Im Blogbeitrag “Wohin mit den vielen Passwörtern?” wurde die Möglichkeit von Passwortmanagern aufgezeigt, um unsere vielen digitalen Zugangsdaten zu verwalten.
Wie funktioniert nun eigentlich ein Passwortmanager und welche Arten von Programmen gibt es?
Die grundlegende Idee ist, dabei mehrere vertrauliche Datensätze, wie beispielsweise Passwörter, Zugangsdaten und Kreditkartendaten, abzulegen und durch ein einzelnes Passwort zu schützen. Dieses zentrale Passwort soll natürlich möglichst sicher sein und wird als Masterpasswort bezeichnet. Bei den Passwortmanagern wird zwischen Offline- und Online-Lösungen unterschieden.
Online- oder Offline-Version?
Eine Offline-Version greift auf eine Tresordatei zu. Diese Datei beinhaltet alle geheimen Einträge und ist verschlüsselt. Das Masterpasswort ist hierbei nötig, um die Entschlüsselung und damit den Zugriff auf die Datei zu ermöglichen.
Probleme bei Offline-Varianten sind die Verfügbarkeit und der Transport der Tresordatei. Geht die Datei verloren oder ist sie aufgrund eines Speicherfehlers defekt, dann ist auch der Tresor mit allen darin befindlichen Daten verloren. Der Vorteil dieser Varianten ist gleichzeitig die nicht Online-Verfügbarkeit. Die Datei kann somit nur schwer entwendet oder angegriffen werden. Ein Beispiel für einen Offline-Passwortmanager ist das weit verbreitete Programm KeePass.
Bei Online-Passwortmanagern wird der Tresor auf dem Server eines Cloudanbieters gespeichert. Das Masterpasswort wird für den Online-Login verwendet. Zusätzlich werden die Daten auch hier verschlüsselt, um unberechtigte Zugriffe zu verhindern. Dies geschieht meist durch einen zusätzlichen Sicherheitsschlüssel oder aber auch das Masterpasswort selbst.
Ein Vorteil dabei ist, dass die Daten auf mehreren Geräten zugänglich gemacht werden können, ohne eine Datei austauschen zu müssen. Auch können einzelne Datensätze meist für andere Tresore freigegeben werden, um auch gemeinsame Zugänge zu nutzen. Der Nachteil ist hier ebenfalls der genannte Vorteil der Online-Verfügbarkeit. Hierdurch könnten Sicherheitslücken in Authentizität und Verschlüsselung zur Kompromittierung des Tresors führen und daher liegt deren Sicherheit im besonderen Fokus der Anbieter. So wird beispielsweise der zusätzliche Schlüssel meist dezentral am Endgerät abgelegt und dort durch das Masterpasswort gesichert. Die Daten sind somit auch bei Kompromittierung des Servers ohne den User-Schlüssel nicht nutzbar. Auch handelt es sich dabei meist um kostenpflichtige Angebote. Beispiele für ebenfalls weit verbreitete Online-Passwortmanager sind 1password und Dashlane.
Wie ein sicheres und gleichzeitig gut zu merkendes Masterpasswort erstellt werden kann, lesen Sie in der Fortsetzung.
