Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Hartmut Goebel CISSP-Geflüster 2010-07: Passwörter lieben lernen

2010-07: Passwörter lieben lernen

Wohin mit all den Passwörtern, die Benutzer sich tagtäglich merken sollen? Auf Zettel? In eine Word-Datei? Oder doch immer wieder das gleiche Password variieren? Mit kleinen Tools zum Speichern von Passwörtern machen Sie den Benutzern das Leben leicht – und mancher beginnt gar Passwörter zu lieben,

Wir halten unsere Benutzer an, für jede Anwendung ein anderes Kennwort zu verwenden. Das soll mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten – wobei acht Zeichen inzwischen schon fast zu kurz sind. Die Realität sieht allerdings anders aus: Aus Bequemlichkeit verwenden die Nutzer immer wieder das gleiche Passwort, im besten Fallen noch Variationen davon: Susi, SusiSusi1, SusiSchmussi42, SusiSchatzi99 und so weiter. Und zugegeben, unsere Security-Zunft versäumt es zu häufig, den Menschen geeignete Tools zur Verfügung zu stellen.

Was also tun, damit Ihre Mitarbeiter mit sicheren Passwörtern arbeiten und Ihre Firmensicherheit nicht aufs Spiel setzen? Eine praxistaugliche und schlaue Lösung sind sogenannte Passwort-Safes. Damit können die Nutzer für jede beliebige Anwendung, gleichgültig ob im Web oder xxx, ganz einfach auf Kopfdruck sichere Passwörter erzeugen und inklusive URL, Benutzername, Kommentar etc. übersichtlich in Gruppen verwalten.

Auf Wunsch generieren die Passwort-Safes kryptische Passwörter beliebiger Länge und aus wählbarem Zeichenvorrat. Die Bedienung ist super-einfach und bewährt sich auch im täglichen Leben: Anwendung starten, Passwort-Safe-Kennwort eingeben, Benutzername in die Zwischenablage kopieren, zur Anwendung wechseln, Benutzername einfügen. Das Gleiche für das Passwort wiederholen. Fertig. Wer mit Tastenkürzeln arbeitet, braucht dafür gerade mal acht Tastendrücke. Dass Passwort wird dabei gleich wieder aus der Zwischenablagen entfernt, damit es niemand auslesen kann.

Wenn Sie sich für ein Open-Source-Tool entscheiden, können sie es auch an Ihre Bedürfnisse anpassen. Beispielsweise die Passwort-Vorgaben festlegen oder die Anwendung an das Corporate Design Ihres Konzerns anpassen – das kommt bei den Benutzern gut an.

Mein Favorit für Passwort-Safes ist die „Keepass“-Familie. Neben dem Original (nur für Windows) gibt es Umsetzungen für Linux und Mac („KeepassX“) sowie PDAs. Sie sind alle gleich zu bedienen und verwenden das gleiche Dateiformat. Die neuere Version 2 lässt sich auch mit Plugins erweitern. Allerdings ist diese Version in der proprietären und mit Patenten bewaffneten Programmiersprache C# geschrieben...

Bei der Auswahl von Passwort-Safe-Programmen sollten Sie allerdings genau prüfen, für was Sie sich entscheiden: Einige Tools kann man guten Gewissens als „unnütz“ abstempeln: Beispielsweise der „Thinkvantage Password Manager“ von Lenovo. Dessen Safe lässt sich bequem mit dem Fingerabdruck-Scanner des Thinkpad-Notebooks öffnen. Dummerweise können darin auch nur Passwörter gespeichert werden, wenn das Tool einen dazu auffordert – und das tut es nur, wenn es die Anwendung kennt. Kennwörter für selbst entwickelte Anwendungen bleiben damit ebenso außen vor wie die für Archive und PDFs.

Noch eine Bitte: Sorgen Sie als IT-Verantwortlicher dafür, dass das Tool wirklich auf allen PCs und Notebooks standardmäßig installiert ist. Sonst geht es auch anderen so wie mir: Nach einem Rechnerwechsel stand ich ohne Passwort-Tool da. Die nächsten drei Wochen lief ich zwangsläufig ich mit einem Zettel herum, auf dem meine wichtigsten Passwörter standen. So soll es nicht sein!

Manch einer beginnt auf diese Weise gar Passwörter zu lieben: Meiner Bürogenossin habe ich auch einen Safe verpasst. Seither hat sie sich von ihrem Standardpasswort „Girls“ verabschiedet und erzeugt mit Begeisterung für jedes Webportal ein neues sicheres Kennwort. Und ich freue mich, dass ich meine Mission als Security-Beauftragter unserer Bürogemeinschaft erfüllt habe.