goSecurity BLOG

Bei der heutigen Fülle an Online Diensten fallen entsprechend viele Passwörter an. Bei jedem Dienst dasselbe Passwort zu verwenden, birgt hohe Sicherheitsrisiken. Doch ab einer gewissen Anzahl wird es schwierig, sich an das korrekte Kennwort zu erinnern. Aufschreiben? Keine gute Idee. Ein Passwortsafe bringt zwei Vorteile: Sicherheit und Komfort.

Was ist ein Password Safe?

Einen Safe, den kennen wir. In massiver Form, so gross wie ein Raum, ist beispielsweise bei Banken im Einsatz. Aber auch im Privaten oder Geschäftlichen werden Safes verwendet, um darin Wertgegenstände, Geld oder vertrauliche Informationen einzuschliessen.

Im Zeitalter der Computer muss jedoch für einen Diebstahl oft nicht mehr der physikalische Zugriff bestehen. Heute sind Werte virtuell und digital. Um den Zugriff auf die digitalen Werte nur dem Besitzer zu ermöglichen, wird der Schutz mittels Passwort und Benutzernamen realisiert. Entsprechend wichtig ist es, das Passwort bedacht zu wählen. Schliesslich ermöglicht es den Zugriff auf unser digitales «Hab und Gut».

Es darf nicht bei jedem Dienst dasselbe Passwort verwendet werden. Mindestens 12 Zeichen sollte es haben und eine gewisse Komplexität bestehend aus Gross, Kleinschreibung, Zahlen und Sonderzeichen aufweisen. Das wird schwierig, wenn ich mir 20, 50 oder sogar 100 Passwörter merken muss. Irgendwie sollte man sich ja auch noch daran erinnern können. Wie wir wissen, dürfen all diese Passwörter nicht aufgeschrieben werden. Oder doch?

Ja, an einem sicheren Ort. Dies ermöglicht uns ein Passwortsafe! Darin können alle Zugangsdaten (Passwort + Benutzernamen) ablegt werden. Mit einem «Master Kennwort» ist es anschliessend möglich, alle Passwörter für die jeweiligen Dienste einzusehen. So wird uns das Leben deutlich vereinfacht. Anstatt uns diverse Kennwörter zu merken, können wir uns auf eines konzentrieren.

Wie eingangs erwähnt, gibt es physische Safes um die Bedürfnisse optimal abzudecken, in verschiedenen Grössen und Varianten. Das ist bei Passwortsafes ähnlich. Dabei wird zwischen zwei häufig verwendeten Varianten unterschieden. Lokal auf dem Computer installiert oder Online von einem Anbieter bereitgestellt. Nachfolgend werden wir auf die beiden Varianten eingehen, damit Sie die Möglichkeit haben, die beste Variante für sich zu wählen.

Lokale Variante

Für die Verwendung des Passwortsafes muss erst ein Programm installiert werden. Dieses stellt anschliessend die grafische Oberfläche bereit. Es verschlüsselt die eingegebenen Kennwörter und legt sie sicher in einer separaten Datei, einem sogenannten Container ab.

Beim hier abgebildeten Passwortsafe bestehen bereits mehrere Standard Unterkategorien, welche bei Bedarf für eine bessere Übersichtlichkeit genutzt werden können. Darin werden nun die jeweiligen Benutzernamen mit zugehörigem Passwort abgelegt. Für eine optimale Übersicht empfiehlt es sich, einen passenden Titel und eine optionale Notiz zu wählen. Das Passwort wird automatisch per Zufallsgenerator erstellt. Natürlich ist es auch möglich, ein eigenes Kennwort einzutragen.

Im Anschluss ist das Kennwort gespeichert und liegt für die Verwendung bereit.

Komfortabel ist das Programm, während dem wir uns für einen neuen Dienst registrieren. So kann das Passwort zuvor generiert und zusammen mit dem gewünschten Benutzernamen mittles kopieren und einfügen bei der Registration eingefügt werden.

Aber wohin werden nun unsere wertvollen Zugangsdaten gespeichert? Sie befinden sich verschlüsselt im erwähnten Container. Dieser Container kann lokal auf dem Computer belassen werden oder auf den File Server, auf ein NAS oder einen USB Stick gespeichert werden. Abhängig von der gewählten Variante, kann anschliessend mit mehreren Geräten darauf zugegriffen werden.

Möchten wir zu einem späteren Zeitpunkt auf die Zugangsdaten zugreifen, öffnen wir die Datei. Nach der Eingabe des „Master Kennworts“, erlangen wir wieder den Zugriff auf den Inhalt des Tresors.

Fazit

Die Lokale Variante ist mit einem initialen Aufwand verbunden. Soll der Zugriff auf den Passwortcontainer von mehreren Geräten aus stattfinden, muss auf jedem Gerät die Software vorhanden sein. Das Passwort wird anschliessend mittels kopieren und einfügen aus dem Passworttresor entnommen. Da die gespeicherten Kennwörter in der Firma verbleiben, muss nicht auf Drittpersonen vertraut werden. Die Synchronisation des Passwortcontainers zwischen den Geräten ist hingegen nicht trivial. Darum sollte ein entsprechendes Konzept ausgearbeitet werden. Dienste wie Dropbox oder Onedrive sind zur Synchronisation zu meiden. Die Sicherheit der offline Variante hängt demnach von der Implementierung ab.

Cloud Variante

Für die Verwendung der Online basierten Varianten ist lediglich ein Browser wie Internet Explorer, Chrome oder Firefox nötig. Der Dienst wird von einem Anbieter betrieben und kann mittels beliebigen Geräten über das Internet erreicht werden.

Zu Beginn muss eine kurze Registrierung gemacht werden, bei der das „Masterpasswort“ festgelegt wird. Im Anschluss ist der Zugriff in den Passworttresor möglich.

Dort können neue Passwörter hinterlegt oder die gespeicherten nachgeschaut werden. Auch hier empfiehlt es sich, den Passwortsafe geöffnet zu haben, wenn man sich bei einem neuen Dienst registriert. So können die Daten bereits zu Beginn gespeichert werden.

Nach dem Speichern sind die Zugangsdaten hinterlegt und werden im Tresor angezeigt. Die Unterteilung in verschiedene Kategorien für eine bessere Übersicht, ist bei dem hier gezeigten Anbieter ebenfalls möglich.

Wird nun zu einem späteren Zeitpunkt ein Kennwort nachgeschaut, findet dies wie gewohnt durch die Eingabe des Masterkennwortes statt. Zusätzlich besteht eine praktische Funktion mittels Browser-addon. Damit werden Login Felder bei Onlinediensten automatisch ausgefüllt. So ist es nicht mehr nötig, das Passwort einzutippen oder mittels kopieren und einfügen einzutragen. Hier im Beispiel das Login für Digitec.

Nach dem Klick auf den automatischen Vorschlag, sind die gewünschten Daten eingetragen.

Werden die Zugangsdaten von unterschiedlichen Personen verwendet, ist es möglich, einzelne Passwörter für weitere Personen freizugeben. Anschliessend werden die Zugangsdaten auch im Passwortsafe von diesen Mitgliedern angezeigt. Besonders praktisch ist dies in Firmen oder privat bei einer Familie. So werden die Zugangsdaten einmalig hinterlegt und nur den gewünschten Personen freigegeben.

Um den online Passwortsafe zusätzlich abzusichern, empfiehlt sich der Einsatz einer zwei-Faktor Authentifizierung. Würde unser Master Kennwort einer unbefugten Person bekannt, könnte diese von einem beliebigen Gerät auf den Inhalt des Passwortsafes zugreifen. Mit einem zusätzlichen Code, welcher bei jedem Login wechselt, ist der zweite Faktor gegeben. Dieser wird auf das Smartphone gesendet und sichert so den Zugriff auf den Passwortsafe zusätzlich ab.

Fazit

Die Anwendung ist komfortabel und bietet im Vergleich zur lokalen Variante mehrere Vorteile. Ohne eine eigene Infrastruktur zu betreiben, ist der Zugriff von jeglichen Geräten über das Internet möglich. Dabei ist die Sicherheit jedoch vom jeweiligen Anbieter abhängig. Es muss darauf vertraut werden, dass dieser alles unternimmt, die Zugangsdaten zu unseren digitalen Werten sicher abzuspeichern. So, dass selbst bei einem möglichen Hackerangriff die Passwörter für Drittpersonen unzugänglich bleiben.

Schlusswort

Nun wissen Sie bereits über die wesentliche Funktion und über die Vor- und Nachteile der beiden Varianten Bescheid. Selbstverständlich setzen beide ein sicheres Masterkennwort voraus. Dieses sollte eine hohe Komplexität und über 12 Zeichen aufweisen. Für Zugänge zu sensiblen Daten wie beispielsweise Geschäftsgeheimnissen empfehlen wir, eher die Lokale Variante zu verwenden. Wie bei jeder neuen Errungenschaft, braucht auch die Verwendung des Passwortsafes eine kurze Eingewöhnungszeit. Dann gehört jedoch das leidige Thema „Passwort“ in mehreren Hinsichten schnell der Vergangenheit an. Vertrauen Sie mir, ich möchte meinen Passwortsafe nicht mehr missen!

Hinweise

Bitte beachten Sie in Firmenumgebungen, dass Sie vor der Verwendung kurz bei der IT nachfragen. Oft bestehen geschäftsspezifische Anforderungen an die Lösung oder es wird bereits firmenweit eine einheitliche Passwortsafe-Lösung eingesetzt.

Für die Screenshots wurden die Produkte KeePass (Offline Variante, https://keepass.info/) und LastPass (Online Variante, https://www.lastpass.com/de) eingesetzt.