Passwort-Schutz für jeden
Seite 2: Passwort-Safes
Sicher gleich Safe
Fragt man Passwort-Cracker nach ihrem Rat, legen die einem meist die Verwendung eines Passwort-Safes wie Keypass, Lastpass oder 1Password ans Herz. Das bietet Funktionen zum Erstellen beliebig langer, echt zufälliger Passwörter für jeden Zweck, die sich garantiert nicht knacken lassen und damit tatsächlich den besten Schutz gegen die ihnen vertrauten Angriffe.
Das Problem ist, dass die Cracker dabei einen anderen – vielleicht sogar wichtigeren Angriffsvektor – außer Acht lassen: Ein einziger Trojaner auf Ihrem PC kann damit sofort und ohne große Mühe all Ihre Passwörter klauen. Dazu muss er nur etwa mit einem Keylogger das Master-Passwort für den Passwort-Safe abgreifen. Der Sicherheitsexperte Thomas Roth von Leveldown Security analysierte erst kürzlich ein Malware-Sample, das bei Nutzern von 1Password die Klartext-Passwörter aus dem Arbeitsspeicher fischt.
Darüber hinaus ist das mit dem Komfort so eine Sache. Mit Passwort-Safes hantiert man zwangsläufig mit Passwörtern, die man sich nicht mehr merkt und die man auch nicht so mal eben schnell und ohne Probleme nachlesen und dann fehlerfrei eintippen kann. Und wer nutzt das Internet heutzutage nur noch an einem einzigen PC? Neben Notebook, Heim- und Arbeitsplatzrechner will man Facebook, Google, Dropbox und vieles andere ja auch auf dem Tablet oder Smartphone benutzen.
Damit landen die Passwörter schon fast zwangsläufig irgendwie in der Cloud, was sicher nicht jedermanns Geschmack sein dürfte. Immerhin vertraut man damit irgendeiner Firma seine Kronjuwelen an, deren Seriosität und vor allem Zuverlässigkeit man kaum einschätzen kann. Außerdem benötigt man immer eine passende App für jede Plattform. Wer etwa 1Password nutzt und sich jetzt eines der neuen Windows Mobile 8 Smartphones kauft oder von der Firma einen Blackberry gestellt bekommt, hat ein Problem.
Hinzu kommt, dass zwar zum Beispiel die PC-Version von Lastpass kostenlos ist, man für die Pro-Version, die auch mit Smartphones synchronisiert, ein Abo abschließen muss, das 12 US-Dollar jährlich kostet. 1Password will sogar 50 Dollar für die Windows-Version, weitere Plattformen kosten extra. KeePass ist zwar gratis (und darüber hinaus sogar Open Source); aber der Anwender muss sich selbst um Synchronisation etwa via Dropbox mit passenden Smartphone-Apps wie MiniKeePass für iOS kümmern, über deren Qualität wenig bekannt ist.
