Schlüssel

Sicherheit und Produktivität: das Passwort in den Safe mit 1Password

Seit langem fordere ich mehr Sorgfalt mit Online-Passwörtern. In der Familie, im Freundeskreis, im Bekanntenkreis. Mit überschaubarem Erfolg.

Die übliche Reaktion auf den Hinweis, doch bitte ein Passwort nicht für mehrere Websites und Onlineshops zu verwenden ist: »Ich kann mir doch nicht für jede Seite ein extra Passwort merken!«

Das Passwort-Paradoxon

Das kann ich auch nicht, und das sollte man auch gar nicht. Das führt nämlich meist dazu, dass man schwache Passwörter verwendet. Die Passwörter sind dann meist zu kurz, zu einfältig und bestehen oft aus leicht zu erratende Wörtern, die einem Wörterbuchangriff nicht stand halten können.

So verwenden viele Menschen entweder ein starkes Passwort, das dann aber für alle Logins gleichermaßen, oder viele schwache.

Okay, die Mehrheit verwendet wahrscheinlich dasselbe schwache Passwort überall.

Mehrfache Verwendung von Passwörtern

Dasselbe Passwort überall zu verwenden ist leider gefährlich. Wird nämlich eine Website kompromittiert und die Angreifer erbeuten Passwörter, dann ist es ein leichtes, diese Passwörter auch bei anderen Websites auszuprobieren.

Eine einzige Website, ein einziger Anbieter, der Passwörter im Klartext speichert, kann also zur Gefahr für Ihre gesamte Online-Welt werden, wenn Sie dieses Passwort mehrfach verwenden.

Ein Beispiel. Sie haben sich bei einem Forum angemeldet, diskutieren fleißig mit. Der Forenbetreiber hat leider selbst die Software gestrickt und speichert die Passwörter im Klartext ab. Die Frage ist nicht ob dessen Datenbank irgendwann geknackt wird, die Frage ist nur wann. Die Angreifer haben nun Ihr Passwort. Können auf Ihre Kosten bei Amazon einkaufen. Können alle Ihre E-Mails mitlesen. Sich eventuell weitere Passwörter auf Ihren E-Mail-Account schicken lassen und ebenfalls abgreifen. Aus Spaß Ihren Facebook-Account übernehmen.

Wollen Sie das?

Nein? Dann gilt ab sofort: 1 Passwort für 1 Website.

Wie mit vielen Passwörter umgehen?

In meinem vorigen Artikel über Online-Passwörter habe ich noch das Tool PasswordMaker empfohlen, das als Browser-Plugin aus einem Master-Passwort und der Internetadresse ein eindeutiges Passwort generiert, das man dann auch nur dort verwendet.

Die Methode hat den Charme, dass weder das erzeugte Passwort noch das Master-Passwort irgendwo gespeichert werden. Sie können also immer dasselbe Master-Passwort verwenden und haben trotzdem die 1-zu-1 Beziehung von Passwort und Website.

Das funktioniert jedoch leider nur so lange, bis Sie aus irgendeinem Grund auf einer Website das Passwort ändern müssen. Oder eine Website eine bestimmte Zusammensetzung des Passworts fordert, wie etwa unbedingt mit Zahl und Sonderzeichen oder explizit ohne Sonderzeichen, oder mit einem Großbuchstaben oder ohne.

Dann wird es schwierig.

Sogar für mich. Denn dann muss ich mit verschiedenen Passwort-Rezepten arbeiten, und gegebenenfalls mehrere Rezepte später wieder ausprobieren weil ich vergessen habe, welches ich wo angewandt habe.

Das ist nicht viel besser als Passwörter merken.

Ein Safe für Passwörter

Es hilft nichts – ich musste wohl doch ein Programm finden, dem ich meine Passwörter anvertrauen kann.

Meine Anforderungen:

  • Auf allen meinen Plattformen verfügbar: also Windows, Mac OS X, iOS. Ich will mich schließlich einloggen können, egal welches Gerät ich gerade benutze.
  • Browser-Plugins.
  • Automatische Synchronisierung der Passwörter über die Geräte hinweg.
  • Vertrauenswürdige Verschlüsselung.

Beim Einloggen in eine Website, einen Webshop oder ähnliches hilft mir das Browser-Plugin, automatisch die richtigen Daten zur Hand zu haben und füllt mir das Anmeldeformular auch gleich automatisch aus.

Für neue Accounts heißt das, dass ich z.B. im Browser bei einer Website einen Account ändere oder anlege. Das Programm hilft mir, ein neues, sicheres Passwort zu erzeugen.

Das Browser-Plugin merkt, dass ich ein Passwort speichere und fragt mich, ob ich diese Benutzerdaten speichern möchte. Nachdem ich meinen Safe mit dem Master-Passwort entsperrt habe, legt das Programm das neue Passwort in den selbigen.

Damit sind alle meine Passwörter – auf Seiten, die das erlauben – länger als 26 Zeichen und zufällig gewürfelt, was gemeinhin als sicher gilt.

Welches Programm als Passwort-Safe soll es denn nun sein?

1Password

Die Wahl fiel bei mir dann auf 1Password. 1Password Icon

Alternativen zu 1Password sind z.B. LastPass, KeePass, Dashlane, Enpass, Roboform und noch viele weitere.

Neben der Sicherheit war Benutzbarkeit für mich maßgebend, denn die sicherste Lösung nutzt nichts, wenn ich sie nicht wirklich einsetze.

1Password erfüllt meine Anforderungen. Größtes Manko bei 1Password ist, dass die Metadaten bei Synchronisierung via Dropbox nicht verschlüsselt sind. Das heisst, dass zwar die Passwörter verschlüsselt sind, nicht aber die Titel und Adressen der Webseiten.

Dieses Problem – und es ist eines! – kann ich umgehen, weil 1Password auch eine direkte Synchronisierung über WLAN unterstützt, also ohne jeglichen Cloud-Speicher.

1Password gibt es also für den Mac, für iOS und für Windows. Und natürlich für Android, was ich persönlich nicht benötige.

Die Windows- und Mac-Version gibt es auch als Bundle, ebenso wie eine Familienlizenz, alles im Agile Bits Webshop. Bei Caschy habe ich gelernt, dass man mit dem Rabattcode MacPowerUsers etwas beim Kauf sparen kann.

Warum ich ein kommerzielles Programm verwende? Es mag meinem Beruf geschuldet sein, doch fühle ich mich in der Tat wohler, wenn jemandes berufliches Wohlergehen von der Qualität der Software abhängt und das seine Vollzeitbeschäftigung ist.

Ultimative Sicherheit?

Ist 1Password das ultimativ sichere Programm? Nein. Möglicherweise ist eine der oben genannten Alternativen sicherer.

Werde ich ewig bei 1Password bleiben? Dazu gibt es keinen Grund. Die Daten lassen sich exportieren und damit irgendwo anders importieren. Sollte ich eines Tages größere Bedenken mit 1Password entwickeln, werde ich wechseln. Der monetäre Invest ist überschaubar, egal ob via Einmalkauf oder Jahresabo.

Ich muss abwägen zwischen Benutzbarkeit und Sicherheit, nicht nur für mich selbst, sondern auch für die beste Ehefrau der Welt.

Wie sehen Sie das?

Lassen Sie die anderen Leser ebenso wie mich bitte teilhaben an Ihren Gedanken und kommentieren Sie!

Photo: M. Thierry auf Flickr, License Creative Commons Attribution Share-Alike

Teilen & Verweilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert