Gut genug

Nach dem vorgestellten Verfahren gebildete Passwörter gewähren (zur Zeit) ausreichend Schutz für Online-Shops und Foren. Für das Passwort, welches den Schlüssel für eine digitale Unterschrift schützt (PGP), sollte aus Sicherheitsgründen der Passwortkern allerdings nicht mitverwendet werden. Und für manche Foren, in denen Sie ohnehin nur mit einem Nicknamen auftreten, könnten Sie auch generell ein schwaches Passwort verwenden. Am besten ist es natürlich, Sie kommen generell ohne ein eigenes Passwort aus… Vielleicht war ja ein Zeitgenosse so freundlich, und teilt das von ihm gewählte Passwort mit Ihnen? Bevor Sie also ein eigenes Passwort wählen, schauen Sie doch einfach mal unter http://www.BugMeNot.com nach.

Passwort-Manager

Betriebssysteme und Browser unterstützen das Management von Passwörtern. Sie registrieren, wenn ein Passwort abgefragt wird, lassen es eingeben und speichern es dann zusammen mit den notwendigen Zusatzinformationen (Login-Name, URL, Name des Eingabefeldes, Programmkennung) in einer verschlüsselten Datei. Zu der Datei gibt es ein Master-Passwort. Erkennt der Passwort-Manager, dass ein Programm (insbesondere der Webbrowser) ein Passwort anfordert, fragt er den User nach dem Master-Passwort, entschlüsselt die Passwort-Datei, entnimmt dieser das angeforderte Passwort und trägt es für den Benutzer ein. Der Benutzer braucht dann nur noch auf »OK« zu klicken und ist typischerweise angemeldet.

Abbildung 3: KDE bietet mit kwallet einen eigenen Passwortmanager an.

Obwohl Passwort-Manager praktisch sind, sollten Sie doch sehr behutsam eingesetzt werden. Denn schließlich stehen die Passwörter nur auf dem Rechner zur Verfügung, auf dem sie auch ursprünglich einmal eingetippt wurden. Das macht also beispielsweise im Urlaub Probleme, wenn Sie von einem Hotelrechner aus auf eine Webseite zugreifen wollen (was allerdings ohnehin kritisch ist). Damit Sie darüber hinaus bei Verlust des Passwortfiles nicht alle Passwörter verlieren, bleibt Ihnen auch mit dem Manager nichts anderes übrig, als die Passwörter doch wieder aufzuschreiben.

Das Öffnen des Passwort-Files führt zudem dazu, dass die Inhalte im Speicher des Rechners abgelegt werden. Eine installierte Malware hat damit auf einem Schlag Zugriff aus sämtliche in der Datei abgelegten Passwörter. Dem Angreifer treibt das wahre Freudentränen in die Augen.

Unter Linux steht als Passwort-Manager »kwallet« zur Verfügung. Der Firefox-Browser hat seinen eigenen Passwort-Manager und mit »KeePass« gibt es auch eine quellcodeoffene, plattformunabhängige Lösung.

Der Autor

Jürgen Quade, Professor an der Hochschule Niederrhein, schreibt regelmäßig fürs ADMIN und ist den Lesern insbesondere durch die Kern-Technik-Serie bekannt.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

ADMIN-Tipp: Commandline-Passwortmanager

Wohin mit den ganzen Passwörtern? Ein Passwortmanager auf der Commandline hilft und lässt sich gut in den Arbeitsablauf integrieren.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020