Sicherheit

Am 03.05.2020 ist Welt-Passwort-Tag

Am 03.05.2020 ist Welt-Passwort-Tag. Dieser Tag bietet eine gute Gelegenheit, über die eigenen Passwörter nachzudenken. Sowohl das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) als auch diverse andere Institutionen, die sich mit IT-Sicherheit beschäftigen, geben seit Jahren gute Hinweise, wie ein sicheres Passwort aussehen sollte.

Trotzdem war laut dem Hasso-Plattner-Institut im Jahr 2019 das beliebteste Passwort in Deutschland die Ziffernfolge „123456“, gefolgt von „123456789“. Auf den nachfolgenden Plätzen sieht es ähnlich aus. Ein Vergleich mit 2017 zeigt also keine großartigen Veränderungen. Autor Jürgen Schmidt vom Heise-Verlag fordert in seinem Kommentar zum „Ändere-dein-Passwort“-Tag 2019, dass Online-Dienste in Sachen Sicherheit stärker zur Verantwortung gezogen werden. Man sieht, wie viele digitale Einbrüche bei Online-Diensten in den letzten Jahren aufgedeckt und wie viele Zugangs- sowie Zahlungsdaten hierbei „gestohlen“ wurden. Die Website „https://haveibeenpwned.com/“ und auch das HPI führen Listen bekannter Leaks und bieten an, die geleakten Daten gegen die eigene Identität bzw. Mail-Adresse zu prüfen.

Solange bei Online-Diensten jedoch kein Umdenken stattfindet kann ein gutes, sicheres Passwort nicht schaden. Dieses sollte je nach Anbieter unterschiedlich gewählt sein. Hierbei kann ein Passwort-Manager, wie z.B. KeePass Hilfestellung bieten. Denn wer soll sich die empfohlenen 15-stelligen Konglomerate aus Buchstaben, Zahlen und Sonderzeichen in der heutigen Account-Anzahl noch merken können?

KeePass

Eine Merkhilfe kann, wie bereits erwähnt, der Open-Source Passwort-Manager „KeePass“ sein. Implementierungen sind für alle gängigen Betriebssystem-Plattformen (inklusive Mobilgeräten) erhältlich. Die Passwörter werden in Dateien („Datenbanken“) abgelegt, die sich irgendwo im Dateisystem des Geräts befinden. „Irgendwo“ heißt an dieser Stelle, dass man Cloud-Dienste wie „Microsoft OneDrive“, „Google Drive“ oder „Dropbox“ dafür bemühen kann. Das ermöglicht die gespeicherten Passwörter auf allen Geräten synchronisieren zu können. Ob man für mehr Komfort in Kauf nimmt, dass die Passwort-Datei in der Cloud liegt, muss wohl jeder Nutzende für sich entscheiden. Die Datenbanken werden mit einem Master-Passwort verschlüsselt. Dieses ist notwendig, um auf die in der Datei gespeicherten Zugangsdaten zuzugreifen. So muss man sich lediglich ein Passwort wirklich merken.

Für die Installation von KeePass und die grundliegende Einrichtung hat die Universität Münster eine Anleitung auf Deutsch verfasst. An dieser Stelle soll auf einige Features eingegangen werden, die den alltäglichen Umgang mit den Passwörtern vereinfachen:

Passwort-Generatoren

Die Tipps, die von verschiedenen Seiten für die Erstellung eines guten, sicheren Passworts gegeben werden, ähneln sich:

  • Länge: 8, 15 oder mehr Stellen
  • Alle möglichen Arten von Zeichen werden verwendet (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Jedes Passwort kommt nur einmal zum Einsatz

Um schnell ein solches Passwort zu erstellen verfügt KeePass über einen eingebauten, konfigurierbaren Generator. Dieser ist beim Erstellen eines neuen Datenbank-Eintrags auch über das Menü „Tools“ bzw. „Werkzeuge“ verfügbar. Im einfachsten Fall muss lediglich die Länge des zu generierenden Passworts und der gewünschte Zeichenvorrat bestimmt werden. Es ist jedoch auch möglich, externe Algorithmen über Plugins anzusteuern. (Ein solches Plugin wird noch vorgestellt). Eine Ergebnis-Vorschau ist auf dem „Preview“-Reiter verfügbar. Hier werden 30 unterschiedliche Passwörter gemäß den getätigten Angaben generiert.

Auto-Type

Beim Hinzufügen oder Ändern eines Datenbank-Eintrags steht ein Reiter Namens „Auto-Type“ zur Verfügung. Auf diesem können ein Ziel-Fenster und eine Sequenz angegeben werden. Letztere enthält eine Serie von Tastendrücken und Variablen (z.B. den Benutzernamen und das Passwort). Beim Bedienen einer Tastenkombination (im Standard Strg+Alt+A), wird die Sequenz an das Zielfenster gesendet. Somit ist eine Anmeldung an einer Applikation möglich, ohne den Benutzernamen oder das Passwort aus dem entsprechenden KeePass-Eintrag manuell zu kopieren. Dieses Feature ist z.B. bei der Anmeldung in SAP-Systemen sehr nützlich.

Plugins

KeePass kann über einige Plugins in vielen Bereichen erweitert werden. Hier einige nützliche Beispiele:

KeePassHttp

Das Auto-Type-Feature von KeePass lässt sich im Zusammenhang mit den im Browser geöffneten Websites schlecht verwenden. Abhilfe schafft das Plugin KeePassHttp. Dieses stellt eine lokale http-Schnittstelle zur Verfügung, über die Anwendungen Zugangsdaten aus KeePass abrufen können. Bei der ersten Verwendung einer solchen Anwendung muss diese in KeePass autorisiert werden. Man behält somit die Kontrolle darüber, welche Anwendung Daten abrufen darf und welche nicht.

Als Gegenstück muss im verwendeten Browser noch eine Erweiterung installiert werden, die mit KeePassHttp kommuniziert. Für Firefox sind dies “PassIFox” oder „KeePassHttp-Connector “, in Chrome ist es „ChromeIPass“. Bei den Datenbank-Einträgen muss für eine reibungslose Benutzung das Feld „URL“ gefüllt sein. Das Browser-Plugin gleicht die Adresse der aktuell geladenen Webseite mit den Einträgen der KeePass-Datenbank ab und befüllt automatisch die Eingabefelder für Benutzername und Passwort.

Favicon Downloader

Für jeden Eintrag der KeePass-Datenbank kann ein Icon aus einer mitgelieferten Liste verwendet werden. Zusätzlich besteht die Möglichkeit, ein eigenes Bild in fast beliebigem Format zu hinterlegen. Der Favicon Downloader macht sich letzteres Feature zunutze. Er ruft das Favicon der im Eintrag hinterlegten Webseite ab und nutzt dieses als Icon des Eintrags.

Auch wenn dieses Feature nur „nice to have“ ist – übersichtlicher wird die Datenbank dadurch allemal.

Würfelware

Von verschiedenen Seiten wird empfohlen, keine Passwörter, sondern lieber Passphrasen zu benutzen. Eine Passphrase setzt sich hierbei aus mehreren (in der Regel lesbaren) Wörtern zusammen, die miteinander verkettet ein Passwort ergeben. Diese Passphrasen haben mehrere Vorteile:

  • Sie sind lang (meistens deutlich länger als 20 Zeichen)
  • Sie sind (bei geeigneter Wahl der Wörter) relativ leicht zu merken
  • Sie können leicht angepasst werden, um systembedingten Anforderungen an Passwortsicherheit zu genügen (z.B. Ergänzung um Sonderzeichen)

(Eine solche Passphrase eignet sich übrigens sehr gut als Master-Passwort für die KeePass-Datenbank).

Randall Munroe hat auf seiner Website xkcd einen Comic zum Thema Passphrasen veröffentlicht. („Correct Horse Battery Staple“) In einer Diskussion bei reddit zu diesem Comic wurde die Sicherheit einer solchen Passphrase analysiert und für gut befunden. Mittlerweile gibt es basierend darauf, eine Webseite zur Generierung einer Passphrase.

„Würfelware“ ist ein Add-on, dass sich als zusätzlicher Algorithmus in den Generierungs-Dialog in KeePass einhängt und zufällige Passphrasen generiert. Diese können anschließend direkt als Passwort in einem KeePass-Eintrag verwendet werden.

Mobile Nutzung

Um KeePass auch auf Mobilgeräten nutzen zu können, muss eine App installiert sein, die das Format der KeePass Datenbanken lesen und im Idealfall auch schreiben kann.

Auf Geräten mit iOS (iPhone/iPad) hat sich die App „KyPass“ des belgischen Herstellers Kyuran bewährt. KyPass ist gut in iOS integriert: Es stellt eine Ergänzung zum iCloud Schlüsselbund dar und kann TouchID bzw. FaceID nutzen, was die Eingabe des Master-Passworts erspart. KyPass ist in der Lage, die Datenbank online mit Cloud-Diensten zu synchronisieren. Änderungen an Einträgen werden also sofort mit dem verwendeten Cloud-Dienst abgeglichen.

Und nun?

Letztlich bleibt es jedem selbst überlassen, wie man in Sachen der Passwort-Sicherheit verfährt: Ob man sichere Passwörter verwendet oder bei „123456“ bleibt, ob man sie lieber auf Zettel schreibt und diese abheftet oder doch einen Passwort-Manager nutzt, liegt in der Verantwortung des Einzelnen.

Die Empfehlungen der Expertinnen und Experten sind jedoch eindeutig:

  • Verwende sichere Passwörter
    • Mindestens 15 Stellen
    • Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
  • Verwende für jeden Dienst ein anderes Passwort
  • Verwende einen Passwort-Manager
    • Sichere Ablage der Anmeldedaten
    • Komfort-Funktionen helfen bei der Einhaltung der Empfehlungen

Bei aller Sorgfalt in Bezug auf Passwörter sollte man jedoch nicht vergessen, dass die Sicherheit online abgelegter Daten immer und primär von der Sicherheit des Anbieters abhängt – und auf die hat man leider nur bedingt Einfluss.

Über die Inwerken AG

Die Inwerken AG ist SAP Silver, ELO- sowie Microsoft Silver Partner und steht für einen Rundum-Service aus Beratung und Software-Entwicklung im SAP- und ERP-Umfeld. Zum Kundenstamm gehören mittelständische Unternehmen und internationale Konzerne aus verschiedenen Branchen, die mit ihren Dienstleistern und Partnern gerne auf Augenhöhe arbeiten, schnell vorankommen und transparente Arbeitsabläufe schätzen. Mit mehr als 20 Jahren Erfahrung realisiert die Inwerken AG, von den Standorten Isernhagen bei Hannover, Stuttgart, Hamburg, Braunschweig und Rudolstadt aus, weltweite SAP-Projekte. Zudem wird sie durch Kompetenzen im Bereich IoT und Sensordatenmanagement der Tochter WSN Technologies AG ergänzt und erhält weitere Unterstützung im Bereich Management- und IT-Beratung durch die 2019 gegründete Tochtergesellschaft Synväx GmbH.

Firmenkontakt und Herausgeber der Meldung:

Inwerken AG
Pappelweg 5
30916 Isernhagen
Telefon: +49 (511) 936206-0
Telefax: +49 (511) 936206-10
http://www.inwerken.de

Ansprechpartner:
Christin Holzwarth
Managerin
E-Mail: marketing@inwerken.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel