web and variants | Weblog

Im ersten Teil über Sicherheit und Co schwafelte ich relativ ausführlich über die Notwendigkeit der Erzeugung von sicheren Passwörtern im Vergleich zu unsicheren. In diesem Teil möchte ich über die Notwendigkeit von Geheimhaltung und Passwortmanager reden.

Geheimhaltung von Passwörtern

Passwörter haben einen bestimmten Zweck: sie sollen Sie davor schützen, dass sich Unbefugte Zugang zu Dingen verschaffen, die sie nunmal nichts angehen. Das betrifft ihren Computer genauso wie alle möglichen Websites, insbesondere natürlich ihr Onlinebanking, Webshops oder Websites mit offiziellen Inhalten. Machen Sie sich eines klar:

Passwörter geben Sie noch nicht mal an die Leute, denen Sie Ihren Hausschlüssel geben würden.

Denn Ihre Passwörter sind bisweilen viel sensibler, als ihre Wohnung. Meine Passwörter zu meinem Computer und Laptop, meinem Onlinebanking oder eMail-Adressen kennt noch nicht mal meine Freundin, geschweige denn irgenjemand anderes. Und das hat seinen Grund: Menschen kommen und gehen und manchmal trennt man sich auch im Streit. Mit dem Zugang zu ihrer digitalen Welt kann jemand, der es schlecht mit ihnen meint, Ihnen in kurzer Zeit sehr viel Schaden zufügen und Sie verbringen dann Tage und Wochen damit, diesen zu reparieren – falls das überhaupt möglich ist. Im Vergleich dazu ist ein Einbruch in die eigene Wohnung weniger schlimm, denn das produziert weniger Folgeschäden. Wenn ihr fröhlichen Nackfotos jedoch einmal im Netz stehen, bekommen sie diese vermutlich nie wieder weg. Der Geist ist dann aus der Flasche.

Daher: schreiben Sie Passwörter und Benutzernamen nicht auf Zettel und kleben diese an den Monitor. Auch nicht unter die Tischplatte. Auch nicht in den Rollcontainer neben ihrem Stuhl. Auch nicht hinter den Monitor. Und auch nicht an den Schrank hinter ihrem Sessel. Sowas ist fahrlässig. Falls jemand diese Daten entdeckt (das ist sicher!) und damit auf ihre Kosten einkauft (das kann passieren), bekommen sie von den entsprechenden Shops keinen Cent wieder. Jedes Gericht wird ihre heulsusige Klage wegen fahrlässigem Umgang mit diesen Daten abweisen. Machen Sie sich klar: Man legt seinen Hausschlüssel nicht unter die Fußmatte!

Passwortprogramme

Auf den ersten Blick hört sich ein Programm zum Speichern von Passworten vielleicht noch etwas nach Overkill an. Das ging mir zunächst auch so und ich tat es als “is doch Humbug, braucht kein Mensch” ab. Dann ging ich mal meine Passwort-Datei durch, zu dem Zeitpunkt noch ein einfaches Textfile, dass ich unter einem unverfänglichen Namen auf einer Diskette gespeichert hatte, die ich stets nicht allzu offenkundig zwischen anderen Disketten “versteckt” hielt. Als Ergebnis bekam ich 125 Einträge. Da überlegte ich dann und besorgte mir das Programm “KeePass Passwort Safe”. Dieses gibts kostenfrei, es ist extrem sicher und gilt als eines der besten Tools für diesen Zweck, weil es OpenSource ist und mit einer sehr guten Verschlüsselung der Passwortdatenbank arbeitet.

Mit diesem Programm lassen sich Passwörte und Benutzernamen sowie die zugehörigen URLs (Domains) und Kommentare recht bequem verwalten. So sieht in KeePass ein Eintrag aus:
Sehr praktisch ist die “auto-type”-Funktion. Nachdem man die Website, auf der man sich einloggen will, geöffnet und den Cursor im Eingabefeld platziert hat, geht man auf den KeePass-Eintrag und klickt “auto-type”, worauf Benutzername und Passwort automatisch auf der Website eintragen werden. Das erspart das Getippe bei Passwörtern wie “KaKuckWndKLOjDld” oder den lästigen Seriennummern von Programmen, die man natürlich auch darin aufbewahren kann.

Natürlich sollte man sich eines klarmachen: wenn man einem Programm wie KeePass all seine Passwörter anvertraut – bei mir sind es inzwischen fast 500 Einträge – dann sollte das “Master-Passwort” für den Zugriff auf diese Daten nicht gerade “admin”, “passwort”, “sex” oder “ichbintoll” sein. Man würde damit – metaphorisch gesprochen – nicht den Hausschlüssel unter die Fußmatte legen, sondern die Tür offen lassen und ein Schild aufstellen “Ich bin im Urlaub, bitte bedienen Sie sich!”. Mein Mitleid mit Ihnen wäre jedenfalls begrenzt. Wie Sie sich ein sicheres Passwort erzeugen und merken können, habe ich bereits im ersten Teil erklärt.

Schöne Dinge an KeePass sind auch die ordentliche Struktur der Einträge, das hübsche Aussehen und die Verwaltung der Einträge in Datenbanken. Damit können Sie nämlich massenweise Passwörter für unterschiedliche Einsatzzwecke in eigenen Datenbanken ablegen und diese gesondert bspw. auch anderen zugänglich machen, wenn es nötig ist. Alles in allem lohnt es sich, das Tool zu installieren.

weitere Passworttechniken

Hier einige weitere Tipps und Hinweise im Umgang mit ihren Passwörtern:
- vertrauen Sie Passwörter nicht den Browsern an. Die meisten Browser bieten heute die Passwortspeicherung an, um oft genutzte Websites einfach betreten zu können. Nutzen Sie diese Möglichkeit nur bei unwichtigen Websites, denn Sie wissen nicht immer, wer außer Ihnen noch an Ihrem Computer sitzt und dann Ihren Browserverlauf durchforstet, um besuchte Websites zu checken. Nutzen Sie statt dessen die autotype-Funktion eines Passwortmanageres, das ist nur unwesentlich langsamer und fast genauso komfortabel, erhöht die Sicherheit aber enorm.
- Üben Sie sich im Umgang mit sicheren Passwörtern, indem Sie unterschiedlichen Einsatzgruppen verschiedene Passwörter zuweisen. So kommen Sie weg vom “Ein-Passwort-für-alles”-Stil, der problematisch ist. Nutzen Sie für alle Shopping-Seites ein bestimmtes Passwort, für alle eMail-Konten ein anderes Passwort, für alle Windows-Programme ein weiteres Passwort. Im weiteren Verlauf können Sie die Differenzierung weiter ausbauen.

zum Weiterlesen

- Sehr guter Beitrag, aber auf Englisch: http://www.thegeekstuff.com/2008/06/the-ultimate-guide-for-creating-strong-passwords/
- http://imgriff.com/2008/07/07/passwort-manager-im-test-1-keepass-dragon-und-depo/
- http://www.computerbild.de/artikel/cb-Ratgeber-Kurse-Software-Geheimzahlen-und-Passwoerter-sicher-verwalten-2209036.html