Passwort-Manager – Fluch oder Segen?

Solange Online-Dienste, lokale Unternehmensanwendungen und Betriebssysteme nicht ohne Kennwörter auskommen, solange werden Kriminelle versuchen, die zugrundeliegenden Datenbanken zu klauen. Anschließend geht das Rattenrennen los zwischen Angreifern und Verteidigern: Wie schnell können die Kriminellen mittels Passwortcrackern an die Klartextpasswörter kommen und welchen Vorsprung haben sie vor den betroffenen Unternehmen, bis diese ihre Nutzer und Kunden warnen können?

Rund um Passwortsicherheit gibt es verschiedene Tipps. Einer davon ist nach wie vor unbestritten: Je länger ein Passwort ist, desto länger dauert es auch, bis aus dem Hashwert Klartext gemacht wurde. Und je weniger von Menschen beim Erdenken von Kennwörtern verwendete Regelmäßigkeiten im Passwort stecken, desto schwerer tut sich die Cracking-Software. Viele Fachleute halten daher per Zufallsgenerator erzeugte Passwörter, die 16 Zeichen oder mehr umfassen, für hinreichend sicher – so denn der zum Erzeugen des Hashwerts in der Datenbank verwendete Algorithmus halbwegs zeitgemäß ist. Nachdem Anwender hierauf aber keinen Einfluss haben, können sie nur durch immer längere Kennwörter der wachsenden Knack-Power – Grafikkarten-Cluster erzeugen pro Sekunde gut 150 Milliarden MD5-Hashwerte – auf Seiten der Angreifer entgegen wirken. Kennwörter wie „T^55cT@Wn0NYt@Hj2o9cdy“ kann sich jedoch niemand merken – und schon gar nicht, wenn er einige Dutzend davon behalten müsste, um Password-Recycling zwischen den verschiedenen Logins zu verhindern. Zumal die Eingabe der Sonderzeichen auf einer winzigen Smartphone-Tastatur den geduldigsten Gedächtniskünstler an den Rand des Irrsinns treiben würde.

Tipps fürs richtige Master-Kennwort

Von daher setzen viele Anwender auf Passwort-Manager wie LastPass, KeePassX oder StickyPassword. Das Grundprinzip dieser Tools ist immer das gleiche: Sie erzeugen zufällig gewürfelte Zeichenketten mit beliebiger Länge, speichern diese und füllen sie (automatisch) in die jeweiligen Login-Felder ein. Zum Öffnen des Kennwort-Tresors ist ein Master-Passwort nötig – und oftmals auch nur dieses. Entsprechend komplex und lang sollte es dann auch sein. Denn andernfalls lägen ja sämtliche Anmeldedaten auf dem Silbertablett vor einem Angreifer.

Hier ein Tipp, wie sich ein schwer zu knackendes Master-Kennwort behalten lässt:

1.    Von einem Password-Manager ein zufälliges Kennwort mit acht Zeichen Länge erstellen lassen; dieses sollte sich nach einer Weile beziehungsweise entsprechend vielen Eingaben im Gedächtnis behalten lassen
2.    Dieses Passwort zwei oder dreimal hintereinander fügen, um so die Länge zu erhöhen
3.    Bei jeder Wiederholung des Kennworts die Abfolge der acht Zeichen an mindestens einer Stelle variieren. So werden aus acht Zeichen 16 oder gar 24 Zeichen – die entsprechend schwer zu knacken sind.

LastPass beispielsweise macht es Angreifern denkbar schwer, ein Master-Passwort durch ausprobieren heraus zu bekommen: Der Tresor ist mit PBKDF2 (Password-Based Key Derivation Function) auf Basis des vergleichsweise langsamen Algorithmus SHA256 verschlüsselt. Auf dem Endgerät des Anwenders läuft das Verfahren standardmäßig 5000 Mal, bevor der Key zur Verschlüsselung des Passworts erzeugt wird. Die auf den LastPass-Servern gespeicherte Version des Tresors wird weitere 100.000 Mal damit behandelt. Ein Cracker kommt so nur auf weniger als 10.000 Hashwerte pro Sekunde – ein unfassbar großer Unterschied zu den 150 Milliarden MD5-Hashes, die auf der gleichen Hardware möglich sind.

Über das Master-Kennwort hinaus: Bieten Yubikeys Sicherheit am Schlüsselbund?

Um die Sicherheit des Tresors noch weiter zu erhöhen, lässt sich im Fall von LastPass oder KeePass noch die Zwei-Faktor-Anmeldung aktivieren. Beispielsweise im Zusammenspiel mit einem Yubikey, das ein kurzes Einmalpasswort für besagte Zwei-Faktor-Authentifizierung erzeugen kann.  Dafür soll der Yubikey in dem oath-hotp-mode eingerichtet werden. OATH steht für den Standard Open Authentification, HOTP steht für HMAC-based One-time Password Algorithm.  Zum Entsperren des Tresors ist also nicht nur das Master-Passwort nötig, sondern auch noch der Yubikey.

Ein Angreifer muss also nicht nur den Tresor in seinen Besitz bekommen – was moderne Malware ohne großen Aufwand bewerkstelligen könnte – und das Master-Passwort knacken oder abgreifen. Gleichzeitig zeigt sich aber auch eine Schwäche: Man ist komplett vom Yubikey abhängig. Wird dieser beschädigt, zerstört, verlegt oder gestohlen, verliert man alle Passwörter in der Passwort-Datenbank. Es spricht also kaum etwas gegen den Einsatz von Passwort-Managern, wenn Anwender einige wenige Sicherheitsvorgaben beachten. Dazu gehört neben einem guten Master-Passwort ein PIN-Code zum Entsperren des mobilen Endgeräts, auf dem sehr wahrscheinlich eine Kopie des Tresors liegt und unter Umständen die Authenticator-App läuft.

Yubikey by Youbico
Security Key Yubikey. Bild ©: Yubico
Teilen: