TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Nutzen Sie Passwortmanager - und zwar am besten gestern.

Nutzen Sie Passwortmanager - und zwar am besten gestern.

  • Comments 1
  • Likes

Nicht nur LinkedIn verliert die Hashwerte von 6,5 Millionen Passwörtern, Hacker haben kürzlich auch die Datenbanken der Dating-Seite eHarmony, der Webseite zum Lustigen Taschenbuch, dem Musikdienst Last.FM oder zum Multiplayer-Spiel League of Legends geknackt und damit zahlreiche Passwörter und Kontonamen in ihre Gewalt gebracht beziehungsweise über das Internet verteilt.

Auf den ersten Blick scheinen die Datenklaus teilweise wenig dramatisch zu sein. Last.FM beispielsweise etwa außer meiner gespielten Musik nur wenige Informationen. Die Tragweite des Problems wird bewusst, wenn man sich die Frage nach der Mehrfachnutzung der gleichen Kombination aus Nutzername/E-Mail und Passwort stellt. Etwa bei Facebook? Beim Webmail-Dienst? Oder für den externen Zugriff auf Unternehmensportale?

Passwort Reuse (englisch für „Wiederverwertung“) ist ein gängiges Problem. Menschen können sich nur eine gewisse Anzahl an komplexen, schwer zu knackenden Passwörtern merken. Daher neigen wir dazu, ein gutes Passwort immer wieder herzunehmen. Wird das geknackt, stehen dem Angreifer auch die virtuellen Tore zu allen anderen Konten offen.

Abhilfe für dieses Problem kommt in Form von Passwortmanager-Anwendungen. Diese arbeiten meist nach einem relativ simplen Prinzip: Sie speichern alle Zugangsdaten in einer verschlüsselten Datenbank, klinken sich in den Browser des Nutzer ein und stellen die Daten zur Verfügung, sobald sie eine entsprechende Website erkennen. Diese Funktionen bieten die Browser zwar auch, die externen Passwortmanager bringen aber noch ein enorm wichtiges Feature mit: Sie können auf Wunsch beliebig lange, beliebig komplizierte Passwörter erstellen - meist sogar direkt während man sich bei einem Webdienst registriert. Da das Passwort anschließend direkt in die Datenbank aufgenommen wird, muss es sich der Nutzer nicht einmal merken oder aufschreiben. Davon abgesehen sind die Daten bei externen Passwortmanagern immer verschlüsselt, die Browser dagegen speichern die Informationen meist standardmäßig im Klartext oder so, dass sie mit simplen Tools auslesbar sind.

Grundsätzlich gibt es zwei verschiedene Ansätze für Passwortmanager: Lokal installiert oder als Web-Dienst. KeePass ist eine OpenSource-Lösung, die die Daten in einer Datenbankdatei auf dem PC des Nutzers speichert. LastPass dagegen setzt auf einen Web-Dienst, der beispielsweise eine Datenbank über mehrere Systeme synchron halten kann. Allerdings muss man dann natürlich dem Anbieter vertrauen. LastPass versucht diese Bedenken zu zerstreuen, indem der Anbieter auf starke Verschlüsselung sowie Techniken wie Salting setzt.

Egal für welche Art von Passwortmanager man sich entscheidet: Jeder sicherheitsbewusste Internetnutzer sollte sich den Einsatz einer solchen Lösung überlegen. Die Tools erfordern meist eine kurze Eingewöhnung, anschließend möchte man sie aber nicht mehr missen. Beide vorgestellten Tools sind in den Grundfunktionen kostenlos. Von LastPass gibt es eine kostenpflichtige Premium-Variante, die etwa eine Unterstützung für mobile Geräte (auch für unser Windows Phone) mitbringt. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Comments
  • what way an user in Microsoft Tech Net Social and MSDN CodePlux ASP IIS .NET able launch and Landing own Machine Automation Sync AllOnOne Projects for Running Net Application CMD WEA APPS?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment