Passwort-Manager – Passwort-Verwaltung für Müßige

Da steh ich jetzt mit meinen dreiundzwanzig achtzehn- bis siebenundzwanzig-stelligen Passworten und überlege, ob ich mich für die nächste Gedächtnisweltmeisterschaft anmelden soll.
Das ist doch total blöd, das kann doch nicht ernsthaft die Lösung meiner Passwort-Probleme sein!
Nein, das glaube ich auch nicht – außer ich habe den inneren Drang Gedächtnisweltmeister zu werden.
Und darum stelle ich hier einige Lösungen für die Müßiggänger unter uns vor, denn es gibt Schöneres, um das wir unsere Gedanken kreisen lassen können, als dröge Passworte!

Papier und Panzerschrank

Die bodenständigste, weil untechnischste, Lösung ist es, seine Passworte (so wie wir diese laut meinen Ideen aus der letzten Woche erstellt haben) auf einem Blatt Papier zu notieren und dieses in einen Tresor zu legen.
Und ich meine hier einen real existierenden Panzerschrank.
Keine verschlüsselte Datei.
Diese Lösung hat gewisse Nachteile, das gebe ich gern zu.
Die Panzerschrank-Lösung ist eher immobil (es sei denn ihr seid der Hulk und tragt halt immer euren Panzerschrank mit euch rum – aber in diesem Fall braucht ihr euch wahrscheinlich auch sonst keine Gedanken um eure Passwort-Sicherheit machen) und die Bequemlichkeit leidet ein wenig unter dieser Lösung (aber was unsere Datensicherheit angeht müssen wir immer eine Abwägung zwischen Bequemlichkeit und Sicherheit vornehmen).
Aber ansonsten ist diese Idee eine stabile, nachhaltige und dauerhafte Lösung, die auch bei Stromausfall funktioniert (allerdings brauchen wir dann auch meistens unsere Passworte nicht…).

Master Password

Bei Master Password handelt es sich um einen Passwort-Manager, bei dem die Bequemlichkeit einen hohen Stellenwert einnimmt – ohne die Sicherheit dabei zu schwächen.
Die Idee hinter Master Passwort ist, dass die Passworte aus einem sehr starken Passwort und unserem (guten) Namen heraus erzeugt werden.
Ein Passwort wird aus drei Bestandteilen –

  • dem sehr starken Passwort (eben dem Master Password),
  • unserem Namen
  • und dem eindeutigen Namen des Dienstes für den wir ein Passwort brauchen gebildet.

Der Charme dieser Lösung besteht darin, dass niemals ein Passwort auf unserem Rechner (Tablet, Smartphone) gespeichert wird, da die benötigten Passworte immer nur bei Bedarf durch einen sicheren Algorithmus aus den drei Teilen

  • Passwort,
  • meinem Name
  • und dem Namen des Dienstes erzeugt werden.

Dies bedeutet für Sicherheit der Passworte, dass einfach kein Passwort da ist, welches gestohlen werden kann. Selbst wenn uns unser Laptop oder Smartphone abhanden kommt (und wir ordentlich mit unserem Master Password umgegangen sind, d.h. es niemandem gesagt haben), kommt niemand an unsere Passworte heran, weil diese einfach nirgends gespeichert sind.
Ein weiterer Vorteil von Master Password ist, dass der Quelltext offen ist und jeder (so er in der Lage dazu ist 😉 ) die Güte des Algorithmus zur Passworterzeugung prüfen und darüber hinaus noch sicherstellen kann, dass hier keine Hintertür für den einen oder anderen feindlichen (oder auch freundlichen) Geheimdienst eingebaut ist.
Dieses Verfahren, dass die Sicherheit des zu bewahrenden Geheimnisses allein auf der Geheimhaltung des Schlüssels (also des Passwortes) und nicht auf der Geheimhaltung des Verschlüsselungsverfahrens beruht, ist eine der wichtigsten Grundlagen der moderen Kryptografie, postuliert von Auguste Kerckhoff in – nach ihm benannten – Kerckhoffs’ Maxime.

KeePassX

KeePassX ist ein weiterer Passwort-Manager, welchen ich hier empfehlen will.
Im Gegensatz zu Master Password geht KeePassX zwar den traditionellen Weg und speichert die erzeugten Passworte in einer sehr stark verschlüsselten Datei – und bietet damit gegenüber Master Password eine mögliche Angriffsfläche auf die Passworte.
Aber diese Passwortdatei ist so stark verschlüsselt (wahlweise mit AES oder Twofish mit einem 256 Bit langen Schlüssel), dass wir uns an dieser Stelle keine Gedanken machen müssen, dass in unserer Lebenszeit (es sei denn, wir sind Wowbagger der Unendlich Verlängerte) diese Verschlüsselung gebrochen wird.
Der Vorteil von KeePassX besteht darin (neben der Tatsache, dass es sich auch hierbei um Open Source mit all ihren Vorzügen handelt und auch hier eben Kerckhoffs’ Maxime zutrifft), dass es sehr portabel ist und für alle denk- und undenkbaren Plattformen (Linux, Mac OS und auch Windows) verfügbar ist.

Wovon wir tunlichst die Finger lassen sollten

In unserer von der Suche nach Bequemlichkeit (ich möchte hier ganz deutlich darauf hinweisen, dass Bequemlichkeit und Müßiggang wenig miteinander zu tun haben, nur am Rande 🙂 ) geprägten digitalisierten Welt werden oft so irrsinnige Vorschläge unterbreitet wie:
Speichere deine Passworte doch in der Cloud, da hast du dann Zugriff von überall darauf!
Genau, und am besten lege ich meinen Wohnungsschlüssel auf meine Fußmatte vor die Tür, dann kann auch gleich jeder einfach an meine Sachen ran.
Ja sind die denn bescheuert!?
Niemals, niemals, never ever speichern wir Passworte “in der Cloud”.
Egal mit welchen wohlklingenden Namen die verschiedenen Anbieter von Cloudlösungen oder cloudbasierten Passwort-Tools hier die Sicherheit ihrer Angebote preisen, es ist ein Angriffsvektor der – nachgewiesenermaßen – bereits erfolgreich ausgenutzt wurde.
Also nochmal:
Wenn wir Passworte in der Cloud speichern, können wir auch die PIN unserer EC-Karte – mitsamt der zugehörigen EC-Karte – am nächsten Geldautomaten hinlegen.

TL;DR

  • Passwort-Manager: warum denn?
  • Papier und Panzerschrank: sicher aber schwer
  • Master Password: sichere Passworte bei Bedarf
  • KeePassX: sichere Passworte – überall
  • Finger weg: nichts in den Wolken

Und jetzt? Noch Fragen offen, liebe Leser?
Fragt mich – und wir finden gemeinsam ein paar Antworten.