Bozen – Passwörter und Pins im Smartphone in irgendeiner Rubrik zu verstecken, ist gefährlich, das ist bekannt. Das Problem ist, dass man sie sich nicht alle merken kann – heute hat der Durchschnittsanwender des Internets über 50 Accounts. Ein und dasselbe Passwort für alle Webseiten zu verwenden, ist ebenso riskant, haben Anwender spätestens 2014 erfahren, als bei mehreren Webseitenbetreibern die Passwortdateien geknackt wurden – der Angriff nannte sich Heartbleed. Jene Einheitspasswörter, die so in die Hände der Hacker gefallen waren, hätten problemlos Zugang zu sämtlichen Accounts desselben Anwenders gewährt (s. auch SWZ Nr. 16/2014).
Passwörter lassen sich ganz einfach mithilfe einer ganzen Reihe von Passwortmanagern verwalten: Das sind Anwendungen oder Apps, die über die eigene kleine Passwörtersammlung Buch führen und bei Bedarf sichere neue Passwörter generieren. Der Anwender muss sich nur noch ein einziges Masterpasswort merken – und dieses sollte einen gewissen Schwierigkeitsgrad haben, damit es nicht zu leicht geknackt werden kann. Da es sich aber nur um ein einziges handelt, das der Anwender in der Regel täglich braucht, ist dieses schnell eingeprägt.
Regelmäßig veröffentlichen Computerzeitungen Beurteilungen der gängigen Passwortmanager, eine der aktuellsten ist die des Magazins PCWelt vom Januar 2015. Gut bei den letztjährigen Tests abgeschnitten hat der Passwortmanager, den das renommierte Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelt hat: das MobileSitter – oder iMobileSitter, wenn es in einem Apple-Endgerät zum Einsatz kommt. Es soll zu den sichersten Verschlüsselungssystemen zählen. Das Nachrichtenmagazin n-tv nennt es „den Alptraum für Hacker“. Der Preis: 5,49 Euro pro Endgerät.
Es gibt im Wesentlichen zwei Philosophien bei den Passwortmanagern. Die einen verwenden das Netz und die Cloud für die Sicherung der Passwortdateien, mit dem Vorteil, dass die Passwörter auf allen Endgeräten stets aktuell sind. Das Risiko, das der Anwender dafür in Kauf nimmt, ist, dass auf dem Weg durch das Internet die Daten für Angriffe exponierter sind, als wenn sie verschlüsselt und lokal gespeichert sind. Dieses Risiko kann aber mitunter nur gefühlt sein, weil es vermutlich auch andere Anbieter gibt, die im Netz ebenso eine raffinierte Verschlüsselung verwenden.
Der Nachteil von Passwortdateien, die nur direkt auf einem Endgerät oder gar einem Stick gespeichert sind, ist der geringere Komfort. Sie werden schließlich regelmäßig ergänzt und sind dann nicht zeitgleich auf allen Endgeräten auf dem letzten Stand.
Das Passwort eines verlorenen Smartphone zu knacken, ist heute auch für einen Hobbyhacker ein Leichtes. Mit einem der aktuellen Hacker-Programme lassen sich in kürzester Zeit Milliarden von Passwortkombinationen durchprobieren. MobileSitter trickst diese Software aus, denn es gaukelt dem Hacker bei jeder Passwortkombination einen Treffer vor, so dass es mit gängigen Mitteln nicht möglich ist, das Masterpasswort zu knacken.
Die SWZ hat den iMobileSitter getestet und kann die App jenen Lesern empfehlen, die nicht schon einen Passwortmanager verwenden – und sich vor allem nicht tagelang mit dessen Features für fortgeschrittene User beschäftigen wollen. Die App steht über die Website Mobilesitter.de oder über Play Store und App Store zum Downloaden bereit. Die Anwendung präsentiert sich so einfach, dass man zunächst gar kein Handbuch braucht, um sie in Gang zu setzen. Das Masterpasswort, das es zu Beginn festzulegen gilt, sollte eines sein, das mithilfe einer Eselsbrücke gut im Kopf zu halten ist (s. untenstehende Info). Die neueste Version der App sieht vor, dass der Anwender als Feedback für das richtige Eintippen des Masterpasswortes eine Reihe von Symbolen zu sehen bekommt.
Dann geht es weiter zur Eintragung des ersten Accounts – dieser nennt sich etwas umständlich „Neuer Dienst“: Der Anwender gibt den Namen des Accounts und den Benutzernamen ein, um dann auf die Passwortseite zu gelangen. Hier kann er entscheiden, ob er selbst ein Passwort definiert oder ob es das System vorschlagen soll. Wenn das Passwort feststeht, tippt der Anwender auf „Sichern“ und wird aufgefordert, das Smartphone leicht zu schütteln, um auf diese Weise selbst die Zufallszahlen für die Verschlüsselung zu erzeugen. Wenn die Liste der „Dienste“ zu lang wird, kann sie mithilfe der „Lupe“ einfach durchsucht werden, um auf den gewünschten Account zu stoßen.
Weil der Inhalt des MobileSitters ja irgendwo gesichert werden soll, damit er bei Verlust des Endgerätes nicht verloren ist, muss dazu nun doch das Online-Handbuch zurate gezogen werden. Unter dem Punkt Inport/Export erfährt der User, dass er die Backupdatei einfach über iTunes auf dem PC sichern kann, was man ja sowieso periodisch für alle Daten auf dem iPhone macht. Für Android-User hingegen steht direkt im Menu des MobileSitters, unter Optionen > Sichern und Wiederherstellen, die Möglichkeit zur Verfügung, die Backupdatei als Anhang an die eigene E-Mail-Adresse zu senden. Auf einem weiteren Endgerät, zum Beispiel dem iPad oder Tablet, kann der Anhang dieser E-Mail dann angeklickt und in den dort installierten MobileSitter hochgeladen werden. Empfehlenswert ist es, neue Accounts nur im Smartphone zu verbuchen, oder nur im Tablet, um stets zu wissen, welche die erweiterte Version ist, die dann periodisch an das zweite Endgerät geschickt wird.
Info
Ein gutes Passwort
Das deutsche Bundesamt für Sicherheit in der Informationstechnik gibt folgende Tipps, um ein gutes Passwort zu bilden:
o Es sollte mindestens zwölf Zeichen lang sein.
o Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
o Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
o Wenn möglich, sollte es nicht in Wörterbüchern vorkommen.
o Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
o Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert.
Zu beachten gilt es: Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese evtl. nicht eingegeben werden können.
Wie merkt man sich ein gutes Masterpasswort? Auch dafür gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Hier ein Beispiel:
„Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang.“ Nur die ersten Buchstaben: „MsiaupmmZdMl“. „i und l“ sieht aus wie „1“, „&“ ersetzt das „und“: „Ms1a&pmmZ3M1“.
Auf diese Weise hat man sich eine gute Eselsbrücke gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.