Jeder kennt das Problem mit den Passwörtern. Es sollen starke Passwörter sein, sie sollen für jede Site unterschiedlich sein und außerdem soll man sich das alles auch noch merken und auf keinen Fall auf einen Zettel unter der Tastatur "speichern".
- Was ist ein starkes Passwort?
Diese Frage muss man unter Beachtung des aktuellen Stand der Technik beantworten. Wörterbuchangriffe sind ein alter Hut. Das Passwort darf kein Wort aus dem Duden sein, das ist einfach zu knacken. Für zufällige Kombinationen aus Buchstaben, Zahlen und Sonderzeichen kann man Cloud Computing für Brute Force Angriffe nutzen. Dabei werden alle möglichen Kombinationen durchprobiert. Ein 6-stelliges Passwort zu knacken, kostet 0,16 Euro. Eine 8-stellige Kombination hat man mit 400 Euro wahrscheinlich und mit 850 Euro sicher geknackt (Stand 2011).
Man sollte mindestens 12 Zeichen verwenden, wenn das Passwort neben Groß- und Kleinbuchstaben auch Zahlen und Sonderzeichen enthält, und mindestens 16 Zeichen, wenn das Passwort keine Sonderzeichen enthält. Außerdem sollte es kein Wort sein, dass in einem Wörterbuch zu finden ist.
Um sich komplizierte, wechselnde Passwörter leichter zu merken, könnte man einen Basisteil von einem leicht merkbaren Satz ableiten und den variablen Anteil (vorn, hinten mittig?) aus dem verwendeten Dienst. Ein Beispiel:
- Merksatz: "Die Sonne scheint am ganzen Sonntag nur für uns."
- Passwort für die Webseite Heise.de: "DSsagSn4u-HEIS"
- Passwort für den Jabber Account: "DSsgaSn4u-XMPP"
- ....
Der Vorteil eines memorierbaren Passwort Systems ist, dass man die Passwörter nie irgendwo speichern muss, dass man keine Hilfsmittel braucht und sie auch bei einem Crash des PC nicht verlieren kann.
- Nicht das gleiche Passwort für viele Logins verwenden
Der Hack von Anonymous gegen HBGary zeigte, dass es ein erhebliches Risiko ist, die gleichen Passwörter mehrfach zu verwenden. Den Aktivisten von Anonymous gelang es, Zugang zur User-Datenbank des Content Management Systems der Website zu erlangen. Die Passwörter konnten geknackt werden. Die gleichen Passwörter wurden vom Führungspersonal für weitere Dienste genutzt: E-Mail, Twitter, Linked-In... Die veröffentlichten 60.000 E-Mails waren peinlich für HBGary.
Im Sommer 2018 kursierten mehrere tausend Logindaten (Benutzername, Passwort) für den Dienst MEGA in den Darknet Foren. Die Login Credential stammten nicht aus einem Hack von MEGA sondern wurden durch Ausprobieren von Benutzername + Passwort Kombinationen aus anderen erfolgreichen Hacks ermittelt. Gegen dieses Credential Stuffing kann man sich nur schützen, indem man unterschiedliche Passwörter für verschiedene Dienste verwendet.
Verwaltung der Login Credentials / Passwörter
- Firefox Login Manager: Wenn man auf einer Webseite Login Credentials eingibt, fragt Firefox standardmäßig, ob er die Zugangsdaten für diese Webseite speichern soll und kann die gespeicherten Passwörter später automatisch einfügen.
Für die Konfiguration gibt es einige Sicherheitshinweise zu beachten, da Kriminelle und Trackingdienste es in den Standard Einstellungen mit bösartigen Intentionen exploiten.
In den Einstellungen kann man die Passwortverwaltung auch abschalten, wenn man andere Tools nutzt und nicht immer mit den Fragen belästigt werden möchte.
-
Passwortspeicher sind kleine Tools, die Username/Passwort Kombinationen und weitere Informationen zu Accounts in einer verschlüsselten Datenbank verwalten. Es gibt Gründe, die für die Verwendung eines Passwortspeichers sprechen:
- Neben Username und Passwort muss man sich weitere Informationen merken wie z.B. die Antwort auf eine Security Frage oder PINs bei Bezahldienstleistern.
- In der Regel enthalten Passwortspeicher eine Passwortgenerator, der wirklich zufällige und starke Passwörter generieren kann.
- Das Backup wird deutlich vereinfacht. Man muss nur die verschlüsselte Datei der Datenbank auf ein externes Backupmedium kopieren.
- Im Gegensatz zum Firefox Build-in Speicher werden alle Informationen verschlüsselt gespeichert, nicht nur die Passwörter.
- Viele Programme (z.B. Pidgin) können Passwörter nur unverschlüsselt speichern, wenn man die Option zur Speicherung der Passwörter aktiviert (nicht empfohlen!). Andere Programme bieten keine Möglichkeit zur Speicherung von Passwörtern. In einem Passwortspeicher kann man alle diese Daten zusammenfassen.
Mir gefällt KeePassXC (Windows, MacOS, Ubuntu 18.04+, Fedora 28+) sehr gut. KeePassXC ist eine Weiterentwicklung der Community von KeepassX. Neben der Übergabe der Passwörter via Zwischenablage (die u.U. unsicher ist) kann KeePassXC sichere Möglichkeiten nutzen, um die Login Credentials in Formularen einzugeben:
- Bei der AutoType Funktion simuliert KeePassXC eine virtuelle Tastatur.
- Mit dem Add-on KeePassXC-Browser für Firefox stellt der Browser eine direkte Verbindung zu KeePassXC her und kann auch Einträge in die Datenbank schreiben. Die Konfiguration für das Add-on ist in der Dokumentation von KeePassXC beschrieben.
- Außerdem enthält KeePassXC einen TOTP-Generator (One-Time-Password).
(Die Verwendung für die 2-Faktor-Auth. ist allerdings eher eine Spielerei als ein Sicherheitsgewinn. Wenn man das Passwort als ersten Faktor aus der KeePassXC Datenbank holt und den zweiten Faktor ebenfalls aus der gleichen Datenbank, dann entspricht das nicht den Intentionen von 2-Faktor-Auth.)
Warnung: Tools zur Verwaltung der Zwischenablage für Linux Desktops
Die Linux Desktops wie KDE, Gnome oder XFCE enthalten Tools zur Verwaltung der Zwischenablage. Diese Tools speichern die letzten (n) Einträge, die in die Zwischenablage kopiert wurden und schreiben diese Einträge in der Standardkonfiguration unverschlüsselt auf die Festplatte. Klipper vom KDE Desktop schreibt die Daten z.B. in die Datei "$HOME/.kde/share/apps/klipper/history2.lst". Clipman vom XFCE Desktop schreibt die Daten in die Datei "$HOME/.cache/xfce4/clipman/textsrc".
Wenn man bei der Verwedung eines Passwortmanagers die Passwörter via Zwischenablage kopiert und einfügt, dann landen auch diese sensiblen Informationen unter Umständen unverschlüsselt auf der Festplatte und die Verschlüsselung der Passwortdatenbank wird sinnlos.
Um diese Lücke zu vermeiden, müssen die Tools zur Verwaltung der Zwischenablage vernünftig konfiguriert werden. Sie sollten entweder nur wenige Einträge speichern und auf keinen Fall Daten beim Beenden speichern oder nicht automatisch gestartet werden.
- Konfiguration für Klipper (KDE Desktop):
- Für Clipman (XFCE Desktop) muss der automatische Start des Tools in den Einstellungen für "Sitzung und Startverhalten" deaktiviert werden: