Gesunde Paranoia - Passwörter Ade

Gesunde Paranoia

Passwörter Ade

Veit Hailperin
von Veit Hailperin
Lesezeit: 8 Minuten

Eine der meist verbreiteten Schwachstellen, die im Internet auf ungezielte Art verwendet werden sind Passwörter. Oft sind sie einfach zu erraten, und wenn nicht, dann werden sie zumindest überall, manchmal in leichten Varianten, wiederverwendet. Das verwundert nicht, denn selbst als Sicherheitsexperte habe ich mich lange nicht an meine eigenen Ratschläge gehalten. Es handelt sich um zuviel Aufwand. Dachte ich.

Lustig aber nicht brauchbar. Quelle: xkcd.com

Das Schwierigste für mich ist sich eine komplexe, nicht Sinn-ergebende Zeichenabfolge zu merken, geschweige denn mehrere. Denn auch wenn XKCD erfreut, so ist das keine brauchbare Lösung. Ein durschnittlicher Anwender hat zwischen 10 und 50 Passwörter. Man stelle sich das mit der Lösung von XKCD vor. Wenn man diese Frage umformuliert, dann heisst es aber nicht mehr «Wie kann ich mir zehn bis fünfzig zufällige Zeichenabfolgen merken?» sondern «Muss ich mir eine komplexe Zeichenabfolge merken?».

Wir gehen im Normalfall davon aus, dass wir unsere Passwörter kennen müssen, aber das ist verkehrt. Da gibt es dieses Ding, ähm, Gerät, das uns das Leben einfacher machen soll – Computer heisst es. Man nehme sich ein Programm, welches sich die Passwörter merkt. Diese Programme werden Passwort Safes genannt. Damit sind noch nicht alle Probleme gelöst aber doch schon mal die Frage des sich Merkens.

Eine klare Anleitung für sichere Passwörter

Installation des Passwort Safe KeePass

Eine solche Lösung heisst KeePass. Die Installation ist einfach. Unter Windows lädt man sich den Installer für die Professional Edition von der offiziellen Webseite herunter. Anschliessend folgt man dem Installationsmenü.

Die Installation unter Debian-basierten Linux Distributionen wie z.B. Ubuntu geschieht per

$ sudo apt-get install keepassx

oder per graphischem Installationstool seiner Wahl.

Für Mac OS X kann man die Software hier herunterladen. Ein Doppelklick startet die Installation.

Der erste Start

Der erste Start

Nach dem ersten Start muss zuerst eine Datenbank angelegt werden, in der die Passwörter gespeichert werden. Dies erhält man durch Klicken auf das Bild unter File, beziehungsweise Datei.

Neue Datenbank

Anschliessend fragt einen KeePass, wie das Passwort für die Datenbank lauten soll. Dies ist das einzige Passwort, welches in Zukunft relevant ist und wird bei jedem Start erneut abgefragt. Es sollte ein sehr sicheres Passwort sein.

Masterpasswort

Dieses muss dann noch bestätigt werden:

Bestätigung

Jetzt sollte diese Datenbank zuerst einmal gespeichert werden. Dies geschieht mittels File —> Save Database.

Passwort speichern

Verwendung

Die meisten von uns haben eine Fülle an Passwörtern. Es gibt zwei verschiedene Arten wie man jetzt vorgehen kann. Entweder man loggt sich überall ein, und setzt ein neues Passwort, und speichert es in der Datenbank. Alternativ kann man ansonsten auch jedes Mal, wenn man sich irgendwo einloggt, wo man noch ein unsicheres Passwort verwendet, oder eines, welches auch an einem anderen Ort Einsatz findet es zu ändern. Der Vorgang ist jedoch nicht ausschlaggebend. Fangt mit eurem E-Mail Passwort an, denn das ist eines der wichtigsten Passwörter. Im Beispiel wird Facebook verwendet.

Klicke auf Entries —> Add New Entry...

Neuer Eintrag

Es geht eine Dialogbox auf in welcher man alle Daten die relevant sind abfüllen kann.

Das Formular

Der Knopf Gen. öffnet den Passwortgenerator.

Passwortgenerator

Hier lassen sich diverse Einstellungen über das Passwort festlegen, wie die verwendeten Zeichen, so wie Länge und diverses anderes. Nach dem man seine Einstellungen getroffen hat, klickt man auf Generate. Dies füllt dann das Passwortfeld und die Wiederholung automatisch aus.

Einstellungen und Informationen zum Passwort

Nach einem abschliessenden Klick auf OK landet man wieder im Hauptprogramm:

Liste der Passwörter

Möchte man das Passwort nun z.B. auf einer Webseite in ein Passwortfeld kopieren, macht man ein Doppelklick auf die Sternchen in der Passwortspalte, und kann sie mit Ctrl-V in der Webseite eintragen. Ein netter Nebeneffekt ist, dass das Passwort so nie auf dem Bildschirm angezeigt wird, was Shoulder-Surfing als Angriffsvektor ausschliesst. Auch wird das Passwort nur für einen kurzen Zeitrahmen im Zwischenspeicher gehalten, was anschliessendes Durchsuchen des Zwischenspeichers als Angriffsvektor eliminiert.

Wer die Verwendung gerne noch einmal mittels Video verfolgen möchte, der kann folgendes Video anschauen:

Zusatz

Wer seine Passwörter gerne lieber auf einem portablen Gerät wie USB Stick zwischenspeichert, kann die portable Version verwenden, die sich ebenfalls auf der offiziellen Webseite findet. Dort wird auch eine Liste von nicht offiziellen Versionen geführt, welche dann auf Android, iPhone, Windows Phone und Blackberry laufen.

Über den Autor

Veit Hailperin

Veit Hailperin arbeitet seit 2010 im Bereich der Informationssicherheit. Seine Forschung konzentriert sich auf Network und Application Layer Security sowie auf den Schutz der Privatsphäre. Die Resultate präsentiert er an Konferenzen.

Links

Sie benötigen ein solides Cyber Threat Intelligence?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

iOS Mobile Application Testing

iOS Mobile Application Testing

Ian Boschung

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv