekte.
Wie bei allen Technologien gibt es auch bei Passwort Managern Licht und Schatten. Der Einsatz eines Passwort Managers aber dennoch zu befürworten, denn der Gewinn an Sicherheit überwiegt die negativen Randeffekte. (© wutzkoh - stock.adobe.com)

Ohne Passworte geht es nicht! Ein Login Bildschirm am PC, der Account für das Onlinebanking, die Web-Bestellseite, das Login für das Social Media-Netzwerk, überall wird man nach einem Passwort gefragt. Selbiges soll möglichst kompliziert sein, Sonderzeichen enthalten und nicht bereits an anderer Stelle Verwendung finden. Eine Anforderung, die eher einer Herausforderung gleicht und nicht wenige Anwender vor Probleme stellt. Doch die Lösung ist nah. Es gibt Passwort-Manager, die sich hier als universelles Utility präsentieren und alle Problem lösen.

Es gibt einige Punkte die sehr für den Einsatz von Passwort-Management-Tools sprechen. Wir merken uns drei oder auch mal zehn Passwörter, aber je komplexer diese werden und je kürzer die Wechselfrequenz ist, umso großer wird die Fehlerquote. Also nutzen wir ein Tool, welches für uns alle Passwörter speichert. Egal ob zehn oder fünfzig, das Tool merkt sich alles und bietet oft tolle Funktionen an, die eine IT-Nutzung vereinfachen.

Features, wie die Generierung von langen und komplexen Passwörtern werden ebenso angeboten, wie die automatische Eingabe der Daten in die relevanten Formularfelder bei der Anmeldung via Browser. Auch Service-Funktionen, wie eine thematische Gruppierung oder die Erinnerung alle n Tage an einen empfehlenswerten Passwortwechsel bieten die Tools. Wird die Passwortbasis auch noch in der Cloud gehostet oder an einer anderen Online-Ressource, kann sogar übergreifend auf die Basis zugegriffen werden. So können elegant die Passwörter auch auf einem Tablett oder Smartphone genutzt werden. Und anstatt sich eine Vielzahl von Passwörtern zu merken, genügt ein Master-Passwort, für den Zugang zu diesen Komfortfunktionen. Eine tolle Sache und eine Vielzahl von Experten raten auch zu Passwort-Managern, da sie die Nutzung und den Umgang mit Passworten deutlich verbessern und so zu einer verbesserten IT Sicherheit beitragen!

Was spricht gegen Passwort Manager?

Doch wo Licht ist, ist auch Schatten und es gibt Stimmen, die der Nutzung eines Passwort-Managers skeptisch gegenüberstehen. Die Bedenken, die andere Experten gegen Passwort-Manager ins Feld führen sind nicht Ohne und durchaus einer detaillierten Betrachtung werdet.

Vergesslichkeit: Was passiert, wenn Sie ein Passwort vergessen? Im schlimmsten Fall können Sie einen Dienst nicht mehr nutzen. Vergessen Sie aber, durch welche Umstände auch immer, das Master-Passwort Ihres Passwort Managers ist der Zugriff auf all Ihre Dienste in Frage gestellt. Letztendlich bleibt Ihnen meistens nichts anderes übrig, als Ihre Daten neu zu erfassen! Gut wenn Sie diese noch an einem alternativen Speicherplatz hinterlegt haben, denn sonst haben Sie noch schlechter Karten. Eventuell können Sie aber auch noch den Worst Case verhindern, wenn Sie noch andere Authentifikationsmethoden haben (Touch ID). Hier sei exemplarisch das Produkt 1Password erwähnt, welches sehr detailliert auf das Problem eingeht.

Jackpot für Hacker: Das Passwort ist der Schlüssel zur eigenen Online-Identität. Wer sich dieses aneignet, kann problemlos einen Identitätsdiebstahl ausführen und die Online-Identität des Opfers übernehmen – mit allen Berechtigungen. Man darf annehmen, das die Hersteller von Passwort Managern sich über die sichere Speicherung Gedanken gemacht haben und so etwas wie Einweg-Hash-Funktionen („One-Way Hash Function“ bzw. OWHF) ein Basis-Standard sind. Aber in Zeiten von mietbarer Rechenleistungen ist vielleicht eine Brute-Force-Attacke in einer überschaubaren Zeitspanne durchaus machbar.

Diese Überlegung ist nicht neu, aber wenn das Master-Passwort geknackt ist, ist der Weg für den Hacker frei. Nicht nur zu einem Passwort, sondern zu allen Passwörtern, Zugangscodes, ID-Nummern und anderen Daten, die in dem Passwort Manager gespeichert sind. Wie dies selbst mit Powershell machbar ist, zeigt der Proof-Of-Concept-Angriff auf KeePass von Hazzy (The Grumpy System Administrator) vom Januar 2017. Aber Otto Normaluser dürfe sich in der Regel mit diesem Problem nicht konfrontiert sehen, dafür aber verstärkt Vorstände von Unternehmen, leitende Staatsangestellte und andere Personen, deren Daten für Dritte wichtig sind.

Gespeichert in der Cloud: Zweifelsohne hat eine zentrale Ablage einer Passwortbasis in der Cloud einige Vorteile. Der globale Zugriff, von jeder Stelle mit jedem berechtigten Gerät ist dabei an erster Stelle zu nennen. Doch wie kommt man an die Daten, wenn der Hoster aktuell nicht erreichbar ist? Wie erfährt man die PIN für die Geschäftlichen Kreditkarte, wenn man keine Verbindung zum WWW erhält? Wie sicher ist die Datenverbindung? Wird ein VPN aufgebaut und kann man sicher sein, dass der lokale Access-Point für den Internet-Zugang sicher ist?

In Zeiten, in denen die digitale Kriegsführung stetig weiterentwickelt wird und das Hacken von Systemen sich schon beinahe zu einer Art Volkssport entwickelt sind dies Fragen, die man stellen muß! Denn ohne eine verfügbare und sichere Infrastruktur kann eine zentrale Passwortbasis schnell zum Eigentor werden.

Vertrauen: Aufgrund eines Spionageverdachts will die Regierung der USA die Produkte des russischen Herstellers Kaspersky Lab aus den Büros der Bundesbehörden verbannen. Kaspersky wies die Vorwürfe als unbegründet zurück und kontert mit einer Gegendarstellung. Das wichtigste Kriterium für Hersteller von Security-Software ist das Vertrauen des Kunden. Man vertraut darauf, dass alles sicher ist, bestmöglich funktioniert und keine Backdoors implementiert sind. Eine Überprüfung scheidet in der Regel aus, da der Sourcecode nicht veröffentlicht wird – Open Source ist hier die erwähnenswerte Ausnahme.

Also nutzt man die Software und vertraut darauf, dass sich kein vorwitziger Programmierer ein Backdoor eingebaut hat und niemand außer einem selbst an die gespeicherten Daten in der Passwortbasis kommt. Ebenso vertraut man darauf, dass nicht das Unternehmen, welches den Passwort Manger herstellt, von Dritter Stelle zur „Unterstützung“ aufgefordert wird. Aber auch in der IT gilt die Unschuldsvermutung solange nichts geschieht, wird man den Hersteller vertrauen.

Fehlerfreiheit: Anfang letzten Jahres berichtete das Fraunhofer Institut über die Ergebnisse einer Arbeitsgruppe, welche die Sicherheit von Passwort Managern unter Android analysierte. Das Ergebnis überraschte, denn von Implementierungsfehlern, bis hin zur Speicherung von Passwörtern im Klartext war alles vertreten. Zwischenzeitlich wurden diese Fehler durch die Hersteller behoben, aber bei manchen fragt sich nicht nur der Android-Nutzer, wie so etwas passieren konnte!

Wie sieht es aber mit den Applikationen für PCs unter Linux, OS X und Windows aus – wurde dort mehr Sorgfalt auf die Programmierung gelegt und war der Android-Effekt ein unglücklicher Umstand?

