Dieser Post erscheint aus aktuellem Anlass. An der Kantonsschule Hottingen in Zürich verschafften sich Mitte Mai Unberechtigte Zugriff auf das Schulsystem und waren gemäss Artikel vom 3. Juni 2022 in der Neuen Zürcher Zeitung im Prinzip in der Lage, Maturaprüfungen anzuschauen und andere Daten zu stehlen. Gemäss NZZ-Artikel geschah der Angriff über einen Internetknotenpunkt im Ausland, was auf eine professionelle Täterschaft hinweist.
Doch letzteres muss nicht unbedingt sein. Es braucht keine grossen Hacker-Kenntnisse, um in ein Schulsystem einzudringen. Ein geübter Blick über die Schultern einer Lehrerin oder eines Lehrers beim Eingeben des Passwortes genügt. Denn viele Kolleginnen und Kollegen verwenden erschreckend schlechte Passwörter. Und wie ich immer wieder feststellen muss, benutzen viele ein einziges Passwort für viele verschiedene Dienste. Das ist fatal.
Sollte es einem Schüler gelingen, allein durch Zuschauen das Passwort herauszufinden, hat er sofort nicht zur Zugriff zum Schulsystem, sondern meist auch zur Email und zum Cloud-Speicher. Und wenn das gleiche Passwort mehrfach verwendet wird, gleich auch noch zu den sozialen Medien und anderen Diensten. Der Horror.
Das Dilemma
Die obige Grafik zeigt auf, wie lange aktuell ein professioneller Hacker benötigt, um ein Passwort zu knacken. Für die meisten Passwörter, die man sich merken kann ohne sie aufzuschreiben, dauert es keine Sekunde, bis sie geknackt sind. Mit anderen Worten: Möchte man Passwörter, die vor Hackern und Schülerinnen und Schülern sicher sind, sollten sie so lang und komplex sein, dass sie extrem schwierig zu merken sind. Und auf gar keinen Fall sollten sie in der Liste der 200 häufigsten Passwörter stehen.
Dies ist führt zu einem Dilemma: Sollten Passwörter sicher sein, kann man sie sich nicht merken. Umgekehrt sind Passwörter, die man sich merken kann, a priori eher unsicher.
Ein Ausweg wäre, sich die Passwörter aufzuschreiben. Aber dies macht die Sache noch viel schlimmer. Gelangt nämlich jemand an diese Liste mit den aufgeschriebenen Passwörtern, hat er oder sie auf alle persönlichen Daten und Dienste Zugriff.
Der Ausweg: ein Passwort-Safe
Einen Ausweg aus dem Dilemma bietet ein Passwort-Safe. Das ist eine Software, mit der man Passwörter sicher speichern und vor fremdem Zugriff schützen kann. Sämtliche Passwort-Safe-Programme bieten zudem die Möglichkeit, sichere Passwörter generieren zu lassen. Diese sind dann so komplex, dass man sie sich unmöglich merken kann.
Benötigt man ein Passwort, um sich bei einem Dienst anzumelden, öffnet man den Safe, sucht nach dem entsprechenden Passwort und kopiert es in die Eingabezeile. Bei diesem Vorgang ist das Passwort nie direkt sichtbar, so dass selbst dann, wenn man beobachtet wird, niemand das Passwort sehen kann.
Im folgenden stelle ich vier Passwort-Safes kurz vor, die sehr beliebt und sicher sind und über eine praktische Funktionen verfügen.
KeePassXC
Meine bevorzugte Lösung ist KeePassXC. Der wichtigste Grund, weshalb mein Wahl auf diese Lösung fällt, ist die Tatsache, dass sie Open Source ist. Sie ist gratis, wird laufend weiterentwickelt, und aufgrund des quelloffenen Programmcodes, hat man die Gewähr, dass niemand von meinen Daten profitiert oder sie anderweitig nutzt.
KeePassXC ist ein Programm, das auf dem Computer (OSX, Windows oder Linux) installiert wird. Die Daten werden mit dem Industriestandard 256-bit AES verschlüsselt. Auch wenn sich jemand die Datei mit den Passwörtern ergattern könnte, wäre er oder sie dennoch nicht in der Lage, sie auch zu lesen.
Zu KeePassXC gibt es auch Browser-Erweiterungen, so dass man die Passwörter direkt über diese Erweiterung im Browser eingeben kann. Das macht die Bedienung sehr intuitiv und praktisch. Man verliert damit praktisch keine Zeit mit der Eingabe eines sicheren Passwortes.
Möchte man KeePassXC auf verschiedenen Geräten nutzen, kann man die Datendatei in einen synchronisierten Ordner (OneDrive, DropBox, GoogleDrive etc.) legen und von überall her darauf zugreifen.
Als Apps für Smartphones gibt es KeePassDX oder KeePass2Android für Android und KeePassium für iOS.
Bitwarden
Bitwarden ist ebenfalls Open Source und lässt sich gratis nutzen. Die Programmoberfläche ist sehr aufgeräumt und intuitiv zu bedienen. Bitwarden kann auch mit Zweifaktor-Authentifizierung benützt werden, so dass die Passwörter noch besser geschützt sind. Doch dafür ist ein kostenpflichtiges Abonnement nötig.
Bitwarden gibt es nicht nur als Programm für Windows, OSX und Linux, sondern auch als App für iOS und Android. Die Passwörter werden in einer Datenbank auf Servern von Bitwarden gespeichert. Damit sind sie von jedem Gerät her zugänglich und falls man ganz verloren ist, lassen sich die Daten sogar über einen Webbrowser abrufen.
1password
1password ist in der Funktionalität sehr ähnlich wie Bitwarden. Es gibt ein Programm für alle gängigen Betriebssystem sowie Apps für mobile Geräte. Die Bedienung ist sehr intuitiv, und es gibt eine gute Browsererweiterung, die die Bedienung auch im Browser sehr einfach macht. Im unterschied zu den bereits erwähnten Programmen, lässt sich 1password nicht gratis nutzen. Die Kosten sind mit 1.50 Dollar pro Monat sehr bescheiden.
Die Passwörter werden bei 1password wie auch bei Bitwarden mit 256-bit AES verschlüsselt.
LastPass
Eine interessante Alternative zu den obigen drei Vorschlägen ist LastPass. Dieser Dienst kommt ohne Programm für Windows, OSX und Linux. Die Daten sind nur online über einen Browser abrufbar. Dies hat den Vorteil, dass sie von jedem Gerät her zugänglich sind – völlig unabhängig vom Betriebssystem. Für mobile Betriebssysteme gibt es Apps.
LastPass ist ebenfalls kostenpflichtig und kostet in der günstigsten Version 3 Dollar pro Monat. Für die Integration in den Browser gibt es eine Erweiterung. Damit lassen sich Passwörter direkt im Browser eingeben, ohne dass man das Programm wechseln muss.
LastPass verfügt über eine Darkweb-Überwachung, die einen warnt, wenn man ein Password benützt, das bei einem Hackerangriff gestohlen worden ist.
Passwörter in OSX
Wer mit einem Apple-Gerät und OSX unterwegs ist, benötigt keine zusätzliche Software. Denn das Programm „Keychain“ von Apple erfüllt alle Anforderungen an einen Passwort-Safe. Es ist sicher und sehr gut in das Betriebssystem integriert. Die Bedienung ist sehr einfach und intuitiv.
Fazit
Die Benützung eines Passwort-Safes sollte eigentlich Pflicht sein. Denn es braucht keine bösen Hacker, um in ein System einzudringen. Findige Schülerinnen und Schüler reichen schon, wenn man keine sicheren Passwörter benützt.
Die oben vorgestellten Password-Safes integrieren sich sehr gut ins System und lassen sich intuitiv bedienen. Alle vorgeschlagenen Lösungen bieten die volle Sicherheit für die gespeicherten Passwörter. Der Zeitverlust bei der Eingabe eines sicheren Passwortes, das man selber nicht mehr kennt und nur im Passwort-Safe gespeichert ist, ist minim und akzeptabel.
Von mit gibt es eine sehr dringende Empfehlung, jetzt umzustellen, falls man noch ohne Passwort-Safe unterwegs ist.