Sind ihre Passwörter sicher?

Es vergeht fast kein Tag mehr, an dem nicht von irgendeinem Hack – Sony, Sega, US-Senat, GoogleMail, etc., etc. – zu lesen ist und bei dem Passwörter erspäht oder sogar veröffentlich werden. Wer auch nur eine handvoll Webdienste mehr oder minder intensiv nutzt und evtl. sogar Einkäufe oder Geldtransfers tätigt der sollte spätestens jetzt alarmiert sein. Wenn dann noch die oft vorherrschende (Un)Sitte ein Passwort für mehrere Dienste einzusetzen dazu kommt, wird’s wirklich ernst!

Ich gebe zu: in der Vergangenheit bin ich auch mit 3 bis 4 Passwörtern im Internet ausgekommen. Eines für relativ triviale Zwecke wie einmalige Einsätze um Downloads zu erhaschen oder an Gewinnspielen mal teilnehmen zu dürfen. Eines für Forenzugänge, eines für Einkäufe und ein »Hochsicherheitspasswort« für wirklich wichtige Sachen. Aber ehrlich: 6 bis 8 Buchstaben, die sich evtl. sogar in der eingesetzten Reihenfolge auch noch in einem Wörterbuch finden lassen sind nicht Hochsicherheit! Und ein Passwort für alle Foren könnte – sofern auch nur ein Forum gehackt würde – zu einer erheblichen »Identitätskrise« führen, wenn ein Angreifer die gewonnenen Erkenntnisse reihum einsetzen würde um mir eher unliebsame Dinge in meinem Namen zu verbreiten. Von irgendwelchen Auswirkungen auf meinem Konto, wenn demnächst jemand mal bei Amazon, mal bei ebay in meinem Namen einkaufen geht ganz zu schweigen.

Die sichere Variante schaut so aus:

  1. jeder Webdienst bekommt sein eigenes, individuelles Passwort
  2. Passwörter müssen sicher sein, sprich: eine willkürliche Kombination aus Buchstaben – evtl. sogar noch Gross- und Kleinschreibung unterschieden, Zahlen und evtl. noch Sonderzeichen

Klingt aufwändig? Ist es erstmal auch, insbesondere dann, wenn man wie ich schon eine Vielzahl von Logins sein eigen nennt und die erstmal nach diesen Richtlinien geändert werden müssen. Aber es ist eigentlich wie immer: Sicherheit und Bequemlichkeit sind zwei Dinge, die sich diametral entgegen stehen und zwischen denen jeder für sich einen gangbaren Weg finden muss. Ich für meinen Teil habe nach den o.g. Vorkommnissen gerne den etwas steinigeren Pfad gewählt.

Dabei gibt es einen – für mich zwischenzeitlich unverzichtbaren – Helfer, der eigentlich schon seit längerem seinen Dienst bei mir tut, den ich aber noch sie so strapaziert habe wie jüngst. Die Rede ist von 1Password.

Mit einem merkfähigen Masterpasswort bekomme ich den Zugriff auf beliebig viele sichere Passwörter für die div. Internetdienste.

01-1P-Loginscreen.jpg  

Damit merkfähig nicht automatisch unsicher heisst – also etwa der Mädchenname meiner Grossmutter oder der Geburtstag der Katze – gibt es mehrere Möglichkeiten um ein solches Passwort zu generieren. Kleiner Exkurs »wie baue ich ein Passwort«:

  1. Der Merksatz
    »Das ist das Haus vom Nikolaus« gäbe etwa das Passwort »DidHvN«. Noch etwas kurz und bis jetzt lediglich Buchstaben – immerhin schon Gross- und Kleinschreibung gemischt. Da Nikolaus stets am 6.12. gefeiert wird, könnte also »DidHv612« draus werden und schon wären zum einen zwei Zeichen und sogar Ziffern dazu gekommen. Qualität schon in der Rubrik mittelprächtig
  2. Ein verfremdetes Wort
    Als erstes ein Wort finden das min. 8 Zeichen umfasst und irgendwie in den zu schützenden Kontext gehört. Nehmen wir als Beispiel doch einfach »Privatsphäre«. Innerhalb dieses Wortes finden sich nun Buchstaben, die sich durch Zahlen ersetzen lassen. Ein »E« ist nichts anderes als eine gespiegelte »3«, eine »4« schaut einem »A« ähnlich, je nach Schrifttype sind »1« schon mal leicht mit dem großen »I« oder dem kleinen »l« und die »0« mit »O« zu verwechseln. So könnte aus »Privatsphäre« leicht »Pr1v4tsph43r3« werden. Noch etwas Gross- und Kleinschreibung gemischt und »pR1v4tSph43R3« geht als klasse Passwort durch
  3. Tastenläufe
    ob man’s glauben mag oder nicht … »qwertz123456« ist aufgrund seiner Länge und der Mischung von Buchstaben und Zahlen ein sicheres Kennwort. Grosses Aber: es sollte niemand hinter einem stehen und spicken, wenn man es auf der Tastatur eingibt!
  4. Aussprechbare Kunstwörter
    »soveraida« oder »rotantiou« sind keine wirklichen Wörter, auch wenn Sie auf den ersten Blick so aussehen und so klingen. Nicht einmal in einer Fremdsprache. Es sind nach dem »FIPS-181« Standard erzeugte Kennwörter. Mit etwas mehr Textlänge (ab 21 Zeichen) oder in Kombination mit Ziffern dürfen sie als sicher gelten. »bukolufotatamana123« könnte so eine Zauberformel für den Zugang zu ihrem Passwort-Tresor werden

Erster Disclaimer: keines der o.g. Bespiele kommt bei mir zum Einsatz ;-).

Nichts spräche dagegen nach dieser Methodik sich nun für jede Seite ein entsprechendes Passwort aufzubauen und z.B. über die einschlägige Browserfunktion die sich Kennwörter einmerkt abzuspeichern. Mehr noch: Sofern der Browser auf den Mac OS X Schlüsselbund zugreift (Safari, Camino) steht auch dort ein Passwortgenerator zur Verfügung, der z.B. FIPS 181 kompatible Kennwörter erzeugen kann.

Aber es geht eben mit 1Passwort noch einfacher und an ein paar Ecken – da kommen wir noch zu – auch komfortabler. Wie schon gesagt: von dieser Sorte Passwort brauche ich bei Verwendung von 1Passwort genau eines. Nämlich das, das mir den Zugang zu 1Passwort und seiner Passwort-Datei eröffnet. Innerhalb von 1Passwort – und damit für jeden Webdienst – bietet mir das Programm selbst einen sehr guten Passwortgenerator an. Meine Voreinstellungen für neue Passwörter steht zwischenzeitlich bei 20 Zeichen, Ziffern und Buchstaben gemischt, Reihenfolge zufällig.

02-1P-Kennwort-erzeugen.jpg

Sofern eine Webseite ordentlich genug programmiert ist und maximale Längenbeschränkungen für Passwörter übermittelt werden, kürzt 1Passwort diese Vorgabe automatisch ein, ansonsten ist an der Stelle noch etwas Handarbeit gefragt um ein neues Passwort gemäss den Vorgaben einer Webseite zu erzeugen, sprich: etwas unsicherer zu machen ;-).

Durch die Integration in den Browser schlägt 1Password bei neuerkannten Logins automatisch vor, diese einzumerken.

03-1P-Abruf-im-Browser.jpg

Dabei können die Login-Einträge innerhalb von 1Password in Unterordner gruppiert und/oder mit Etiketten getaggt werden.
Damit wären en passant schon zwei Vorteile von 1Password gegenüber dem Mac OS X Schlüsselbund genannt. Zum einen die Integration in alle Browser, nicht nur in die, die den OS X Schlüsselbund nutzen. Einmal einen Eintrag erzeugt, greifen alle Browser – auch Firefox, Opera und Chrome, die ansonsten ihr eigenes Süppchen kochen – auf den gemeinsamen Passwortspeicher zu. Die Integration umfasst sogar Programme, die nur im Nebenberuf Browser sind, wie z.B. den RSS-Client NetNewsWire oder das Dokumentenmanagement DevonAgent.
04-1P-Settings-Integration.jpg

Zum zweiten die sehr viel weitergehenden Sortiermöglichkeiten über Unterordner und/oder Etiketten mit deren Hilfe sich eine vernünftige Struktur in die gesammelten Passwörter bringen läßt.
Als drittes wäre der schnelle Zugriff auf die Logins zu nennen. Anstatt erst URL einzugeben und dann den Login abzurufen, bietet 1Passwort einen sehr schnellen Weg über das Menü »Anmeldung zeigen«, das mit einem Tastenkürzel (Alt-Shift-Umschalt-+) aufgerufen werden kann.
05-1P-Quick-Access.jpg
Name des Eintrags oder Teile der URL reichen als Suchbegriff aus um den gewünschten Login zu identifizieren, ein Return um die Seite fixfertig mit Anmeldung aufzurufen. Diese Funktion fand ich derart nützlich, das ich das Kürzel via Butler gleich Systemweit eingeführt habe.
06-1P-Global-Shortcut.jpg
Mit der Tastenkombination wird ausserhalb von Safari, in jedem beliebigen Programm Safari in den Vordergrund geholt und der entsprechende Eintrag im Menü dort aufgerufen.
Ein weiteres Plus gegenüber dem Systemschlüsselbund: pro Webdienst kann ich mir mehr als nur einen Zugang abspeichern. Das ist für mich eine erhebliche Arbeitserleichterung, habe ich doch z.B. auf einem Webhosting-Server mehrere Zugänge zu Kundenpräsenzen. Diese sind alle über ein- und dieselbe URL erreichbar, unterscheiden sich aber naturgemäß durch die Login-Daten. Mit 1Passwort kann ich nun je einen Eintrag »Webhosting Kunde A«, »Webhosting Kunde B«, … erzeugen und kriegen diese als Login passend präsentiert.

07-1P-Multi-Logins.jpg
Weiterhin kann ich verschiedene Zahlungsinformationen wie Bankkonten und Kreditkarten verwalten und sogar (sofern die Feldbezeichnungen in Webformularen richtig erkannt werden) ausfüllen lassen. Ebenso können Anmeldevorgänge bei Webseiten beschleunigt werden. Immer wieder abgefragte Informationen wie Anschrift, Geburtsdatum etc. werden aus den in 1Passwort hinterlegten Identitäten abgefragt. Dabei können auch hier wiederum mehrere Identitäten – beispielsweise private und geschäftliche, aber auch unterschiedliche Personen – dort hinterlegt werden. Oder auch eine »Pseudoidentität« für Dienste die allzu neugierig und vielleicht sogar geschwätzig sind ;-).
1Passwort liefert zudem ein paar Ordnungskriterien, die die laufende Arbeit an Passwörtern vereinfachen. Über einen Intelligenten Ordner kann ich z.B. alle tendenziell unsicheren und schon länger im Gebrauch befindlichen Passwörter identifizieren. Sprich: hier steckt eigentlich mal die nächste Arbeit drin, diese Zugänge zu härten.
Zweiter Disclaimer: gar nicht erst anstrengen. Die meisten der hier gelisteten Passwörter sind entweder eh publik und keine Zugangssicherung im engeren Sinne oder nur intern in meinem Netz verfügbar oder eine Vorgabe meiner Kunden auf die ich (leider) (bisher) keinen Einfluss habe
07-1P-Verwaltung.jpg
Neben den schon beschriebenen Abteilungen für Web-Anmeldungen, Zahlungsinfos und Identitäten können auch Informationen zu anderen Zugängen, z.B. über Programme wie iTunes zum iTS, sichere Notizen und Seriennummern von Programmen sicher eingemerkt und verwaltet werden.
08-1P-Software.jpg
An der Stelle sind die Unterschiede zum Schlüsselbund eher marginal. Bestenfalls die Möglichkeit per Drag ‘n Drop Bilder und eMails aufzunehmen verdient eine Erwähnung.
Sehr viel wichtiger als Funktion ist mir dagegen die Möglichkeit die Daten auch zu meinem iPhone spielen zu können. In diesem speziellen Fall sogar ohne den für andere Plattformen notwendigen Weg via Dropbox, sondern direkt via WLAN Peer-to-Peer zwischen den beiden Programmversionen für Mac und iPhone. Wer sich traut seinen (verschlüsselten) Kennwortspeicher von 1Passwort der Dropbox anzuvertrauen, dem stehen auch Syncronisationsmöglichkeiten zwischen mehreren Rechnern – Mac und PC – sowie zusätzlich der Android-Plattform offen.
1Passwort ist kostenpflichtig. Die Einzellizenz für Mac oder Windows liegt bei knapp $ 40, beide Plattformen zusammen sind für $ 60 zu erwerben. Bei mehreren Rechnern lohnt ein Blick auf die 5er Lizenz. Für eine einzelne Plattform (Mac oder Win) sind dafür $ 70 fällig, plattformübergreifend $ 20 mehr. Im iTunes AppStore finden sich Versionen für iPhone/iPod touch oder iPad zu je 7,99 € oder eine 1Password Pro Version, die die iPad- und iPhone/iPod touch-Version in sich vereint zu 14,99 €.
1Passwort taucht oft genug auch in den einschlägigen Bundle-Angeboten auf. Aktuell (21.6.2011) z.B. im Freelance Mac App Bundle. Wer dort weitere für sich interessante Programme (Billings und TextExpander sind auf jeden Fall einen Blick wert!) ausmacht, kann zu einem Preis von $ 49 zuschlagen.