Verwundbare Systeme: Üblicherweise kommt ein Passwort Manager mit einem Antimalware-Tool als Zugabe – oder man lädt sich diesen aus dem WWW herunter. Das Unternehmen für Ihre Mitarbeiter verifizierte Tools bereit stellen ist leider noch nicht überall die Regel. Die Integrität des Passwort Managers hängt auch davon ab, ob die Basis integer ist!

Einen Passwort Manager zu nutzen, wenn im Hintergrund unerkannt ein Keylogger aktiv ist, macht wenig Sinn, wenn der Passwort Manager nicht Techniken zur Umgehung von Keyloggern nutzt. Doch wer überprüft mit zusätzlichen Tools die Unversehrtheit der Systeme und checkt, ob nicht zwischen Tastatur und Systemeinheit ein Dongle platziert ist, bevor der Passwort Manager installiert wird?

Wer stellt sicher, dass alles ordnungsgemäß funktioniert? Wer überprüft, wenn die Passwortbasis lokal gespeichert wird, den „Gesundheitsindikator“ der Festplatte bzw. des SSD-Speichers? Denn eine zerstörte/beschäftigte Passwortbasis hat identische Folgen, wie ein vergessenes Master-Passwort – alle eingegebenen Daten sind verloren.

Fazit: Nicht nur Vorteile!

Man sieht, bei näherer Betrachtung hat ein Passwort Manager nicht nur Vorteile zu bieten, sondern kann auch selbst zum Problem werden. Generell ist der Einsatz eines Passwort Managers aber absolut zu befürworten und die Sicherheitsfunktionen die er liefert, überwiegen die negativen Randeffekte! Damit aber die Passwörter dauerhaft sicher gespeichert sind und im autorisierten Zugriff liegen, sollte man die nachfolgenden zehn Grundregeln beachten! Idealerweise sollten die Richtlinien vom CISO vorgegeben und überwacht werden.

  • 1. Nutzen Sie nicht irgendeinen Passwort Manager, sondern ein Tool, das von einem Unternehmen geliefert wird, das auch eine Weiterentwicklung, Fehlerbeseitigung und Support bietet.
  • 2. Achten sie bei Nutzung im Unternehmen, das einheitlich ein Tool verwendet wird und dafür auch interne Qualitätsrichtlinien angewendet werden. Prüfen Sie, ob das Tool über Zertifikate verfügt oder ob Sie Einsicht in den Quellcode erhalten können, wie z.B. bei Open Software.
  • 3. Sorgen Sie für einen periodischen Backup Ihre Passwortdatenbasis und eine zeitnahe Synchronisation auf andere Devices.
  • 4. Drucken Sie jedes Quartal einmalig ihre aktuellen Daten aus und bewahren sie den Ausdruck an einem zugangsgeschützten Ort auf (Alte Ausdrucke vernichten).
  • 5. Sorgen Sie vor der Nutzung eines Passwort Managers für eine solide Security-Überprüfung des Gerätes auf dem das Tool installiert wird.
  • 6. Verfolgen Sie die Fachpresse ob Security-Ausfälligkeiten für das Tool gemeldet werden und wie der Hersteller darauf reagiert.
  • 7. Überprüfen Sie, ob es Nutzergruppen (Vorstand) im Unternehmen gibt, für die ein Passwort Manger nicht geeignet ist und stellen Sie Alternativen zur Verfügung.
  • 8. Bieten Sie Basis-Schulungsmaßnahmen für das Tool an und je nach Tool auch Weiterführende Schulungen, um das Risiko einer Fehlbedienung durch den Anwender zu reduzieren. Idealerweise sollte das Tool auch in der jeweiligen landesspezifischen Muttersprache verfügbar sein.
  • 9. Sofern die Passwortbasis in der Cloud gespeichert ist, testen und dokumentieren Sie Alternativen, wie Sie bei fehlendem Zugriff trotzdem Ihre Legitimationen erhalten (ggf. über eine temporär lokal gespeicherte Kopie).
  • 10. Definieren Sie einen Prozess, was zu geschehen hat, wenn der Anwender sein Master-Passwort verloren hat.
Ralph Dombach
Über den Autor

Ralph Dombach

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45177254 / Security)