Ich hab jetzt begonnen, mich mit dem Thema „Passwortmanager“ auseinander zu setzen.
Hintergrund:
Jeder kennt das, dass man für alles Mögliche im Netz und auf dem eigenen PC einen Login benötigt. Sprich, ich muss meinen Benutzernamen eingeben und das Passwort, um für etwas Zugang zu erhalten.
Das Problem:
Eigentlich sollten sich solche Logins für verschiedene Zugänge voneinander unterscheiden.
Manche haben jeweils unterschiedliche Zugänge, die sie sich aufschreiben und im Ordner oder sonstwo abheften (z.B. einen für das Bankkonto, einen für den Zugang zu den eMails, noch einen für den Blog, einen für den Anbieter der eBooks, einen für die Internet-Apotheke usw usf.).
Da kommen schnell mal 10 verschiedene Logins zusammen.
Viele nutzen dabei dann die Möglichkeit des Browser, solche Logins zu speichern, und bei Aufruf der Seite automatisch einzutragen, um nicht jedesmal den Zettel aus dem Ordner holen zu müssen. So weit, so gut.
Andere verwenden für alle Zugänge den gleichen Login. Oder ev. 2-3 Logins, die mehrfach Verwendung finden.
Bei beiden, sehr weit verbreiteten, Verfahrensweisen, bleibt die Sicherheit hintendran.
Im ersten Fall sind die einschlägigen Berichte über Passwörter, die auf PCs ausspioniert worden sind, hinreichend bekannt.
Im zweiten Fall ebenso, da ein einmaliger Fehler, der das Ausspionieren ermöglicht, zugleich den Login für mehrere Anwendungen offenbart.
Also bleibt doch nur die Zettel-Variante?
Nein, es gibt Passwort-Mananger.
Das ist ein Programm auf dem PC, in das man Benutzername und Passwort pro Login einträgt, und das Ganze dann mit einem Masterpasswort absichert. Die Datenbank, die die ganzen Daten beinhaltet, ist mit besagtem Masterpasswort verschlüsselt. Der Aufwand, so etwas zu knacken, wäre absolut enorm. Weiterer Vorteil: Man benötigt nur noch EIN Passwort, z.B. um Zugang zum Passwort-Manager zu bekommen.
Die praktische Handhabung ist insofern sehr einfach, als der Passwort-Manager den Login für eine Webseite automatisch speichert (nach Rückfrage), und wenn man die Seite dann wieder aufruft, die Login-Daten entsprechend einträgt. Im Grunde genommen also nichts anderes, als das, was man schon gewohnt ist (bisher hat das eben meist der Browser gemacht, was aber bei weitem nicht so sicher war).
Die Frage ist nur …. welchen Passwort-Manager nutzen?
Ich habe mich mit 2-en befasst (alle anderen sind ähnlich), die von den Meisten genutzt werden, und die man als führend bezeichnen kann.
Als da wären: KeePass und LastPass. Beides kostenlos.
Ich habe mich letztlich für LastPass entschieden, weil sehr einfach in der Handhabung. Ich habe mich sofort damit zurecht gefunden. Bei KeePass gibt es an manchen Stellen Verfahrensweisen, bei denen der Laie doch eher Probleme haben wird (z.B. Synchronisation der Datenbank auf verschiedenen Endgeräten via Dropbox).
LastPass ist allerdings ein Webbasierter Weg. Der Manager beschränkt sich auf Zugänge per Internet. Aber offen gesagt, ich habe, außer bei Skype, keinen Zugang mehr, der nicht über das Web läuft.
Die Installation beschränkte sich auf ein Add-On in meinem Firefox-Browser. Und das funktioniert auch unter Linux (Ubuntu) problemlos. Eine mehr oder weniger heftige Software-Installation war also überflüssig.
Masterpasswort festgelegt ….. fertig.
Ich nutze das Ganze jetzt seit ca. 1 Woche, ohne dass ich irgendwelche Probleme hatte.
Es gibt ein paar Funktionen, die nur in der kostenpflichtigen Premium-Version verfügbar sind. Die waren für mich bisher unnötig, und werden es wohl auch bleiben.
Mein Masterpasswort ist 10-stellig, was mir völlig ausreicht. Wenn ich wollte, könnte ich das noch ausreizen, indem ich zusätzlich die 2-Wege-Authentifizierung verwende. Ich bin der Meinung, man kann es auch übertreiben und unnötig verkomplizieren. Wem ein 10-stelliges MP nicht reicht, der kann ja auch ein 20-stelliges einsetzen.
Am Anfang habe ich noch die Browser-Funktionalität parallel mitlaufen lassen, für den Fall, dass was schief geht. Zudem habe ich die meisten Logins auch noch im Kopf.
Das hat auch damit zu tun, dass ich, ASCHE AUF MEIN HAUPT, so manche Logins für mehrere Zwecke einsetze.
Letzteres wird dazu führen, dass ich demnächst über LastPass sämtliche Passwörter ändern werde, und zwar SO, dass für jeden Bereich ein separates Passwort zum Einsatz kommt. Jetzt, da ich mir die alle nicht mehr merken müsste, kann ich das ja tun. Und so werde ich mir also ein sicheres Passwort von LastPass jeweils vorschlagen lassen, und dieses dann über die Kopieren-Funktion auf der jeweiligen Webseite eintragen.
Das mulmige Gefühl, das ich schon lange Zeit hatte, wenn ein und dasselbe Passwort häufiger zum Einsatz kam, wird dann, nach und nach, verschwinden.
Eins noch zum Schluss: Was NIE ausbleiben wird, ist eine Datensicherung. Man denke an den Satz …. eine Datensicherung braucht man immer dann, wenn man keine hat. Das Erste, was ich also gemacht habe, nachdem ich LastPass zum Einsatz brachte, war eine komplette Systemsicherung.
Offen gesagt, wer seine Daten nicht fortlaufend sichert, dem ist eh nicht zu helfen. Und das gilt AUCH für Privatanwender.
Aber keine Bange …. es ist auch möglich, die Login-Datenbank einzeln zu sichern. Dazu ist in LastPass eine Export-Funktion enthalten. Das sollte man sicherlich nutzen, um etwa die Datenbank auf einen Stick zu sichern, der dann an sicherer Stelle aufbewahrt wird. Das sollte einen allerdings nicht davon abhalten, den kompletten PC z.B. wöchentlich auf eine externe Festplatte KOMPLETT zu sichern.
Dazu gehörte jetzt natürlich auch das Thema der „Mehr-Generationen-Sicherung“. Denn was nützt mir eine Sicherung, bei der ich dann, wenn ich sie benötige, feststelle, dass diese oder der Datenträger defekt ist. Aber das ist ein anderes Thema.
Es grüßt,
das Smamap
Ich nutze den Password Safe. Kostenlos einfach zu bedienen und geht auch übers Netzwerk.
Jo, feine Sache sowas
Pingback: Passwortmanager, die 2. | Was (keine) Freude Macht