Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


Vorsorge gegen den Super-GAU

Geschrieben: 17.02.2024
Stichwörter: Kennwörter, Sicherheit

Der Super-GAU eines Passwortmanagers wäre: Der Verrat. Doch dagegen lässt sich Vorsorge treffen, auch seitens der Nutzer*innen. Martin zeigt, wie das geht.

Der GAU eines Online-Passwortmanagers ...

... ist der Abgriff von Daten durch Hacker*innen. Das ist bei LastPass1 passiert, aber hätte in diesem Fall durch sinnvolle Vorsorge des Betreibers verhindert werden können.2 (Bei key.matiq hätte der Abgriff so einfach nicht funktioniert, da alle Daten auf verschlüsselten Platten liegen.)

Die LastPass-Nutzer*innen hätten auch Vorsorge treffen können: Durch starke Hauptpasswörter3. Dann wären immerhin die Kerngeheimnisse (die verschlüsselten Einzelpasswörter) noch sicher.

Ein Super-GAU ...

... wäre jedoch: Der Verrat. Ein Verrat durch den die Passwortmanager betreibende Firma (wie bei der spanischen Sicherheitsfirma, die die Botschaft Ecuadors Botschaft in London schützen sollte4). Oder der Verrat durch Mitarbeiter*innen der Firma.

Der Verrat durch eine ganze Firma wie im genannten Fall ist wohl nur bei sehr kleinen Firmen mit nur einer Inhaber*in (oder sehr wenigen Inhaber*innen) möglich. Sonst würde er sicher sehr schnell aufgedeckt. Auch wenn die Inhaber*innen hoch motiviert sind, ihr Projekt auf anständige Weise zum Erfolg zu führen, dürfte es weitaus schwieriger werden, die ganze Firma zu bestechen, als dies bei der spanischen Sicherheitsfirma der Fall war.

Der Verrat Einzelner in Firmen ist nie ganz ausschließbar. In kleinen Firmen kann dieses Riskiko jedoch dadurch minimiert werden, dass man sich sehr gut kennt. In größeren, indem Aufgaben so aufgeteilt werden, so dass der Verrat eines*einer Einzelnen noch nicht alles zum Einsturz bringt: Bei einem Online-Passwortmanager dürfte die strikte Trennung und gegenseitige Kontrolle der Entwicklungsgruppe und der Gruppe, die den Server betreibt, das Mittel der Wahl sein. Die Entwicklungsgruppe hätte keinen Zugriff auf die Datenbank, die Server-Gruppe könnte die Software nicht einfach ändern.

Wenn dann noch eine kluge Software-Architektur hinzukommt, die die Verschlüsselung von Kundendaten im Browser der Nutzer*in vornimmt, so gibt es keine Anzatzpunkte mehr für Einzelne, Kerngeheimnisse abzugreifen.

Doch auf diesem Weg können Fehler passieren, es kann auch Schlamperei geben oder grobe Fahrlässigkeit auf Grund von Zeitdruck, Unfähigkeit oder Wurstigkeit. Oder weil sich in einer Firma der Eisberg der Ignoranz5 breit gemacht hat.

Leider wäre es keine Lösung, einfach einen Offline-Passwortmanager zu nutzen, da bei einem Verrat der Firma oder Einzelner Malware in die Software eingeschleust werden kann, auch nachträglich, nämlich bei Updates. Der Verzicht auf Updates würde aber ein noch höheres Sicherheitsrisiko darstellen.

Die gute Nachricht ist jedoch: Man kann gegen den Super-GAU auch als Kund*in vorsorgen.

Das Prinzip

Man verwendet nicht nur einen, sondern mehrere Passwortmanager (verschiedenen Typs). Man verteilt die geheimen Informationen auf diese, so dass, wenn einer die Daten verräte, kein katastrophaler Schaden mehr entstünde.

Das Beispiel

Die Nutzer*in verwendet key.matiq als Online-Passwortmanager, KeeePass1 als Offline-Passwortmanager (evtl. auf mehreren Geräten) und den Firefox®1 als Browser.

Alle Internet-Kennwörter werden beim PC im internen Passwortmanager vom Firefox gespeichert, geschützt durch ein starkes Hauptpasswort (Wollte der Firefox Kennwörter abgreifen und missbrauchen, so könnte er dies bereits bei einem manuellen Ausfüllen von Anmeldeformularen.)

Das Hauptpasswort vom Firefox wird auch in der key.matiq-Box abgespeichert.

Die Internet-Kennwörter werden alle aus zwei Teilen zusammengesetzt, einem variablen (möglichst 128-Bit starken, zufällig generierten Teil) und einem zweiten Teil, der pseudozufällig gewählt6 wird. (Wenn möglich, sollte dieser zweite Teil ebenfalls 128-Bit stark sein.) Diesen konstanten Teil nennen wir "Komplement" und geben ihm einen Namen, zum Beispiel "Suffix".

Nur beim Hauptkennwort der key.matiq-Box (das ja auch ein Internet-Kennwort ist) wird das Komplement Suffix nicht verwendet. Denn die key.matiq-Box soll diesen Wert nicht kennen.

Während die Internet-Kennwörter im Firefox-Passwortmanager vollständig abgelegt werden, werden sie in der key.matiq-Box unter Ersetzung des Komplements durch

{ Suffix }

ersetzt. Es kann in der key.matiq-Box ein Komplement-Objekt mit Namen "Suffix" mit einem entsprechenden Hinweis angelegt werden, muss aber nicht.

In der KeePass-Datenbank werden die einzelnen Internet-Kennwörter nicht abgelegt, wohl aber der Wert des Komplements Suffix.

Das Hauptkennwort von key.matiq wird (zumindest auf PCs) im Firefox-Passwortmanager abgelegt. Es sollte aber auch durch eine Hinterlegung7 vor Verlust geschützt werden.

Das Masterpasswort von KeePass sollte auch in der key.matiq-Box abgelegt werden.

Die Wirkung dieser Maßnahmen

Vertraulichkeit

Der Firefox kann ohnehin auf alle Internet-Kennwörter zugreifen und weiß deshalb durch deren Abspeicherung nicht mehr. Durch die Verschlüsselung mit dem Hauptpasswort sind die Internet-Kennwörter geschützt.

KeePass kennt nur den zweiten Teil der Internet-Kennwörter und könnte allein damit nichts anfangen.

key.matiq kennt nur die ersten Teile der Internet-Kennwörter und könnte seinerseits allein mit diesen Teilen nichts anfangen.

Das Hauptkennwort von Firefox ist sonst nur noch der key.matiq-Box bekannt, aber diese hat keinen Zugriff auf die lokalen Daten von Firefox und könnte diese daher auch nicht entschlüsseln.

Auch das Masterpasswort von KeePass kennt sonst nur die key.matiq-Box, diese hat auch auf die KeePass-Datenbank keine Zugriff und könnte diese daher ebenfalls nicht entschlüsseln.

Verfügbarkeit und Schutz vor Verlust

Die Internet-Kennwörter können mit dem Passwortmanager des Firefox automatisch in die jeweiligen Anmeldeformulare eingetragen werden und sind daher immer verfügbar, wenn man das Hauptpasswort von Firefox auswendig weiß. Da man es nahezu täglich benutzt, wird man es nicht so schnell vergessen.

Sollte man das Hauptpasswort von Firefox doch vergessen haben, kann man in der key.matiq-Box nachschauen.

Der Wert des Komplements Suffix wird beim Erstellen und Ändern von Internet-Kennwörtern benötigt und ist über KeePass verfügbar. Er kann via Copy/Paste übernommen werden.

Das Masterpasswort von KeePass ist in der key.matiq-Box nachschaubar, sollte man es vergessen haben.

Das Hauptkennwort von key.matiq kann zum Einen in der Liste der von Firefox gespeicherten Internet-Kennwörter (Hauptpasswort wird benötigt) nachgeschaut werden. Im Notfall könnte man es, da hinterlegt, via Ticket zurückholen.

Begleitdaten

Da alle Internet-Anmeldedaten nicht nur im Firefox, sondern auch in der key.matiq-Box gespeichert werden, kann (und sollte) man auch alle wichtigen Begleitdaten (wie Telefonnummer, E-Mail-Adresse, Sicherheitsabfragen, IBAN und Kreditkartennummer) dort mit abspeichern. Bei Änderung z. B. der Telefonnummer kann man dann entsprechenden Einträge in den Internet-Konten anpassen.

Es ist nämlich grundsätzlich sehr gefährlich, Internetkonten ohne Übersicht darüber im Internet herumliegen zu lassen.

Fazit

Wie oben gezeigt, ist es möglich auch Worst-Case-Szenarien wirksam zu begegenen. Wem das in der beschriebenen Art zu aufwendig ist, kann das auch einfacher gestalten.

Was man jedoch nicht machen sollte, ist ein und dasselbe Kennwort für verschiedene Internet-Logins zu verwenden, um auf einen Passwortmanager verzichten zu könnne.

In diesem Fall würde man dem am schwächsten geschützten Server vertrauen. Da ist es immer noch besser, einem Passwortmanager zu vertrauen. In der Regel sind diese weitaus stärker geschützt. Der Vorfall bei LastPass war zwar skandalös, aber derartige Vorfälle sind doch sehr viel seltener und meist weniger gravierend als die bei normalen Internetdiensten.

Was man auch nicht machen sollte, ist, nur den Passwortmanager des Browsers zu verwenden. Man braucht schon die Begleitdaten, um den Zugriff auf die Internetkonten aufrecht zu erhalten.

 

1) Hinweise zu Marken Drit­ter:
"KeePass" scheint ein Warenzeichen von Dominik Reichl zu sein.
"LastPass" ist eine Marke oder registrierte Marke von LastPass US LP in den U. S. und anderen Ländern.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.

2) Siehe den Blog-Artikel "Sicherheitsbresche bei LastPass".}

3) Siehe den Blog-Artikel "Die Mathematik der Passwortstärke".}

4) Siehe den Blog-Artikel "Verwanzt".}

5) Siehe den Internet-Artikel Eisberg der Ignoranz.

6) Siehe den Blog-Artikel "Das gute Kennwort" (Abschnitt "Das starke, aber dennoch merkbare Kennwort").

7) Für key.matiq: Siehe das Tutorial "Hinterlegung" im Handbuch.
Bei anderen Online-Passwortmanagern müsste nach entsprechenden Notfallmaßnahmen gesucht werden. Falls es diese nicht gibt, so kann man z. B. das Kennwort in Teile zerschneiden und in einzelnen versiegelten Umschlägen an Vertrauenspersonen verteilen, die diese bei Bedarf zurückgeben würden.


>> Zurück zum Artikelverzeichnis >>