Eines für alle

Ein neues Konzept für den Umgang mit Passwörtern

Praxis & Tipps | Praxis

Passwörter sind Mist – das weiß eigentlich jeder, egal ob Anwender oder Sicherheitsspezialist. Wenn sie sicher sein sollen, sind sie zu kompliziert, um sie sich zu merken. Aufschreiben soll man sie auch nicht und vor allem: Man braucht so viiiiele davon. Doch das muss nicht sein.

Die meisten Anwender haben längst resigniert – nicht zuletzt wegen der superkomplizierten Regeln, die sich weltfremde Security-Experten ausgedacht haben, um die Verantwortung abzuschieben: Mindestens 14 Zeichen, ein zufälliger Mix aus Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen – aber die nicht am Ende. Und davon soll man sich dann fünfzig oder mehr merken? Wer nicht schon als Kind Telefonbücher auswendig gelernt hat, ist damit schlicht überfordert.

So gut wie alle der von mir befragten Bekannten verwenden ein, zwei Passwörter bestenfalls in leichten Variationen – und zwar für fast alle Dienste, die sie nutzen. Ein einziges, aber dafür richtig gutes Passwort – das ist das, was man einem normalen Menschen sinnvoll zumuten kann. Und das kann auch genügen.

Geheimnisverrat

Derzeit ist es so, dass ich mich gegenüber eBay authentisiere, indem ich dem eBay-Server mein geheimes eBay-Passwort schicke. Das checkt der dann gegen den hinterlegten Passwort-Hash und wenn sie gleich sind, glaubt er, dass ich wirklich Jürgen Schmidt bin. Bei Facebook zeige ich mein geheimes Facebook-Passwort vor und im Racing4fun-Forum meines für Racing4fun – da kommen ruckzuck 50 und mehr Passwörter zusammen. Sind mehrere dieser Passwörter gleich, dann kann ein Cracker, der bei Racing4fun eingebrochen ist, unter Umständen auch bei eBay in meinem Namen shoppen gehen.

Wenn man mal genauer darüber nachdenkt, sieht man es eigentlich schon: Mein persönliches Geheimnis an andere zu schicken, um meine Identität zu beweisen, ist eigentlich von vornherein absurd. Denn in dem Moment, in dem ich auf „Anmelden“ drücke, ist es kein Geheimnis mehr, sondern ich vertraue anderen mein identitätsstiftendes Passwort an – in der Hoffnung, dass die schon gut drauf aufpassen werden. Wie gut das funktioniert, haben wir in den letzten Jahren gesehen, in denen immer wieder Datenbanken mit Tausenden oder gar Millionen von Passwörtern in Umlauf kamen. Viele davon waren unzureichend geschützt, manche gar nicht. Und immer noch gibt es Anmeldeseiten, die nicht verschlüsselt sind, oder auf den Seiten der Betreiber finden sich Cross-Site-Scripting-Lücken, die sich zum Passwortklau nutzen ließen.

Meister der Passwörter

Es ist also höchste Zeit umzudenken: Man merkt sich ein einziges, richtig gutes Passwort – und das behält man für sich. Dieses Master-Passwort verlässt nie den eigenen Einflussbereich – auf gar keinen Fall schickt man es an einen fremden Server. Stattdessen nutzt man eine Software, die zusammen mit einem Dienstnamen wie „eBay“ daraus ein eBay-Passwort ausrechnet. Konkret benutzt sie für diese Berechnungen kryptografische Hash-Funktionen wie die genau dafür standardisierte Password Based Key Derivation Function 2 (PBKDF2), die sich nicht umkehren lassen.

Das gewährleistet zwei ganz wichtige Dinge: Es ist nicht möglich, aus meinem Racing4fun-Passwort mein Master-Passwort zu berechnen und auch mein eBay-Passwort und die ganzen anderen lassen sich nicht daraus rekonstruieren. Wenn also etwa ein Online-Dienst schlampt und nicht nur das Passwort im Klartext speichert, sondern sich die Passwort-Datenbank auch noch klauen lässt (hallo Yahoo, wir vergessen so was nicht), braucht man sich deshalb keine weiteren Sorgen zu machen.

Gegenüber dem herkömmlichen Passwort-Konzept habe ich damit eine ganze Menge gewonnen. Zunächst mal muss ich mir nur noch ein einziges Passwort merken – und da kann man dann schon mal großzügig sein und zehn bis zwölf zufällige Zeichen verwenden. Nach kurzer Zeit hat man die sicher drauf und für den Fall einer plötzlichen Amnesie schreibt man sie auf einen Zettel, der im Tresor bei all den anderen Wertsachen landet (siehe auch „Passwort aus Papier“ auf Seite 92). Dieses Passwort schickt man nicht mehr an Hinz und Kunz ins Internet, sondern behält es für sich – also in seinem eigenen Einflussbereich – und muss nicht mehr befürchten, dass einer der Dienstbetreiber es verschlampt.

Außerdem sind die Passwörter so gut wie unknackbar. Denn aus der Kombination von Master-Passwort und Dienstnamen erzeugt die Mach-mir-ein-Passwort-Funktion für jeden Dienst ein einmaliges Passwort aus quasi zufälligen Zeichenfolgen, das kein Cracker dieser Welt in seinem Wörterbuch hat. Je nach Bedarf kann das dann ein zwölfstelliges Passwort aus Sonderzeichen, Groß- und Kleinbuchstaben oder auch eine vierstellige PIN sein. Und das Schöne daran: Sie macht das nicht nur auf dem PC, sondern bei Bedarf auch auf dem Tablet oder dem Smartphone; ganz ohne dass ich irgendwas synchronisiere oder sogar Passwörter in die Cloud auslagern würde.

Das ist übrigens der entscheidende Unterschied zu den bekannten Passwort-Safes. Die erzeugen zwar ebenfalls einmalige, unknackbare Passwörter. Aber sie speichern die dann mit einem speziellen Zugangs-Passwort verschlüsselt in einem Container ab. Das ist ein feiner, aber wichtiger Unterschied. Denn ich bin damit völlig vom Inhalt dieses Safes abhängig – ohne ihn kann ich nicht mal mehr meine Mails lesen und zum Beispiel Passwort-Resets durchführen.

Wer den Safe nicht auf mehrere Geräte verteilt – und natürlich die Kopien immer schön synchron hält – riskiert schon mit einem einfachen Platten-Crash den Verlust seiner Identität. Und weil ich die ganzen Dienste auch an meinem Arbeitsplatz-Rechner, auf dem Smartphone und dem Tablet nutzen möchte, komme ich kaum darum herum, diesen Safe-Inhalt in die Cloud zu befördern. Man legt also ausgerechnet seine wichtigsten Daten, deren Verlust am meisten schmerzen würde, genau da ab, wo ihnen die meiste Gefahr droht: im Internet. Keine gute Idee.

Anders das Master-Passwort-Konzept: Das speichert gar keine Passwörter, sondern berechnet sie bei Bedarf immer wieder neu, und zwar an jedem Gerät, das mit der dazu erforderlichen Mach-mir-ein-Passwort-Funktion aufwarten kann. Allerdings lege ich da ähnlich wie bei den Passwort-Safes all meine Eier in einen einzigen Korb – wie die Engländer das sehr treffend formulieren. Ein Trojaner auf dem PC und alle Dienste sind auf einen Schlag kompromittiert. Doch man kann dieses Verfahren – angepasst an das eigene Sicherheitsbedürfnis – auch noch weiter sichern. So kann man beispielsweise sein ziemlich sicher trojanerfreies iPhone als Passwort-Generator nutzen, damit das Master-Passwort nie auf den eventuell doch mal verseuchten Windows-PC gelangen kann. Das erfordert dann halt etwas mehr Tipp-Arbeit, weil man statt des komfortablen Copy & Paste das Passwort jedes Mal erneut am iPhone ablesen und dann am PC eintippen muss.

Mehr Sicherheit erreicht man auch durch ein zusätzliches Keyfile, das auf dem Gerät des Anwenders liegt und dessen Inhalt zusätzlich zum Master-Passwort in die Passwörter einfließt. Das böte den Vorteil, dass es nicht genügt, jemandem etwa beim Eintippen des Master-Passworts über die Schulter zu schauen. Denn ohne das Keyfile bekommt man trotzdem nicht die richtigen Passwörter. Um das Master-Passwort auf anderen Geräten nutzen zu können, müsste der Anwender dieses Keyfile dann möglichst (abhör-)sicher auf sein Tablet und sein Smartphone kopieren.

Allerdings bieten die weiter unten vorgestellten Master-Passwort-Umsetzungen bislang keine Keyfile-Option. Man sollte diesen Schutz aber auch nicht überbewerten. Wenn ein Trojaner auf dem Gerät das Master-Passwort klaut, kann er auch das Keyfile einfach mit kopieren.

Master-Passwörterin der Praxis

Die Idee mit dem einen Master-Passwort, das den eigenen Hoheitsbereich nicht verlässt, ist nicht auf unserem Mist gewachsen und keineswegs neu. Dienste wie der neue Firefox-Account für die Synchronisierung und Boxcryptor setzen auf ein ähnliches Konzept lokaler Master-Passwörter (siehe Kasten oben).

Die beste mir bekannte Umsetzung ist jedoch die Master Password App. Das ist ein kleines Progrämmchen, das entweder als iOS-App auf dem iPhone/iPad oder als Java-Applikation auf quasi beliebigen Desktop-Systemen läuft. Ein kleines C-Programm erzeugt die Passwörter auch auf der Kommandozeile; eine OS-X-Version ist derzeit in der Beta-Phase. Der gesamte Code ist Open Source unter der GPLv3 und die eingesetzten Verfahren sind gut dokumentiert, sodass auch weiteren Portierungen nichts im Wege steht. Tatsächlich sind bereits andere Entwickler auf dieses interessante Konzept angesprungen – dazu später noch mehr.

Die Funktionsweise ist denkbar einfach. Die Master Password App speichert keine Passwörter – sie berechnet sie bei jedem Start neu; beendet man sie, sind alle Passwörter weg. Dazu nimmt die App das beim Start eingegebene Master-Passwort, berechnet daraus einen sehr langen Schlüssel und kombiniert den mit dem vom Anwender vorgegebenen Dienst-Namen, um daraus Passwörter für eBay, Facebook und so weiter zu erstellen. Für jeden Dienst gibt es auch jeweils einen ganzen Satz von Passwörtern unterschiedlicher Komplexität, die für alle gängigen Passwort-Vorgaben anwendbar sind. Sogar eine PIN aus vier Ziffern liefert die App. Für Dienste, die keine selbstdefinierten Passwörter erlauben, kann man das Passwort auch von Hand eingeben; es wird dann wie bei einem herkömmlichen Password-Safe mit dem Master-Passwort verschlüsselt gespeichert.

Die App merkt sich die Namen der Dienste, für die man Passwörter erstellt hat und den zugehörigen Benutzernamen. So hat man nach jedem Start alle Informationen direkt parat. Jeder Dienst hat einen internen Zähler, der in das Passwort mit eingeht. Den kann man um eins hochsetzen, um ein neues Passwort für diesen Dienst zu erstellen, ohne das Master-Passwort zu ändern.

Durch Antippen wandert ein Passwort ins Clipboard, sodass man es auf dem iOS-Gerät ganz einfach in das passende Passwort-Feld kopieren kann. Security-Puristen können damit leben, das auf dem iPhone angezeigte Passwort von Hand im Browser auf dem Desktop einzutippen. Mit den Versionen für Java und die Kommandozeile kann man zumindest bereits auf anderen Plattformen experimentieren.

Der weitere Erfolg des Konzepts steht und fällt aber damit, dass es sich auf allen Geräten einfach und sicher nutzen lässt. Weil ohnehin keine Passwörter gespeichert werden, muss man sich um die Synchronisierung zwischen verschiedenen Geräten schon mal nicht kümmern. Die benötigten Informationen, um die Passwörter zu erstellen, sind nur der eigene Name, das Master-Passwort und der Name des jeweiligen Dienstes, der sich einfach aus der URL ableiten lässt. Somit braucht man nur noch weitere Umsetzungen der „Mach-mir-ein-Passwort-Funktion“ für die verschiedenen Plattformen und gute, komfortable Eingabefunktionen.

Vollautomatisiert

Wohin die Reise gehen kann, zeigt der agile Entwickler von InputStick. Das ist ein kleiner USB-Stick für circa 30 Euro, der sich als USB-Tastatur und -Maus an PCs anmeldet. Auf der anderen Seite empfängt er Eingaben via Bluetooth von einer Android-App, die er dann als Maus-Aktionen oder Tastatur-Eingaben an seinen PC weiterreicht. Auf unsere Anregung hin hat der Entwickler die bereits existierende Passwort-Safe-App für Android um einen Master-Passwort-Modus erweitert.

Damit genügt es dann, auf dem PC den Mauszeiger im Eingabefeld für den Benutzernamen beziehungsweise das Passwort zu platzieren und in der App den richtigen Eintrag auszuwählen. Den Rest erledigt der InputStick. Allerdings befindet sich das alles noch in einer recht frühen Entwicklungsphase. Weil die immer noch vorhandene, traditionelle Passwort-Safe-Funktion außerdem Passwörter weitgehend ungesichert auf dem Smartphone abspeichert, sollte man das Ganze derzeit noch eher als Experimentierfeld denn als praxistaugliche Lösung für den harten Alltagseinsatz sehen.

Auch der Entwickler des populären Passwort-Managers Keepass2Android, den wir auf Seite 86 noch ausführlicher vorstellen, hat unsere Anregung aufgenommen. Über den Link am Ende des Artikels finden Sie auch bereits eine erste Version seines Plug-ins, das Passwörter nach dem Master-Password-Verfahren generiert. Ein weiteres Plug-in schickt diese auf Wunsch an einen InputStick. Die Android-Apps generieren die gleichen Passwörter wie die anderen vorgestellten Tools. Man kann sie also etwa im Wechselspiel mit der iOS-App einsetzen.

Wir würden uns noch Browser-Erweiterungen wünschen, die das Master-Passwort-Konzept statt der üblichen Passwort-Tresore anbieten. Unsere diesbezügliche Anfrage bei Mozilla blieb leider unbeantwortet. Aber vielleicht finden sich ja unter den Lesern dieses Artikels ambitionierte Software-Entwickler. Für all diejenigen, denen das hier noch zu wenig konkret ist, bieten die folgenden Seiten ganz reale Tipps für Vergessliche sowie altbewährte und neue Helfer und Anregungen, wie man das Problem auch ganz ohne Software lösen kann. (ju)

Master-Passwort bei Firefox und Boxcryptor

Mozilla hat die Synchronisierung des Browsers mit Version 29 umgestellt. Früher gab es ein separates Sync-Passwort, das nur dazu diente, die synchronisierten Passwörter und Bookmarks zu verschlüsseln. Dieses Passwort wurde nicht an Mozilla übertragen; der Betreiber des Sync-Dienstes hatte somit keinen Zugriff auf die Daten.

Mit dem neuen Konzept entfällt dieses Sync-Passwort. Man hat nur noch sein Zugangspasswort für den neu einzurichtenden Firefox-Account. Das sieht auf den ersten Blick wie ein Rückschritt aus, ist es aber bei genauerer Betrachtung nicht. Denn auch dieses Firefox-Passwort wird nie an den Server gesendet – auch nicht zum Login (das können Sie selbst etwa mit dem Firefox-Addon „Live HTTP Headers“ überprüfen).

Stattdessen leitet Firefox aus dem Passwort eine Zeichenkette namens authPW ab, die es an den Server schickt. Das Firefox-Passwort bleibt somit Ihr privates Geheimnis. Mit ihm sind dann auch die Schlüssel geschützt, die Firefox zum Ver- und Entschlüsseln der synchronisierten Daten verwendet. Mozilla hat weiterhin keinen Zugriff auf die Passwörter und Einstellungen. Das Verschlüsselungs-Programm Boxcryptor arbeitet ebenfalls mit einem solchen privaten Passwort, das die eigenen Geräte nie verlässt und sowohl den Zugang zum Account als auch zu den geheimen Schlüsseln sichert.

Allerdings haben diese Konzepte eine ganz entscheidende Schwachstelle: Der Anwender gibt dieses private Geheimnis nach wie vor regelmäßig auf ganz normalen Webseiten ein. Was, wenn er dabei auf einer Phishing-Seite gelandet ist, die das Passwort dann eben doch ins Internet schickt? Und zwar gleich an die Phisher? Oder wenn es jemandem gelingt, den Skript-Code der Original-Firefox/Boxcryptor-Seite zu manipulieren? Etwa über eine der quasi allgegenwärtigen Cross-Site-Scripting-Lücken? Dann ist die Sicherheit komplett beim Teufel – und der hat dann Zugriff auf alle Passwörter.

Alles in allem bietet dieses Server-orientierte Konzept also viel zu viel Angriffsfläche. Was man eigentlich will, ist lokal installierte Software mit einer klar abgesetzten Eingabe für das Master-Passwort, die außerhalb der Reichweite des Dienstbetreibers sowie von Phishern oder sonstigen Trickbetrügern stattfindet.

Kommentar: Passwörter – bei Strafe verboten!

Wie im Artikel schon steht: Passwörter sind Mist und jeder weiß das eigentlich. Sie sind unpraktisch, werden in großen Mengen geklaut und geknackt und trotzdem – sie sind nach wie vor das wichtigste Authentifizierungsverfahren.

Sicherere Verfahren sind technisch machbar und sie wären sogar in vielen Fällen komfortabler. Ein Beispiel: Bei zahlreichen Unternehmen haben die Angestellten einen (elektronischen) Schlüssel für den Zutritt zum Gebäude, eine Karte für das Bezahlen im Betriebsrestaurant sowie (im Idealfall) nur ein einziges Passwort, was dank Single-Sign-On für sämtliche Software im Unternehmen verwendet werden kann. Warum werden diese Elemente nicht zusammengefasst? Also eine Karte für Zutritt, Bezahlen und Authentifizierung. Nach Entnahme der Zutrittskarte aus dem PC wird dieser automatisch gesperrt. Wer durch die Tür will, kann schließlich nicht gleichzeitig am Rechner sitzen. Ein derartig integriertes System ist mir in meiner langjährigen Praxis jedoch bisher noch nirgends begegnet.

Warum werden also überhaupt Passwörter verwendet, wenn diese primär Nachteile haben? Der Grund ist recht einfach: Passwörter sind unglaublich billig. Ihr Einsatz kostet zunächst fast nichts; die Einführung alternativer Systeme hingegen wäre eine größere Investition. Selbst wenn man auf Verfahren setzte, die sich dank Open-Source-Software ohne konkrete Anschaffungskosten umsetzen ließen – etwa eine Zertifikats-basierende Client-Authentifizierung – kämen beträchtliche Zusatzkosten für Administration und Support auf den Betreiber zu. Und das rechnet sich letztlich einfach alles nicht.

Da der Markt dies also nicht selbst reguliert, hilft nur eine hoheitliche Regulierung! Deshalb sind Betreiber von Systemen, welche einen Passwortschutz anbieten, mit einer empfindlichen Strafsteuer zu belegen. Die muss in der Summe höher ausfallen, als die Kosten einer sichereren Authentifizierung wären – und zwar weltweit einheitlich. Erst damit bekämen diese Alternativen am Markt eine realistische Chance, sich durchzusetzen.

Man darf doch mal träumen …

(Micha Borrmann)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Kommentare lesen (46 Beiträge)

Infos zum Artikel

Artikelstrecke
Kapitel
  1. Geheimnisverrat
  2. Meister der Passwörter
  3. Master-Passwörterin der Praxis
  4. Vollautomatisiert
  5. Kommentar: Passwörter – bei Strafe verboten!
  6. Master-Passwort bei Firefox und Boxcryptor
  7. Passwörter sicher und bequem
46Kommentare
Kommentare lesen (46 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (4)

Artikel zum Thema
Anzeige