<< Themensammlung Organisieren

01.06.11

LastPass: Der Passwort-Butler sorgt für Ordnung - und meistens für mehr Sicherheit

Der Cloudservice LastPass erledigt die Passwort-Problematik ein- für allemal - wenn man Verschlüsselungstechniken, Programmierern und dem Web vertraut. Und die Verlockung ist gross. Denn LastPass macht den Umgang mit Passwörtern bequem, sicher und schnell.

Ich habe bei meinen Arbeitskollegen keinen guten Ruf, was Passwörter angeht. Zu oft habe ich per Skype, Mail, SMS oder Telefonanruf nachgefragt: Was ist nochmal unser Zugang zu PayPal? Wie komme ich gleich bei istockphoto rein? Wir hatten doch einen Account bei Iceberrg?

Dabei bin ich auf der Suche nach dem idealen Passwortmanager, seit es mit dem Pilot von 3com den ersten brauchbaren Handheld gab. Die zahllosen Verschlüsselungsprogramme, die ich in den letzten zehn und mehr Jahren benutzt habe, um endlose Listen mit Passwörtern, Kreditkartennummern und Streichlisten zu verwalten, waren durchaus praktisch und sicher. Aber an die Funktionalität von LastPass kommt keines heran: Die besten Systeme, die ich gefunden habe, bestanden aus wenigstens einem Windows- und einem Clientprogramm für mein jeweiliges Mobilgerät - und die Datenbanken mussten, wenn auch in verschlüsselter Form, immer mal wieder abgeglichen werden.

LastPass setzt dem ein Ende, in dem es erstens für ungefähr jedes Betriebssystem vorliegt (häufig als reines Browser-Plugin) und zum zweiten die Cloud-Technik nutzt.

LastPass verlängt bei kritischen Einträgen nochmals das Masterpasswort

Das ist richtig: Meine Passwörter, Kreditkarten- und Online-Banking-Daten liegen irgendwo in der Cloud auf einem Server, und ich rufe sie jeweils vom gerade benutzten Gerät aus ab - selbst von fremden Rechnern aus.

Das ist aber noch bei weitem nicht alles. Denn LastPass ist weit mehr als nur eine verschlüsselte Datenbank meiner Passwörter, die ich dann von Hand auslesen und in Webformulare einfügen muss.

Und: Jawohl, das ist mit Risiken verbunden. Sicherheitsexperten raufen sich ob solcher Systeme die Haare. Als Anwender auf der anderen Seite muss ich ganz einfach konstatieren, dass ich mit der Menge an Passwörtern, die ich inzwischen verwalten und nutzen soll, mit den Anforderungen allein an ein sicheres Passwort und die Modalitäten, um alle Risiken zu minimeren, schlicht nicht umgehen kann. Niemand, der ein normales Leben führt, kann es. Nur ist das eben auch so, wenn man sich auf die Strasse begibt und jederzeit angefahren werden könnte.

 

LastPass erledigt vieles vollautomatisch - ganz wie der Passwortspeicher, den die meisten Browser enthalten. Mit dem Unterschied, dass die darin gespeicherten Passwörter von Schadsoftware leicht auslesbar sind. LastPass erhöht also die Sicherheit auch für relativ einfache Passworteinsätze auf Websites.

LastPass füllt auch Kreditkartenfelder ausMehr noch: Ich habe all meine Kreditkartendaten in LastPass gespeichert - als komplette Datensätze inklusive Versand- und Rechnungsadresse. Sobald die LastPass-Anwendung in meinem Browser in einer (https-gesicherten) Website ein Formular mit Feldern erkennt, die für die Eingabe von Kreditkartendaten oder Adressen zu dienen scheinen, kann ich per Rechtsklick eine der Karten auswählen, und LastPass füllt das Formular in einer halben Sekunde aus.

Das gleiche geschieht bei Websites mit ID und Passwort: Lastpass kennt die URL und füllt, wenn ich für diese URL «Autologin» ausgewählt habe, die Credentials ein - die Website blitzt im Browser nur kurz auf.

Dabei kann ich für jeden URL und jede Passworteingabe bestimmen, ob Autologin, Autoausfüllen oder gar nichs geschehen soll. Bei Sites, für die ich mehrere Accounts habe (beispiesweise ein Dutzend Twitter-Konten für die Blogwerk-Blogs) gibt mir LastPass auf Rechtsklick die Liste der möglichen «Kandidaten», aus denen ich auswählen kann.

Jeder Passwort-Eintrag kann ausserdem zusätzlich gesichert werden, indem selbst bei geöffneter Passwort-Datei für diesen Eintrag nochmals die Eingabe des Masterpassworts erfolgen muss - sei es für die Anzeige des Eintrags oder fürs Auto-Ausfüllen. Ich habe damit meine kritischsten Passwörter und natürlich die Kreditkartendaten nochmals gesichert. Wenn sich also jemand Zugang zu meinem Rechner verschafft, während die Passwortdatei geöffnet ist, kann er dennoch nur auf die unwichtigen Passwörter zugreifen. Aber auch das dürfte kaum eintreten, weil eine Zeitschaltung den Passworttresor nach einer frei einstellbaren Zeit wieder schliesst.

