Passwörter sicher ablegen.
Ich habe ja letzte Woche in meinem Post über PRISM versprochen, dass ich etwas über meine Art schreiben werden Passworte möglichst sicher und verschlüsselt abzulegen. Vorab sei aber folgendes gesagt: Wie sicher diese Art der Passwortablage wirklich ist, kann ich nicht sagen – zumal Passwörter auf dem Übertragungsweg immer kompromittiert werden können. Möglicherweise mag es naiv sein, in eine derartige Lösung zu vertrauen – Passwörter unverschlüsselt auf der Festplatte zu speichern oder das Passwortmanagement dem Webbrowser zu überlassen, ist aber mindestens ebenso naiv.
Das Funktionsprinzip ist relativ einfach: Für knappe 15,- habe ich das MyKey-Bundle der Fa. Chipdrive gekauft. Die Verpackung erinnert an eine Doppel-DVD, in dieser Packung enthalten ist neben einigen gedruckten Seiten ein USB-Simkartenleser, eine SIM-Karte und eine CD-ROM mit Software. Die taugt zwar nur für Windows (32 und 64 bit) – aber das ham´ wer ja.
Installiert werden muss eine Software, die die Lese-und Schreibzugriffe auf die SIM-Karte vollzieht und die Daten Triple-DES-verschlüsselt ablegt. Dazu gibt es ein Firefox-Plugin, mit dem sich der Browser um die Funktion Auto-Vervollständigen erweitern lässt. Wird der Rechner gestartet und der Stick eingesteckt, lässt sich dieser nochmal mit einer vierstelligen Pin absichern.
Im Alltag funktioniert diese Methode einwandfrei – die Installation klappt ohne Schwierigkeiten. Der einzige Pferdefuß an der Sache ist einfach nur der Speicherplatz – 64k (!) packt die SIMN-Karte. Für Passwörter genügt das – längere Texte, die der verschlüsselten Ablage bedürfen, wird man nicht auf der SIM-Karte unterbringen.
Warum das alles? Hand aufs Herz: Wer merkt sich schon gerne viele Passwörter? Niemand – und so passiert, was passieren muss: Für jede Webseite, für jeden Mailaccount, für jedes soziale Netzwerk wird ein- und dasselbe Passwort verwendet. Das ist in meinen Augen ein ähnliches Sicherheitsrisiko wie das Ablegen von Passwörtern auf der Festplatte. Der Stick löst freilich nicht alle Probleme – er ist aber ein praktikabler Ansatz, um das Sichern der eigenen Passwörter ein wenig komfortabler zu gestalten, ohne auf ein Standardpasswort zurückgreifen zu müssen.
Auch hier drüben habe ich für jeden Dienst ein eigens Passwort. Ich dagegen nutze KeePaas um alle Passwörter zu speichern und – jetzt kommt der Clou – auch zu synchronisieren. Die Datenbank von KeyPass ist selbst verschlüsselt und gilt als Knackfest. Diese Datenbank synchronisiere ich über die Cloud und habe sie auf all meinen Rechnern und mobilen Geräten zur Verfügung.
Bin hier nur gerade zufällig drüber gestolpert, aber als kleiner Tipp: Ich nutze auch KeyPass und drum herum zusätzlich TrueCrypt. Damit kann ich eine unauffällige Datei erzeugen, die in Wahrheit ein verschlüsselter Datenbereich ist. Die Kombination läßt sich prima auf jeder SD-Karte oder ’nem USB-Stick verwenden. Zusätzlich kann ich mit TrueCrypt bei Bedarf auch meine gesamte Laptop-Festplatte verschlüsseln. Ich verwende beides schon lange und ohne Probleme.