Password Safe

Bin ich schon paranoid oder mache ich mir einfach zu viele Gedanken? Immer wieder gibt es Meldungen, dass Datensätze mit Anmeldenamen oder Mailadressen mit dazugehörigen Kennworten, teils unverschlüsselt, im Internet ungesichert auftauchen oder verkauft werden.

Kenwortsicherheit

Aber ich habe mir mal folgende Stichpunkte gemerkt:

  • Jedes Kennwort ist sicher, solange es niemand sonst weiß
    Aber denken Sie daran, dass es Kennworte gibt, die leicht zu erraten oder ermitteln sind. Die Länge eines Kennworts ist wichtiger als die Komplexität
  • Ein Zugang wird nicht sicherer, nur weil das Kennwort regelmäßig geändert wird
    Hier muss ich immer wieder Administratoren überzeugen, die ihre Anwender zu regelmäßigen Änderungen alle paar Wochen oder Monate zwingend. Damit dies das Kennwort nicht sicherer. Wenn es aber "fremd" verwendet wird, dann muss diese  Unregelmäßigkeit bei der Anmeldung bemerkt werden, z.B. komische Uhrzeit oder Standort. Dann sollte sofort reagiert werden und nicht erst der nächste Zwangswechsel greifen.
  • Zwei Faktor Authentifizierung
    Kennworte können abgelauscht oder auch mit einer Webcam aufgezeichnet werden. Daher ist eine 4-stellige PIN mit Windows Hello sogar sicherer, da die nur auf diesem Gerät funktioniert. Der Computer ist ein Teil des Schlüssels.
  • Das Mailboxfach ist das wichtigste Konto
    Denn die meisten Dienste senden an dieses Postfach den "Kennwort zurücksetzen-Link", wen sie bei einem anderen Konto diese Funktion nutzen. Hier verbietet sich natürlich auch ein "Free"-Konto, welche auch verloren gehen kann. Ich hatte früher mal ein Konto bei GMX. Nach vielen Monaten wollte ich es wieder reaktivieren. Da war das Konto aber wohl schon freigegeben und dann von jemand anderem neu genutzt worden.

Millionen Mailadressen

Nein, ich bin wohl nicht paranoid, denn am Tag der geplanten Veröffentlichung erscheint in allen Medien die Meldung, dass in Tauschbörsen verfügbaren Dateien die Zugangsdaten von ca. 16 Mio Postfächern liegen würden. Schlimmer noch: Es sei schon Wochen vorher bekannt gewesen, bis das BSI an die Öffentlichkeit gegangen ist.

Die aus meiner Sicht untaugliche Webseite kann ja nicht der Grund für diese Verzögerung sein. Aus meiner Sicht wäre eine umgehende Information der Empfänger per signierter Mail der richtig Weg gewesen.

Statt dessen suchen nun 16 Mio. Empfänger, die deutsche Medien und Presse nutzen, nach der URL um ihre Mailadresse einzugeben. Aber Sie bekommen dann mitnichten eine Information, ob ihre Mailadresse in der Liste aufgeführt ist. Wer auch immer hat sich einen ganz komplizierten Prozess ausgedacht:

  • Der Anwender surft die Webseite an und gibt seine Mailadresse ein.
  • Die Webseite prüft die Mailadresse und...
    • Mailadresse gelistet -> Benutzer bekommt eine Mail
      ums ich von Spammern zu unterscheiden zeigt die Webseite einen Code an, der im Betreff der Mail enthalten sein muss. Zudem ist die Mail per PGP signiert, womit die meisten sowieso nichts anfangen können. Hingegen können sehr viele Clients ohne weitere Vorarbeiten "S/Mime Signaturen " verstehen.
    • Mailadresse nicht gelistet
      Dann bekommt der Anwender überhaupt keine Rückmeldung. Der "Code" wird dennoch angezeigt aber ob die Mail vom Spamfilter oder schlimmer noch, vom kriminellen Fremden schnell gelöscht wurde, kann der Anwender nicht überprüfen. Und wenn der Server schon unter der anfänglichen Last zusammenbricht, dann kann er vielleicht gerade auch keine Mails versenden ?.

