Immer mehr verlagert sich das Privat- und Geschäftsleben in die Welt der Technik und vor allem in das World Wide Web. Hier ist es nötig private Zugänge über Passwörter abzusichern. Sichere Passwörter sind meistens komplizierte Zusammensetzungen aus Buchstaben und Zahlen, die zu erinnern eine Herausforderung sein kann. Passwort Manager können hier nützliche Helfer sein. Aber sind sie auch unter heutigen Voraussetzungen noch sicher?
Die Arbeit eines Passwort Managers
Passwort Manager sind Anwendungen, die das Ordnen von Passwörtern und PIN Codes ermöglichen. Für gewöhnlich greift die Software dafür auf eine lokale Datenbank zurück, die die verschlüsselten Passwort Daten enthält. Viele Passwort Manager füllen automatisch Formulare aus und sind häufig im Browser als Browser-Erweiterung integriert. Einen großen Vorteil bringen Passwort Manager gegenüber sogenannten Phishing-Attacken, also dem Versuch Passwörter über gefälschte Webseiten zu stehlen. Einer Manager Software lässt sich nichts vortäuschen, denn sie funktioniert nur in der ihr vorgegebenen Struktur, die nichts mit dem Aussehen einer Webseite zu tun hat. In dieser Situation ist der Nutzen, auch wenn der User über nur wenige Passwörter verfügen muss, nicht von der Hand zu weisen. Der Nachteil besteht darin, dass nicht alle Passwort Manager problemlos mit den immer komplexer werdenden Anmeldeprozeduren vieler Online Banking Anbieter umgehen können. Passwort Manager nutzen meistens ein vom User gewähltes Master Passwort, mit dem sie einen Schlüssel generieren, der die Passwörter verschlüsselt. Das Master Passwort muss ein starkes sein, das heißt, es muss eventuellen Angriffen standhalten können.
Kryptographische Verschlüsselung
In der Anlage eines Master Passworts liegen aber auch die Vor- als auch Nachteil des Managers, denn die nutzerfreundliche Zusammenlegung aller Passwörter in ein Master Passwort geht einher mit gleichzeitigem Sicherheitsverlust, falls dieses eine Passwort entschlüsselt wird. Das wird z. B. möglich durch Programme, die im Verborgenen Tastaturanalysen (key logging) durchführen, um so an Passwörter zu kommen. Einige Anbieter versuchen solche Attacken durch den Einsatz einer virtuellen Tastatur zu umgehen, aber hier gibt es wieder andere Möglichkeiten, wie z.B. das Bildschirmfoto (screen shot), um Passwörter auszuspionieren. Weitere Passwort Manager arbeiten auf Basis eines Passwort Generators. Die auf diese Art vergebenen Passwörter können ebenfalls leicht entschlüsselt werden, wenn das Programm z.B. einen schwachen Zahlen Generator verwendet. Sicherer ist hier, wenn kryptographisch verschlüsselt wird. Passwort Manager, die das Ablegen Ihrer Daten auf der Festplatte nicht verhindern, machen es außerdem möglich, diese von dort entschlüsselt zu entnehmen.
Der sinnvolle Einsatz eines Passwort Managers
Die Frage wie nützlich ein Passwort Manager bei gleichzeitig hoher Sicherheit sein kann, muss am Ende jeder für sich selbst beantworten. Es ist heutzutage bei zunehmender Zahl an Passwort verschlüsselten Zugängen in der mobilen und der Online Welt sicher praktisch und arbeitserleichternd, die Vielzahl an Passwörtern sicher unter einem Master Passwort abzulegen. Auf der anderen Seite sollte immer bedacht werden, was der schlimmste anzunehmende Fall ist, nämlich der Verlust des Master Passworts. Das könnte mit einem Schlag alle Daten freigeben. Hier gilt es zu entscheiden, in wie weit man bereit ist, vor allem sensible Daten, wie den Zugang zum Online Banking, einer Maschine anzuvertrauen. Als Alternative bleibt die Möglichkeit Passwörter für weniger private Zugänge in einem Passwort Manager zu organisieren und die Zugangs Codes zu wirklich wichtigen Webseiten oder Anwendungen entweder zu erinnern oder außerhalb des Computers an verschiedenen Orten und ebenfalls schwer erkennbar abzulegen.
Bildquelle: pixeltrap – Fotolia.de