Passwort-Manager und die Cloud

Sicherheit im Web bedeutet viele Kennwörter für viele Dienste. Programme wie Keepass sind hier angesagt. Die Synchronisation beim Einsatz von mobilen Geräten ist dabei eine spezielle Herausforderung, da an dieser Stelle die Zwischenablage bei Webdiensten fast unvermeidlich ist. Ist Sicherheit hier noch gewährleistet?

Der Vorteil von Open Source

Wie bereits mehrfach in diesem Blog beschrieben, gehört Keepass sicherlich zur ersten Wahl, wenn es um die sichere Verwaltung von Kennwörtern geht. Die Wahl eines Open-Source-Produkts schafft Sicherheit. Jeder kann den Quellcode einsehen und so sind Hintertürchen meist ausgeschlossen – ein Gruß an NSA und Co.

Ein Passwort-Tresor – viele Geräte

Die große Schwachstelle von Keepass wird dann offenkundig, wenn der Einsatz über die Windows-Anwendung hinausgeht. Was nutzt die beste Anwendung, wenn diese nicht jederzeit zur Verfügung steht? Und genau das ist der Fall bei solch wichtigen „Notizen“ wie Zugangskennwörter. Was nutzt die sichere Verwahrung der Zugangsdaten, wenn das so oft geforderte komplexe Kennwort nicht zur Verfügung steht, weil der eigene PC nicht greifbar ist?

Keepass und Dritthersteller

Um den stark verschlüsselten Passwortspeicher von Keepass auf ein anderes Gerät zu synchronisieren, müssen andere Mittel her. In einem gemeinsam genutzten (lokalen) Netzwerk ist dies noch einfach. Problematischer wird der ständige Abgleich aller Einträge über Betriebssystemgrenzen hinweg. Diese beginnt beim Einsatz unterschiedlicher Rechner (Windows und Mac OS) und wird ganz entscheidend mit dem Abgleich auf einem SmartPhone.

Everytime, Everywhere

Die Vorgabe, komplexe Kennwörter zu verwenden, wird mithilfe eines Passwort-Managers unglaublich einfach. Kryptische Zeichenketten muss man sich nicht merken – sie werden einfach aus dem privaten Tresor (automatisch) eingefügt. Einfach und genial – aber nur, wenn dieser ultimative Speicher zum einen sicher und zum anderen jederzeit verfügbar ist. Und ich meine wirklich: jederzeit!

Anzeige

Hier kommt das SmartPhone ins Spiel. In der Bahn unterwegs, im Urlaub oder auch nur kurz zu Besuch bei Freunden? Nur wenn auch hier alle Zugangsdaten zur Verfügung stehen, ist die Methode der komplexen Kennwörter auch praktizierbar. Immer dabei bedeutet heutzutage noch immer die Verfügbarkeit am SmartPhone.

Synchronisation, die Cloud und Sicherheit

Wie kommen also die verschlüsselten Daten des Kennwort-Tresors auf das mobile Gerät? Und wie auch wieder zurück? Ein steter manueller Abgleich ist ebenso aufwendig wie ineffizient. Hier muss ein Automatismus her: die ständige Synchronisation, ohne Zutun des Anwenders. Der mobile Einsatz bedeutet damit aber auch den Einsatz eines ständig verfügbaren VPNs oder die Nutzung eines Cloud-Dienstes.

Cloud und Sicherheit?

Zurück zu Keepass. Ein ständiger Abgleich der Keepass-Datenbank auf einem Mobiltelefon gestaltet sich – auch bei einer vorhandenen VPN-Umgebung – mehr als schwierig. Schuld daran ist weniger die Software selbst, als vielmehr deren mobile Pendants. Keepass auf einem iPhone? Eine App eines Drittherstellers. Auf dem Android-Smartphone? Ein Dritthersteller. Auf einem Blackberry? Welcher Dritthersteller?

Alle – so überhaupt vorhandene – Hersteller von Keepass-kompatiblen Apps sind damit auf die Cloud angewiesen. Dies bedeutet: Sie vertrauen der Cloud und einem Dritthersteller.

Cloud und Verschlüsselung

Die Nutzung der Public-Cloud und das Thema Sicherheit sind diametrale Themen. Punkt. Warum also dann ausgerechnet die heiligsten aller Daten über die öffentliche Wolke abgleichen? Erste Antwort: Weil es die einzige Möglichkeit ist. Zweite und bedingte Antwort: Alles liegt an der Stärke der eingesetzten Verschlüsselung.

Von AES-256 und anderen Unbekannten

Der Begriff „Verschlüsselung“ alleine sagt nichts. Auf diesem Gebiet muss etwas mehr technischer Tiefgang erfolgen. Dafür reicht der Platz in diesem Beitrag nicht, die Problematik wurde aber an anderer Stelle ausführlich erläutert. Fakt ist (zumindest zum Zeitpunkt dieser Veröffentlichung), dass eine sehr komplexe Verschlüsselung wie AES-256, nach wie vor nicht kompromitierbar ist. Genau dieser Umstand rechtfertigt auch den Datenaustausch über die Public-Cloud – sogar über Services wie Dropbox.

TNO – Trust No One

Die alles entscheidende Frage an dieser Stelle: Wer besitzt den Schlüssel? Die beste Verschlüsselungstechnologie nutzt gar nichts, wenn andere Personen oder Dienste den Schlüssel zur Dekodierung Ihres Passwort-Tresors besitzen. Hier ist etwas Aufmerksamkeit gefragt – und vielleicht auch der Rat eines Experten. Viele Internetdienste preisen heutzutage Ihre Dienstleistungen mit hoher Verschlüsselung an. Dies führt aber nur dann zum gewünschten Ergebnis, wenn eben jene Anbieter nicht (!) über den privaten Schlüssel verfügen.

Der Schlüssel zum Tresor

Eine Keepass-Datenbank ist sehr gut verschlüsselt. Und nur Sie verfügen über den Schlüssel zur Dekodierung: Ihr Master-Passwort. Sobald die Datenbank in der Cloud (über die Synchronisation) zur Verfügung steht, sollte der Zugriff auf die Datei nicht mehr als sicher eingestuft werden. Somit hängt alles an Ihrem Hauptkennwort. Auch hier ist die Komplexität entscheidend, richtig entscheidend.

Trust One – Mathematik

Sobald sichergestellt ist, dass nur Sie über den privaten Schlüssel der Kennwort-Datenbank verfügen, bleibt die alles entscheidende Frage: Wie sicher ist ein Verschlüsselungsalgorithmus wie AES-256? Und was bedeutet „Sicherheit“ an dieser konkreten Stelle?

Die NSA-Debatte hat hier einige Neuerungen gebracht. Technologien, die bisher als sicher galten, sind es nicht mehr. Der Grund dafür liegt aber weniger in der Stärke einer Verschlüsselung – hier setzen wir ohnehin nur die höchste Stufe ein – sondern vielmehr in Schwachstellen an anderer Stelle.

Verschlüsselung schützt vor Trojaner nicht

Ein Beispiel: Die heute vielgepriesene Verschlüsselung von E-Mails großer Anbieter ist eigentliche keine. Verschlüsselt wird hier ausschließlich der Transport. Die Nachricht landet völlig unkodiert beim Empfänger und bleibt im Klartext auf dem eigenen Rechner. Beide Endpunkte sind eine Schwachstelle.

Ebenso verhält es sich bei Verwaltungsprogrammen für Kennwörter. Spähprogramme wie Keylogger können Eingaben am Rechner aufzeichnen und dort ist jedes Passwort – sei es auch noch so komplex – ein williges Opfer.

Ist AES-256 sicher?

Aktuell ja. Noch ist kein Fall bekannt, wo es gelungen wäre, eine derart starke Verschlüsselung zu knacken. Wäre dies der Fall, so wären eine Vielzahl verschlüsselter Kommunikation (Unternehmens-VPNs, etc.) obsolet. Wer bedroht die Kennwörter? Die Masse an Angriffen kommen heute von dubiosen Bot-Nets, individuellen Brut-Force-Attacken und Schadsoftware – und in diesen Bereichen ist AES-256 allemal eine sichere Bank. Die Schwachstellen liegen vielmehr an anderer Stelle: der Sicherheit Ihres Rechners und der installierten Software, dem Master-Kennwort für Ihre Passwort-Datenbank und Ihrem sonstigen Speicherverhalten (Notizen, gelbe Zettel, Mailinhalte, etc.).

Eine persönliche Entscheidung

Die Ablage einer mit einem AES-256-Algorythmus verschlüsselten Kennwort-Datenbank in der Cloud ist letztlich eine individuelle Entscheidung. Das Augenmerk allerdings nur darauf zu beschränken wäre ein schwerwiegender Fehler. Meist ist die eigene Bequemlichkeit – ein 20-stelliges Masterkennwort jedes Mal einzutippen ist schon vielen zu viel der Mühe – die weitaus größere Schwachstelle. Und noch ein Tipp: Auch das Masterkennwort sollte regelmäßig geändert werden.

 


Anzeige



Teile diesen Artikel

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*