Archiv für Oktober, 2014

Grundlagen – Sichere Passwörter auf mehreren Geräten

Auf Nutzeranregung beschäftigen wir uns hier mit der Frage, wie man am besten mit einem Passwortmanager verfährt, wenn man auf mehreren Geräten die selben Passwörter benötigt, die nicht im selben sicheren Netzwerk sind.

Beispielsweise das eigene Handy, der eigene PC und der Arbeits-PC. Gehen wir von ganz unterschiedlichen Betriebssystemen aus, wie Debian zu Hause, Windows auf der Arbeit und Android auf dem Handy.

Was nun?
Als erstes brauchen wir einen Passwortmanager, der auf allen Systemen läuft.
Es gibt für Android eine Version von KeePassX die sich KeePassDroid nennt. Die PC-Version läuft unter Linux und unter Windows.
Einer unserer Mitschreiberlinge hat auch ein Androidhandy und wird das, sobald wir ihn erreichen mal testen – das dauert aber noch.

Dieser Passwortmanager arbeitet mit einer Datei, in der die Passwörter gespeichert werden.
Nun haben wir die Möglichkeit diese Datei entweder immer mit uns zu führen, auf einem Speichermedium (a)) oder wir haben auf allen Geräten eine Datei, die wir jeweils synchronisieren (b)).

Wir widmen uns nun überblicksmäßig den Vor- und Nachteilen der jeweiligen Vorgehensweisen.

a) Mitführen der Passwortdatenbank auf einem Speichermedium

1) Vorteile
Wenn man die Datenbank nur auf dem Speichermedium mit sich führt, fällt die Notwendigkeit weg andere Datenbanken up-to-date zu halten. Damit eignet sich diese Variante insbesondere für Situationen, in denen man aus technischen oder tatsächlichen Gründen nicht immer die Synchronisation gewährleisten kann.

Der Initiale Aufwand für das Einrichten und der spätere für das Betreiben dieses Systems ist gering.

2) Nachteile
Allerdings ist die Datenbank exponiert: Wer das Speichermedium verliert, hat auch seinen Schlüssel verloren. Zwar ist die Datenbank verschlüsselt – dennoch ist dieser Zustand kein erstrebenswerter. Zusätzliche Sicherheit ist für die typischen Mischstrukturen seit dem Niedergang von Truecrypt schwer zu haben. Wer allerdings eine reine Linux-Infrastruktur betreibt kann das Speichermedium einfach zusätzlich verschlüsseln.

Hinzu kommt, dass man eben die Passwörter nicht in der Arbeit hat, wenn das Speichermedium mal auf dem Schreibtisch zu Hause liegen bleibt.

3) Stellungnahme und eigene Erfahrungen
Von unserem Team benutzen 2/3 diese Variante. Die Zufriedenheit stellt sich schnell ein. Es gibt allerdings mit verlorenen USB-Sticks und Arbeitgebern die Windows benutzen den einen oder anderen Tiefpunkt, wenn die Passwortdatenbank irgendwo in der Weltgeschichte unterwegs ist oder der USB Stick plötzlich nicht mehr verschlüsselt sein kann, damit er in der Arbeit noch funktioniert.

b) Datenbanksynchronisation auf allen Geräten

1) Vorteile
Wenn diese Variante eingerichtet ist, ist der Aufwand für Betrieb und Wartung extrem gering. Man muss nichts mit sich rumtragen und kann auch nichts verlieren.

2) Nachteile
Der Einrichtungsaufwand ist, abhängig von der Infrastruktur, in der man sich bewegt, extrem hoch.
Wenn doch der seltene Fall eintritt, dass die Synchronisation nicht funktioniert, merkt man das meistens am falschen Computer und sitzt mit veralteten oder unvollständigen Passwörtern da.

3) Stellungnahme und eigene Erfahrungen
1/3 unseres Teams benutzt eine Infrastruktur aus Unison (läuft auf allen gängigen Betriebssystemen) zur Synchronisation.
Infolge des erheblichen Einrichtungsaufwands und der nötigen Netzwerkverbindungen zwischen den Rechnern legen wir nur Leuten mit entsprechendem Know-How die Verwendung dieser Variante nahe.
Trotz der geringeren Exponiertheit der Datenbank, infolge der Möglichkeit die Synchronisation über SSH oder VPNs zu verschlüsseln, ist diese Variante wegen der Einstiegshürde nur dann zu empfehlen, wenn man absehbar lange damit arbeiten kann und will.

Für den Einstieg ist also Variante a) unsere einstimmige Empfehlung. Diese ist für jeden umsetzbar und erfordert kaum Ressourcen. Zudem ist sie wegen der Datenbankverschlüsselung hinreichend sicher – die Zeit ab Verlust reicht bei einer entsprechenden Passphrase sicher, bis man Gelegenheit hatte alle Passwörter zu ändern.

Noch Fragen? Mehr Informationen gefällig? Gerne! Sagt uns nur, was euch noch fehlt!

Keine Kommentare