Gefangen im Netz
Michèle Trebo
Eine der meist verbreiteten Schwachstellen, die im Internet auf ungezielte Art verwendet werden sind Passwörter. Oft sind sie einfach zu erraten, und wenn nicht, dann werden sie zumindest überall, manchmal in leichten Varianten, wiederverwendet. Das verwundert nicht, denn selbst als Sicherheitsexperte habe ich mich lange nicht an meine eigenen Ratschläge gehalten. Es handelt sich um zuviel Aufwand. Dachte ich.
Das Schwierigste für mich ist sich eine komplexe, nicht Sinn-ergebende Zeichenabfolge zu merken, geschweige denn mehrere. Denn auch wenn XKCD erfreut, so ist das keine brauchbare Lösung. Ein durschnittlicher Anwender hat zwischen 10 und 50 Passwörter. Man stelle sich das mit der Lösung von XKCD vor. Wenn man diese Frage umformuliert, dann heisst es aber nicht mehr «Wie kann ich mir zehn bis fünfzig zufällige Zeichenabfolgen merken?» sondern «Muss ich mir eine komplexe Zeichenabfolge merken?».
Wir gehen im Normalfall davon aus, dass wir unsere Passwörter kennen müssen, aber das ist verkehrt. Da gibt es dieses Ding, ähm, Gerät, das uns das Leben einfacher machen soll – Computer heisst es. Man nehme sich ein Programm, welches sich die Passwörter merkt. Diese Programme werden Passwort Safes genannt. Damit sind noch nicht alle Probleme gelöst aber doch schon mal die Frage des sich Merkens.
Eine solche Lösung heisst KeePass. Die Installation ist einfach. Unter Windows lädt man sich den Installer für die Professional Edition von der offiziellen Webseite herunter. Anschliessend folgt man dem Installationsmenü.
Die Installation unter Debian-basierten Linux Distributionen wie z.B. Ubuntu geschieht per
$ sudo apt-get install keepassx
oder per graphischem Installationstool seiner Wahl.
Für Mac OS X kann man die Software hier herunterladen. Ein Doppelklick startet die Installation.
Nach dem ersten Start muss zuerst eine Datenbank angelegt werden, in der die Passwörter gespeichert werden. Dies erhält man durch Klicken auf das Bild unter File
, beziehungsweise Datei
.
Anschliessend fragt einen KeePass, wie das Passwort für die Datenbank lauten soll. Dies ist das einzige Passwort, welches in Zukunft relevant ist und wird bei jedem Start erneut abgefragt. Es sollte ein sehr sicheres Passwort sein.
Dieses muss dann noch bestätigt werden:
Jetzt sollte diese Datenbank zuerst einmal gespeichert werden. Dies geschieht mittels File
—> Save Database
.
Die meisten von uns haben eine Fülle an Passwörtern. Es gibt zwei verschiedene Arten wie man jetzt vorgehen kann. Entweder man loggt sich überall ein, und setzt ein neues Passwort, und speichert es in der Datenbank. Alternativ kann man ansonsten auch jedes Mal, wenn man sich irgendwo einloggt, wo man noch ein unsicheres Passwort verwendet, oder eines, welches auch an einem anderen Ort Einsatz findet es zu ändern. Der Vorgang ist jedoch nicht ausschlaggebend. Fangt mit eurem E-Mail Passwort an, denn das ist eines der wichtigsten Passwörter. Im Beispiel wird Facebook verwendet.
Klicke auf Entries
—> Add New Entry...
Es geht eine Dialogbox auf in welcher man alle Daten die relevant sind abfüllen kann.
Der Knopf Gen.
öffnet den Passwortgenerator.
Hier lassen sich diverse Einstellungen über das Passwort festlegen, wie die verwendeten Zeichen, so wie Länge und diverses anderes. Nach dem man seine Einstellungen getroffen hat, klickt man auf Generate
. Dies füllt dann das Passwortfeld und die Wiederholung automatisch aus.
Nach einem abschliessenden Klick auf OK
landet man wieder im Hauptprogramm:
Möchte man das Passwort nun z.B. auf einer Webseite in ein Passwortfeld kopieren, macht man ein Doppelklick auf die Sternchen in der Passwortspalte, und kann sie mit Ctrl-V in der Webseite eintragen. Ein netter Nebeneffekt ist, dass das Passwort so nie auf dem Bildschirm angezeigt wird, was Shoulder-Surfing als Angriffsvektor ausschliesst. Auch wird das Passwort nur für einen kurzen Zeitrahmen im Zwischenspeicher gehalten, was anschliessendes Durchsuchen des Zwischenspeichers als Angriffsvektor eliminiert.
Wer die Verwendung gerne noch einmal mittels Video verfolgen möchte, der kann folgendes Video anschauen:
Wer seine Passwörter gerne lieber auf einem portablen Gerät wie USB Stick zwischenspeichert, kann die portable Version verwenden, die sich ebenfalls auf der offiziellen Webseite findet. Dort wird auch eine Liste von nicht offiziellen Versionen geführt, welche dann auf Android, iPhone, Windows Phone und Blackberry laufen.
Unsere Spezialisten kontaktieren Sie gern!
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Michael Schneider
Unsere Spezialisten kontaktieren Sie gern!