Entries tagged as computer
it 2010 administration alltag amazon angriff annoyances apache arbeit area asus attacke audio bibliophil browser bsd buch bücher coppados databases dinner easy peasy eeepc einbruchsversuche erfahrungsbericht essen & trinken fachbuch farbenblind frauen freebsd geek geeks gesellschaft ggd girl green plug guide howto html ifbw2010 informatica feminale innovation internet karlsruhe kde passwort rechner safe sicherheit technik tipp helen keller security server ssh systemadministration zitat android app avm bernd eckes fritz handyticket hardware lesen manga medien mela milestone mobil motorola nahverkehr neuen medien no starch o'reilly october daye office pdf Seanan McGuire software statistics szenen einer ehe ad(h)s Adams artenschutz aufräumen biodiversität blogger bühnenkampf chaos decke douglas adams flix foto fotografieren frau frieren geschenk jkrowling kalender larp linux liste lobo messie nutzpflanzenvielfalt pratchett schaukampf schenken seed savers tolkien unix weihnachten weihnachtstipp
Wissen und Technik: Online-Passwort-Safes
Geblogged habe ich über das Thema noch nicht, sondern immer nur wieder in meinen Bezugsgruppen oder von mir bezogenen Mailinglisten agitiert. Das Bloggen hat dann Biggi übernommen und heute möchte ich die versprochene Ergänzung/Erweiterung schreiben.
Was ist ein Passwort-Safe?
Ein Passwort-Safe ist ein Stück Software in dem man alle Passwörter die sich so ansammeln aufbewahren kann. Ein Passwort-Safe legt die Passwörter mit einem Master-Passwort verschlüsselt in einer Datenbank oder einer Datei ab. Vergessene Passwörter gehören damit (weitgehend) der Vergangenheit an. Vergessen werden darf das Master-Passwort allerdings auf keinen Fall. Die Verschlüsselung der meisten Safes ist so stark, dass jeder Zugriff auf den Safe ohne das Master-Passwort unmöglich wird.
Der erste Passwort-Safe den ich je verwendet habe, befand sich auf meinem Smartphone. Wenig komfortabel, nicht exportier- oder übertragbar, aber er tat einige gute Dienste bei von mir seltener genutzen PINs.
Warum man einen Passwort-Safe verwenden möchte:
Welche Probleme bereiten Passwort-Safes?
Typisch sind Safes die direkt auf dem Rechner installiert werden, wie KeePassX, KeePass, PasswortSafe und viele Andere. Und so gut diese Safes ihre Aufgabe auch erfüllen, so sehr sie die Disziplin erhöhen Passwörter nicht zu recyclen oder zu notieren, überleben sie sich mit der fortschreitenden Technisierung.
Auch Otto-Normal-User besitzt immer häufiger mehr als ein internetfähiges Gerät. Sei es PC und Laptop, PC und Netbook, PC und internetfähige Spielekonsole oder PC und Smartphone. Oder im Falle vieler Poweruser: PC, Laptop, Netbook, internetfähige Spielekonsole UND Smartphone.
Dazu möchte man vielleicht mal vom PC bei Verwandten, Freunden oder im Internetcafé arbeiten. Oder vom PC am Arbeitsplatz und von zu Hause auf die gleichen Passwörter zugreifen.
Natürlich gibt es viele mehr oder weniger gute Tools um Daten zwischen verschiedenen Rechnern zu synchronisieren oder man installiert den Passwort-Safe direkt auf einem USB-Stick den man ständig bei sich trägt. Aber auch damit sind nicht alle Probleme ausgeräumt. Beim USB-Stick ist man meist auf ein Betriebssystem (und hier meist auf Windows) festgelegt, ausserdem kann er selten an Smartphones angeschlossen werden. Selbst wenn man die Synchronisation zwischen verschiedenen Rechnern weitgehend automatisiert, sie wird nie perfekt sein und die Passwort-Bestände der einzelnen genutzten Geräte drohen auseinanderzudriften.
