Ein beliebtes Thema bei Security Audits ist die Prüfung der Passwort-Verwaltung bei Usern. Das Thema ist (für ein IT Thema) uralt, in vielen Betrieben scheint dafür aber immer noch keine vernünftige Lösung gefunden zu sein. In Umgebung, in denen es keine Erzwingung von Passwort-Komplexitätsvorgaben gibt, ist die Verwaltung für die meisten User relativ einfach: sie verwenden einfach ein extrem simples Passwort für alle Anwendungen und Anmeldungen. Da in den gängigen Betriebssystemen die Umsetzung von Komplexitätsvorgaben relativ einfach erzwungen werden kann, ist dieser Fall heutzutage selten geworden. Stattdessen wird den zum Teil sehr komplexen und langen Passwortvorgaben damit begegnet, dass man die Passwörter einfach aufschreibt. Bevorzugt auf einen Post-It am Monitor oder unter der Tastatur.

Häufig wird vergessen, den Usern mit der Einführung von komplexen Passwörtern auch eine Möglichkeit zu geben, diese vernünftig zu verwalten. Die meisten User verwenden die PostIt-”Verwaltung” nicht aus Boshaftigkeit, sondern weil sie keine anderen Optionen gezeigt bekommen.

Hier kommen Passwort-Manager ins Spiel. Diese Tools erlauben den Usern, sämtliche Passwörter zentral zu speichern, und mit einem einzigen (komplexen) Passwort zu schützen. Der Grad an Sicherheit, den man hier gewinnt, hängt natürlich direkt mit der Auswahl des richtigen Passwort-Managers zusammen. Idealerweise gibt man in einem Firmen-Umfeld ein bestimmtes Tool für diese Aufgabe frei und schult die User in der Nutzung durch die Erstellung eines “HOWTOs”. Dies verhindert Wildwuchs von Passwort-Tools, die evtl. nicht einmal den Mindest-Vorgaben entsprechen.

Bis vor kurzem waren Online-Passwort-Manager groß in Mode. Hierbei werden die Passwörter “In der Cloud” gespeichert und sind von überall aus zugreifbar, wo man Online ist. Unbeirrt von den Warnungen von Sicherheitsexperten fanden diese Dienste großen Zulauf. Seit dem vermuteten Hacker-Angriff auf LastPass dürfte diese Euphorie etwas nachgelassen haben. Das Problem bei diesen Diensten ist, dass der Dienstleister Zugriff auf die Passwörter hat. Bei einem erfolgreichen Einbruch kann dann eben auch nicht ausgeschlossen werden, dass der Angreifer ebenfalls Zugriff auf die Daten hat. Ganz abgesehen davon stellt sich bei Dienstleistern aus nicht-europäischen Ländern natürlich die Frage, wie einfach Strafverfolgungsbehörden “eben mal so” Zugriff auf diese Daten nehmen können, auch ohne richterlichen Beschluss …

Ein ebenso schlechter Ansatz ist die Nutzung der eingebauten Passwort Manager der diversen Browser. Zwar hat sich beim Thema “Browser-Sicherheit” in den letzten Jahren viel getan, allerdings ist bei einem erfolgreichen Browser-Angriff der Zugriff auf die Daten im Browser, in diesem Fall auf die Passwort-Datenbank, in der Regel nicht weit entfernt. Abgesehen davon bieten viele Browser mittlerweile die Möglichkeit, die Daten “in der Cloud” zu speichern, wobei wir wieder bei Problem Nummer 1 wären. Zuletzt ist hier auch zu bedenken, dass diese Passwort-Manager nur dafür ausgelegt sind, Web-Passwörter zu speichern. Man hat hier immer noch keine Lösung für Betriebssystem- und Applikations-Passwörter.

Eine gute Lösung ist die Nutzung ist die Nutzung eines lokalen Passwort-Managers, der die Daten entweder lokal oder auf einem persönlichen Laufwerk stark verschlüsselt abspeichert. Aus persönlicher Erfahrung kann ich hier KeePass empfehlen. Die Nutzung ist auch einem unerfahrenen User einfach beizubringen und das Tool steht kostenlos für die klassischen User-Betriebssystem (Windows, Linux, MAC OS X) zur Verfügung. Die gesamte Datenbank ist standardmäßig AES verschlüsselt, so dass ein direkter Angriff auf die Datenbank wenig erfolgversprechend ist. Für unterwegs gibt es eine Portable-Version.

Zum Schluss noch ein Gedanke zur Passwort-Verfügbarkeit: Bei der Einführung eines Passwort-Managers in Unternehmen sollte man sich sicher sein, dass man über geeignete Prozesse einem User, der sein Master-Passwort vergisst, wieder Zugriff auf seine Accounts geben kann. In der Regel sollte das aber kein Problem sein, da man diese Lösung ja auch bei einer “Post-It Verwaltung” benötigt.