Unliebsame Schatztruhen
Passwortmanager gegen die Vergesslichkeit
Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und mindestens zwölf Zeichen? Die Kennwortvorgaben von Webdiensten und die schiere Vielzahl von Angeboten machen es fast unmöglich, alle Kennwörter im Kopf zu behalten. Passwortmanager machen das Leben leichter, dürfen dabei aber nicht zum Sicherheitsdesaster werden.
Regelmäßige c’t-Leser mag es überraschen, wieder einen Artikel über Passwortmanager in Händen zu halten. Schon mehrmals haben wir an dieser Stelle versucht, das Kennwort für tot zu erklären [1, 2]. Eine würdige Alternative, so beschrieben wir zuletzt Ende 2019, stehe bereits in den Startlöchern: Mit FIDO2 seien Kennwörter überflüssig und alle damit verbundenen Sicherheitsprobleme Geschichte. Statt mit Kennwörtern solle man sich zukünftig per asymmetrischer Kryptografie anmelden. In einem Hardwaremodul im PC oder Smartphone oder auf einem separaten Sicherheits-Stick liegt ein geheimer Schlüssel, mit dem Sie sich zukünftig bei den von Ihnen benutzten Diensten ausweisen. Die Idee ist ausgereift, die Sicherheitsvorteile liegen auf der Hand, die Standards sind geschrieben, es gibt nur eine schlechte Nachricht: Bisher ist das kennwortlose Anmelden mit FIDO2 nur bei sehr wenigen Diensten möglich. Microsoft ist der einzige große Anbieter, der das Verfahren als Passwortalternative anbietet. Bei vielen anderen Anbietern kommen FIDO und FIDO2 langsam als zweiter Faktor hinzu – von flächendeckender Unterstützung im Internet sind wir noch weit entfernt.
Widerspenstige Brückentechnik
Kennwörter werden Sie als Internetnutzer also noch länger begleiten und sind weiter der Standard. Mit allen Tücken, die mit dieser Jahrzehnte alten Technik verbunden sind. Kennwörter, und das ist das große Problem, sind ein gemeinsames Geheimnis zwischen Ihnen als Nutzer und dem Dienst, an dem Sie sich anmelden möchten. Bei der Registrierung haben Sie das Kennwort festgelegt und der Anbieter hat es bestenfalls als Hash, schlimmstenfalls im Klartext gespeichert. Einem Onlinedienst darf man nicht bedingungslos vertrauen. Schließlich wissen Sie nicht, wie gut er mit Ihrem gemeinsamen Geheimnis umgehen wird. Dass Dienstanbieter ihre Kennwortdatenbanken im Klartext verschlampen, dass diese dann in öffentlichen Sammlungen landen und in dunklen Kanälen verkauft werden, kommt leider regelmäßig vor.
Zu den Sicherheitsratschlägen für alle Anwender gehört daher an erster Stelle: Verwenden Sie für jeden Dienst ein anderes Kennwort. Kommt es abhanden (Ihnen oder dem Anbieter), ist der Schaden auf einen Dienst begrenzt. Besonders sensibel ist das Kennwort zum Mail-Postfach. Weil die meisten Dienste eine Funktion zum Zurücksetzen des Kennworts anbieten und dafür eine Mail mit einem Rücksetzlink verschicken, ist der Mail-Account oft der Generalschlüssel zur digitalen Identität. Dessen Kennwort sollten Sie auf keinen Fall anderswo einsetzen.
Ein weiterer Tipp bezieht sich auf die Länge des Kennworts: Um Brute-Force-Angriffe, also das systematische Ausprobieren von Kennwörtern, zu verhindern, sollten diese eine angemessene Länge haben. Sechs Zeichen sind zu wenig, ab zwölf Zeichen sind solche Attacken sehr unwahrscheinlich. Über die Länge kann man die Sicherheit des eigenen Kennworts deutlich erhöhen.
Überall anders
Aber auch ein Anwender, der alle Sicherheitsratschläge ignorieren möchte, weil er davon überzeugt ist, dass er ein sicheres Kennwort für alle Dienste erfunden hat, wird scheitern – an den Kennwortrichtlinien der Anbieter. Die können nämlich erstaunlich unterschiedlich sein. Die einen fordern Sonderzeichen, Zahlen und Großbuchstaben, andere schließen diese ausdrücklich aus oder setzen ein Limit für die Länge des Kennworts. Wie es bei solchen Diensten hinter den Kulissen aussieht, lässt sich nur erahnen. Eine Längenbegrenzung ist immer ein gutes Indiz dafür, dass der Anbieter das Kennwort im Klartext in seiner Datenbank ablegt. Ein Datenbankfeld kann nämlich eine maximale Zeichenlänge haben. Würde der Dienst, wie es sich gehört, einen Hash erzeugen und diesen abspeichern, wäre die maximale Länge unerheblich. Eine Hashfunktion erzeugt immer Hashes von gleicher Länge.
Dass dieser Dschungel aus Kennwortvorgaben nervt, haben viele Anwender und Entwickler bereits erkannt. Vor wenigen Monaten ist das auch einem Team bei Apple aufgefallen und daher hat es – für Apple eher ungewöhnlich – ein Open-Source-Projekt gestartet. In einem GitHub-Repository sammelt man jetzt die Anforderungen von Websites als JSON-Objekt. Diese Daten können später von jedermann in Anwendungen eingebaut werden – zum Beispiel in Kennwortmanager. Das Projekt finden Sie über ct.de/yvr6. Lesenswert ist die bisher erstellte Liste nicht nur für Entwickler, sondern auch für neugierige Anwender: Sie bekommen einen guten Eindruck, für wie wichtig die Kennwortsicherheit bei unterschiedlichen Anbietern erachtet wird. Wer selbst beitragen möchte, ist von den Apple-Mitarbeitern herzlich eingeladen, die eigenen Beobachtungen als Pull-Request einzureichen.
Mit diesen Ratschlägen und unterschiedlichen Anforderungen der Dienste wird das Leben aber leider kompliziert. Nirgends ist der Spagat zwischen Komfort und Sicherheit so offensichtlich wie bei der Wahl von Kennwörtern. Als gewöhnlicher Nutzer hat man mindestens fünf Dienste, bei denen man sich regelmäßig anmelden möchte, und mindestens 10 bis 20 weitere, die man seltener braucht – heutzutage aber nicht nur auf dem eigenen PC, sondern auch auf dem Laptop, Tablet, Mobiltelefon und vielleicht auch mal am Computer im Büro. Nur wahre Gedächtnisakrobaten vollbringen das Kunststück, sich alle unterschiedlichen und möglichst langen Kennwörter einzuprägen und dann wieder abzurufen, wenn es drauf ankommt.
Das Beste draus machen
Aus der Misere sollen Passwortmanager helfen, also Anwendungen, die möglichst auf allen eingesetzten Plattformen laufen und die Denksportaufgabe überflüssig machen. Ab Seite 22 finden Sie unseren Test von 15 Managern. Nicht jeder passt zum eigenen Anwendungsprofil, denn der Umgang mit Kennwörtern kann sehr individuell sein. Wir haben daher in die Auswahl nicht nur Software aufgenommen, für die sich der Anbieter einen Synchronisationsmechanismus über eigene Server ausgedacht hat – denn eine solche Synchronisation setzt immer einiges an Vertrauen an den Anbieter voraus. Mit im Testfeld ist daher die Open-Source-Lösung KeePass. Sie speichert die Kennwörter in einer verschlüsselten Datenbankdatei, die man nur mit dem Master-Passwort entschlüsseln kann. Wie Sie diese Datei mit anderen Geräten abgleichen, ist Ihre Entscheidung. Wer einem Anbieter vertrauen möchte und damit leben kann, dass die Software Closed-Source ist, bekommt bei einem Dienstleister mit Cloud-Synchronisation mehr Komfort.
Passwortmanager fallen in die Kategorie von Anwendungen, mit denen man am liebsten nichts zu tun haben möchte – etwa so wie mit Virenschutzsoftware. Je seltener man sie bewusst wahrnimmt, desto besser ist sie. Am besten integrieren die Manager sich in den Lieblingsbrowser, speichern im Hintergrund die Geheimnisse und synchronisieren sie auf Wunsch stumm mit allen Endgeräten.
Schweinereien im Speicher
Von den Entwicklern solcher Manager darf man als Anwender besondere Sorgfalt erwarten. Dazu sollte gehören, dass sie beim Speichermanagement alles dafür getan haben, dass das Master-Kennwort und die gesicherten Kennwörter nur möglichst kurze Zeit im Arbeitsspeicher liegen. Wer die Datenbank sperrt, darf erwarten, dass Kennwörter schlagartig aus dem Speicher entfernt werden. Wie gut die Anwendungen aus dem Test diese Erwartungen erfüllen und wie man den Datenverkehr mit den Synchronisierungs-Clouds einschätzen kann, erfahren Sie ab Seite 28.
Nicht ohne zweiten Faktor
Das Leben mit Passwortmanagern, so gut sie auch sein mögen, bleibt immer unvollkommen. Auch der sicherste Helfer nützt Ihnen nichts, wenn ein Dienstanbieter ein Leck hat. Daher gilt in jedem Fall: Nutzen Sie zweite Faktoren, wo dies möglich ist. Eine Bestätigung der Anmeldung per Einmalkennwort, das per SMS kommt oder in einer App wie dem Google Authenticator erzeugt wird, oder per FIDO2-Stick, ist für den Nutzer ein wenig unbequem, für einen Angreifer aus der Ferne aber ein wirkliches Hindernis. Wie Sie eine Zweifaktor-Strategie für alle wichtigen Accounts erarbeiten und dabei auch den Passwortmanager und FIDO2-Hardware einbeziehen, haben wir bereits vorgestellt [3]. Absolute Bequemlichkeit und Sicherheit wird es nicht geben, solange Kennwörter der Standard im Internet bleiben. (jam@ct.de)
Apples Kennwort-Projekt: ct.de/yvr6