Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Cloud Sicherheit"

Passwort-Datenbank nie ohne zweiten Faktor in der Cloud

Passwörter sind ein unsicheres Konzept - nur leider gegenwärtig ohne verbreitete Alternative. Eine Verbesserung bieten Passwortmanager, die zumindest starke, vielfältige, zufällige und singuläre Passwörter für jeden Dienst ermöglichen. Neuerung haben viele Manager einen Cloud-Sync. Hier darf man aber niemals dem Masterpasswort vertrauen.

Immer mehr Anbieter bieten im Bereich Passwortverwaltung ihre Dienstleistung für Firmen- und Privatkunden an. Lastpass, Dashlane, 1Password usw. Mir persönlich ist es völlig schleierhaft, wie man alle seine Passwörter einem Dienstanbieter anvertrauen und damit auf dessen Redlichkeit und dessen Sicherheitskonzept vertrauen kann. Denn auch wenn der Dienstanbieter vielleicht redliche Absichten hat, bedeutet dies nicht automatisch, dass die Daten auch wirklich sicher sind.

Viele andere Programme bieten zwar keine Synchronisation über die Cloud des Herstellers, wohl aber über eine eigene individuell festlegbare Cloud. Obwohl solche Lösungen den Anwender wieder etwas mehr zum Herr seiner Daten machen, bergen diese Programme eine Gefahr.

Sehr viele verbreitete Lösungen wie z. B. SafeInCloud (siehe: SafeInCloud - Vielfältiger Passwortmanager) oder Enpass (siehe: Enpass - Ein Passwortmanager für alle Systeme & Enpass - Kleines Update mit nützlicher Funktion) setzen zur Absicherung der Datenbank auf ein Masterpasswort. Kennt man dieses Kennwort hat man Zugriff auf alle anderen Kennwörter.

Damit steht und fällt die Sicherheit der Daten mit dem gewählten Kennwort. Gewohnheit, Bequemlichkeit und begrenzte Gedächtnisleistung führen hier leider immer noch zu oft zu unterkomplexen Passwörtern  und schwächen das System einer Passwortverwaltung.

Fatal wird dies in Kombination mit der Cloud-Synchronisation. Durch den Abgleich über einen Cloud-Dienstleister gibt der Anwender faktisch die Kontrolle über die Passwortdatenbank in fremde Hände. In jedem Fall in die des Clouddienstleisters, möglicherweise auch in die des Staates, in dem dieser seinen Sitz und seine Rechenzentren hat und sind wir uns wirklich zu 100% sicher, dass die heutzutage übliche Transportverschlüsselung keine Schwächen hat?

Ist die Datenbank erst in den Händen interessierter Dritter können diese nun mit einem steinzeitlichen Instrument - dem Brute Force Angriff - beginnen. Im Gegensatz zu modernen Smartphones löscht sich die Datenbank nicht nach x Fehlversuchen und viele Programme sperren nicht mal zeitweilig den Zugriff. Es ist somit nur noch eine Frage der Zeit und der Qualität des Passworts.

Deshalb gibt es die Absicherung mittels eines so genannten 2. Faktors. Ein OTP-PIN vom Smartphone, ein YubiKey oder ein simples Keyfile auf einem USB-Stick. Die Möglichkeiten hier sind vielfältig.

Sollte eine Synchronisation über einen Cloud-Dienst unumgänglich sein muss man also unbedingt ein Programm wählen, dass eine solche Zwei-Faktor-Authentifizierung unterstützt.


Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

"

Tags: Passwörter, Passwortmanager, Zwei-Faktor-Authentifizierung, 2FA, Kennwort

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Frank Tornack
ich nutze keine Cloud für meine Passwörter. Ich bin auf einen Hardwarespeicher umgestiegen. Das Ding nennt sich Mooltipass.
Tokk
Eine weitere Möglichkeit ist natürlich auch die "Cloud" zu kontrollieren, z.B. mit Own- /Nextcloud auf dem Homeserver und die Datei dann darüber zu Syncronisieren. Seit Jahren bei mir ohne Probleme im Einsatz über mehrere PCs und Smartphones.
Gerrit
Das ist sicher besser als eine fremde Cloud aber birgt auch Gefahren. Zumindest wenn man die Nextcloud von außerhalb erreichbar macht.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius