Im vergangenen Jahr gab es eine Reihe von Meldungen über den Verlust persönlicher Daten bei verschiedenen Online-Diensten und sogar bei beliebten Passwortmanagern. Wenn Sie einen digitalen Datenspeicher verwenden, stellen Sie sich bei der Nachrichten-Lektüre über solche Datenlecks wahrscheinlich ein Alptraumszenario vor: Angreifer greifen auf all Ihre Konten zu, deren Kennwörter in Ihrem Passwortmanager gespeichert sind.
Wie berechtigt sind diese Befürchtungen? Am Beispiel von Kaspersky Password Manager erläutern wir, wie die mehrstufigen Schutzmechanismen von Passwortmanagern funktionieren und was Sie tun können, um diese zu stärken.
Allgemeine Prinzipien
Lassen Sie uns zunächst analysieren, warum Passwortmanager grundsätzlich immer eine gute Idee sind. Die Zahl der von uns genutzten Internetdienste wächst ständig, und damit auch die Notwendigkeit, viele Benutzernamen und Passwörter einzugeben. Es ist schwer, sich diese zu merken, und es ist auch riskant, sie an willkürlichen Orten zu speichern oder gar niederzuschreiben. Die naheliegende Lösung ist, alle Ihre Anmeldedaten an einem sicheren Ort zu speichern und diesen Datenspeicher mit einem einzigen Schlüssel zu verschließen. So müssen Sie sich nur noch ein einziges Passwort merken.
Bei der erstmaligen Installation von Kaspersky Password Manager, werden Sie aufgefordert, ein Masterpasswort zu erstellen, mit dem Sie Ihren digitalen Speicher öffnen können. Dieser steht Ihnen dann für die Eingabe der Daten für die von Ihnen genutzten Internetdienste zur Verfügung: URL, Nutzername und Passwort. Sie können dies manuell tun, oder Sie können eine Browsererweiterung für den Passwortmanager einrichten und einen speziellen Befehl verwenden, um alle im Browser gespeicherten Passwörter in den Speicher zu migrieren. Neben Passwörtern können Sie Letzterem auch andere persönliche Dokumente hinzufügen, z. B. eine Ausweiskopie, Versicherungsdaten, Bankkartendaten und wichtige Fotos.
Beim Besuch einer Website, öffnen Sie den Datenspeicher und geben die von Ihnen benötigten Daten entweder manuell in das Anmeldeformular ein, oder Sie erteilen dem Passwortmanager die Erlaubnis, die gespeicherten Anmeldedaten für die Website automatisch auszufüllen. Danach brauchen Sie Ihren Datenspeicher nur noch schließen.
Digitaler Datenspeicher & automatische Sperre
Kommen wir nun zu den Schutzmechanismen. Speicher-Dateien werden mit einem symmetrischen Schlüsselalgorithmus auf der Grundlage des Advanced Encryption Standard (AES-256) verschlüsselt, der weltweit zum Schutz sensibler Daten verwendet wird. Für den Zugang zu den Datenspeichern wird ein Schlüssel verwendet, der auf Ihrem Masterpasswort basiert. Wenn das Passwort stark ist, bräuchten Angreifer deutlich mehr Zeit, um die Chiffre ohne den Schlüssel zu entschlüsseln.
Darüber hinaus sperrt unser Passwortmanager den Speicher automatisch nach einer gewissen Zeit der Inaktivität des Benutzers. Wenn ein Angreifer in den Besitz Ihres Geräts gelangt und es schafft, den Schutz des Betriebssystems zu umgehen, um an die Speicherdatei zu gelangen, kann er den Inhalt nicht lesen, wenn er das Masterpasswort nicht kennt.
Es liegt jedoch an Ihnen, diese automatische Sperre zu konfigurieren. Die Standardeinstellung in der App sperrt den Speicher möglicherweise erst nach einem längeren Zeitraum der Inaktivität. Wenn Sie aber die Angewohnheit haben, einen Laptop oder ein Smartphone an einem nicht ganz sicheren Ort zu verwenden, können Sie die Sperre so konfigurieren, dass sie bereits nach einer Minute einsetzt.
Es gibt allerdings noch ein weiteres potenzielles Schlupfloch: Wenn ein Angreifer einen Trojaner oder eine andere Methode zur Installation eines Fernzugriffsprotokolls auf Ihrem Computer installiert hat, kann er versuchen, Passwörter aus dem Speicher zu extrahieren, während Sie dort angemeldet sind. Im Jahr 2015 wurde ein solches Hacker-Tool für den Passwortmanager KeePass entwickelt. Es entschlüsselte und speicherte als separate Datei ein ganzes Archiv mit Passwörtern, das auf einem Computer mit einer geöffneten Instanz von KeePass ausgeführt wurde.
