- Werbung -


Hier könnte Ihre Werbung stehen. Interessiert? Sprechen Sie uns an.


Neueste Kommentare

LastPass - das letzte Passwort

Druckversion

Zu Hilfe, wie war doch gleich das Passwort für die Webseite www.xyz.de, wie das für www.abc.com? Wer viel im Internet unterwegs ist, sieht sich mit einer Fülle von Anmeldedaten konfrontiert: Webshops, Foren, Webseiten mit internen Bereichen. Alle wollen etwas von uns: Daten, mit denen wir uns authentifizieren und einloggen. 

Beliebte Strategie bei vielen, die Angst haben, sich nicht alles merken zu können: Sie verwenden immer denselben Benutzernamen und dasselbe Passwort dazu. Eine Frage der Zeit, bis Hacker diese Kombination einmal erkannt haben und sie dann für eigene Zwecke benutzen. Aber jedes Mal ein neues, möglichst kompliziertes Passwort generieren? Alles mühsam aufschreiben und dann wieder abtippen? Oder doch in einer Excel-Tabelle sammeln?

Passwörter lokal verwalten mit Excel

Spätestens wenn man an mehr als einem Computer arbeitet, wird es unbequem, Passwörter ständig irgendwo abzutippen. Einfache Lösung zum Mitnehmen von z.B. Desktoprechner zu Laptop: Excel-Datei mit den URLs, Nutzernamen und Passwörtern auf einem USB-Stick speichern und von Gerät zu Gerät tragen. Die Datei kann abgesichert werden, so dass sie nur mit einem Passwort geöffnet werden kann. Somit hat man ein gewisses Maß an Sicherheit. Bequem ist aber anders.

Passwörter lokal verwalten mit keypass

keypassKeypass [1] ist auch eine Methode, Passwörter per Software lokal zu speichern. Das Programm selbst wird passwortgeschützt und legt die gespeicherten Passwörter verschlüsselt auf der Festplatte ab. Passwortlisten können exportiert und auf einem anderen Rechner importiert werden. Diese Methode ist um einiges sicherer als eine Excel-Tabelle. 

Noch bequemer ist es natürlich, die Daten zentral abzulegen und von jedem beliebigen Rechner abrufen zu können. Auch hierfür gibt es Dienste, z. B. LastPass [2].

Mit LastPass Passwörter fremdverwalten lassen

LastPass ist in der einfachen Version kostenlos. Einfache Version bedeutet: Man speichert beliebig viele URLs und Passwörter und geschützte Notizen auf dem Server von LastPass - online und von überall erreichbar.

Von überall erreichbar? Hier muss man aufhorchen. LastPass verschlüsselt nach eigenen Angaben alle Daten per 256-bit-AES-Schlüssel bereits auf dem Rechner des Anwenders. Somit sollen nicht einmal LastPass-Mitarbeiter Zugriff haben. Die Datenübertragung erfolgt zusätzlich SSL-verschlüsselt. Das klingt nichtssagend, wer sich allerdings mit dem Thema auskennt, liest aus den Angaben heraus, dass LastPass theoretisch einen hohen Sicherheitsstandard bietet. Vielleicht werden die Mitarbeiter auch jeden Abend vor dem Nauchhausegehen geblitzdingst und somit sind alle auf der sicheren Seite.

Das Tool selbst lässt sich als Browser-Plugin in z.B. Firefox, Internet Explorer, Google Chrome oder Safari (auch für Windows) installieren und wird für Windows 2000/XP/Vista/7, Mac OS X (10.5+), Linux, Solaris, BSD und diverse mobile Endgeräte angeboten. Dort wird es wahlweise bei jedem Browserstart automatisch aktiviert (nur für den heimischen Computer zu empfehlen) oder aber es wartet auf die Eingabe der E-Mailadresse und eines Masterpassworts. Positiv dabei ist die optionale Abschaltung der browserinternen, unsicheren Passwortmanager.

Allerdings verfügt LastPass auch über einige Funktionen, die mit Vorsicht zu genießen sind. So kann zum Beispiel die Auto-Abmeldung von Lastpass ausgeschaltet und ein Auto-Login für alle gespeicherten Web-Seiten eingeschaltet werden. In diesem Fall hat ein Angreifer, der sich Zugang zum Rechner des Opfers verschafft, Zugriff auf alle Passwörter. 

Anmeldung bei LastPassPositiv für die Bedienung wiederum: Bei der Anmeldung kann man die Tastatureingabe vermeiden, um sogenannte keylogger, die per Trojaner die Eingaben aufzeichnen und an außenstehende Hacker weiterleiten, auszusperren. Dazu ruft man im Anmeldebildschirm die "Bildschirmtastatur" auf und "tippt" mit der Maus die Zugangsdaten ein.

BildschirmtastaturHat man einmal einen Account angelegt und LastPass auf dem Rechner installiert, kann man alle vorhandenen Passwortmanager der installierten Browser auslesen, den Inhalt importieren und die Passwortmanager an sich leeren. Ab jetzt hat man seine Seele dem Teufel verkauft: Die Daten liegen auf dem Server von LastPass! Nun muss man nur noch auf jedem Rechner, mit dem man surft, LastPass in den Browser installieren und schon stehen die Daten überall zur Verfügung.

Einfache Browserintegration

Bei jeder Eingabe von Benutzername und Passwort in eine neue Webseite erscheint jetzt am oberen Bildrand ein grüner Balken mit der Nachfrage, ob die Eingaben gespeichert werden sollen. Man kann Die URLs nach Gruppen sortieren, um sie später wieder einfach auffinden zu können. In der Regel erkennt aber das aktivierte Browser-AddOn ab hier automatisch, wenn man auf die Seite zurückkehrt. Sogar mehrere Accounts auf ein und derselben Seite lassen sich speichern und aufrufen. Nach einer kurzen Eingewöhnungsphase ist man mit dem System vertraut und hat ab jetzt schnell und bequem Zugriff auf seine Logins. Weiteres Feature ist das Erstellen sicherer Passwörter auf Knopfdruck. Von der Last des Merken Müssens befreit, kann man sich nun auch mit Passwörtern wie "&7Sx2BSH" registrieren und dabei für wirklich jede Seite ein neues Passwort erstellen lassen.

LastPass mitnehmen: im Browser aufrufen

Ab jetzt kann man auf unterschiedliche Arten von unterwegs auf seine Daten zugreifen. Es gibt natürlich die Möglichkeit, sich auf fremden Rechnern an der LastPass-Seite anzumelden und dort URLs und Passwörter anzuschauen und in andere Webseiten zu übernehmen. Dazu wird immer wieder das MasterPasswort gebraucht. Aufpassen muss man hier, dass man URLs und die dazu gehörenden Passwörter nicht in die Zwischenablage kopiert, denn sie können bis zum Herunterfahren des Computers verfügbar bleiben.

LastPass mitnehmen: auf dem USB-Stick

LastPass bietet auch eine Lösung an, die man in die Hosentasche stecken kann. Man installiert sich auf einem USB-Stick Firefox portable und dazu passend LastPass portable für Firefox. Zumindest an fremden Windows-Rechnern kann man so mit dem eigenen Browser surfen, ohne Spuren zu hinterlassen und seine Passwörter wie gewohnt nach Eingabe des Masterpassworts verwenden. 

LastPass mitnehmen: auf mobilen Endgeräten

Wer es noch sicherer haben möchte, benötigt zum einen den Premium-Account von LastPass. Den bezahlten Zugang muss man auch haben, um LastPass auf einem mobilen Endgerät nutzen zu können. Für 12 USD jährlich kann man dann LastPass-Versionen für iPhone, iPad, Android, Dolphin Browser HD, Firefox Mobile, Blackberry, Windows Phone, webOs und Symbian S60 herunterladen und nutzen. Wer sich nicht sicher ist, ob das überhaupt funktioniert, kann es erst einmal 14 Tage ausprobieren, bevor er bezahlt.

LastPass sicher: mit dem Yubikey einmalige Passwörter generieren

yubikeyEine andere interessante Möglichkeit für unterwegs ist die Verwendung eines Yubikey. Ein  Yubikey ist ein kleines Kunststoffteil mit USB-Anschluss, wiegt etwa 3 Gramm und liefert bei Berührung mit dem Finger einen "Zugangscode". Der Yubikey kann mit Windows-, Apple Mac- und Linux-Computern verwendet  werden. Eine Installation ist nicht erforderlich. 

Durch  jede Berührung mit einem Finger wird ein neuer Zugangscode, ein sogenanntes "Einmalpasswort" erzeugt. Jeder Code ist nur einmal gültig  und kann daher nicht kopiert oder mehrfach verwendet werden.  

Der Yubikey wird direkt in einen freien USB-Anschluss am Computer gesteckt oder über ein Verlängerungskabel angeschlossen. Man kann ihn über den Hersteller yubico [3] direkt beziehen, für 35,25 USD inkl. Zoll und Versand.

Mithilfe dieses kleinen Gerätes hat man nun nicht mehr ein Masterpasswort, sondern generiert für jeden Zugang zum Passworttresor ein einmaliges Passwort, dass bei der nächsten Sitzung verfällt. Auch diese Nutzungsvariante von LastPass erfordert den Premium-Account für 12 USD jährlich.

Fazit

Ein Traum wird wahr: Endlich ist man befreit von der lästigen Merkerei unterschiedlicher Webseitenzugänge. Ist man das? Zur Vorsicht ist geraten. Dass die Daten bei LastPass sicher sind, dass sie schon vor dem Übertragen auf den LastPass-Server verschlüsselt werden, das wird versprochen; überprüft werden kann es freilich nicht. Ein verantwortungsvoller Umgang mit den eigenen Daten ist nötig. Man sollte einem System wie LastPass niemals Daten für Onlinebanking oder Kreditkartenzugänge übergeben. Auch der Zugang zu Online-Bezahldiensten sollte lieber im Kopf aufbewahrt, als zentral im Internet gespeichert zu werden. Für alle anderen Zugangsdaten kann LastPass eine gute Lösung sein, deren Sicherheitsstufe man selbst bestimmen kann, bis hin zur Verwendung des Yubikeys, der das Masterpasswort für jede Sitzung neu generiert. Das letzte Sicherheitsrisiko bleibt also der Anwender, der die Verwendung dieses Werkzeuges gut überdenken sollte.

[1] http://keepass.info/

[2] https://lastpass.com/

[3] https://store.yubico.com/

Schlüsselbund?

Gibt es unter Windows nichts, was dem "Schlüsselbund" unter OS X vergleichbar wäre? Also direkt "on Board"? Passwörter "außer Haus" zu geben halte ich für keine gute idee...

ciao

dirk

Den Schlüsselbund kenne ich

Den Schlüsselbund kenne ich von Ubuntu, ob es den auch unter Windows gibt, weiß ich jetzt gar nicht. Aber es löst ja nicht das Problem, dass man die Passwörter dann unterwegs bzw. an anderen Rechnern nicht dabei hat. Wenn die Passwörter schon vor der Übertragung verschlüsselt und zusätzlich verschlüsselt übertragen werden, fände ich das erstmal hinreichend sicher. Klar, die Zugangsdaten zu Bankkonten oder Bezahldiensten würde ich da jetzt nicht abspeichern, aber für alles andere, kann ich mir das vorstellen. Ich werde es auf jeden Fall mal testen.

Wohin mit den Passwörtern?

Der Schlüsselbund ist leider an den Rechner gebunden, d.h. wer viel unterwegs ist und mit unterschiedlichen Rechnern arbeitet, der braucht etwas anderes. Ich habe derartige Daten in mSecure auf dem iPhone abgelegt, da hat man sie immer dabei (natürlich durch Masterpasswort abgesichert - ähnlich wie das beschriebene KeePass, aber eben als App). Es bieten sich damit Verwendungsmöglichkeiten, die über Computer-Passworte weit hinausgehen. Von der Zahlenkombination für das Fahrradschloss bis zum Kennwort für den Anruf bei einem Call-Center ist eigentlich alles möglich.

Habe LastPass jetzt mal ausprobiert

die Installation geht wirklich einfach. Aber an einer Stelle ist LastPass ins Stolpern gekommen. Bei der Übernahme von Passwörtern aus dem Firefox-Passwort-Manager fragte es nach dem Master-Passwort. Dabei hatte ich gar keines eingegeben. Trotzdem bestand LastPass auf einem solchen. Also habe ich es im FF eingerichtet. Aber auch danach bekam ich immer nur die Fehlermeldung, dass das Kennwort ungültig sei. Auch eine Änderung im FF Passwort-Manager hat nicht geholfen. Ich habe dann diesen Punkt einfach übersprungen. Danach lief alles reibungslos. LastPass hatte danach 236 Einträge importiert, die Einträge im FF jedoch nicht gelöscht (obwohl ich das angeklickt hatte). Ca. 25% der importierten Einträge funktionierten erstmal nicht (taten sie aber, wie ich hinterher herausgefunden habe, zum Teil auch im FF nicht mehr). Bei der Gelegenheit habe ich diverse Dubletten und veraltete Einträge gelöscht, die sich im Laufe der Jahre angesammelt hatten. Ich finde das Tool sehr angenehm in der Bedienung und übersichtlicher als den FF Passwort-Manageer (sehr praktisch z.B. die Möglichekeit, Einträge in Gruppen zu ordnen). Mal schauen, wie es sich im laufenden Betrieb bewährt.

Benutze LastPass jetzt seit

Benutze LastPass jetzt seit gut einer Woche und möchte es schon nicht mehr missen. Nicht nur dass das Anmelden auf vielen Websites sehr viel einfacher geworden ist und man nicht immer wieder Passwörter raussuchen muss bei seltener genutzten Seiten. Auch das Korrigieren von Einträgen (z.B. nach Passwortänderungen) geht sehr viel einfacher als mit dem Passwortmanager von Firefox. Und wenn man mit mehreren Rechnern arbeitet spart man sich auch das Ändern auf jedem Rechner. Ich bin sehr angetan.

Ausloggen in LastPass löscht HTTP-Authentifizierungen

Gerade ist mir Folgendes aufgefallen: Wenn ich mit zwei verschiedenen Browsern in LastPass eingeloggt bin und mich an einem wieder von LastPass abmelde, dann werde ich auch automatisch im anderen Browser abgemeldet. Das ist soweit auch okay. Aber: Dabei werde ich auch bei Seiten ausgeloggt, die eine Anmeldung durch den Webserver erfordern (also 'ne HTTP-Authentifizierung). Log-Ins bei Webseiten mit CMS o.ä. sind davon nicht betroffen. Das Löschen der HTTP-Authentifizierungen finde ich etwas störend. Weiß jemand, ob man das in LastPass konfigurieren kann?