Ich meine: "Professionell geht anders". Warum reicht es nicht die Mailadresse mit einem Captcha einzugeben und dann sofort ROT oder GRÜN einen Status zu bekommen. Hat jemand Angst, dass ich eine andere Mailadresse so "proben" könnte ?. Und wenn schon, das Kennwort für die andre Mailadresse habe ich normalweise ja nicht aber könnte z.B.: für meine Familienangehörige den Test schnell durchführen.

Und wo ist der Weg für Domaininhaber, im Auftrag die eingerichteten Postfächer unter seiner Domäne zu prüfen und ggfls. das Konto zu sperren, bist der Anwender seine Anmeldedaten geändert hat? Stellen Sie sich vor ein Anwender hat einen "unsicheren Client" für den Zugriff auf Exchange verwendet und in der Liste steht damit das AD-Kennwort? Da ist Gefahr im Verzug und würde sicher rechtfertigen, den Admin-C der Domäne mit einer Liste der kompromittierten Postfächern zu versehen

Gilt ein Gesetzt denn nicht auch für Behörden? Als Privatperson ist man für bestimmte Verbrechen sogar anzeigepflichtig. Auch "§109a TKG Datensicherheit" (http://dejure.org/gesetze/TKG/109a.html) beschreibt dazu was:

..  Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. ...
§ 109a Datensicherheit  http://www.gesetze-im-internet.de/tkg_2004/__109a.html

Und selbst die Schweigepflicht wäre hier kein Problem ist es nicht ein "Rechtfertigende Notstand" nach § 34 StGB (http://dejure.org/gesetze/StGB/34.html), wenn über die gekaperten Postfächer sich Verbrecher Zutritt zu eBay, PayPal, Amazon und andere Konten schaffen und finanziellen Schaden anrichten. Da ist eine Mail an 16 Mio. Empfänger sicher das kleinere Übel. Und man erwischt alle, auch die, die gar keine deutschen Medien lesen. Zudem ist es nicht der erste und sicher nicht der letzte Fall.

Sei es drum. Der Schaden kann geringer sein, wenn Sie ein paar Grundregeln beachten. Aber solange jemand Zugang zu ihrem Postfach hat, kann er sich in der Regel auch andere Zugänge "zurücksetzen" lassen. Handeln Sie !

Kennwort Grundlagen

Ich gehe es zu, ich werde älter und auch wenn ich mir regelmäßig genutzte Dienste und deren Kennworte noch merken kann, so vermeide ich es schon, auf verschiedenen Diensten das gleiche Kennwort zu nutzen. Schlimm genug, dass mittlerweile fast alle Dienst die "Anmeldung per Mailadresse" erlauben, wo doch diese Information schon nicht besonders geheim ist und die meisten Anwender nicht den Vorteil einer eigenen Domain mit entsprechend "unbeschränkten" Mailadressen habe. Aber wäre dann "dropbox@carius.de" ein sichererer Anmeldename ? Ich denke nicht. Also muss das Kennwort sicher sein und für die Sicherheit sind da mehrere Faktoren wichtig:

