In Anbetracht der jüngsten Vorfälle von Sicherheitslücken, versuchen viele Nutzer ihre Online-Konten mit größter Sorgfalt zu schützen. Sicherheit ist von jeher ein wichtiges Thema und es gibt zahlreiche Methoden und Instrumente, die dabei helfen sollen. Diese reichen von der Absicherung einzelner Bilddateien, Ordner und Apps (sowohl Android als auch iOS) bis hin zur Sicherung von Lesezeichen. Ironischerweise erfordern diese Sicherheitsanbieter oft den Zugriff auf weitere persönliche Daten, um den Schutz zu gewährleisten. Um bestimmte Online-Dienste wirklich zu schützen, können wir beispielsweise Fingerabdruck- oder Telefonbestätigungen aktivieren. Das bedeutet im Umkehrschluss jedoch, dass im Falle einer Sicherheitsverletzung nicht nur der jeweilige Dienst, sondern auch Ihre Fingerabdruck-ID und Telefonnummer in Gefahr sind. Master Password für Mac, Java Desktop, iOS und Android (Beta) bietet hier eine einfache Lösung, um sicher zu bleiben, ohne sich komplizierte Zeichenfolgen merken zu müssen. Im Folgenden wird erläutert, wie das funktioniert.
Bevor wir uns der App selbst zuwenden, ist es wichtig, die Notwendigkeit komplexer Passwörter zu betonen. Online-Dienste verlangen oft Passwörter mit mindestens acht Stellen, die aus Zahlen, Symbolen und Großbuchstaben bestehen müssen. Dies erschwert das Erraten von Passwörtern durch Bots (Programme, die Passwörter erraten). Es wird empfohlen, nicht dasselbe Passwort für mehrere Dienste zu verwenden. Wenn wir uns ein Passwort wie „7&62-0~!vbB“ für Twitter ausdenken, mag es sicher erscheinen. Allerdings muss man es sich nicht nur merken, sondern auch für jeden weiteren Online-Dienst ein solches komplexes Passwort erzeugen. Das ist für das menschliche Gedächtnis schier unmöglich. Die meisten Menschen würden diese Passwörter dann aufschreiben oder in einem Passwortmanager speichern, was wiederum zu neuen Sicherheitsrisiken führt. Eine weitere Einschränkung ist mathematischer Natur. Ein Computer, der versucht, Ihr Passwort zu knacken, kann den Satz „7&62-0~!vbB“ mit 1000 Versuchen pro Sekunde in etwa 3 Tagen knacken. Verwenden Sie stattdessen eine leicht zu merkende Phrase wie „PferdeFressenTonnenweiseHeuDenGanzenTag“, erhöht sich die Komplexität erheblich. Bei 1000 Versuchen pro Sekunde würde es ungefähr 550 Jahre dauern, diese Phrase zu erraten (fügen Sie Leerzeichen hinzu, um es noch schwieriger zu machen). Es ist also klar, dass diese sogenannten „neurowissenschaftlichen Prüfungen“ zwar schwer zu merken, aber nicht allzu schwer zu knacken sind.
Anstatt sich lange, schwer zu erratende Zeichenfolgen auszudenken, können Sie ein Offline-Tool verwenden, das diese Aufgabe übernimmt. Dazu muss man nur das Master-Passwort eingeben. Die App generiert und speichert Passwörter für Sie, ohne dass ein Online-Dienst involviert ist, der Ihre Passwörter gefährden könnte. Alle Daten werden lokal gespeichert und sind daher sicher. Der einzige Nachteil solcher Lösungen ist, dass man sich bei der Passwortübertragung auf einen Drittanbieter verlassen muss. Dies ist bei Master Password jedoch nicht der Fall. Sie müssen Ihr Passwort selbst eingeben und wenn Sie es ändern möchten, müssen Sie dies wie gewohnt tun. Die App ermöglicht es Ihnen, Passwörter zu generieren (die kopiert werden können), damit Sie sich anmelden können. Dazu aber gleich mehr.
Ich habe mich zunächst auf einem Mac angemeldet und musste meinen Namen und ein Master-Passwort angeben. Diese Daten wurden lokal auf meiner Festplatte gespeichert. Bisher war ich also keinem großen Sicherheitsrisiko ausgesetzt. Als Nächstes wurde ich gefragt, für welche Website ein Passwort generiert werden soll. Ich gab www.twitter.com an und die App generierte ein schwer zu merkendes Passwort für mich. Dieses Passwort kann ich nun jederzeit kopieren. Ich muss mich dazu nur wieder bei Master Password anmelden, den aktualisierten Satz kopieren und kann mich direkt anmelden.
Sie können dies für beliebig viele Webdienste tun. Die App verwendet einen Algorithmus, um die Passwörter zu generieren, und dieser Algorithmus kann denselben Schlüssel über verschiedene Plattformen hinweg erstellen. So wird derselbe Satz auch auf Ihrem iOS-Gerät erzeugt. Das bedeutet, Sie können sich jederzeit von beiden Plattformen anmelden, ohne auf einen Webdienst angewiesen zu sein. Wenn Sie ein Passwort ändern möchten, können Sie weitere in der App generieren. Falls Sie aufgrund von Richtlinien gezwungen sind, ein bestimmtes Passwort beizubehalten, kann die Master-Passwort-App dies als benutzerdefiniertes Passwort speichern, das mit Ihrer Master-Passphrase verschlüsselt wird. Nebenbei bemerkt, die Typografie in der iOS-App ist wirklich gut gelungen.
Es ist verständlich, dass es in Sachen Web-Sicherheit nie eine „perfekte Lösung“ geben kann. Wir haben lediglich einige gute Ideen, die eine Weile funktionieren, bis jemand neue Schwachstellen findet und wir wieder von vorne anfangen. Idealerweise sollten wir offline bleiben und ein schwer zu knackendes Passwort generieren – so wie es Master Password macht – was so sicher ist, wie man sich nur wünschen kann. Allerdings wird all dies durch ein einziges Master-Passwort geschützt. Wenn also jemand versucht, sich Zugang zu verschaffen, muss er nicht mehrere Passwörter knacken, sondern nur dieses eine, und er hat Zugriff auf alles. Da keine Websynchronisierung stattfindet, müssen viele Dinge manuell erledigt werden. Wenn man einen Satz wie das oben genannte Beispiel „PferdeFressenTonnenweiseHeuDenGanzenTag“ verwendet, ist die Verwendung der App vielleicht gar nicht zwingend notwendig.
Wenn Sie jedoch komplizierte Passwörter benötigen, um Ihre Verbindungen zu sichern und die Anwesenheit der Master Password App vor neugierigen Blicken schützen möchten, haben Sie eine brauchbare Sicherheitslösung. Es ist auch wichtig zu erwähnen, dass es immer ratsam ist, sensible Daten offline zu speichern, die nicht an die Öffentlichkeit gelangen sollen. Eine dauerhafte Sicherheit durch Webdienste kann nicht garantiert werden.