Viele Web-Sites, Cloud-Anwendungen und soziale Netze verlangen die Eingabe eines Passworts. Gut, wenn man dann auf leistungsfähige Passwort-Manager zurückgreifen kann.
von Thomas Bär und Frank-Michael Schlede
Die Nutzerdatenbanken großer Online-Händler und/oder Cloud-Dienste werden immer wieder angegriffen und erfolgreich ausgelesen. Die Liste der betroffenen Firmen ist lang und auf ihr sind durchaus prominente Namen zu finden. So gelangen die Passwörter von Millionen von Anwendern in die Hände der Angreifer. Dies passierte in der letzten Zeit sowohl beim Online-Dienst LinkedIn als auch beim Cloud-Speicher von Dropbox und dem Online-Brillenshop Mister Spex.
Besonders prekär sind derart kompromittierte Passwörter für die Anwender dann, wenn sie mehrfach bei den unterschiedlichsten Online-Aktivitäten zum Einsatz kommen. Hier liegt eines der großen Probleme: Aus Bequemlichkeit oder Unwissenheit verwenden immer noch viel zu viele Nutzer die gleichen (zumeist einfachen Passwörter) bei den verschiedensten Gelegenheiten. Wir stellen in diesem Bericht einige Softwarelösungen vor, die den Umgang mit vielen unterschiedlichen Passwörtern sowie das Erstellen sicherer Passwörter erleichtern können. Es existiert gerade für diese Art von Anwendungen ein schier unüberschaubares Angebot, so dass wir hier eine exemplarische Sammlung von Passwort-Managern ohne Anspruch auf Vollständigkeit präsentieren.
Passwort Safe 6 - von Privat bis Enterprise
Foto: Bär/Schlede
ei unseren Recherchen zum Thema Passwörter mussten wir feststellen, dass es gerade unter dem Begriff "Passwort Safe" eine ganze Reihe unterschiedlicher Lösungen gibt. Wir haben uns zunächst mal die Software "Passwort Safe" angeschaut, die von der deutschen Firma Mateso GmbH angeboten wird. Sie steht in einer ganzen Reihe unterschiedlicher Editionen zur Verfügung, die von einer freien Version bis hin zum Einsatz in großen Firmennetzwerken reichen.
Welche Vorteile bietet der Einsatz von Passwort Safe?
-
Schnell und einfach zu installieren, wobei auch die Einrichtung der Datenbank automatisch und gut nachvollziehbar vonstattengeht.
-
Gut gemachte Oberfläche, die wie sämtliche Hilfetexte komplett in Deutsch ist: Einteilung mit unterschiedlichen "Kartenreitern" und Formularen erhöht die Übersicht enorm.
-
Für Privatanwender steht die freie Version "Personal Edition Free" mit einer Datenbank, 15 Ordnern und 20 Datensätzen.
Einschränkungen beim Einsatz von Passwort Safe
-
Passwort Safe ist nicht nur ein einfacher "Zettelkasten" für Passwörter - der Anwender muss sich vor dem Einsatz überlegen, wie und in welcher Art er seine Passwörter organisieren möchte.
-
Die spannendsten Features, wie Installation und Einsatz auf dem USB-Stick und automatische Passworteintragung sowie Browser-Plugins stehen erst in den kostenpflichtigen Versionen zur Verfügung.
Fazit: Man merkt dem Programm "Passwort Safe" sofort an, dass es grundsätzlich für den professionellen Anwender geschaffen wurde. Dieser findet hier in den unterschiedlichen Versionen alle Möglichkeiten, die er für die Passwort-Verwaltung im Unternehmen benötigt. Private Anwender, die mit den Einschränkungen der freien Lösung leben können, bekommen ebenfalls eine ausgereifte Software, die einige Möglichkeiten bietet. Besonders gut hat uns dabei gefallen, dass auch bei dieser Version schon ein mächtiger Passwort-Generator zur Verfügung steht.
RoboForm - alles ganz automatisch erledigen
Eine etwas andere Art und Weise der Verwaltung von Passwörtern, Anmeldungen und ähnlichen Daten kommt bei der Software RoboForm zum Einsatz - hier ist es auch über Plattformen hinweg möglich, sich automatisch anzumelden und weitere Daten zu verwalten.
Welche Vorteile bietet RoboForm dem Anwender?
-
Schnell installierte Anwendung, die sich gut in die verschiedenen Browser integriert, um so auch automatische Anmeldungen zu ermöglichen.
-
Einfache Bedienung, sichere Verschlüsselung mit einem Master Passwort, das laut Anbieter nur verschlüsselt abgelegt wird. Auch die Übertragung ist immer mit SSL verschlüsselt.
-
Mit "RoboForm Everywhere" sind der Einsatz und Synchronisation der Passwörter auch von Tablets und Smartphones aus mittels eines Accounts beim Anbieter möglich.
-
Alle Funktionen können 30 Tage kostenlos getestet werden, danach kann eine Free-Version für 10 Logins verwendet werden.
Was hat uns an RoboForm nicht so gefallen?
-
Die vielfältigen Einstellmöglichkeiten im Optionsmenü sind etwas unübersichtlich geraten und können Einsteiger leicht überfordern.
-
Lokalisierung bei der Installationsroutine uneinheitlich - Englisch und Deutsch wechseln.
-
Trotz aller Versicherungen des Anbieters bleibt ein ungutes Gefühl dabei, wenn bei der "Everywhere"-Version alle Passwort- und Formulardaten beim Anbieter in den USA liegen.
Foto: Bär/Schlede
Fazit: RoboForm ist eine beeindruckende Lösung, mit deren Hilfe sowohl das Anmelden an Web-Seiten oder Online-Accounts als auch das Ausfüllen von Formularen schnell von der Hand geht. Grundsätzlich ist auch die Idee von "RoboForm Everywhere" gut, zumal Anwender problemlos mit einer Lizenz sowohl von mobilen Geräten als auch von Windows- oder Mac OS X-Geräten Zugriff auf alle Daten haben - uns stört nur die Abspeicherung auf US-amerikanischen Servern. Im Zweifelsfall bleibt dann nur der Einsatz der sogenannten Desktop-Lizenz, die alle Daten verschlüsselt auf dem eigenen System ablegt, aber leider keine Plattform-übergreifende Unterstützung anbietet.
Open-Source Safe: KeePass
Natürlich bietet auch die Free- und Shareware-Szene eine reichliche Auswahl an Programmen, die sich der Passwort-Problematik widmen. Wir haben uns mit KeePass ein Open-Source-Programm herausgesucht, das einen großen Funktionsumfang zu bieten hat. Wir haben die sogenannte Professional Version 2.19 (sie ist ebenfalls Freeware) getestet.
Was kann die Software KeePass leisten?
-
Freie Softwarelösung, die kontinuierlich weiterentwickelt wird.
-
Großer Funktionsumfang, der zusammen mit starker Verschlüsselung eingesetzt werden kann.
-
Programm ist portabel, kann auch auf USB-Sticks installiert werden und zudem auch die Dateiformate anderer (auch kommerzieller) Passwort-Safe-Programme einlesen.
-
Versionen für Mac OS X, Linux und verschiedene mobile Systeme wie iPhone/iPad und Android werden ebenfalls angeboten (allerdings werden sie nicht offiziell von den Entwicklern unterstützt).
Welche Einschränkungen gibt es beim Einsatz von KeePass?
-
Die KeePass 2.x-Versionen benötigen für den Einsatz mindestens das .NET-Framework 2.0 (ab Windows Vista standardmäßig Teil des Betriebssystems) oder Mono ab 2.6
-
KeePass 1.x-Versionen benötigen mindestens GDI+ (ab Windows XP standardmäßig Teil des Betriebssystems).
-
Eine Lokalisierung ist nur über eine zusätzliche Datei möglich, die heruntergeladen und "per Hand" installiert werden muss.
Foto: Bär/Schlede
Fazit: Wer für den Einsatz auf dem eigenem Rechner oder auch in kleinen Unternehmen eine rundherum gut gelungene Lösung sucht, in der er seine Passwörter sicher und zuverlässig abspeichern kann, der wird bei KeePass sicher fündig. Einfache Bedienung, die auch "Drag & Drop" sowie Arbeiten über das Windows-Clipboard beinhaltet, sowie ein Passwort-Generator und eine sehr sichere Verschlüsselung runden dieses Freeware-Produkt ab, das deshalb auch unsere unbedingte Empfehlung bekommt.
Passwort Generator: Schnell ein neues Passwort
Zu den Gründen, warum viele Anwender immer wieder das gleiche Passwort für die verschiedensten Online-Konten verwenden, gehört häufig auch das Unvermögen oder der Unwillen, sicher immer wieder neue, möglichst sichere Passwörter auszudenken. In diesen Fällen können Programme wie "Passwort Generator" von der Seite Gaijin helfen.
Was der Passwort Generator leisten kann:
-
Einfaches voll lokalisiertes Freeware-Programm, das auch ohne Installation direkt von einem USB-Stick aus eingesetzt werden kann.