  • Länge
    Je länger ein Kennwort, desto mehr Versuche benötigt ein Angreifer, wenn er es überhaupt einmal erraten kann. Es muss nicht mal komplex sein, zumal viele Dienste mit Sonderzeichen eh ihre Probleme habe. Leider haben einige Dienste auch mit der Länge ein Problem. Selbst Windows NT4 hat maximal 14 Stellen gespeichert und dabei sogar noch 7+7 verschlüsselt, d.h. man konnte anhand des Hashwert schon sehen, ob das Kennwort kürzer ist. Aber auch Amazon hat wohl in 2013 nur die ersten Buchstaben als relevant genutzt. Dennoch ist heute "Länge" wichtig.
  • Einmalig
    Noch wichtiger ist natürlich, auch wenn es mühsam ist, dass ein Kennwort nicht mehrfach verwendet wird. Der Gau wäre es, dass ein Dienst korrumpiert wird oder jemand das Kennwort erspäht und damit auch andere Dienste übernehmen kann. Ganz ungeschickt ist es wenn Sie z.B. die PIN ihrer EC-Karte anderweitig wieder verwenden. Idealerweise nutzen sie für jeden Dienst ein eigenes Kennwort, welches sich auch nicht irgendwie herleiten lässt. Also ihr Amazonkonto sollten sie nicht mit "pass4amazon" absichern und analog den ebay-Zugang mit "pass4ebay". Wer dann ein Kennwort kennt, kann die andern einfach herleiten.
  • Abschirmung
    Schützen Sie ihr Kennwort. Ich bin immer wieder erschrocken, wie leichtsinnig Personen z.B. die PIN auf ihrem Smartphone, so sie denn überhaupt eine haben, in der S-Bahn eingeben. Selbst Banker auf dem Weg vom Frankfurter Hauptbahnhof nach Eschborn sind da ein gutes Negativbeispiel. Aber selbst wenn sie "ganz schnell" die PIN eingeben sollten Sie sich daran erinnern, dass mittlerweile alle Telefone Kameras mit Videoaufnahme haben und so noch jede Eingabe ermittelt werden. Kleine Frage: Wie oft hat ihr Kind schon die Pin ihres Tablet "herausbekommen" ?. Aber auch auf PCs sollten Sie schon einen Virenscanner haben, damit nicht ein Schadcode dort "mitlauscht" und das Kennwort so einsammelt.
  • Transportsicherung
    und natürlich sollte ich auch sicherstellen, dass meine Anmeldedaten nicht schon auf dem Weg zum Server entschlüsselt werden. Auch das kann ich als Laie nur beim Browser (HTTPS-Schloss) hoffen, denn nicht immer warnt mich ein Browser, wenn das Formular den POST ohne HTTPS versendet. Aber selbst im Browser muss ich darauf vertrauen, dass speziell in Firmennetzwerken nicht ein Proxy die SSL-Verbindung öffnet um darin nach "Schadcode" zu suchen. Selbst mit dem "alten TMG" ist so etwas sehr einfach möglich. Es reicht eine Firmen-CA, denen ihre Client vertraut. Verwende ich aber sogar eine APP, dann müsste ich schon auf dem Netzwerk nachschauen, ob tatsächlich TLS zum Einsatz kommt. Speziell auf Clients für die es fast für alles eine APP gibt (Apple IOS, Android und und Windows 8), ist das schon fast nicht möglich. Noch ein Grund mehr pro Dienst eigene Kennworte zu verwenden.

Es klingt nach Standardweisheiten und Basiswissen aber meine tägliche Erfahrung zeigt, dass selbst diese Grundlagen teils aus Eile, aus Bequemlichkeit oder anderen Gründen vernachlässig werden.

Schwächen

Wenn ich auf "meiner Seite" alles versuche sicher zu machen, so kann ich keine Aussage über die andere Seite machen, welche meine Daten vorhält und den Zugriff schützt. Natürlich liegt auch die MSXFAQ auf einem Webserver und einen upload sende ich per FTP hoch. Aber ich habe gerne Geld für eine Software (Syncback upload) ausgegeben, die auch den Zugang per SFTP/FTPS erlaubt und dabei auch noch den Hashwert des Zertifikats prüft und einen Wechsel anzeigt. Sie glauben gar nicht wie viele "Gäste-LANs" einen SSL-Proxy mit Inspektion haben und diese Warnung zuschlägt.

Aber es gibt natürlich auch die Gegenseite der Anbieter, die meine Zugangsdaten annehmen und verarbeiten. Deren Schutzvorkehrungen werden in der Regel nie öffentlich gemacht und die immer wieder bekannt gewordenen Zugriffe auf solche sensiblen Zugangsdaten zeigt, dass immer wieder die gleichen Fehler gemacht werden.

  • Verschlüsselung
    Auch wenn der Weg über das Internet per SSL verschlüssel ist, so muss der Server die Daten natürlich entschlüsseln. Gelänge es hier einem Admin oder Programmierer eine Version einzuschleusen, die diese Daten als "Kopie" woanders hin sichert, dann wäre das komplette System kompromittiert. Daher ist es z.B. wichtig, dass solche Systeme nicht überall hin dürfen und entsprechend überwacht werden.
    Auch der Einsatz von SSL-Offloadern als Loadbalancer erlaubt die Weitergabe der Daten ohne Verschlüsselung. Dann muss das Transfernetzwerk besonders gegen "Lauschangriffe" gesichert sein. Erinnern Sie sich an die NSA-Lauscher, die zwischen den Google Servern die unverschlüsselten Daten mitgelesen haben? IPSec ist hier eine Möglichkeit die Kommunikation zwischen Servern zusätzlich zu sichern.
  • Kennwortspeicher
    Wenn der Provider gut ist, dann speichert er das Kennwort auf keinen Fall unverschlüsselt sondern mindestens verschlüsselt und besser noch als "salted Hash". damit jemand mit Zugriff auf die Datenbank nichts damit anfangen kann. Die Realität ist leider wohl oft anders.
  • Lockout, Throttling, Benachrichtigung
    Eine zweite wichtige Funktion ist die Drosselung bei Angabe falscher Daten, sei es durch Captchas, Geheimfragen oder einfach die temporäre Sperrung für einige Minuten. Bei Google, Facebook etc. habe ich schon gesehen, dass ich eine (leider unsignierte) Mail bekomme, wenn eine Anmeldung von einem Endgerät oder einer geografisch weit entfernten IP-Adresse erfolgt.
  • Menschen
    Das ganze hilft natürlich nicht, wenn ein Admin o.ä. aus Wut, Verzweiflung, Rache, Erpressing oder mit einem Geheimdienst im Rücken den Zugang anderweitig öffnet

Aufgrund dieser vielen Faktoren und der faktisch "Unbeweisbarkeit" würde ich heute keine Information mehr ohne weitere Prüfung als "Wahrheit" oder vom Kontoinhaber bereitgestellt ansehen. Das betrifft Postings auf Webseiten, Twitter, Facebook etc. Wenn selbst Firmenaccounts von Microsoft und anderen Firmen gehackt wird (Stichwort Syrian Free Army http://www.theverge.com/2014/1/11/5299716/syrian-electronic-army-hijacks-microsoft-blog-and-twitter-account-for) u.a. gehackt werden, dann wird Lieschen Müller noch viel eher "übernommen" werden können. Erst langsam kommen Zwei-Faktor-Anmeldungen (z.B.: per SMS) in Mode, von Smartcards gar nicht zu reden.

Eine zweite Funktion kann ich auch nicht erzwingen, dass nämlich der Anmelddienst die Versuche pro Zeiteinheit reduziert.

Zuletzt kann auch der legitime Anwender ein Kennwort ja mal vergessen und so wird jeder Anbieter einen Web implementieren, wie der berechtigte Anwender wieder an das Konto heran kommt. Die meisten senden dann eine Mail mit einem personalisierten Link an die hinterlegte Mailadresse oder Handynummer. das ist einfach und kostengünstig aber gerade keine Sicherheit mehr

  • SMS
    Die Mobilfunkprovider haben eine sehr laxe Identifizierung und wenn ich jemanden "übernehmen" will, dann soll es funktionieren, wenn man beim Carrier anruft und den Verlust der Karte melde und diese an das aktuelle Hotel zugesendet werden soll. Und schon hat man eine Kopie der Karte, und kann zukünftige SMS lesen. Das ist auch für die beim Banking genutzte MTAN das große Risiko neben einem Trojaner auf dem immer intelligenteren Smartphone zum Abfischen einer TAN. Ganz zu schweigen das die SMS-Übertragung wohl auch nicht wirklich "verschlüsselt" ist.
  • Mail
    Noch einfacher ist es sogar noch bei einer Mail, die quasi immer unverschlüsselt übertragen wird. So kann man mit einem Trojaner diese Mail mitlesen oder man hat Zugriff auf das Smartphone, dessen PIN man vorher erspäht hat (so denn eine gesetzt ist) und liest die Mail. Gerade in dem Zuge sind Weiterleitungen, Stellvertreter oder wenig gesicherte Clients ein echtes Problem. Und natürlich die Möglichkeit von Ermittlungsbehörden und Geheimdiensten über den Zugriff auf das Postfach auch andere Konten zu "öffnen".

Leider erlauben nur wenige Firmen eine alternative sichere Möglichkeit.

Wer so alles noch die Anmeldedaten kennt!

Neben dem klassischen Weg, dass man sich auf einer Webseite interaktiv anmeldet, gibt es immer mehr Applikationen, die das Kennwort "speichern" um automatisch sich anzumelden. Einige sind als Businesss Anwendungen schon unersetzbar, so dass man gar keine Wahl hat, andere möchte man nicht mehr müssen.

  • Mail (ActiveSync, IMAP4/POP3 etc.)
    Jeder, der auf dem Smartphone seine Mails liest hat die erforderlichen Zugangsdaten fest hinterlegt. Nur so kann das Telefon alleine neue Mails anrufen und melden. Nur wenige Clients erlauben den Einsatz von Zertifikaten für Mail.
  • Lync Client / Skype
    Auch der Lync Mobile Client meldet sich am Lync Server an, Zwar wird hier das Kennwort nur anfangs verwendet um ein Zertifikat zu erhalten aber es ist dennoch für die Zugriffe auf Kalender (Meetings) und Voicemail (Exchange) hinterlegt. Auch andere Instant Messaging Clients und VoIP arbeiten so. Prüfen Sie auf jeden Fall, ob diese auch TLS oder zumindest verschlüsselte Anmeldeverfahren nutzen.
  • Dropbox/Google Drive/Syncdrive Client
    Beliebt sind auch "Cloud Speicher"-Apps die z.B. Zugriffe auf Dropbox, SkyDrive, Google Drive etc. erlauben, um Bilder zu "sichern" oder den Zugriff auf andere Informationen zu erhalten. Auch hier wird es dem Anwender sehr einfach und die Anmeldedaten per Default gespeichert. Man muss sich sogar explizit "abmelden" um die Credentials zu entfernen.
  • Apps für Twitter, Facebook, LinkedIn, Bahn Navigator
    Es gibt noch jede Menge weitere Apps und Produkte, die einmal eingegebene Anmeldedaten freundlicherweise gleich permanent speichern.

Natürlich ist es bequem, die Zugangsdaten entsprechend zu hinterlegen. Aber ein auf einem Gerät hinterlegtes Kennwort ist für Diebe besonders interessant, da der Ablageort quasi bekannt ist und man nicht lange suchen muss. Und nicht alle Programme hinterlegen das Kennwort sicher bzw. nicht exportierbar.

Und komplett ihrer Kontrolle entzieht sich natürlich ein Code, der in der App selbst die eingegeben Anmeldedaten gleich beim Provider hinterlegt.

Auch hier kann man gut erkennen, dass man idealerweise für jeden Dienst ein eigenes Kennwort vergeben hat.

Zugriff als Hash oder Token (ADFS, LiveID, OpenID, Facebook, Twitter etc.)

Sie haben sicher schon gesehen, dass sie sich auf einigen Webseiten auch z.B. mit ihrem Facebook-Konto o.ä. anmelden können. Viele Firmen ersparen sich so eine eigene Kennwortverwaltung o.ä. Und haben dennoch eine Möglichkeit Sie als Person zu identifizieren. Technisch "vertraut" der Anbieter dabei einem von einer Identitätsstelle ausgestelltem "Fahrschein". Natürlich verwaltet der angesprochene Dienst auch weiterhin einen Stammdatensatz, den er aber teilweise mit Daten aus dem genutzten Anmeldedienst aktualisieren kann (und wird) und der Anbieter erspart sich die Kennwortverwaltung.

Mit ADFS, welche bei Office 365 zum Einsatz kommen kann, ist das Verfahren aber umgekehrt. Hier muss der Administrator des ADFS-Servers den öffentlichen Schlüssel bei Office 365 hinterlegen, damit die Cloud die vom ADFS-Server ausgestellten Tickets auch überprüfen kann.

Es gibt einige Programme, die einen weiteren Zugangs erlauben. So gibt es die Monitoring-Software PRTG An der sich der Administrator anmelden muss. Das kann ein PRTG-Account mit Kennwort sein oder mit dem Active Directory gekoppelt. Um hier ein Abfangen des AD-Kennworts zu verhindern, stellt PRTG für jeden Anwender noch einen "Hashwert" bereit, der alternativ zur Anmeldung genutzt werden kann. Wer diesen Hashwert abfängt kann damit zwar Zugriff auf die PRTG-Daten erhalten, aber mit den Daten keine anderen Dienste nutzen. Einfach implementiert aber doch ganz effektiv.

Die Voicemail von Exchange und die Konferenzzentrale von Lync hat allerdings notgedrungen einen zweiten Authentifizierungsweg geschaffen. Per DTMF-Nachwahl am Telefon lässt sich kein AD-Kennwort eingeben. Daher muss hier jeder Anwender eine "PIN" vergeben, mit der er sich an den Systemen beim Zugriff per Telefon authentifizieren muss. Dieser Zugang kann aber auch für nichts anderes verwendet werden.

Kennwort Management

Aber da die Mehrzahl der Dienste auf klassischem "Anmeldename / Kennwort"-Lösungen setzen ist es nicht zu übersehen: Wir benötigen ein Management für Zugangsdaten und da gibt es gleich mehrere Herausforderungen:

  • Vertrauenswürdig
    Wenn ich einer Software meine Zugangsdaten zum Nachschlagen anvertraue, dann muss diese besondere Anforderungen an die Sicherheit erfüllen. Am ehesten traue ich dies mittlerweile OpenSource-Lösungen zu, bei denen mehrere Leute den Code kontrollieren, wenn ich es schon selbst nicht machen kann oder will. Proprietäre Programme sind subjektiv hier kritischer.
  • Plattformübergreifend
    Ich will meine Daten natürlich nicht "nur" auf einem Windows PC verwalten. Andere Clients sollten zumindest die Daten anzeigen können. Namentlich Tablets und Smartphones aber gerne auch Unix
  • Dateiablage
    Ich mag den Ansatz einer einzelnen verschlüsselten Datei, die ich problemlos mit kopieren und synchronisieren kann. Krönung wäre einen Abgleich über Deltadateien oder direkt die Nutzung von WebDav, Dropbox, SkyDrive etc o.ä.  Allerdings bergen diese Anbieter durchaus das Risiko, dass jemand unbemerkt eine Kopie der Datei erzeugt und offline versucht diese zu "knacken".
  • Optional Teamfähig
    Nett wäre es, wenn das Programm mehrere Dateien oder innerhalb der Datei eine Benutzerverwaltung zulassen würde. Dann könnte die gleiche Software auch für die Verwaltung von AD-Konten benutzt werden

Verschlüsselt speichern

Natürlich müssen alle Ablagen verschlüsselt erfolgen. Dazu gibt es gleich eine ganze Menge Optionen ,die ich mir so überlegt habe

