Geheimnisträger

Ob Systemverwaltung, Support-Zugänge, Social Networks oder Onlineshops: den Zugang gewähren meist Benutzername-Passwort-Kombinationen. Doch von solchen Accounts hat selbst der Nutzer, der keine Systeme verwalten muss, derart viele, dass leicht der Überblick verloren geht.

Gern ziehen sich Benutzer aus der Affäre, indem sie ein Passwort(schema) für alle Accounts verwenden. Da aber auch Crackern dieses Verhalten bekannt ist, eignen sich geknackte Login-Kombinationen hervorragend als Grundlage für weitere Angriffe. Für den Benutzer heißt das: Ist ein Account kompromittiert, droht Gefahr für die anderen.

Doch erstens: Wer erinnert sich schon an alle Webserver, auf denen er im Laufe seines Internet-Lebens persönliche Daten hinterlassen hat. Zweitens: Erfährt der Benutzer überhaupt, dass sein Account, und wäre es der seit zwei Jahren nicht benutzte Second-Life-Account, kompromittiert ist? Nur die wenigsten Hacks erregen so viel Aufsehen wie der auf Sonys Playstation Network im April 2011.

Will man die Reste seines Privatlebens nicht jedem Cracker, Daten-Dealer und Abzocker auf dem silbernen Tablett servieren, kommt man um unterschiedliche Passwörter und ein striktes Passwort-Management nicht herum. Das bedarf erstens klarer Regeln und zweitens des ein oder anderen Helferleins in Softwareform. Je nach Betriebssystem und Hauptanwendungsfall können die Helfer unterschiedlicher Natur sein. Für die vielen Passwörter der Internet-Accounts besitzt etwa Firefox einen Passwortmanager mit Masterpasswort-Schutz.

Gesellen sich lokale Passwörter, Zertifikate oder Schlüssel hinzu, können Desktop-Programme helfen. Zu den ältesten gehört Apples Schlüsselbund, das seit Mac OS 9.0 ins System integriert ist. Es ist erreichbar über die Schlüsselbundverwaltung, seit Mac OS X zudem über den Befehl security. Die Benutzer-, System- und gegebenenfalls Firmen-Schlüsselbunde finden sich in den Keychains/-Unterverzeichnissen von ~/Library/, /Library/ und /Network/Library/.

Unter Linux bieten sich der GNOME Keyring und KWallet an. Während der Keyring als fortgeschrittener gilt, einen SSH-Agent und eine PAM-Anbindung enthält, ist KWallet stärker auf Webanwendungen ausgerichtet. Er kann etwa Formulardaten und Cookies verwalten. Beide können wie Apples Schlüsselbund mehrere Keyrings pro Benutzer mit je eigenem Masterpasswort verwalten.

Unter Windows weit verbreitet ist das unter der GPL stehende KeePass, das aber auch für Linux, Mac OS X, Pocket PC, Android, iPhone, BlackBerry oder Java-Handy verfügbar ist. Allerdings benötigt es in der parallel zur 1.x existierenden Version 2.x das .Net-Framework 2.0 respektive Mono unter Linux. Dafür bietet es einen eigenen Passwort-Generator. Als Integration in Firefox existiert das Add-on KeeFox. Zudem ist KeePass selbst durch Plug-ins erweiterbar, etwa für Imports, Exports und automatische Sicherungen der Passwortdatenbank.

Nicht eines für alles

Alle verfügbaren Programme sind jedoch nur so gut wie ihre Handhabung. Die wichtigste Regel der Passwortverwaltung lautet in Kurzform: unterschiedliche Passwort-Typen für unterschiedliche Account-Typen benutzen. Das heißt im Klartext: privat andere als in der Firma verwenden, für Administrator-Logins andere als für normale Benutzerkonten, lokal andere als im Internet und für wichtige Accounts, etwa mit hinterlegter Bankverbindung, Rechnungs- und Lieferanschriften, andere als für unwichtige, etwa den Newsletter der Anglerzeitschrift.

Besonders sorgfältig sollte man aber das – starke, aber merkbare – Masterpasswort wählen, da von ihm der Zugang zu allen anderen abhängt. Es sollte nur im Kopf des Benutzers existieren – und wenn das Firmenschicksal davon abhängt, im Banktresor.

Da mit Assoziationen und Sinn behaftete Namen und Wörter als Passwörter ungeeignet und beliebige Zeichenketten schwer zu merken sind, greift man meist zu einer Mischform, indem man die für einen selbst bedeutsamen Wörter, Ausdrücke oder Sätze entstellt oder verkürzt. Nicht nur die englische Sprache bietet sich zum Austauschen von Silben durch ähnlich klingende Zeichen(folgen) an, etwa 2=to/too, 4=for, 8=ate h/l/m8=h/l/mate, gr8=great, w8=wait, B=be, C=see, H=age, I=eye, O=owe, R=are, U=you oder Y=why. Beim Ersetzen von Buchstaben durch ähnlich aussehende Zeichen zählen die Ziffern zu den Klassikern: 0=O/Q, 1=L/I, 2=R, 3=E, 4=A/H, 5=S, 6=G, 7=T, 8=B und 9=G/P. Moderner und nicht gerade anfängerfreundlich wirken dagegen die Sonderzeichen wie !=i, ?=2, @=a, |_=L, |<=K, |\|=N, \/=V oder \/\/=W. Aus der Kombination und Verkettung (?=2=to oder 4=H=Age) dieser Methoden ergeben sich schier endlos viele Variationen, die auch Brute-Force-Attacken erschweren. Überzogen kann die Phrase „see you later“ dann Formen wie 533u1@732 oder cy0u|_8r annehmen.

Eine bessere Methode ist das Eindampfen von Sätzen, die wirklich aus jedem Bereich kommen können. Literaturaffine etwa finden sicher schnell ein Lieblingszitat, aus dem sich ein Passwort generieren lässt. Selbst bei Poesie-Hassern dürften noch so einige Remineszenzen schulischen Gedichtelernens im Gedächtnis sitzen, etwa der Anfang von Goethes Erlkönig: „Wer reitet so spät durch Nacht und Wind? Es ist der Vater mit seinem Kind.“ Die Anfangsbuchstaben samt Fragezeichen ergeben ein 16 Zeichen langes Passwort, an dem – vor dieser Ausgabe – kaum ein Administrator etwas zu meckern gehabt hätte: WrssdNuW?EidVmsK. Falls doch, wäre sicher Ersatz für den ein oder anderen ordinären Buchstaben aufzutreiben. (sun)