Warum also nicht einen Passwort-Safe zentral ablegen? Hier bietet sich ein Safe an der übers Web/HTTP oder zumindest HTTPS also eine SSL-gesicherte Verbindung zu erreichen ist.
Vorteil ist hier: die meisten Firewalls lassen HTTP- und HTTPS-Verbindungen zu. Man kann auch von Rechnern auf den Safe zugreifen die einem nicht erlauben Programme von einem mitgebrachten USB-Stick auszuführen. Wie zum Beispiel nicht selten in Internet Cafés, bei Kiosk-Internet-PCs oder allgemein zugänglichen Rechnern in Bibliotheken der Fall.
Es muss auch keine gesonderte Software installiert werden - für die man in manchen Firmen eine Genehmigung bräuchte. Die komplette Verwaltung findet im Browser statt. Dadurch sind Web-Passwort-Safes auch vollständig unabhängig vom verwendeten Betriebssystem.
Nun erscheint allerdings ein Passwortsafe der sich irgendwo im Netz befindet der dunkelste Sicherheits-Alptraum zu sein. Das muß allerdings nicht der Fall sein!
Welche Online-Passwort-Safes gibt es?
PassPack
PassPack ist ein kommerzieller Anbieter eines web-basierten Passwort-Safes. Der Nachteil ist: die Daten liegen - wenngleich verschlüsselt - auf einem fremden Server. Sollte PassPack den Laden dicht machen, ist der Passwort-Safe verloren.
Es werden keine Daten im Klartext zu Passpack übertragen. Die Einträge werden im Webbrowser javascriptbasiert verschlüsselt und dann erst übertragen.
Vorteil: Passwörter können einer Nutzergruppe zugänglich gemacht werden ohne das alle Nutzer auf den gleichen PassPack-Account zugreifen.
Mein persönlicher Eindruck: Hohe gefühlte Sicherheit, dadurch aber sehr unhandlich.
Clipperz
Clipperz baut weitgehend auf ähnlicher Technik wie PassPack auf. Auch hier werden die Daten im Browser verschlüsselt und dann erst zum Server übertragen. Wie auch bei PassPack können Passwörter anderen Clipperz-Nutzern zugänglich gemacht werden.
Weitere Vorteile:
Nachteil: Wie bei PassPack ist man darauf angewiesen dass die Firma ihr Geschäft aufrechterhält. Die Daten sind in fremden Händen. Die Offline-Kopien bieten etwas mehr Sicherheit gegen Datenverlust.
Web-KeePass
Web-KeePass ist die Web-Version des systemübergreifenden Passwort-Safes KeePass/KeePassX. Auch sie verschlüsselt im Webbrowser bevor die Daten zum Server übertragen werden. Anders als Clipperz und PassPack verwendet Web-KeePass Java statt Javascript.
Auch serverseitig ist Java sowie eine MySQL-Datenbank nötig.
Vorteil: Web-KeePass wird auf eigenem Webspace installiert. Hier bleiben die Daten vollkommen in eigener Hand.
Nachteil: Man muss eigenen Webspace besitzen um Web-KeePass zu installieren und dieser muss Java anbieten. Die Bedingung wird von den üblichen Webhosting-Paketen im Allgemeinen nicht erfüllt.
Clipperz Community Edition
Die Macher von Clipperz bieten ihre Software - in einer leicht eingeschränkten Version - zum Download an. Wie Web-KeePass kann die Clipperz Community Edition auf dem eigenen Server installiert werden. Dazu muss PHP5 und eine MySQL-Datenbank verfügbar sein. Also Bedingungen wie die meisten besseren Webhosting-Pakete sie bieten.
Vorteil: Wie bei Web-KeePass bleiben die Daten vollständig in der eigenen Hand.
Nachteile:
Trotz der kleinen Nachteile ist die Clipperz Community Edition auch meine eigene Wahl.
Noch einmal in Stichpunkten die Vorteile von Online-Passwort-Safes:
Ungetestet: In wie weit die Online-Passwort-Safes barrierefrei sind kann ich leider nicht sagen. Schätzungsweise sind sie dank der ausschweifenden aktiven Elemente eher wenig Screenreader-geeignet.
DISCLAIMER:
Über die Sicherheit der jeweilig verwendeten Alghorithmen kann ich fachlich keine Auskunft geben und treffe daher keine Aussage. Nach meinem Laien-Kryptographie-Wissen sind sie nicht mehr und nicht weniger unsicher als Online-Banking auch.
Was ist ein Passwort-Safe?
Ein Passwort-Safe ist ein Stück Software in dem man alle Passwörter die sich so ansammeln aufbewahren kann. Ein Passwort-Safe legt die Passwörter mit einem Master-Passwort verschlüsselt in einer Datenbank oder einer Datei ab. Vergessene Passwörter gehören damit (weitgehend) der Vergangenheit an. Vergessen werden darf das Master-Passwort allerdings auf keinen Fall. Die Verschlüsselung der meisten Safes ist so stark, dass jeder Zugriff auf den Safe ohne das Master-Passwort unmöglich wird.
Der erste Passwort-Safe den ich je verwendet habe, befand sich auf meinem Smartphone. Wenig komfortabel, nicht exportier- oder übertragbar, aber er tat einige gute Dienste bei von mir seltener genutzen PINs.
Warum man einen Passwort-Safe verwenden möchte:
- vermeidet die mehrfache Nutzung des immergleichen Passworts für diverse Webdienste
- vermeidet die Verwendung von leicht merkbaren Passwörtern
- nimmt kryptischen aber sicheren Passworten den Schrecken
- hilft den Überblick zu behalten wo man verdammt nochmal überall einen Account hat und mit welchem Usernamen oder welcher Emailadresse man sich dort angemeldet hat
- vermeidet auf Schmierzetteln notierte Passworte
- vermeidet Passwort-Notizbücher mit Klartextpassworten
- vermeidet Klartext-Passwortdateien
Welche Probleme bereiten Passwort-Safes?
- die im Safe abgelegten Daten sind immer nur so sicher wie das Master-Passwort
- die im Safe abgelegten Daten sind immer nur so sicher wie der verwendete Verschlüsselungsalgorithmus
- die im Safe abgelegten Daten sind immer nur so sicher wie der Computer/das Gerät auf dem der Safe abgelegt wird. Viren, Trojaner, Keylogger, Schäuble, über die Schulter sehende Kollegen senken die Sicherheit dieser Programme eklatant.
- die im Safe abgelegten Daten sind immer nur so sicher wie die Verbindung über die sie übertragen werden. Gibt man die Passwörter über eine ungesicherte Verbindung (http/ftp etc.) ein, können sie jederzeit abgefangen werden.
- die Export-Dateien der meisten Passwort-Safes werden im Klartext gespeichert. Bleiben sie auf der Festplatte liegen, nutzt auch der beste Passwort-Safe nichts.
- Festplattencrashs, geklaute Laptops, verlorene USB-Sticks lassen einen mitunter den kompletten Passwort-Safe verlieren. Tägliche Backups sind bei Passwort-Safes sehr wichtig. Vor allem wenn sie Passwörter enthalten die man nicht leicht zurücksetzen kann.
- Backups des Safes im Klartext machen Sinn und Nutzen des Safes zunichte
- Nicht jede Passwort-Safe-Software ist auf allen Betriebssystemen einsetzbar und die Datenformate sind nicht immer einfach in eine neue Passwort-Safe-Software importierbar. Ein Softwarewechsel ist mitunter lästig und arbeitsintensiv.
Typisch sind Safes die direkt auf dem Rechner installiert werden, wie KeePassX, KeePass, PasswortSafe und viele Andere. Und so gut diese Safes ihre Aufgabe auch erfüllen, so sehr sie die Disziplin erhöhen Passwörter nicht zu recyclen oder zu notieren, überleben sie sich mit der fortschreitenden Technisierung.
Auch Otto-Normal-User besitzt immer häufiger mehr als ein internetfähiges Gerät. Sei es PC und Laptop, PC und Netbook, PC und internetfähige Spielekonsole oder PC und Smartphone. Oder im Falle vieler Poweruser: PC, Laptop, Netbook, internetfähige Spielekonsole UND Smartphone.
Dazu möchte man vielleicht mal vom PC bei Verwandten, Freunden oder im Internetcafé arbeiten. Oder vom PC am Arbeitsplatz und von zu Hause auf die gleichen Passwörter zugreifen.
Natürlich gibt es viele mehr oder weniger gute Tools um Daten zwischen verschiedenen Rechnern zu synchronisieren oder man installiert den Passwort-Safe direkt auf einem USB-Stick den man ständig bei sich trägt. Aber auch damit sind nicht alle Probleme ausgeräumt. Beim USB-Stick ist man meist auf ein Betriebssystem (und hier meist auf Windows) festgelegt, ausserdem kann er selten an Smartphones angeschlossen werden. Selbst wenn man die Synchronisation zwischen verschiedenen Rechnern weitgehend automatisiert, sie wird nie perfekt sein und die Passwort-Bestände der einzelnen genutzten Geräte drohen auseinanderzudriften.
Warum also nicht einen Passwort-Safe zentral ablegen? Hier bietet sich ein Safe an der übers Web/HTTP oder zumindest HTTPS also eine SSL-gesicherte Verbindung zu erreichen ist.
Vorteil ist hier: die meisten Firewalls lassen HTTP- und HTTPS-Verbindungen zu. Man kann auch von Rechnern auf den Safe zugreifen die einem nicht erlauben Programme von einem mitgebrachten USB-Stick auszuführen. Wie zum Beispiel nicht selten in Internet Cafés, bei Kiosk-Internet-PCs oder allgemein zugänglichen Rechnern in Bibliotheken der Fall.
Es muss auch keine gesonderte Software installiert werden - für die man in manchen Firmen eine Genehmigung bräuchte. Die komplette Verwaltung findet im Browser statt. Dadurch sind Web-Passwort-Safes auch vollständig unabhängig vom verwendeten Betriebssystem.
Nun erscheint allerdings ein Passwortsafe der sich irgendwo im Netz befindet der dunkelste Sicherheits-Alptraum zu sein. Das muß allerdings nicht der Fall sein!
Welche Online-Passwort-Safes gibt es?
PassPack
PassPack ist ein kommerzieller Anbieter eines web-basierten Passwort-Safes. Der Nachteil ist: die Daten liegen - wenngleich verschlüsselt - auf einem fremden Server. Sollte PassPack den Laden dicht machen, ist der Passwort-Safe verloren.
Es werden keine Daten im Klartext zu Passpack übertragen. Die Einträge werden im Webbrowser javascriptbasiert verschlüsselt und dann erst übertragen.
Vorteil: Passwörter können einer Nutzergruppe zugänglich gemacht werden ohne das alle Nutzer auf den gleichen PassPack-Account zugreifen.
Mein persönlicher Eindruck: Hohe gefühlte Sicherheit, dadurch aber sehr unhandlich.
Clipperz
Clipperz baut weitgehend auf ähnlicher Technik wie PassPack auf. Auch hier werden die Daten im Browser verschlüsselt und dann erst zum Server übertragen. Wie auch bei PassPack können Passwörter anderen Clipperz-Nutzern zugänglich gemacht werden.
Weitere Vorteile:
- Clipperz bietet Einmal-Passwörter an. Mit diesen kann man sich von Fremd-Rechnern wie in Internet-Cafés einloggen ohne das Master-Passwort eingeben zu müssen. Das eingegebene Einmal-Zugangspasswort verfällt nach der Nutzung. Die Möglichkeit zum Datendiebstahl wird eingeschränkt.
- Die Möglichkeiten zum Import bestehender Passwort-Safes sind umfangreicher als bei PassPack.
- Clipperz bietet die Möglichkeit Read-Only-Kopien herunterzuladen. Diese können auch offline verwendet werden um Passwörter, Konto- oder Kreditkartendaten nachzuschlagen. Dadurch ist man auch gegen temporäre Verbindungsprobleme weitgehend abgesichert.
Nachteil: Wie bei PassPack ist man darauf angewiesen dass die Firma ihr Geschäft aufrechterhält. Die Daten sind in fremden Händen. Die Offline-Kopien bieten etwas mehr Sicherheit gegen Datenverlust.
Web-KeePass
Web-KeePass ist die Web-Version des systemübergreifenden Passwort-Safes KeePass/KeePassX. Auch sie verschlüsselt im Webbrowser bevor die Daten zum Server übertragen werden. Anders als Clipperz und PassPack verwendet Web-KeePass Java statt Javascript.
Auch serverseitig ist Java sowie eine MySQL-Datenbank nötig.
Vorteil: Web-KeePass wird auf eigenem Webspace installiert. Hier bleiben die Daten vollkommen in eigener Hand.
Nachteil: Man muss eigenen Webspace besitzen um Web-KeePass zu installieren und dieser muss Java anbieten. Die Bedingung wird von den üblichen Webhosting-Paketen im Allgemeinen nicht erfüllt.
Clipperz Community Edition
Die Macher von Clipperz bieten ihre Software - in einer leicht eingeschränkten Version - zum Download an. Wie Web-KeePass kann die Clipperz Community Edition auf dem eigenen Server installiert werden. Dazu muss PHP5 und eine MySQL-Datenbank verfügbar sein. Also Bedingungen wie die meisten besseren Webhosting-Pakete sie bieten.
Vorteil: Wie bei Web-KeePass bleiben die Daten vollständig in der eigenen Hand.
Nachteile:
- Im Gegensatz zur Clipperz bietet die Clipperz Community Edition nicht die Möglichkeit Passwörter einer Nutzergruppe zugänglich zu machen.
- Es existieren einige kleinere Macken was das Session-Management angeht. Hin und wieder kann es vorkommen das neue Passwörter oder Änderungen nicht gespeichert werden, wenn eine Session nicht sauber beendet werden konnte.
Trotz der kleinen Nachteile ist die Clipperz Community Edition auch meine eigene Wahl.
Noch einmal in Stichpunkten die Vorteile von Online-Passwort-Safes:
- unabhängig vom verwendeten Betriebssystem
- nahezu unabhängig vom verwendeten Gerät
- bedienbar mit beinahe jedem modernen Browser
- von nahezu jedem Ort aus Zugriff auf den gleichen Datenstand
- die Versuchung Passwörter zu recyclen oder sehr einfache Passwörter zu verwenden wird gesenkt. Accounts bei Webdiensten werden dadurch besser gesichert
- die Versuchung Passwörter im Klartext niederzuschreiben wird gesenkt
- selbst wenn der Rechner/Laptop, das Netbook/Smartphone gestohlen oder der USB-Stick verloren wird sind die Passwortdaten nicht mit dem Gerät verschwunden
- Read-Only-Kopien bieten sichere, lokale Backups und Ausfallsicherheit bei Netz- oder Serverproblemen
- erspart aufwendige Datensynchronisation über verschiedene Geräte
- gemeinsam genutzte Passwörter können in einem sicheren Umfeld abgelegt und von allen Beteiligten eingesehen werden
Ungetestet: In wie weit die Online-Passwort-Safes barrierefrei sind kann ich leider nicht sagen. Schätzungsweise sind sie dank der ausschweifenden aktiven Elemente eher wenig Screenreader-geeignet.
DISCLAIMER:
Über die Sicherheit der jeweilig verwendeten Alghorithmen kann ich fachlich keine Auskunft geben und treffe daher keine Aussage. Nach meinem Laien-Kryptographie-Wissen sind sie nicht mehr und nicht weniger unsicher als Online-Banking auch.
