Passwörter sind ein unsicheres Konzept – nur leider gegenwärtig ohne verbreitete Alternative. Eine Verbesserung bieten Passwortmanager, die zumindest starke, vielfältige, zufällige und singuläre Passwörter für jeden Dienst ermöglichen. Neuerung haben viele Manager einen Cloud-Sync. Hier darf man aber niemals dem Masterpasswort vertrauen.
Immer mehr Anbieter bieten im Bereich Passwortverwaltung ihre Dienstleistung für Firmen- und Privatkunden an. Lastpass, Dashlane, 1Password usw. Mir persönlich ist es völlig schleierhaft, wie man alle seine Passwörter einem Dienstanbieter anvertrauen und damit auf dessen Redlichkeit und dessen Sicherheitskonzept vertrauen kann. Denn auch wenn der Dienstanbieter vielleicht redliche Absichten hat, bedeutet dies nicht automatisch, dass die Daten auch wirklich sicher sind.
Viele andere Programme bieten zwar keine Synchronisation über die Cloud des Herstellers, wohl aber über eine eigene individuell festlegbare Cloud. Obwohl solche Lösungen den Anwender wieder etwas mehr zum Herr seiner Daten machen, bergen diese Programme eine Gefahr.
Sehr viele verbreitete Lösungen wie z. B. SafeInCloud (siehe: SafeInCloud – Vielfältiger Passwortmanager) oder Enpass (siehe: Enpass – Ein Passwortmanager für alle Systeme & Enpass – Kleines Update mit nützlicher Funktion) setzen zur Absicherung der Datenbank auf ein Masterpasswort. Kennt man dieses Kennwort hat man Zugriff auf alle anderen Kennwörter.
Damit steht und fällt die Sicherheit der Daten mit dem gewählten Kennwort. Gewohnheit, Bequemlichkeit und begrenzte Gedächtnisleistung führen hier leider immer noch zu oft zu unterkomplexen Passwörtern und schwächen das System einer Passwortverwaltung.
Fatal wird dies in Kombination mit der Cloud-Synchronisation. Durch den Abgleich über einen Cloud-Dienstleister gibt der Anwender faktisch die Kontrolle über die Passwortdatenbank in fremde Hände. In jedem Fall in die des Clouddienstleisters, möglicherweise auch in die des Staates, in dem dieser seinen Sitz und seine Rechenzentren hat und sind wir uns wirklich zu 100% sicher, dass die heutzutage übliche Transportverschlüsselung keine Schwächen hat?
Ist die Datenbank erst in den Händen interessierter Dritter können diese nun mit einem steinzeitlichen Instrument – dem Brute Force Angriff – beginnen. Im Gegensatz zu modernen Smartphones löscht sich die Datenbank nicht nach x Fehlversuchen und viele Programme sperren nicht mal zeitweilig den Zugriff. Es ist somit nur noch eine Frage der Zeit und der Qualität des Passworts.
Deshalb gibt es die Absicherung mittels eines so genannten 2. Faktors. Ein OTP-PIN vom Smartphone, ein YubiKey oder ein simples Keyfile auf einem USB-Stick. Die Möglichkeiten hier sind vielfältig.
Sollte eine Synchronisation über einen Cloud-Dienst unumgänglich sein muss man also unbedingt ein Programm wählen, dass eine solche Zwei-Faktor-Authentifizierung unterstützt.
