Symbolbild "Cloud Sicherheit"

Passwörter sind ein unsicheres Konzept – nur leider gegenwärtig ohne verbreitete Alternative. Eine Verbesserung bieten Passwortmanager, die zumindest starke, vielfältige, zufällige und singuläre Passwörter für jeden Dienst ermöglichen. Neuerung haben viele Manager einen Cloud-Sync. Hier darf man aber niemals dem Masterpasswort vertrauen.

Immer mehr Anbieter bieten im Bereich Passwortverwaltung ihre Dienstleistung für Firmen- und Privatkunden an. Lastpass, Dashlane, 1Password usw. Mir persönlich ist es völlig schleierhaft, wie man alle seine Passwörter einem Dienstanbieter anvertrauen und damit auf dessen Redlichkeit und dessen Sicherheitskonzept vertrauen kann. Denn auch wenn der Dienstanbieter vielleicht redliche Absichten hat, bedeutet dies nicht automatisch, dass die Daten auch wirklich sicher sind.

Viele andere Programme bieten zwar keine Synchronisation über die Cloud des Herstellers, wohl aber über eine eigene individuell festlegbare Cloud. Obwohl solche Lösungen den Anwender wieder etwas mehr zum Herr seiner Daten machen, bergen diese Programme eine Gefahr.

Sehr viele verbreitete Lösungen wie z. B. SafeInCloud (siehe: SafeInCloud – Vielfältiger Passwortmanager) oder Enpass (siehe: Enpass – Ein Passwortmanager für alle Systeme & Enpass – Kleines Update mit nützlicher Funktion) setzen zur Absicherung der Datenbank auf ein Masterpasswort. Kennt man dieses Kennwort hat man Zugriff auf alle anderen Kennwörter.

Damit steht und fällt die Sicherheit der Daten mit dem gewählten Kennwort. Gewohnheit, Bequemlichkeit und begrenzte Gedächtnisleistung führen hier leider immer noch zu oft zu unterkomplexen Passwörtern  und schwächen das System einer Passwortverwaltung.

Fatal wird dies in Kombination mit der Cloud-Synchronisation. Durch den Abgleich über einen Cloud-Dienstleister gibt der Anwender faktisch die Kontrolle über die Passwortdatenbank in fremde Hände. In jedem Fall in die des Clouddienstleisters, möglicherweise auch in die des Staates, in dem dieser seinen Sitz und seine Rechenzentren hat und sind wir uns wirklich zu 100% sicher, dass die heutzutage übliche Transportverschlüsselung keine Schwächen hat?

Ist die Datenbank erst in den Händen interessierter Dritter können diese nun mit einem steinzeitlichen Instrument – dem Brute Force Angriff – beginnen. Im Gegensatz zu modernen Smartphones löscht sich die Datenbank nicht nach x Fehlversuchen und viele Programme sperren nicht mal zeitweilig den Zugriff. Es ist somit nur noch eine Frage der Zeit und der Qualität des Passworts.

Deshalb gibt es die Absicherung mittels eines so genannten 2. Faktors. Ein OTP-PIN vom Smartphone, ein YubiKey oder ein simples Keyfile auf einem USB-Stick. Die Möglichkeiten hier sind vielfältig.

Sollte eine Synchronisation über einen Cloud-Dienst unumgänglich sein muss man also unbedingt ein Programm wählen, dass eine solche Zwei-Faktor-Authentifizierung unterstützt.


Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein