Passwortsicherheit, Teil 2

Im ersten Teil zum Thema Passwortsicherheit habe ich Tipps zum Erstellen von sicheren Kennwörtern gegeben. Aber was tun, wenn die Anzahl der Passwörter im Laufe der Zeit überhand nimmt? Was tun, wenn Sie sich nicht mehr merken können, welche Kennwörter Sie gerade für welche Dienste verwenden?

Sowohl in meinen Volkshochschul-Kursen, als auch in Kundengesprächen taucht regelmäßig die Frage auf: „Was soll ich denn machen, wenn ich zwanzig Passwörter vergeben habe, aber nicht mehr weiß, welches wo gerade gültig ist?“ – Kein Panik. Ich selbst habe zwar ein gutes Gedächtnis, kann mir aber auch nicht merken, welche Passwörter ich für die mittlerweile beinahe 200 Internetdienste vergeben habe, bei denen ich registriert bin.

Passwortsicherheit: Keine gute Idee!

Je nach Veranlagung und Neigung folgen die meisten Menschen einer von zwei Strategien, um sich Kennwörter zu notieren:

Freunde des Analogen scheiben handschriftliche Listen, die sie in Schubladen oder innen aufgeklebt an der Türe ihres Kleiderschrankes aufbewahren. Digital Infizierte legen statt dessen Excel-Tabellen an, in denen Sie Dienste und Zugangsdaten aktuell halten. (Das Nonplusultra in dieser Kategorie war ein Kursteilnehmerin an der Volkshochschule, die bei jeder Änderung oder Ergänzung eine komplett neu getippte Tabelle anlegte, diese ausdruckte und ablegte und danach aus Sicherheitsgründen die Tabelle auf dem PC löschte.)

Um es kurz zu machen: Excel- oder sonstige Tabellen auf PC-Laufwerken sind keine gute Idee. Sollte sich ein Unbefugter Zugang zu Ihrem Gerät verschaffen, wird er diese Aufstellung finden und mitnehmen. Sie können sich vorstellen, was das für Ihre Internetzugänge und -konten bedeutet.

Das Blatt Papier im Kleiderschrank ist im Sicherheits-Vergleich zwar ziemlich gut; aber eben unglaublich aufwändig: Jede Änderung muss handschriftlich ergänzt werden, und das Ganze wird irgendwann ziemlich unübersichtlich. Und wenn Sie an die Katastrophe denken – Stichwort: Hausbrand! -, dann werden Sie schnell erkennen, dass es bessere Sicherheitsmaßnahmen geben muss.

Eine Lösung: Verschlüsselung!

Natürlich könnten Sie Ihre Excel-Tabelle nach jeder Aktualisierung (zum Beispiel manuell) verschlüsseln und zur Sicherheit nicht nur auf Ihrem PC sondern zusätzlich auf einem externen Datenträger ablegen. Aber wenn Sie schon soweit denken, dann ist es nur noch ein ganz kleiner Schritt zu einer automatischen Verschlüsselungslösung.

Es werden inzwischen eine ganze Menge sogenannter Passwort-Manager als Smartphone-Apps und PC-Programme angeboten. Ich möchte Ihnen hier eine dieser Lösungen beispielhaft vorstellen, mit der ich persönlich gute Erfahrungen gemacht habe. – Leser dieses Beitrags, die Alternativen kennen, sind herzlich eingeladen, diese in den Kommentaren zu nennen! (Davon können wir alle profitieren.)

Passwortsicherheit: SafeInCloudMein Vorschlag lautet: SafeInCloud

Das Programm gibt es als Smartphone-App für Android und iOS sowie für klassische Betriebssysteme unter macOS und Windows. Jede dieser Versionen erlaubt es, Zugangsdaten oder sonstige Informationen auf einzelnen „Karten“ abzuspeichern. Die eingegebenen Daten werden automatisch nach jeder Änderung über einen Algorithmus mit 256-bit gemäß Advanced Encryption Standard (AES) verschlüsselt und auf dem Gerät abgelegt.

Außerdem ist der Name der App Programm: „Safe In Cloud“ – Das verschlüsselte Datenpaket kann man auf Wunsch in verschiedenen Cloud-Diensten (Google Drive, Dropbox, OneDrive, oder auf eigenen NAS-Servern) sichern. Von dort aus können die Daten auf beliebig viele zusätzliche Geräte ver- und geteilt werden.
Das bedeutet, dass man seine Zugangsdaten über mehrere Geräte in Echtzeit synchronisieren kann. Daten, die man auf dem Smartphone eingegeben hat, stehen unverzüglich auch zum Abruf auf dem PC bereit; und umgekehrt.

Der bestechende Vorteil: Was man auf einem Gerät eintippt, wird sowohl auf diesem Gerät (verschlüsselt) abgespeichert, in der Cloud abgesichert und zusätzlich auf mehreren zusätzlichen Geräten abgelegt. Ein Datenverlust ist selbst bei Ausfall mehrerer Komponenten so gut wie ausgeschlossen.

Einziger Knackpunkt ist: Zum Verschlüsseln und Entschlüsseln braucht es ein Master-Passwort. Dieses sollte aus Sicherheitsgründen möglichst stark sein. Und man darf es unter keinen Umständen vergessen; sonst ist Schicht im Schacht und alle abgelegten Daten sind unwiederbringlich verloren.
Die Empfehlung lautet also: Notieren Sie Ihr Master-Passwort auf einem Papierstreifen und kleben diesen in den berüchtigten Kleiderschrank, möglichst bei Ihnen zu Hause und zusätzlich bei einer Person Ihres Vertrauens!

Passwortsicherheit: Was kann man mit SafeInCloud speichern?

Im Prinzip sind Ihrer Fantasie keine Grenzen gesetzt. Zusammengehörige Daten werden in separaten Datensätzen, sogenannten „Karten“ abgelegt. Also zum Beispiel die Zugangsdaten für ein E-Mailkonto:

E-Mail bei web.de
Login: ihre.mailadresse@web.de
Passwort: M1.K#mGMm16g!
URL: https://web.de

Oder speichern Sie Ihre Personalausweisdaten auf einer Karte:

Personalausweis
Nummer: N4GV1HfR91
Name: Petra Musterfrau
Geburtstag: 01.01.2001
Ausgestellt am: 03.10.2017
Gültig bis: 02.10.2027
PIN: 12345678
PUK: 1234567890
Sperrkennwort: SCHLUSS

SafeInCloud Screenshot
SafeInCloud Screenshot

Sogar Bilder kann man in Datensätze aufnehmen. (Allerdings sollte diese Möglichkeit sparsam verwendet werden, da das Datenvolumen dadurch erheblich anwächst, worunter die Ver- und Entschlüsselungszeiten leiden.)

Für die einzugebenden Datenfelder gibt es verschiedene Formate: freier Text, Nummern, Login-Daten, Passwort, Ablaufdatum, URL, E-Mail, Telefon, Datum, PIN etc.
Der Titel eines jeden Kartenfeldes (oben in den Beispielen kursiv dargestellt) ist frei wählbar. Dadurch werden dem Aufbau einer Karte keine Grenzen gesetzt. – Werden Sie kreativ! Schloss & Ende


Passwortsicherheit: Anbieterangaben

  • Preise aktuell, einmalig „auf Lebenszeit“: 8,49 Euro im Google Play Store; 8,99 Euro im Apple App Store; kostenfrei für macOS und für Windows
  • Hersteller: Andrey Shcherbakov, SafeInCloud Password Manager (Webseite auf englisch oder russisch, die App bietet aber ein deutsches Interface)
  • In Entwicklung seit: 2012