LastPass erstellt auch PasswörterDie Anwendung des Systems ist dabei nicht nur bequem und mit vielen Sicherheitsmechanismen ausgestattet, sondern sie kann sogar die Sicherheit erhöhen. Erstens, weil sie die absolut unsichere Passwortspeicherung im Browser überflüssig macht. Und dann, weil sie nicht nur die Nutzung komplizierter Passwörter praktikabel macht (weil man sich die undenkbaren Kombinationen ja nicht mal kurzfristig merken muss), sondern bei jedem unbekannten Passwortfeld - also einer Erstanmeldung - sogar hochsichere Passwörter generiert und sogleich abspeichert.

Alles in allem ist mein Umgang mit Passwörtern und anderen geheimen Daten durch LastPass unglaublich viel schneller und bequemer geworden. Vom Cloud-System profitiere ich dabei ausserdem, indem ich einzelne Passwörtermit anderen LastPass-Nutzern «teilen» kann - und zwar direkt mit ihrem Konto, ohne dass ich ihnen das Passwort im Klartext geben muss. Er kann also den Zugang auch nicht Dritten weitergeben, und wenn ich ihm keinen Zugang mehr gewähren will, kann ich das mit dem Löschen eines Häkchen erledigen.

Auch wenn die Nutzung des Systems auf weniger leistungsfähigen Geräten mangels Integration in den Browser - etwa auf meinem Android-Telefon - nicht ganz so bequem ist wie am PC: LastPass hat Ordnung und Tempo in meinen Passwortgebrauch gebracht und dabei, davon bin ich überzeugt, sogar die Sicherheit noch erhöht.

Das räumen sogar energische Kritiker von LastPass ein, die das System als gefährlich und lügenhaft bezeichnen:

99% der Leute, die lastpass.com verwenden, haben von Sicherheit sicher nicht den blassesten Schimmer.

Bei 50% dieser Leute dürfte lastpass.com die Situation sogar verbessern!

Bei weiteren 40% dieser Leute verschlechter lastpass.com die Situation vermutlich nicht.

( hydra.geht.net )

Denn die Passwort-Datei wird immer auf dem lokalen Gerät ent- und verschlüsselt und lediglich als unlesbarer Datenhaufen ins Internet geschickt. Dazu verwendet LastPass eine 256Bit AES Verschlüsselung. Den Schlüssel kennt LastPass selber nicht (wenn ich ihn vergesse, sind allerdings auch meine ganzen Passwörter verloren - denn der Betreiberdienst hat keine Möglichkeit, mir zu helfen).

Ironischerweise hatte der Dienst kürzlich einen Mitgliederschwund zu beklagen, nachdem die Betreiber in der Downloadmenge von ihrern Servern Unregelmässigkeiten feststellten, die sie im Blog sofort meldeten und alle Nutzer zur Änderung ihres Masterpasswortes aufforderten.

Allerdings können allfällige Datendiebe die Passwortdateien nur mit einer Brute Force-Attacke knacken, und die dauert nach derzeitigem technischem Stand selbst mit den schnellsten Rechnern so viele Jahre, dass die Cracker ein paar Generationen einsetzen müssten, um nur eine Nutzerdatei zu entschlüsseln.

Eine hundertprozentige Sicherheit gibt es nie. Auf meine Frage hat Joe Siegrist von LastPass bestätigt, dass nach dem Öffnen der Datei - wenn sie im Browser auf meinem Gerät angezeigt wird - eine Angriffsmöglichkeit durch Backdoor-Programme bestünde.

Lastpass Analyse meiner Passwörter

Allerdings macht LastPass auch hier alles, um Crackern die Arbeit zu erschweren: Passwörter werden nie offen angezeigt; einzelne, besonders wichtige Einträge in der Datenbank können mit einer erneuten Abfrage des Masterpasswortes zusatzverschlüsselt werden, und eine einblendbare Bildschirm-Tastatur soll Keyboard-Logger ausser Gefecht setzen.

Noch eine Sicherheitsstufe lässt sich schliesslich mit einer Art Streichlisten-Tabelle einbauen: Auf noch nie benutzten Geräten verlangt LastPass dabei noch vor dem Ausliefern der Passwort-Datei die Eingabe einer Bestimmten Zeichenkombination aus einer Tabelle, die der Nutzer einmal für sich generiert und ausgedruckt hat.

Der letzt, grosse Vorteil von LastPass gegenüber allden anderen Passworttresoren, die ich bisher genutzt habe, ist der Preis.

LastPass ist kostenlos. Jedenfalls, wenn man es nur am PC nutzen will. Wer die Client-Software fürs iPhone, Android, Windows Phone, Blackberry, WebOS, Symbian und ein halbes Dutzend weiterer Systeme haben will, muss zwölf Dollar pro Jahr berappen.

Und selbst damit ist LastPass noch billiger als jeder meiner bisher benutzten Tresore, die auf mehr als einem Gerät liefen. LastPass ist für mich genau das: Das letzte Passwort, das ich mir je merken werde.

» LastPass Website

Tool Time: Wir stellen jeden Tag ein Software-Tool oder einen Webdienst aus dem Bereich Produktivität vor. Tipps gerne an tipps.imgriff (at) blogwerk.com.

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer