Kommentar und Tipps: Sichere Passwörter und der Umgang mit der Cloud

3. März 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Gestern hat es also Evernote erwischt. Man hat Einbrüche auf dem Server festgestellt. Es wurden Daten gestohlen. Man hat kurz danach viele wütende Benutzer gegen sich gehabt. Ich behaupte: Evernote hat das einzig Richtige getan. Systemweite Aufforderung, die Passwörter zu ändern. Es nützt keine Informationsmail a la “Bitte ändere dein Passwort”.

Enigma

Um Schaden abzuwenden, muss reagiert werden. Sofort. Was wurde eigentlich gestohlen? Auch hier herrscht viel Unwissen und Panikmache. Benutzernamen wurden gestohlen und die dazugehörigen E-Mail-Adressen. Über den Umfang ist nichts bekannt, aber unter Umständen bekommt ihr auf dieser Adresse Spam oder betrügerische E-Mails. Wollen wir hoffen, dass die Provider gute Spamfilter einsetzen.

Wurde noch etwas gestohlen? Ja, Passwörter. Aber – und hier herrscht viel Unwissen bei einigen – diese wurden natürlich nicht im Klartext gestohlen. Die Passwörter werden ja vorab erst einmal in einen Hash-Wert umgewandelt.  Was ist ein Hash-Wert bei Evernote? Ein Hash-Wert ist ein Wert fester Länge, welcher aus dem Passwort generiert wird. Dieser Hash-Wert lässt sich aus dem Passwort zwar immer wieder mit der gleichen Summe berechnen, aber im besten Fall nichts rückwärts.

Heißt: Dein Benutzername bei Evernote ist Mongobongo17 und dein Passwort “Passwort123″. Evernote hinterlegt nun aus diesem Passwort einen Hash-Wert auf den eigenen Servern, damit man dich authentifizieren kann. Das alles ist natürlich stark vereinfacht von mir beschrieben.

War das alles? Nein, Evernote setzt noch eine weitere Strategie ein, die sich “Salted Password” nennt. Dies bedeutet, dass eine zufällig gewählte Zeichenfolge vor der Verwendung / Umwandlung in einen Hash-Wert eurem Passwort angehangen wird. Dies ist interessant bei Leuten, die immer und überall das gleiche Passwort benutzen. Die Möglichkeit, dass zwei Benutzer den gleichen Hash-Wert zugeteilt bekommen haben, ist ziemlich gering, nun kommt aber die zweite Komponente ins Spiel.

Benutzername Mongobongo17 ist bei Dienst XY nebst Passwort “Passwort123″ angemeldet. Wird hier zum Beispiel das Passwort gestohlen – aus welchen Gründen aus immer, so könnte man zum Beispiel erkennen, dass Benutzer Mongobongo17 mit dem gleichen Passwort (weil gleicher Hash) auch bei Evernote angemeldet ist. Das Vorab-Salzen des Passworts mit einer Zufallszahl verändert den Hash also auf einmalige Weise, sodass nicht erkannt werden kann, ob Benutzer Mongobongo17 bei den ganzen Diensten ein Passwort nutzt. Dieses macht man auch, um das Entschlüsseln der Hashes zu erschweren. Entschlüsseln = Rechenzeit. Das Salzen sollte zur Pflicht werden, da sich Hashes diverser Passwörter sogar per Google auffinden lassen.

Sichere Passwörter und Cloud-Benimmregeln

Viel trockene Theorie, bevor wir zur Praxis kommen. Habe ich Tipps? Regeln? Schwer, denn jeder meiner Tipps würde euch vielleicht aus eurem Workflow reißen. Sicherheit ist nicht immer bequem. Ich kann ja mal einige Sache in die Runde schmeißen, die ihr vielleicht einmal bedenken solltet. Eure Tipps gerne auch in die Kommentare.

Passwörter erstellen und nutzen

Nutzt nie das gleiche Passwort bei Diensten. Ja, das ist verdammt noch mal nicht gerade einfach, bei vielleicht 50 Diensten den Spaß im Kopf zu behalten. Aber müsst ihr das? Habt ihr keinen Passwort-Manager, der dies für euch erledigt? KeePass? 1Password? Die könnt ihr am Rechner und mobil am Smartphone benutzen. Die Programme können sogar sichere, einmalige Passwörter generieren!

Wie bitte? Ihr braucht Offline-Zugriff auf Passworte? Ok, dann nutzt doch eine Passwort-Karte. Eine Passwort-Karte besteht aus vielen Buchstaben, Reihen und Zahlen. Diese Karten kann man generieren, die Seiten bieten auch weiterführende Information zum Thema: PDF zur Passwort-Karte, Passwort-Karten-Generator und noch eine Seite nebst Generator zum Thema Passwort-Karte.

Speichere deine Passwort-Dateien sicher und verschlüsselt, Textdateien mit Klartext sind gefährlich.

Ihr könnt also problemlos und kostenlos Passwörter erstellen, nutzen, verwalten – und dies sogar offline. Die halbe Miete!

Nutzung der Cloud

Und in der Cloud? Nutzt, wenn möglich, 2-Faktor-Authentifizierung! Google bietet es an, Dropbox bietet es an, LastPass und einige andere auch – Facebook zum Beispiel. Wozu ist das gut? Als weiterer Sicherheits-Aspekt müsst ihr nebst Benutzernamen und Passwort einen Code eingeben, der auf eurem Smartphone erscheint. Somit soll sichergestellt werden, dass Fremde nicht eure Passwörter nebst Benutzernamen ausprobieren.

Zusätzlich verschlüsseln, wenn möglich. Dropbox bietet den Abgleich mit TrueCrypt-Containern an. Wie das geht, beschrieb ich hier. Sofern euer Workflow nicht zerhackt wird – nutzt es! Alternativ funktioniert auch BoxCryptor, welches sogar einfacher zu bedienen ist.

Muss das wirklich in die Cloud?

Hast du Daten wie Wallpaper und Software in der Cloud? Macht nichts, ist ja nicht so wild, wenn das mal wegkommt (so lange es keine Seriennummern sind). Aber denke mal drüber nach, ob die brisanten Dokumente wirklich in unverschlüsselt in der Cloud liegen müssen. Nutzt du das überhaupt? Hast du nicht eine lokale Lösung, die sich vielleicht besser anbietet? Sicherheit ist immer wichtiger als der wenige Mehraufwand. Lies dich vielleicht ein, wie dein Cloud-Anbieter die Daten speichert und überträgt.

Muss man den Dienst nutzen?

Überlegt euch vielleicht, ob ihr den Dienst benötigt. Kannst du nicht vielleicht mehrere Fliegen mit einer Klappe schlagen? Bequemlichkeit ist ein schlechter Berater.

Nicht nur dein Anbieter ist gefragt – auch du! Vielleicht findet der eine oder andere ja nun Muße, ein wenig an seiner Passwort-Sicherheit und an seiner Cloud-Nutzung zu schrauben.

Und ich?

Und da die Frage aufkommen wird, wie ich es denn so handhabe: Ich selber nutze auf allen Rechnern vollständige Festplatten-Verschlüsselung. Ebenfalls nutze ich, sofern angeboten, 2-Faktor-Authentifizierung. Wichtige Daten sind entweder verschlüsselt oder nicht in der Cloud. Dienste-technisch bin ich ein Minimalist. Ich benutze privat nur wenige Dienste, alte Dienste sollte man nicht vergessen, sondern den Account löschen.

Und ihr?

(Bildquelle: Enigma Rotor Set von brewbooks unter CC BY-SA 2.0)

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 17320 Artikel geschrieben.