Zugangscodes immer zur Hand, auch unterwegs: Passwort Speicher für Windows, Mac und Handies
Wieviele Post-Its kleben an ihrem Bildschirm? Wie oft rätseln Sie, welches wohl der Name ihres ersten Haustiers war, weil Sie Ihr Passwort vergessen haben und eine Webseite zuerst "Harro" sehen will, bevor Sie wieder Zugang kriegen? Wieviel Zeit vergeuden Sie mit der Suche nach den Codes in alten Notizen?
Ich habe dem Problem vor einigen Jahren ein Ende gesetzt. Paranoider Schweizer, der ich nun mal bin (was mir hier in den USA, wo Identitäts-Diebstahl blitzschnell geschieht und ein echtes Problem ist, zugute kommt), steckte ich ständig im gleichen Dilemma: Aufschreiben kommt nicht in Frage, jedenfalls nicht für wichtige Zungangscodes wie diejenigen fürs Telebanking oder Paypal; einfach memorisierbare Zugangscodes wiederum beruhen nun mal auf persönlichen Daten, und jeder bessere Social-Engineering-Hacker findet die blitzschnell raus.
Wie also organisiert man sich die Listen mit sicheren Zugangscodes, die meistens so aussehen: PW-Generator? Eine verschlüsselte Speicherung umfangreicher Passwort-Listen in einem speziellen Programm erledigt den Trick. In meinem Fall ist es eine Kombination eines Desktop- und eines Mobilprogramms, die garantiert, dass ich jederzeit die aktuellesten Daten mit mir herumtrage. Wenn ich einen der Codes brauche, gewährt mir ein Master-Passwort Zugriff auf die Liste, und ein integrierter Suchdienst findet blitzschnell jedes noch so selten benutzte Kryptikum.
Nicht alle Passwörter sind es wert, sorgfältig gewählt und abgelegt zu werden!
Heute verlangen viele Webseiten nach einem Code, um sich selber vor Spammern und nicht so sehr um die Benutzer zu schützen. Um diese PW geht es hier nicht. Sie können entweder immer gleich sein, nach einem bestimmten Muster gewählt werden (Name der Webseite und Geburtsdatum rückwärts etc) - allerdings nur, wenn Ihnen beim Gedanken, dass jemand den entsprechenden Account knackt, keine Haare im Nacken zu Berge stehen, oder aber Sie geben die Kombination ein, öffnen unmittelbar danach die Webseite mit dem Browser erneut und lassen ihn die Kombination speichern.
Letzteres sollte erstens niemals mit sensiblen Passwörtern gemacht werden und birgt zweitens den Nachteil, dass Sie unterwegs am Notebook plötzlich merken, dass Sie keine einzige Kombination mehr kennen, weil die alle auf dem Desktop gespeichert sind.
Aber die Dutzenden von Codes für den Zugang zur Online-Bank, zu den Mailaccounts, zum Ebay-Konto, für den VPN-Zugriff aufs Firmennetz; die Kombination fürs Fahrradschloss, die Versicherungspolicen, die eigene IP-Adresse und der WiFi-Zugangscode, die Sozialversicherungs- und alle Kreditkartennummern: All diese Informationen trage ich ständig mit mir herum - in einem portablen Tresor.
In meinem Fall ist es das Verschlüsselungsprogramm "Secret!" für Palm- und Pocket-PC- Handcomputer, dessen grössere Schwester für Windows-Rechner jederzeit Neuzugänge - auf dem Mobilgerät wie auf dem Desktop - bei der Synchronisation abgleicht. Selbst die Streichlisten für meinen online-Bankzugang sind darin in einer eigenen Liste gespeichert. So habe ich nicht nur immer alles dabei, ich fühle mich auch absolut sicher.
Ich stelle hier Secret! und einige seiner Verwandten vor:
Sie erlauben die systematische Speicherung und den Abruf von Zugangscodes und andern wichtigen Informationen zu. In der geballten Ladung sensibelster Daten steckt zwar gehöriger Zündstoff. Aber die richtige Technik, ein starkes Master-Passwort und den disziplinierten Umgang damit vorausgesetzt, ist ein solcher Datentresor allemal sicherer als Post-Its und Handschriftliche Notizen auf den Akten in der unverschlossenen Hängeregistratur.
Dazu gibt es zwei technische Voraussetzungen, welche das Programm der Wahl erfüllen muss: Es sollte die Daten ständig mit mindestens 128Bit verschlüsselt speichern. Und es sollte den Klartext nach Eingabe des Master-Passsworts nur für eine limitierte Zeit offenlegen, bevor es den Zwischenspeicher des Geräts löscht.
Die menschliche Voraussetzung besteht in der Wahl eines starken Master-Passworts. Das sollte nun also angesichts der extremen Werte, die es vor neugierigen Augen schützt, wirklich sowas wie gKJlkj4670mn sein. Und es sollte nirgends, absolut nirgends ausser in Ihrem Gehirn niedergeschrieben stehen.
Schliesslich verlangt ein solcher Passwort-Tresor dem Benutzer eine gewisse Disziplin ab. Vor jeder neuen Passwortwahl sollte man sich zunächst überlegen, ob es sich um einen sensiblen Zugang handelt und, wenn dies der Fall ist, ein starkes Passwort wählen. Danach sollte dieses unmittelbar nach der Anmeldung zuerst ausprobiert und dann unverzüglich im Tresor vermerkt werden, und zwar mit einer leicht wiederauffindbaren Überschrift, denn damit wird man den Code später im rasch wachsenden Datenhaufen suchen. Das gleiche gilt für jede Änderung oder Rücksetzung eines bereits existierenden Passworts. Wenige Dinge sind schweisstreibender, als in der Bank zunächst mit überlegenem Lächeln den Pocketcomputer zu zücken, nur um danach festzustellen, dass darin der aktuelle Code zum eigenen Konto nicht gespeichert ist.
Es folgt eine (willkürliche) Liste von Passwort-Speicherprogrammen, die wir uns angesehen haben und für tauglich halten.
Mac OSX Schlüsselbund
Das Apfel-Betriebssystem bringt eine dreifach verschlüsselte Verwaltung für Passwörter für jeden Benutzer in Form des Programms Keychain eingebaut mit. Sie ist zu finden unter "Anwendungen/Extras/Schlüsselbund" und für einfache Sammlungen von Codes ausreichend.
Vor der Benutzung gilt es allerdings mindestens zwei Dinge zu beachten: Der standard-Schlüsselbund benutzt das Zugangspasswort des Benutzers auf dem entsprechenden Rechner, ist also für jeden Angreifer mit Kenntnis des Benutzerkontos kein Hindernis. Zudem bleiben die Daten unter Umständen, wenn die Liste einmal geöffnet wurde, unverschlüsselt einsehbar. Wer sich sein nur flüchtig zugeklapptes Notebook im Café klauen lässt, könnte also einen weit grösseren Verlust als nur den des Macbook erleiden.
Das Programm lässt deshalb einerseits die Einrichtung von weiteren Schlüsselbünden zu, die jeweils separate Namen und separate Passwörter tragen - die Software kann bei der Wahl des Master-Passworts Vorschläge machen und zeigt an, wie sicher die Kombination statistisch betrachtet ist. Dieser erste Schritt ist dringend anzuraten, damit die Codes auch für Eingeweihte, die Zugang zu Ihrem Konto auf dem Rechner haben, versteckt bleiben.
Danach können dem neu geschaffenen Schlüsselbund Passwort-Kombinationen zugefügt werden, wobei die Benutzeroberfläche einen Modus erlaubt, bei welchem die Eingabe nicht am Bildschirm angezeigt wird, was in öffentlichen Lokalen oder im Flugzeug durchaus Sinn ergibt.
In den Einstellungen schliesslich kann der Schlüsselbund so konfiguriert werden, dass er die Datenbestände nach einer festzulegenden Zeitspanne ohne Benutzereingabe und beim Umschalten in den Standby-Modus automatisch wieder verschlüsselt. Auch diese beiden Optionen sollten, namentlich auf Notebooks, unbedingt gesetzt und in regelmässigen Abständen kontrolliert werden.
Alles in allem ist der Schlüsselbund ein nützliches und einfach verständliches Werkzeug.
Windows: Passwort-Tresor
Oliver Lege hat ein ausgeklügelteres Programm für Windows geschrieben, welches er kostenlos zur Verfügung stellt. BlackBurn's Passwort.Tresor ist eine alleinstehende Software, welche die Ablage von Passwörtern und andern Informationen in frei wähl- und benennbaren Gruppen zulässt und mit einem Master-Passwort gesichert ist.
Nette kleine Zusatzfunktionen wie der direkte Aufruf von Webseiten/ID&PW-Kombinationen in einem Browser aus dem Tresor heraus machen die Arbeit mit Webpasswörtern einfacher; die Sicherheitseinstellungen sorgen dafür, dass keine Spuren der Passwörter zu finden sind: Der Zwischenspeicher des Windowsrechners kann via Option automatisch zwanzig Sekunden nach dem Kopieren eines Passworts vom Tresor gelöscht werden, ebenso, wie die Software den Zwischenspeicher beim Minimieren des Programms sofort löscht und zugleich wahlweise in den Sperrmodus umschalten kann.
Eher als Risiko denn als nützliche Funktion empfinde ich den Export der gewählten Passwort-Gruppen auf Knopfdruck in eine HTML- oder XML-Datei (wobei das Programm defaultmässig bei jedem Export ausdrücklich vor den Risiken warnt). Mir fehlt ausserdem die Zeitschaltung, die das Programm nach einer gewissen Zeit automatisch sperrt, wenn es im Fenster-Modus ausgeführt wird oder die automatische Sperrung, bevor der Rechner in den Standby-Modus schaltet.
Grade für eine Software, die vor allem für den Gebrauch auf dem Desktop entwickelt wurde, wäre ein spezieller Modus für Streichlisten (TAN) wünschenswert; der Tresor glänzt hingegen mit einer sauberen Organisation der PW-Kombinationen in Haupt- und Untergruppen.
Einem geschenkten Gaul schaut man nicht ins Maul, aber bei einem Gratisprogramm mit Sicherheitsfokus würde sich Transparenz gut machen. Warum der Autor die Software als Freeware verschenkt, dann aber doch relativ strikte Lizenzbedingungen anmahnt und den Code nicht freigibt, ist nicht ganz verständlich.
Zumal eine solche Entwicklung, als OpenSource zur Verfügung gestellt, binnen kurzer Zeit mit einer grossen Zahl Verbesserungen ausgestattet werden sein dürfte.
Palm/Pocket PC und Desktop: Secret!
Der Nachteil der beiden bis hierhin vorgestellten Programme besteht darin, dass sie die Passwöter an nur einem Ort fest speichern - und grade Zugangscodes, PIN oder TAN werden ja häufig unterwegs benötigt. Ideal wäre hier eine synchronisierbare Lösung für den Desktop-Rechner und das Smartphone: Zu Hause speichern, überall benutzen.
Secret! von LinkeSoft bietet genau diese Funktionalität mit einer Suite von zwei programmen, entweder für Windows und Palm (die ursprüngliche Version) oder Pocket-PC (Windows Mobile). Alle Programme können auch einzeln erworben werden, das Kombi-Paket aus Secret! für Windows und eine der beiden Mobil-Plattformen kostet 29 Euro.
Ich vertraue seit Jahren persönlich auf Secret! und bin bisher nie enttäuscht worden. Der grösste Wert liegt für mich in der absolut sicheren Verschlüsselung auf dem Palm Treo (und auf drei Vorgängermodellen mit dem Palm-Betriebssystem): Sobald der Benutzer auf dem Mobilgerät die Anwendung wechselt, sprich Secret! verlässt, oder sich das Gerät in den Standby-Modus schaltet, wird die Datei mit den Passwörtern sofort verschlüsselt; weil die Entschlüsselung niemals im Flash-Speicher, sondern nur im flüchtigen RAM stattfindet, sind alle lesbaren Daten damit auch gleich wieder gelöscht.