-
Umfangreiche Einstellmöglichkeiten, um Passwörter von "einfach" über "leicht zu lesen" bis hin zu "sehr lang" zu erstellen und dann auch zu überprüfen.
-
Das Programm kann eine ganze Sammlung von Passwörtern gleichzeitig erstellen und in einer Datei abspeichern. Auch Vorlagen für WEP- und WPA2-Schlüssel werden mitgeliefert.
Was uns nicht so gefallen hat:
-
In den Grundeinstellungen werden die Passwörter doch sehr vorhersehbar generiert - hier muss der Anwender selbst eingreifen und selbst Vorlagen erstellen.
Foto: Bär/Schlede
Fazit: Ein kleines und einfaches Freeware-Programm, das genau das tut, was es verspricht. Hat man sie erst einmal ein wenig mit der Erstellung eigener Vorlagen befasst, so kann man schnell und einfach eine ganze Liste von Passwörtern erstellen.
Wirklich das "letzte Passwort"? - LastPass
Ganz wie die bereits vorgestellte Lösung RoboForm bietet auch LastPass die Möglichkeit, sich mit ihrer Hilfe nur durch Eingabe eines einzigen Master-Passwortes mit allen Web-Seiten sicher zu verbinden.
Vorteile beim Einsatz von LastPass:
-
Sehr flexible Lösung, die sowohl für Windows-Rechner als auch für MAC OS X, Linux und mobile Systeme mit einer zentralen Synchronisation aufwarten kann.
-
Grundversion für Windows-Systeme und verschiedene Browser ist kostenlos.
-
Daten werden nach Angaben des Anbieters lokal auf dem eigenen PC verschlüsselt.
Nachteile beim Einsatz von LastPass:
-
Lokalisierung ist vom Browser abhängig: Auch wenn das Settings-Fenster nach der Umstellung auf "Deutsch" entsprechend übersetzte Texte bringt, bleibt die Web-Oberfläche in englischer Sprache, wenn ein englischsprachiger Browser zum Einsatz kommt.
-
Auch hier bleibt die Unsicherheit, dass trotz aller Beteuerungen des Anbieters zur Sicherheit, die Daten auf einem amerikanischen Server gespeichert werden.
Foto: Bär/Schlede
Fazit: "Das letzte Passwort, das Sie brauchen" - wie es der Anbieter vollmundig verkündet - wird LastPass sicher nicht sein - dazu braucht man in der Regel im IT-Alltag noch eine ganze Reihe anderer Passwörter, als nur die für diverse Web-Seiten. Für diese Zwecke funktioniert LastPass aber durchaus gut, allerdings benötigen Anwender, die diese Lösung auf einem mobilen System nutzen wollen, dazu die kostenpflichtige Premiumversion von LastPass. Schließlich bleibt das Unbehagen beim Ablegen sensibler Passwort-Daten auf einer amerikanischen Web-Seite und damit auf Server-Systemen, die in den USA stehen und damit dem Patriot-Act unterliegen.
Und was ist mit der Passwort-Wiederherstellung?
Foto: Bär/Schlede
Wir trafen in Rahmen der Recherche für diesen Bericht natürlich auch auf Werkzeuge, deren Zweck die Wiederherstellung von Passwörtern im Allgemeinen und solcher für Windows-Systeme im Besonderen ist. In diesem Zusammenhang muss jedem Anwender ganz klar sein, dass es sich bei vielen dieser "Hilfsprogramme" schlicht und einfach um "Crack-Tools" handelt, die mit Hilfe von bestimmten Techniken wie "Rainbow-Tables" einen Angriff auf die verschlüsselte Datenbank der Windows-Passwörter durchführen - und dabei aufgrund der Rechenleistung der heutigen PC-Systeme auch durchaus erfolgreich sind. Ein gutes Beispiel für diese Programme ist die Freeware ophcrack, die dann bei der Installation auch zu Recht von der Sicherheitssoftware als mögliche Bedrohung identifiziert wird (siehe Screenshot in unserer Bilderstrecke). Auch einige professionelle Anbieter wie Stellar Phoenix bieten auf ihren Seiten entsprechende Tools an, die mit Hilfe einer eigens erstellten Boot-CD sogar dazu in der Lage sein sollen, die Administrator-Passwörter der Windows-Systeme zurückzusetzen.
Wir haben uns entschlossen, den Schwerpunkt dieses Artikels auf die Bereiche der Erstellung und -Verwaltung sicherer Passwörter zu beschränken - Werkzeuge zum Knacken von Passwörtern gehören definitiv nicht in die Hand eines Anwenders und sollten auch von Administratoren nur in den allerhöchsten Notfällen eingesetzt werden. (ph)