Ratgeber Password-Manager

Die schlimmsten Passwort-Sünden

05.01.2012 von Thomas Bär und Frank-Michael Schlede

Im Umgang mit Passwörtern sind IT-User viel zu leichtsinnig. Password-Manager helfen zwar, aber noch wichtiger sind gute, starke Passwörter.

Der richtige Umgang mit Passwörtern kann viel Ungemach ersparen.
Foto: pn photo, Fotolia.de

Es gibt viele Möglichkeiten für IT-Anwender, sich gegenüber einem Computersystem, einem Netzwerk oder auch einer Webseite im Internet zu identifizieren und zu authentifizieren. Der "Klassiker" schlechthin bleibt immer die Kombination von Passwort beziehungsweise Kennwort und Namen. So besitzt dann auch jeder Anwender heute eine Unzahl von Accounts on- und offline, die er für die verschiedensten Zwecke verwendet und deren Passwörter er sich merken muss.

Hilfreich und immer wieder gepriesen sind hier sogenannte Passwort-Manager, die helfen, die Flut der Passwörter sicher zu verwahren und diese häufig sogar direkt an die Webseite oder das Login-Interface übergeben. So praktisch diese Container-Anwendungen auch sein mögen, betrachtet man sie unter Sicherheitsaspekten, so leistet ihr Einsatz grundsätzlich nur einen kleinen Beitrag zu Steigerung der allgemeinen IT-Security: Wenn die verwendeten Passwörter unsicher sind, werden sie durch die Verwendung eines solchen Tools nicht besser.

Wir zeigen die größten "Passwort-Sünden", stellen Wege vor, wie auch schwer zu knackende Passworte einfach zu erstellen sind und geben Tipps, welche Password-Manager dabei helfen, diese schwer zu knackenden Passwörter einfach und sicher zu verwalten.

Die größten Passwort-Sünden: Was Sie niemals tun sollten!

Verwenden Sie nie das gleiche Passwort über einen längeren Zeitraum: Auch wenn es zunächst mühsam erscheint - wechseln sie Ihre Passworte gerade bei Online-Accounts regelmäßig. Wenigstens alle sechs Monate, besser alle drei Monate oder immer dann, wenn Sie sich auf einer Seite einloggen, die sie schon lange nicht mehr verwendet haben!
Verwenden Sie nie Passworte, die Namen (ganz gleich ob aus der Familie oder von Haustieren), Geburtstage, Adressen oder andere persönliche Informationen beinhalten: Solche persönlichen Informationen sollten auch teilweise nicht in Ihren Passworten zu finden sein. Das gilt auch für alle Worte, die sie in einem Lexikon finden können und für Zahlen- oder Buchstabenwiederholungen wie 222 oder Folgen wie ABCD und qwertz.
Verwenden Sie nie das gleiche Passwort auf mehreren Internet-Seiten: Ist eine derartige Seite kompromittiert, sind gleich alle Ihre Accounts gefährdet.
Verwenden Sie grundsätzliche keine "Automatik-Funktionen": Erlauben sie keiner Webseite, dass Sie Ihren Namen und Ihr Passwort speichert ("remember me"). Vermeiden Sie es ebenfalls, dass sich Ihr System beim Start automatisch bei den diversen Online-Konten wie etwa Web-Mail anmeldet.
Keine Passwort-Eingabe auf "unbekannten" Systemen und Seiten: Geben Sie ihre Passworte nicht auf Systemen ein, deren Sicherheitseinstellungen Sie nicht kontrollieren: Das gilt für den PC im Internet-Café ebenso wie für das System eines Kollegen oder Freundes!
Keine Passwort-Eingabe auf Webseiten, die Sie über einen Link in einer E-Mail erhalten haben: Die Gefahr ist zu groß, dass es sie hier um eine Phishing-Mail handelt. Geben Sie die URL von Bank- und Shop-Webseiten immer direkt in ihrem Browser ein und wechseln dann dort zu der entsprechenden Eingabe!
Niemals über ein offenes WLAN auf einen Account mit einem Passworte zugreifen: Wenn Sie sich in einem offenen WLAN oder einem ähnlich unsicheren Netzwerk befinden, sollten Sie Passwörter ausschließlich auf Seiten eingeben, die HTTPS-Verschlüsselung (Hypertext Transfer Protocol Secure) verwenden oder noch besser nur via VPN (Virtual Private Network) auf die entsprechenden Accounts zugreifen.

Wie ein sicheres, starkes Passwort erstellt wird

Ein guter Weg zum sicheren Passwort: Wer sein Passwort nach dieser Vorgehensweise anlegt, kann sicher sein, ein schwer zu knackendes und starkes Passwort zu besitzen (nach Anregungen aus dem Microsoft Safety & Security Center).
Foto: Bär/Schlede

Was macht nun ein sicheres und starkes Passwort aus, dass für einen potenziellen Angreifer möglichst schwer zu knacken ist? Wir haben bei der Auflistung der "Passwort-Sünden" schon erläutert, dass keinerlei Namen und oder persönliche Informationen in guten, starken Passwörtern enthalten sein dürfen. Durch sogenanntes "Social Engineering" und durch die vielen persönlichen Informationen, die von fast jedem Anwender im Web zu finden sind, ist es sehr leicht, solche Passworte zu entschlüsseln. Grundsätzlich ist ein Passwort umso sicherer:

je länger es ist. Ein starkes Passwort sollte aus mindestens 14 Zeichen (mehr sind besser) bestehen.
je größerer die Vielfalt der Zeichen in diesem Passwort ist (also eine Mischung aus "normalen" Buchstaben, Sonderzeichen und Ziffern).
je ausgefallener die verwendeten Zeichen sind. Verwenden Sie nicht nur die üblichen Zeichen und Buchstaben.

Unsere Tabelle in Bild 1 zeigt einen möglichen Weg, der Anwendern dabei helfen kann, sich ein derartig komplexes und sicheres Passwort anzulegen. Die Idee dahinter:

Ein Anwender denkt sich zunächst einen, besser natürlich zwei Sätze aus, dessen einzelnen Buchstaben das Passwort bilden, das dann nach und nach eine höhere Komplexität erhält.
Wer ein derart erstelltes "Wort" mit 14 Zeichen auf einer Seite zum Testen von Passworten eingibt, wird als Ergebnis die Einschätzung bekommen, dass es sich hier um ein "starkes Passwort handelt, wie im Bild 2 auch zu sehen ist.
Wir haben zur Überprüfung eine Microsoft-Seite aus dem "Safety & Security Center"-Bereich des Herstellers verwendet.

Software hilft bei der Passwort-Erstellung und -Verwaltung

Warum manuell ein Passwort erstellen, wenn es auch dafür Software gibt? Mit der freien Software PWGen werden wirklich sichere und sehr komplexe Passworte erstellt.
Foto: Bär/Schlede

Dieser Weg zur Erstellung von Passworten hat sich bewährt und kann in der Regel schnell nachvollzogen werden. Allerdings schätzen viele Anwender den Aufwand nicht, der damit verbunden ist. Für Administratoren und Systemverwalter, die eine große Anzahl von Passworten erstellen müssen, bedeutet diese Vorgehensweise zu viel Arbeit. Die Freeware-Szene mit ihrem umfangreichen Angebot an Softwarelösungen stellt auch dafür Programme bereit. Eines davon, das sich in unserer täglichen Praxis bewährt hat, ist die Freeware "PWGen", die hier zum kostenlosen Download bereitsteht.

Das Programm ist in der Lage, Passworte sowohl mit 64- als auch mit 128-Bit-Verschlüsselung zu erstellen. Dabei bietet es eine große Auswahl an Einstellmöglichkeiten, die an sich schon die Stärke des entstehenden Passwortes erhöhen. Zusätzlich kann der Anwender aber beim Generieren des Passwortes noch auf der Tastatur beliebige Tasten eingeben, das Programm nutzt die Zeit zwischen den Tastenanschlägen, um die Komplexität des Passwortes weiter zu steigern.

Passwort-Knacker

Allrounder: Passware Kit Enterprise
Passwörter knacken und Dokumente entschlüsseln – darauf ist das kostenpflichtige Passware Kit Enterprise spezialisiert. Enthalten sind 25 Module, die jeweils für ein Dateiformat, eine Anwendung oder ein Software-Paket bestimmt sind. So knacken Sie die Passwörter von Office-Dokumenten ebenso wie die von PDF-Dateien oder Rar-Archiven von Winrar.

GPU-Power: Distributed Password Recovery
Komplexe Passwörter halten Bruteforce-Attacken normalerweise sehr lange stand. Das Tool Distributed Password Recovery wendet einen besonderen Kniff an, um diese Zeit empfindlich zu verkürzen: Es bezieht auch die Grafikkarte in den Knack-Vorgang mit ein. Die Software unterstützt nur die GPUs Nvidia Geforce 8 oder 9. Außerdem ist das Programm in der Lage, die Berechnung in einem Netzwerk zu verteilen. Distributed Password Recovery unterstüzt neben WLAN auch Word, Excel, PDF und die Windows-Anmeldung. Eine Trial-Version ist kostenlos.

Outlook: Pst Password
Spezialisiert auf Outlook 97, 2000, XP, 2003 und 2007 hat sich Pst Password. Die Freeware ermittelt selbstständig, wo die Mail-Datenbanken auf dem Rechner liegen oder erlaubt es, sie manuell zu öffnen. Da die Verschlüsselung dieser Outlook-Versionen sehr schwach ist, benötigt das Knack-Tool nur wenig Zeit.

PDF: PDF Unlocker
PDF-Dateien lassen sich nicht nur mit einem Passwort versehen, sondern auch mit diversen Einschränkungen. So wird es dem Leser beispielsweise verwehrt die Datei auszudrucken oder per Copy & Paste Inhalte zu kopieren. Der PDF Unlocker hebt Passwort und viele Beschränkungen wieder auf.

Registry: Protected Storage Passview
Die Freeware Protected Storage Passview knackt die schwache Verschlüsselung der Benutzernamen und Passwörter, die in der Registry abgelegt sind, und speichert diese als lesbare Textdatei. Zu den Programmen, die Login-Daten in der Registry ablegen gehören auch der Internetexplorer (also auch Websites) und Outlook (Mailpostfächer).

Sternchen-Killer: Password-Finder
Mit dem Password- Finder entschlüsseln Sie fast jedes Passwort-Feld. Das Tool zeigt das Kennwort, welches sich hinter den Sternchen oder Punkten verbirgt, wenn Sie die Lupe auf das entsprechende Feld ziehen. Der Password-Finder macht Passwörter also sichtbar, knackt leere Felder aber nicht per Brute-Force-Attacke. Das Tool unterstützt neben IE und Outlook auch WLAN-Passwörter.

Windows: Offline NT PW & Registry Editor
Das Programm Offline NT PW & Registry Editor hat sich auf das Knacken des Anmeldepassworts von Windows XP und Vista spezialisiert. Wenn Sie das Open-Source-Tool von einer bootfähigen CD starten, erscheint ein Mini-Linux auf Kommandozeilen-Basis. Mit ein paar Eingaben verändern oder löschen Sie das Passwort. Das ursprüngliche Passwort bringt Offline NT PW & Registry Editor nicht ans Tageslicht.

Windows: Ophcrack Live CD
Ophcrack Live-CD ermittelt das Windows-Passwort von XP- und Vista-Systemen. Das Open-Source-Tool arbeitet mit einer bootfähigen CD.

WLAN: Aircrack-ng
Das alte WEP-Verfahren ist unsicher: Aircrack-ng ermittelt binnen Sekunden den Schlüssel eines WEP-geschützten WLAN-Netzes. Schlüssel des sichereren WPA-Verfahrens kann Aircrack-ng nur durch Ausprobieren sämtlicher Buchstaben- und Zahlenkombinationen herausbekommen. Das dauert lange und ist bei komplexen Passwörtern sogar aussichtslos.

Passwort-Manager: "Gelbe Zettel" mit eingebauter Sicherheit

Wer mit wirklich komplexen unterschiedlichen Passworten arbeitet, kommt um den Einsatz eines Passwort-Managers nicht herum: Hier die Open-Source-Lösung KeePass, die durch ihre vielfältigen Möglichkeiten auch sehr gut in Unternehmensnetzwerken eingesetzt werden kann.
Foto: Bär/Schlede

Allerdings ist es kaum möglich, derart erstellte Passwörter im Gedächtnis zu behalten. Wir haben zwar bei den "Passwort-Sünden" den allgegenwärtigen Zettel unter der Tastatur, der die Passworte auflistet, nicht mit aufgeführt - aber ein Ersatz dafür muss auf jeden Fall her. Hier können die Passwort-Manager helfen, von denen es eine fast nicht zu überschauende Anzahl sowohl bei den Free- und Shareware-Produkten als auch bei den kommerziellen Lösungen gibt. Wir stellen deshalb auch nur drei Programme exemplarisch vor.

Wer von Passwort-Managern redet, kommt um das Open-Source-Programm KeePass nicht herum: Es setzt seit einiger Zeit den Standard in diesem Bereich mit seinen vielen Vorteilen:

KeePass speichert die Passworte in einer Datenbank, die auch deren Gruppierung erlaubt. Dadurch taugt es auch sehr gut für den Einsatz im kommerziellen Umfeld.
Das Programm kann in einer portablen Version direkt und ohne Installation von einem USB-Stick eingesetzt werden.
Es steht sowohl für Windows- als auch für Linux-Systeme bereit. Auch verschiedene Smartphones (Android, iPhone, Windows Phone 7) werden unterstützt.
Die Verwendung im Netzwerk ist durch die Teilung von Datenbank und Client-Software möglich.

Haben Sie nicht so viele Passworte zu verwalten, dann können Sie auch die Freeware-Version einer sehr guten Software nutzen, die unter dem Namen Passwort-Depot vertrieben wird. Diese Lösung zielt in der kommerziellen Version ebenfalls auf den professionellen Einsatz, was auch daran zu erkennen ist, dass der Hersteller auch eine Server-Version dieser Software anzubieten hat.

Das Programm speichert die Passworte in einer verschlüsselten Datenbank, deren Verschlüsselung mit einer Schlüssellänge von 265-Bit Verschlüsselung arbeitet (AES Rijndael).
Durch die Integration in den jeweils verwendeten Browser wird die Sicherheit beim Einloggen auf Webseiten erhöht.
Wer die Professional-Version der Lösung kauft, kann das Server-Modul für bis zu drei Clients kostenlos dazu einsetzen.
Kostenlose Versionen für Android-, iPhone- und Windows-Mobile-Smartphones werden ebenfalls angeboten.

Wer die Software herunterlädt, kann sie zunächst für 30 Tage mit allen Funktionen verwenden, danach kann die Datenbank nur mit 20 Passworten verwendet werden, was aber für die meisten Anwender durchaus ausreichen sollte.

Etwas spezieller: RoboForm füllt automatisch aus

Die Lösung RoboForm kann ebenfalls Passworte verwalten, ist aber primär darauf ausgerichtet, den Anwender beim sicheren Ausfüllen von Web-Formularen zu unterstützen.
Foto: Bär/Schlede

Zum Abschluss wollen wir noch eine ganz besondere Lösung vorstellen, deren Schwerpunkt nicht so sehr auf der Verwaltung der Passworte sondern mehr auf dem sicheren Ausfüllen von Webseiten liegt: RoboForm. Natürlich ist auch dieses Programm in der Lage, Passwörter sicher und verschlüsselt zu speichern. Die Hauptaufgabe von RoboForm besteht aber darin, den Anwendern eine sichere Schnittstelle für die Eingabe in Webformularen zur Verfügung zu stellen:

Das Programm kann Webformulare und Anmeldedialoge automatisch ausfüllen.
Persönliche Daten werden in einer Schablone hinterlegt und verschlüsselt abgespeichert.
Das Programm kann auch in einer mobilen Version direkt von einem USB-Stick gestartet werden.
Für die Passwörter und Formulare werden automatisch sogenannte PassCards angelegt.

Gut gefallen haben uns dabei einige spezielle Features der Software. Dazu gehört beispielsweise die Möglichkeit, eine komplette Liste der gespeicherten Passwörter auszudrucken. Auch hier steht dem Anwender zunächst 30 Tage eine Vollversion zur Verfügung, die danach zu einer kostenlosen freien Version wird. Mit ihr können dann nur noch zehn unterschiedliche PassCards verwaltet und verwendet werden. (wh)