Passwort-Datenbank nie ohne zweiten Faktor in der Cloud

Passwörter sind ein unsicheres Konzept – nur leider gegenwärtig ohne verbreitete Alternative. Eine Verbesserung bieten Passwortmanager, die zumindest starke, vielfältige, zufällige und singuläre Passwörter für jeden Dienst ermöglichen. Neuerung haben viele Manager einen Cloud-Sync. Hier darf man aber niemals dem Masterpasswort vertrauen.

Immer mehr Anbieter bieten im Bereich Passwortverwaltung ihre Dienstleistung für Firmen- und Privatkunden an. Lastpass, Dashlane, 1Password usw. Mir persönlich ist es völlig schleierhaft, wie man alle seine Passwörter einem Dienstanbieter anvertrauen und damit auf dessen Redlichkeit und dessen Sicherheitskonzept vertrauen kann. Denn auch wenn der Dienstanbieter vielleicht redliche Absichten hat, bedeutet dies nicht automatisch, dass die Daten auch wirklich sicher sind.

Viele andere Programme bieten zwar keine Synchronisation über die Cloud des Herstellers, wohl aber über eine eigene individuell festlegbare Cloud. Obwohl solche Lösungen den Anwender wieder etwas mehr zum Herr seiner Daten machen, bergen diese Programme eine Gefahr.

Sehr viele verbreitete Lösungen wie z. B. SafeInCloud (siehe: SafeInCloud – Vielfältiger Passwortmanager) oder Enpass (siehe: Enpass – Ein Passwortmanager für alle Systeme & Enpass – Kleines Update mit nützlicher Funktion) setzen zur Absicherung der Datenbank auf ein Masterpasswort. Kennt man dieses Kennwort hat man Zugriff auf alle anderen Kennwörter.

Damit steht und fällt die Sicherheit der Daten mit dem gewählten Kennwort. Gewohnheit, Bequemlichkeit und begrenzte Gedächtnisleistung führen hier leider immer noch zu oft zu unterkomplexen Passwörtern  und schwächen das System einer Passwortverwaltung.

Fatal wird dies in Kombination mit der Cloud-Synchronisation. Durch den Abgleich über einen Cloud-Dienstleister gibt der Anwender faktisch die Kontrolle über die Passwortdatenbank in fremde Hände. In jedem Fall in die des Clouddienstleisters, möglicherweise auch in die des Staates, in dem dieser seinen Sitz und seine Rechenzentren hat und sind wir uns wirklich zu 100% sicher, dass die heutzutage übliche Transportverschlüsselung keine Schwächen hat?

Ist die Datenbank erst in den Händen interessierter Dritter können diese nun mit einem steinzeitlichen Instrument – dem Brute Force Angriff – beginnen. Im Gegensatz zu modernen Smartphones löscht sich die Datenbank nicht nach x Fehlversuchen und viele Programme sperren nicht mal zeitweilig den Zugriff. Es ist somit nur noch eine Frage der Zeit und der Qualität des Passworts.

Deshalb gibt es die Absicherung mittels eines so genannten 2. Faktors. Ein OTP-PIN vom Smartphone, ein YubiKey oder ein simples Keyfile auf einem USB-Stick. Die Möglichkeiten hier sind vielfältig.

Sollte eine Synchronisation über einen Cloud-Dienst unumgänglich sein muss man also unbedingt ein Programm wählen, dass eine solche Zwei-Faktor-Authentifizierung unterstützt.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...