  • Notepad-Datei im Truecrypt-Container
    Vielleicht verwundert Sie das aber ich habe eine Zeit lang tatsächlich eine einfache Textdatei in einem verschlüsselten Container gespeichert. Sie konnte mit allen Text-Programmen bearbeitet werden und Dank Freitext konnte ich auch URLs, Hinweise etc. hinterlegen. Hoffentlich hat das Programm keine Temp-Datei dazu angelegt und daher ist auch eine Ablage in einem per Kennwort gesicherten ZIP-File ausgeschieden.
  • Microsoft Word mit Kennwort
    Frühere Versionen von Word waren bekannt dafür, dass ein Kennwortschutz recht einfach ausgehebelt werden konnte. Das mit mittlerweile wohl nicht mehr der Fall aber ich habe nicht überall Word.
  • OneNote
    Diverse Notizen verwalte ich in OneNote und auch hier können Seiten mit Kennwort verschlüsselt werden. Durchaus akzeptabel wenngleich auch begrenz mobil und natürlich Kostenpflichtig und nicht OpenSource
  • Browser-Store, Browser Add-ons und Windows protected Store
    Die meisten Browser bzw. Add-ons erlauben direkt im Zugangsdaten in einem mehr oder weniger sicheren Speicher zu hinterlegen und später die Daten wieder auszufüllen. Davon halte ich gar nichts und es ist auch nur auf Webseiten beschränkt. Auch der Windows "Tresor" ist zwar sicher aber Drittprogramme können die Kennworte sehr wohl auslesen, wenn Sie als Schadcode vom Benutzer ausgeführt werden.
  • KeePass, Bitwarden und andere
    Letztlich gibt es jede Menge Programme, die speziell für die sichere Ablage von Credentials gedacht sind. Hier habe ich weiter gesucht.

Bei all den Programme muss man aber sagen, dass Sie alle die Schwäche haben, dass Brute-Force Attacken möglich sind. Anders als bei einem "geteilten System" wie einem LDAP-Server, bei dem Client und Server getrennt und daher eine Drosselung oder Blockierung wirken kann, ist das mit lokalen Dateien nicht so einfach möglich.

Die Kennworte sind in der Datei um so sicherer, je länger das Kennwort ist. Dennoch muss ich annehmen, dass jede Datei mit einem lokalen Kennwort durch entsprechende Programme relativ schnell "geknackt" werden können. Speziell bei Open Source ist der Code ja "bekannt" und kann von einem Angreifer für Probezwecke optimiert werden. Hier hilft auch ein "Keyfile" mit Kennwort nicht weiter, zumindest solange das Keyfile ebenfalls "daneben" liegt.

Erschreckend ist für mich, dass die meisten bekannten Programme wie z.B. TrueCrypt und KeePass bei Eingabe eines falschen Kennworts dies auch melden anstatt irgendwelche Daten anzuzeigen. Das macht BruteForce Attacken natürlich einfacher. Da könnte ich mir fast wünschen, dass die Services und Anmeldenamen immer angezeigt werden aber die Kennworte eben dann falsch sind. Dann würde der Versucht sich mit so einem Kennwort anzumelden wieder auffallen.

Aktuelle Stand

Nach dem Einsatz einer verschlüsselten DOCX-Datei und dem Wechsel auf eine verschlüsselte OneNote-Datei, die ich einfach synchronisieren kann, evaluiere ich gerade Keepass. Interessant ist ist hierbei sicher die Verfügbarkeit auf mehreren Plattformen, so dass ich die Daten notfalls auch auf einem Smartphone zur Verfügung habe. Nachteilig ist natürlich, dass das aktuelle "unstrukturierte Format mit Volltextsuche" nur sehr mühsam in die strukturierte KeePass-Plattform überführt werden kann. Letztlich ist die Entscheidung noch nicht gefallen. Aktuell hat aber schon (fast) jeder Dienst ein individuelles Kennwort, aber die Verwaltung ist schon recht mühsam. Aber primäres Ziel war ja auch sie für das Thema zu sensibilisieren.

Weitere Links