Sicherlich kennen Sie auch folgendes Problem: Sie besuchen seit Monaten mit Ihrem Mac wieder einmal eine Webseite und stellen fest, dass Sie das Passwort vergessen haben. Nach zahlreichen Versuchen entscheiden Sie sich dann doch für die Benutzung der „Passwort vergessen“-Funktion. Das neue Passwort wird benutzt, nicht geändert und anschließend wieder vergessen. Das Prozedere beginnt beim nächsten Besuch wieder von vorne. Die Lösung? Ein Passwort Manager für Mac OS.
Passwort Manager – Was ist das überhaupt?
Ein Passwort Manager (Kennwortverwaltung) ist eine Software, die alle Ihre Benutzernamen und Passwörter (und auch andere Daten) verschlüsselt an einer zentralen Stelle abspeichert. Um auf die Daten zuzugreifen, wird in der Regel ein sogenanntes Master-Passwort angelegt mit dessen Hilfe die gespeicherten Daten wieder entschlüsselt werden. Sie müssen sich somit nur noch ein einziges Passwort merken.
Dies macht es nun möglich, dass Sie für jeden Login im Web (oder auch anderswo) ein anderes Passwort verwenden, da Sie sich ja nur noch ein Passwort merken müssen. Damit senken Sie das Risiko, dass bei einer Kompromittierung einer Nutzerdatenbank das Passwort gestohlen wird und anschließend der Angreife auch Zugriff auf andere Accounts mit dem gleichen Passwort erhalten.
Mac OS Passwort Manager
Unter Mac OS X gibt es mittlerweile eine ganze Reihe an Softwareprodukten, welche die benötigte Funktionalität anbieten. Einige der bekanntesten davon sind:
Kriterien für die Auswahl eines Passwort Managers
Eine geeignete Auswahl unter den verfügbaren Passwort-Managern für Mac OS X zu treffen ist nicht leicht. Für mich waren bei der Auswahl vor allem folgende Punkte wichtig:
- Verschlüsselte und sichere Speicherung der Daten (u.a. Benutzernamen, Kennwörter)
- Browserintegration (sowohl in Firefox, Chrome als auch Safari) für einen schnellen Login
- Passwortgenerator mit umfangreichen Einstellungen
- Plattformübergreifend: Mac OS X, Windows, iOS (iPad und iPhone) und Android
- Hinweis auf Webseiten, wo kürzlich Sicherheitslücken bekannt wurden
Unter Berücksichtigung der aufgezählten Kriterien ist meine Wahl auf die umfangreiche aber mit 44,99 Euro doch recht teure Software 1Password gefallen, welche als Einzige alle aufgelisteten Kriterien erfüllt. Wer die Software erst testen möchte, der kann auf der Webseite des Herstellers eine 30-Tage-Testversion herunterladen.
1Password – Erste Schritte
Nach der Installation von 1Password muss man zuerst eine Datendatei anlegen, in welcher in Zukunft alle Benutzernamen, Kennwörter, PINs, Kreditkartennummern etc. verschlüsselt abgelegt werden. Später kann die Datendatei in einen Dropbox-Ordner oder in die iCloud verschoben werden, damit die Daten auf allen Geräten automatisch synchronisiert werden. Angenehmer Nebeneffekt: Die jeweilige Cloud-Speicher dient zugleich als Backup-Ordner.
Nach dem Anlegen der Datendatei wird diese mit einem Master-Kennwort geschützt. Nur mit diesem Master-Kennwort haben Sie später Zugriff auf alle anderen Passwörter in der Datendatei. Aus diesem Grund ist angeraten, ein sehr sicheres Passwort (mindestens 12 Stellen mit Sonderzeichen, Groß- und Kleinschreibung) zu vergeben.
Um an die Daten in 1Password zu gelangen, muss das Master-Kennwort beim Start des Programms eingegeben werden.
Anschließend erhält man Zugriff auf alle gespeicherten Daten.
Passwort Manager mit Mozilla Firefox nutzen
Das absolute Killer-Feature, welches für mich 1Password auch so attraktiv macht, ist die Browser-Integration. In 1Password gelangen Sie im Menü über 1Password 5 –> Einstellungen –> Browser zu den Browser-Erweiterungen für Mozilla Firefox, Safari und Chrome. Anschließend haben Sie direkt aus dem Browser Zugriff auf alle Login-Daten.
Wenn Sie beispielsweise die Erweiterung für den Mozilla Firefox Browser installiert haben, steht Ihnen in der Symbolleiste ein neuer Button mit einem Schlüssel-Symbol zur Verfügung.
Im Browser kann nun direkt auf den Passwort Manager unter Mac OS X zugegriffen werden:
- Aufruf einer Webseite z.B. www.facebook.com
- Mit einem Klick auf das Schlüssel-Symbol in Firefox erscheinen alle Logins für die jeweilige Seite
An dieser Stelle greift das vorher erwähnte Killer-Feature: Nach dem Klick auf den Zugang werden die Daten automatisch in die Formularfelder eingetragen und der Login-Vorgang wird gestartet. Somit sind die Passwörter nicht nur sicher abgelegt, sondern das Programm sorgt auch dafür, dass man täglich wertvolle Zeit beim Login auf verschiedenen Webseiten einspart.
Sichere Passwörter generieren
Häufig kommt es vor allem in Foren vor, dass Angreifer die komplette Benutzerdatenbank inklusive Passwörter aufgrund einer Sicherheitslücke auslesen können. Die Konsequenz: Sollten Sie die gewählte Benutzername-Passwort-Kombination auch auf anderen Webseiten einsetzen, sind Sie stark gefährdet, da der Angreifer jetzt vielleicht Zugriff auf Ihr PayPal-Konto oder Amazon-Konto haben könnte.
Die Lösung ist relativ simpel: Für jede Webseite ein anderes Passwort vergeben. Und das funktioniert am besten mit einem Passwort Manager, der das jeweilige Passwort sogar für Sie generiert.
In 1Password können Sie beispielsweise die Länge des Passworts, die Anzahl der numerischen Werte oder Sonderzeichen definieren. Nachdem das Passwort generiert wurde, können Sie dieses ganz einfach mit einem Klick auf Einfügen in das Passwort-Feld der jeweiligen Webseite eintragen lassen.
Eine Software für alle Plattformen
1Password gibt es sowohl für Windows, Mac OS X als auch für iOS und Android. Dies erleichtert das Handling der Zugangsdaten ungemein, da man letztlich auf allen Plattformen das gleiche Programm verwenden kann. Die Daten können hierbei über Dropbox oder iCloud auf allen Geräten synchron gehalten werden. Bei der iCloud-Synchronisation ist allerdings zu beachten, dass diese nur für Apple Geräte verwendet werden kann und zudem nur zur Verfügung steht, wenn die Software über den Mac App Store erworben wurde.
Zusätzlich zur Synchronisation via Cloud besteht seit Version 4 von 1Password auch die Möglichkeit die einzelnen Geräte via WLAN-Synchronisation abzugleichen.
WatchTower und Security Audit
Weitere Features von 1Password, welche die Software in gewisser Weise einzigartig machen, sind der WatchTower und das Security Audit. Bei ersterem handelt es sich um einen Service, der Webseiten identifiziert, die vom Heartbleed-Bug (schwerer Sicherheitsfehler in der OpenSSL-Bibliothek) betroffen sind.
Mithilfe des Security Audits können dagegen schwache, doppelt verwendete oder auch alte Passwörter identifiziert und anschließend geändert werden. Das Alter der Passwörter wird allerdings erst ab dem Zeitpunkt berechnet, wo diese zu 1Password hinzugefügt wurden.
Sicherheit des Passwort Managers
Das Thema Sicherheit spielt an dieser Stelle eine ganz besondere Rolle, da es um die Speicherung von so wichtigen Daten wie Passwörtern geht. 1Password ist sich dieser Wichtigkeit auch bewusst und hat auf seiner Webseite eine umfangreiche Wissensdatenbank (1Password 4) aufgebaut.
Um den Inhalt kurz zusammenzufassen: 1Password setzt auf eine 256 Bit AES Verschlüsselung und hat in der Version 4 zahlreiche Features erhalten, die eine Kompromittierung der Daten erschweren. 100 % Sicherheit werden Sie im Bereich der IT nie erreichen können, allerdings befindet sich die Software mit den aktuell angewandten Verschlüsselungstechniken auf der Höhe der Zeit.
Fazit
Der hohe Preis von 1Password stellt für viele sicherlich eine Hürde dar. Allerdings bietet die Software einen sehr großen Funktionsumfang, welcher den der Konkurrenz in den meisten Fällen übertrifft. Neben dem Alleinstellungsmerkmal, dass die Software auf verschiedensten Plattformen lauffähig ist, bietet 1Password dem Anwender auch eine enorme Verbesserung der Sicherheit und eine nicht zu vernachlässigende Steigerung der Produktivität.
Getestet unter Mac OS X Yosemite 10.10(.1) und 1Password 5.0.2
Artikel ist erstmalig am 22. April 2013 auf Blog IT-Solutions erschienen.