Die Desktop-Anwendung lässt kaum Wünsche offen, auch sie erlaubt die automatische Schliessung der Datei nach einer einstellbaren Zeitspanne; ferner kann das Programm so eingerichtet werden, dass es die enthaltenen Daten nach dem dritten Zugriffsversuch mit falschem Masterpasswort löscht. Da ich der einzige zu sein hoffe, der je mit brutaler Gewalt verschiedene Passwörter durchprobieren wird, lasse ich diese Option ausgeschaltet. Auch Secret! erlaubt einen Export der Daten, und zwar als verschlüsselte Palm-Datenbankdatei (sinnvoll als sicheres Backup) wie auch in deutlich weniger sinnvollen, unverschlüsselten Listen - auch das Drucken der Datenbestände ist implementiert und meiner Meinung nach ein überflüssiges Risiko.
Die Software erlaubt die Gruppierung von Passwörtern in Kategorien, bringt einen speziellen TAN-Modus mit (den auch die Mobil-Versionen unterstützen) - die Code-Listen werden durchnummeriert und lassen die Löschung jedes benutzten Codes auf Knopfdruck zu. Das suchen Nach Passwörtern erledigt auf dem Desktop ein eingebautes Suchprogramm in Sekunden, auf dem Palm die Systemeigene Stichwortsuche, die bei geöffnetem "Secret!" auf letzteres beschränkt bleibt.
Die Version für PocketPC konnte ich nicht testen, ich nehme aber an, dass sie im Wesentlichen die gleichen Funktionen bietet wie die "grosse" Windows-Version.
Der absolute Clou ist natürlich die Synchronisation von Desktop- mit Mobilgerät, die in der Palm-Version auf Knopfdruck mit allen andern Abgleichen stattfindet (es war dieses Feature, das mich schon immer an den Palms begeistert hat). Dabei werden die verschlüsselten Datensammlungen angeblich nicht entschlüsselt; trotzdem überschreibt nicht einfach eine Datenbank die andere, sondern selbst wenn in beiden Änderungen vorgenommen wurden, sind sie danach auf beiden Geräten vorhanden.
Für mich ist Secret! die Lösung eines alten Problems, die mir seit Jahren hilft, jederzeit für alle noch so unerwarteten Abfragen gewappnet zu sein. Eine einzige Ausnahme gibt es: Telebanking via Smartphone-Browser ist nicht möglich - ganz einfach deshalb, weil ich dazu die Webseite der Bank verlassen muss, um in Secret! die erforderliche TAN zu finden, und wenn ich zur Bankenseite zurückkehre, verlangt die einen andern Code - aber Telebanking via Smartphone ist ohnehin keine sonderlich gute Idee.
Alle Passwörter im Handy: MobileSitter
Das Fraunhofer Institut SIT hat an der eben zu Ende gegangenen Cebit in Hannover eine ausgereifte Passwörter-Lösung für praktisch jedes moderne Handy vorgestellt, den MobileSitter. Gemäss den bisherigen Meldungen erlaubt das programm zwar keine Synchronisation, aber zumindest eine Kopie der Datei auf dem Handy auf jedes andere Gerät (inklusive PC), welches ebenfalls Java ME (Micro Edition) unterstützt.
MobileSitter soll demnächst für rund 10 Euro erhältlich werden und bietet in der Anwendung nicht viel mehr als die meisten andern Passwort-Speicher - beliebige Daten, PINs oder TAN-Listen lassen sich darin ablegen. In Sachen Sicherheit aber dürfte das Tool ungeschlagen sein.
Abgesehen davon, dass der MobileSitter auf den meisten Mobiltelefonen eingesetzt werden kann, glänzt er durch ein eben so simples wie wirksames Sicherheitssystem: JEDES Masterpasswort führt nämlich dazu, dass dem Benutzer eine Liste von Passwörtern angezeigt wird. Allerdings ist es nur dann die richtige, wenn das ECHTE Masterpasswort eingegeben wurde. Ein Angreifer hat keine Chance, weil er schlicht niemals weiss, ob er die fingierten (mit falschen Codes übersetzten) Passwörter oder die echten vor sich hat; der Benutzer hingegen erkennt an einer eingeblendeten Grafik, die nur ihm bekannt ist, ob er sich vertippt hat oder ob er seinen Datenbestand ansieht.
Diese Methode ist meiner Meinung nach preisverdächtig. Wo das früher erwähnte Secret! mit einem Abwehrmechanismus glänzt, der Angriffe mit der Brute-Force ("Ausprobier-") Methode ganz einfach durch Löschung der Daten unnütz macht, lässt MobileSitter den Cracker im Ungewissen und vereitelt damit alle Versuche, das richtige Masterpasswort beispielsweise durch schiere Rechnerleistung zu finden. Das hat den riesigen Vorteil, dass selbst schwach gewählte Masterpasswörter eine zusätzliche Schicht an Sicherheit gewinnen.
Fazit:
Genau dieser Letzte Punkt ist die häufigste Kritik an Passwort-Speicherprogrammen: Die stärkste Verschlüsselung nützt nichts, wenn der Benutzer als Master-Passwort für den Zugang zu jenen Daten, die sein ganze Leben ausmachen, sein Geburtsdatum wählt. Aus dem gleichen Grund ersetzen (sehr zu meinem Ärger) immer mehr Banken die Streichlisten (TAN), welche das Telebanking in meinen Augen erst richtig sicher machen, durch kleine Geräte, die einen zeitabhängigen Zufallscode generieren: Zu viele Leute hatten offenbar ihre TAN-Listen zusammen mit ID und Passwort fürs Telebanking auf Zettelchen geschrieben, wodurch sie sehr schnell in falsche Hände geraten. Das kann mit den Code-Generatoren ausgeschlossen werden, aber ich mag eigentlich nicht für jedes Konto auch noch einen feuerzeug-grossen Dongle mit LCD-Anzeige mit mir rumschleppen.
Generell lässt sich sagen, dass mit den gängigen 128-Bit-Verschlüsselungstechnik gespeicherte Passwortlisten gegenwärtig aus technischer Sicht absolut sicher sind - den richtigen Umgang und ein starkes Passwort vorausgesetzt. Leichtes Unbehagen befällt mich lediglich angesichts der fehlenden Verschlüsselungsautomatik des Passwort-Tresors und immer dann, wenn ich die Desktop-Anwendung von Secret! benutze, das Gefühl, jemand könnte mir via Trojaner über die Schulter gucken. Darin besteht wohl das grösste Risiko im Zusammenhang mit auf dem PC gespeicherten Sicherheitscodes: Spionage-Software auf dem eigenen Rechner, Tastatur-Sniffer, die alle Eingaben abfangen und weiterleiten oder Phising-Emails, die angeblich von der Bank, von Ebay oder Paypal stammen und (angeblich) auf die Webseite des Dienstes verlinken, wo Benutzer dann viel zu häufig ihre Passwörter eintippen - um später zu merken, dass es sich um eine raffinierte Kopie der Originalseite handelte. Aus diesem Grund klicke ich niemals einen Link aus einer Email an, und wenn meine Bank etwas von mir will, dann tippe ich ihre Adresse jedesmal eigenhändig in die Adresszeile des Browsers, bevor ich Passcodes benutze.
Auf mobilen Geräten hingegen halte ich die Passwort-Lösung für ideal, und so mancher sollte sich überlegen, ob er nicht mit dem MobileSitter vom hochangesehenen Fraunhofer Institut sein Handy zum endgültigen Passwortbehälter machen soll. Denn dies ist das Gerät, dass sowohl am heimischen Bildschirm wie auch vor dem Bankautomaten immer in Griffweite ist. Und wenn ich eins aus Erfahrung sagen kann: Die paar Tastendrucke haben mir noch jedesmal im Vergleich zum Grübeln nach Passwörtern enorm viel Zeit eingespart.