- Werbung -

Zu Hilfe, wie war doch gleich das Passwort für die Webseite www.xyz.de, wie das für www.abc.com? Wer viel im Internet unterwegs ist, sieht sich mit einer Fülle von Anmeldedaten konfrontiert: Webshops, Foren, Webseiten mit internen Bereichen. Alle wollen etwas von uns: Daten, mit denen wir uns authentifizieren und einloggen. 

Beliebte Strategie bei vielen, die Angst haben, sich nicht alles merken zu können: Sie verwenden immer denselben Benutzernamen und dasselbe Passwort dazu. Eine Frage der Zeit, bis Hacker diese Kombination einmal erkannt haben und sie dann für eigene Zwecke benutzen. Aber jedes Mal ein neues, möglichst kompliziertes Passwort generieren? Alles mühsam aufschreiben und dann wieder abtippen? Oder doch in einer Excel-Tabelle sammeln?

Passwörter lokal verwalten mit Excel

Spätestens wenn man an mehr als einem Computer arbeitet, wird es unbequem, Passwörter ständig irgendwo abzutippen. Einfache Lösung zum Mitnehmen von z.B. Desktoprechner zu Laptop: Excel-Datei mit den URLs, Nutzernamen und Passwörtern auf einem USB-Stick speichern und von Gerät zu Gerät tragen. Die Datei kann abgesichert werden, so dass sie nur mit einem Passwort geöffnet werden kann. Somit hat man ein gewisses Maß an Sicherheit. Bequem ist aber anders.

Passwörter lokal verwalten mit keypass

keypassKeypass [1] ist auch eine Methode, Passwörter per Software lokal zu speichern. Das Programm selbst wird passwortgeschützt und legt die gespeicherten Passwörter verschlüsselt auf der Festplatte ab. Passwortlisten können exportiert und auf einem anderen Rechner importiert werden. Diese Methode ist um einiges sicherer als eine Excel-Tabelle. 

Noch bequemer ist es natürlich, die Daten zentral abzulegen und von jedem beliebigen Rechner abrufen zu können. Auch hierfür gibt es Dienste, z. B. LastPass [2].

Mit LastPass Passwörter fremdverwalten lassen

LastPass ist in der einfachen Version kostenlos. Einfache Version bedeutet: Man speichert beliebig viele URLs und Passwörter und geschützte Notizen auf dem Server von LastPass - online und von überall erreichbar.

Von überall erreichbar? Hier muss man aufhorchen. LastPass verschlüsselt nach eigenen Angaben alle Daten per 256-bit-AES-Schlüssel bereits auf dem Rechner des Anwenders. Somit sollen nicht einmal LastPass-Mitarbeiter Zugriff haben. Die Datenübertragung erfolgt zusätzlich SSL-verschlüsselt. Das klingt nichtssagend, wer sich allerdings mit dem Thema auskennt, liest aus den Angaben heraus, dass LastPass theoretisch einen hohen Sicherheitsstandard bietet. Vielleicht werden die Mitarbeiter auch jeden Abend vor dem Nauchhausegehen geblitzdingst und somit sind alle auf der sicheren Seite.

Das Tool selbst lässt sich als Browser-Plugin in z.B. Firefox, Internet Explorer, Google Chrome oder Safari (auch für Windows) installieren und wird für Windows 2000/XP/Vista/7, Mac OS X (10.5+), Linux, Solaris, BSD und diverse mobile Endgeräte angeboten. Dort wird es wahlweise bei jedem Browserstart automatisch aktiviert (nur für den heimischen Computer zu empfehlen) oder aber es wartet auf die Eingabe der E-Mailadresse und eines Masterpassworts. Positiv dabei ist die optionale Abschaltung der browserinternen, unsicheren Passwortmanager.

Allerdings verfügt LastPass auch über einige Funktionen, die mit Vorsicht zu genießen sind. So kann zum Beispiel die Auto-Abmeldung von Lastpass ausgeschaltet und ein Auto-Login für alle gespeicherten Web-Seiten eingeschaltet werden. In diesem Fall hat ein Angreifer, der sich Zugang zum Rechner des Opfers verschafft, Zugriff auf alle Passwörter. 

Anmeldung bei LastPassPositiv für die Bedienung wiederum: Bei der Anmeldung kann man die Tastatureingabe vermeiden, um sogenannte keylogger, die per Trojaner die Eingaben aufzeichnen und an außenstehende Hacker weiterleiten, auszusperren. Dazu ruft man im Anmeldebildschirm die "Bildschirmtastatur" auf und "tippt" mit der Maus die Zugangsdaten ein.

BildschirmtastaturHat man einmal einen Account angelegt und LastPass auf dem Rechner installiert, kann man alle vorhandenen Passwortmanager der installierten Browser auslesen, den Inhalt importieren und die Passwortmanager an sich leeren. Ab jetzt hat man seine Seele dem Teufel verkauft: Die Daten liegen auf dem Server von LastPass! Nun muss man nur noch auf jedem Rechner, mit dem man surft, LastPass in den Browser installieren und schon stehen die Daten überall zur Verfügung.

Einfache Browserintegration

Bei jeder Eingabe von Benutzername und Passwort in eine neue Webseite erscheint jetzt am oberen Bildrand ein grüner Balken mit der Nachfrage, ob die Eingaben gespeichert werden sollen. Man kann Die URLs nach Gruppen sortieren, um sie später wieder einfach auffinden zu können. In der Regel erkennt aber das aktivierte Browser-AddOn ab hier automatisch, wenn man auf die Seite zurückkehrt. Sogar mehrere Accounts auf ein und derselben Seite lassen sich speichern und aufrufen. Nach einer kurzen Eingewöhnungsphase ist man mit dem System vertraut und hat ab jetzt schnell und bequem Zugriff auf seine Logins. Weiteres Feature ist das Erstellen sicherer Passwörter auf Knopfdruck. Von der Last des Merken Müssens befreit, kann man sich nun auch mit Passwörtern wie "&7Sx2BSH" registrieren und dabei für wirklich jede Seite ein neues Passwort erstellen lassen.

LastPass mitnehmen: im Browser aufrufen

Ab jetzt kann man auf unterschiedliche Arten von unterwegs auf seine Daten zugreifen. Es gibt natürlich die Möglichkeit, sich auf fremden Rechnern an der LastPass-Seite anzumelden und dort URLs und Passwörter anzuschauen und in andere Webseiten zu übernehmen. Dazu wird immer wieder das MasterPasswort gebraucht. Aufpassen muss man hier, dass man URLs und die dazu gehörenden Passwörter nicht in die Zwischenablage kopiert, denn sie können bis zum Herunterfahren des Computers verfügbar bleiben.

LastPass mitnehmen: auf dem USB-Stick

LastPass bietet auch eine Lösung an, die man in die Hosentasche stecken kann. Man installiert sich auf einem USB-Stick Firefox portable und dazu passend LastPass portable für Firefox. Zumindest an fremden Windows-Rechnern kann man so mit dem eigenen Browser surfen, ohne Spuren zu hinterlassen und seine Passwörter wie gewohnt nach Eingabe des Masterpassworts verwenden. 

LastPass mitnehmen: auf mobilen Endgeräten

Wer es noch sicherer haben möchte, benötigt zum einen den Premium-Account von LastPass. Den bezahlten Zugang muss man auch haben, um LastPass auf einem mobilen Endgerät nutzen zu können. Für 12 USD jährlich kann man dann LastPass-Versionen für iPhone, iPad, Android, Dolphin Browser HD, Firefox Mobile, Blackberry, Windows Phone, webOs und Symbian S60 herunterladen und nutzen. Wer sich nicht sicher ist, ob das überhaupt funktioniert, kann es erst einmal 14 Tage ausprobieren, bevor er bezahlt.

LastPass sicher: mit dem Yubikey einmalige Passwörter generieren

yubikeyEine andere interessante Möglichkeit für unterwegs ist die Verwendung eines Yubikey. Ein  Yubikey ist ein kleines Kunststoffteil mit USB-Anschluss, wiegt etwa 3 Gramm und liefert bei Berührung mit dem Finger einen "Zugangscode". Der Yubikey kann mit Windows-, Apple Mac- und Linux-Computern verwendet  werden. Eine Installation ist nicht erforderlich. 

Durch  jede Berührung mit einem Finger wird ein neuer Zugangscode, ein sogenanntes "Einmalpasswort" erzeugt. Jeder Code ist nur einmal gültig  und kann daher nicht kopiert oder mehrfach verwendet werden.  

Der Yubikey wird direkt in einen freien USB-Anschluss am Computer gesteckt oder über ein Verlängerungskabel angeschlossen. Man kann ihn über den Hersteller yubico [3] direkt beziehen, für 35,25 USD inkl. Zoll und Versand.

Mithilfe dieses kleinen Gerätes hat man nun nicht mehr ein Masterpasswort, sondern generiert für jeden Zugang zum Passworttresor ein einmaliges Passwort, dass bei der nächsten Sitzung verfällt. Auch diese Nutzungsvariante von LastPass erfordert den Premium-Account für 12 USD jährlich.

Fazit

Ein Traum wird wahr: Endlich ist man befreit von der lästigen Merkerei unterschiedlicher Webseitenzugänge. Ist man das? Zur Vorsicht ist geraten. Dass die Daten bei LastPass sicher sind, dass sie schon vor dem Übertragen auf den LastPass-Server verschlüsselt werden, das wird versprochen; überprüft werden kann es freilich nicht. Ein verantwortungsvoller Umgang mit den eigenen Daten ist nötig. Man sollte einem System wie LastPass niemals Daten für Onlinebanking oder Kreditkartenzugänge übergeben. Auch der Zugang zu Online-Bezahldiensten sollte lieber im Kopf aufbewahrt, als zentral im Internet gespeichert zu werden. Für alle anderen Zugangsdaten kann LastPass eine gute Lösung sein, deren Sicherheitsstufe man selbst bestimmen kann, bis hin zur Verwendung des Yubikeys, der das Masterpasswort für jede Sitzung neu generiert. Das letzte Sicherheitsrisiko bleibt also der Anwender, der die Verwendung dieses Werkzeuges gut überdenken sollte.

[1] http://keepass.info/

[2] https://lastpass.com/

[3] https://store.yubico.com/

Kommentare