Der Kaspersky Password Manager wird jedoch in der Regel zusammen mit den Antivirenlösungen von Kaspersky eingesetzt, was die allgemeine Wahrscheinlichkeit einer Infektion erheblich mindert.
Null-Wissen
Die verschlüsselte Passwort-Datei kann nicht nur auf dem Gerät, sondern auch in der Cloud-Infrastruktur von Kaspersky gespeichert werden, so dass Sie den Speicher von verschiedenen Geräten aus nutzen können, z. B. von Ihrem Heimcomputer oder Mobiltelefon. Eine spezielle Option in den Einstellungen ermöglicht es Ihnen, die Daten auf allen Geräten mit dem installierten Kaspersky Password Manager zu synchronisieren. Sie können auch die Web-Version von Password Manager von jedem Gerät aus über die My Kaspersky Website nutzen.
Wie wahrscheinlich ist ein Datenleck, wenn Sie einen Cloud-Speicher verwenden? Zunächst ist es wichtig zu verstehen, dass wir nach dem Null-Wissen-Prinzip arbeiten. Das bedeutet, dass Ihr Passwortspeicher für Kaspersky genauso verschlüsselt ist wie für alle anderen. Kaspersky-Entwickler können die Datei nicht lesen und nur Besitzer des Masterpassworts können sie öffnen.
Viele – aber nicht alle – der heutigen Dienste, die Passwörter und andere Geheimnisse speichern, halten sich an ein ähnliches Prinzip. Wenn Sie also in den Nachrichten von einem Datenleck bei einem Cloud-Speicherdienst lesen, sollten Sie nicht gleich in Panik geraten. Denn in den seltensten Fällen können die Angreifer die gestohlenen Daten entschlüsseln. Diese Art von Leck ist mit dem Diebstahl eines scharfgestellten Bank-Safes, dessen Zahlenkombination man nicht kennt, zu vergleichen.
In diesem Fall ist der Äquivalent dieser Zahlenkombination Ihr Masterpasswort. Hier ein weiterer wichtiger Sicherheitsgrundsatz: Kaspersky Password Manager speichert Ihr Masterpasswort weder auf Ihren Geräten noch in der Cloud. Selbst wenn ein Hacker auf Ihren Computer oder den Cloud-Speicherdienst zugreift, wird er nicht in der Lage sein, Ihr Passwort aus dem Produkt selbst zu entwenden. Nur Sie kennen dieses Passwort.
Ein starkes Masterpasswort
Ein Leck einer verschlüsselten Passwort-Datei kann jedoch auch Probleme verursachen. Sobald Angreifer einen Datenspeicher gestohlen haben, können sie versuchen, ihn zu hacken.
Hierbei gibt es zwei prinzipielle Angriffsmethoden. Die erste ist Brute-Force, die im Allgemeinen sehr zeitaufwändig ist. Wenn Ihr Passwort aus einem Dutzend zufälliger Zeichen besteht und sowohl Klein- als auch Großbuchstaben, Zahlen und Sonderzeichen enthält, erfordert das Brute-Force-Verfahren für alle Kombinationen mehr als eine Trilliarde Versuche!
Wenn Sie allerdings für sich beschlossen haben, den einfachen Weg zu gehen und ein schwaches Passwort gewählt haben – etwa ein einzelnes Wort oder eine einfache Zahlenkombination wie „123456“ -, kann der automatische Scanner dieses in weniger als einer Sekunde herausfinden, denn in diesem Fall basiert das Brute-Forcing nicht auf individuellen Symbolen, sondern auf einem Wörterbuch mit gängigen Kombinationen. Trotzdem wählen viele Benutzer bis heute Wörterbuchpasswörter (Kombinationen von Symbolen, die schon lange in den Wörterbüchern der Hacker-Scanner zu finden sind).
Die Nutzer des Passwortmanagers LastPass wurden im Dezember 2022 vor diesem potenziellen Problem gewarnt. Als das Konto eines LastPass-Entwicklers gehackt wurde, verschafften sich die Angreifer Zugriff auf das Cloud-Hosting, das das Unternehmen nutzt. Neben anderen Daten gelangten die Angreifer in den Besitz von Backups der Datenspeicher-Passwörter der Nutzer. Das Unternehmen teilte den Nutzern mit, dass diese sich keine Sorgen machen müssten, wenn sie alle Empfehlungen, ein starkes und einzigartiges Masterpasswort zu erstellen, berücksichtigt hätten, da es „Millionen von Jahren“ dauern würde, ein solches Passwort per Brute Force zu knacken. Nutzern mit schwachen Passwörtern wurde dazu geraten, diese umgehend zu ändern.
Glücklicherweise überprüfen viele Passwort-Manager, darunter Kaspersky Password Manager, inzwischen automatisch die Stärke Ihres Masterpassworts. Wenn es schwach oder nur mittelmäßig stark ist, gibt der Passwort-Manager eine Warnung aus, die Sie bitte unbedingt beachten sollten.
Einzigartiges Masterpasswort
Die zweite Hacking-Methode beruht auf der Tatsache, dass Nutzer häufig dieselben Anmeldedaten für verschiedene Internetdienste verwenden. Erleidet also einer dieser Dienste ein Datenleck, erzwingen die Angreifer automatisch auch die Nutzernamen-Passwort-Kombination für andere Dienste über einen Angriff, der als „Credential Stuffing“ bekannt ist. Diese Art von Angriff ist oft erfolgreich.
Die Nutzer von Norton Password Manager wurden in den ersten Wochen dieses Jahres vor dieser Art von Angriffen gewarnt. Das Unternehmen NortonLifeLock (früher bekannt als Symantec) gab bekannt, dass seine Infrastruktur keine Lecks erlitten habe. Anfang Dezember 2022 wurden jedoch massenhaft Versuche dokumentiert, bei denen Außenstehende versucht hatten, mit Passwörtern in den Passwortmanager einzudringen, die Hacker aufgrund eines Datenlecks bei einem anderen Dienst gestohlen hatten. Untersuchungen von NortonLifeLock ergaben, dass die Hacker diesen Angriff nutzen konnten, um auf die Konten einiger seiner Kunden zuzugreifen.
Dieser Vorfall zeigt klar und deutlich, dass für verschiedene Konten niemals ein und dasselbe Passwort verwendet werden sollte. Was die technischen Möglichkeiten zum Schutz vor dieser Art von Angriffen betrifft, so kann Kaspersky Password Manager zwei wichtige Prüfungen Ihrer Passwortdatenbank durchführen…
Zum einen überprüft unsere Lösung Ihre Passwörter auf ihre Einzigartigkeit: Die App warnt Sie, wenn eines Ihrer gespeicherten Kennwörter in mehreren Konten verwendet wird.
Zum anderen prüft unser Passwortmanager, ob Ihre Passwörter in einer Leak-Datenbank enthalten sind. Um diese Prüfung sicher durchzuführen, verwendet er den kryptografischen Hash-Algorithmus SHA-256. Das bedeutet, dass die App nicht die Kennwörter selbst zur Überprüfung sendet, sondern für jedes Kennwort eine Prüfsumme berechnet und diese Hashes mit den Prüfsummen in der Datenbank der kompromittierten Kennwörter vergleicht. Wenn die Prüfsummen übereinstimmen, warnt die App Sie, dass das Kennwort kompromittiert ist.
Denken Sie jedoch daran, dass diese Prüfungen nur für Passwörter durchgeführt werden, die Sie auch im Datenspeicher hinterlegen. Es liegt also an Ihnen, dafür zu sorgen, dass das Masterpasswort stark und einzigartig ist: Sie sind der Einzige, der es kennt, und es sollte sich von Ihren anderen Passwörtern unterscheiden.
Einprägsames Masterpasswort
Neben den bereits erwähnten Methoden gibt es auch noch weitere Möglichkeiten, Masterpasswörter zu erhaschen – an dieser Stelle kommt der gefürchtete Faktor Mensch ins Spiel. So notieren manche Leute ihr Masterpasswort an einem Ort, an dem es ganz einfach entwendet werden kann, z. B. in einer unverschlüsselten Datei auf ihrem Desktop oder auf einem Post-It, das sie an die Wand ihres Büros kleben.
Anstatt es aufzuschreiben, sollten Sie wirklich versuchen, es sich zu merken. Ja, es stimmt, dass ein Passwort lang und möglichst kompliziert sein sollte – manchmal werden wir sogar aufgefordert, eine zufällige Kombination aus 12 oder 16 Zeichen zu erstellen. Es ist schwer, sich ein solches Passwort zu merken. Deshalb versuchen viele Menschen, einfachere Passwörter zu verwenden, und geraten dann ins Visier von Hackern.
Wie können Sie Ihr Masterpasswort also nicht nur sicher, sondern auch einprägsam gestalten? Eine gute Strategie ist es, sich ein Passwort auszudenken, das aus drei oder vier geheimen Wörtern besteht. Nehmen Sie zum Beispiel den Namen der Stadt, in der Sie den besten Urlaub Ihres Lebens verbracht haben, fügen Sie den Namen Ihrer Lieblings-Bar hinzu und addieren Sie dem Ganzen Namen und Anzahl der Cocktails, die Sie dort getrunken haben. Ein solches Kennwort ist lang, einzigartig und leicht zu merken – natürlich nur, wenn Sie nicht zu viele Cocktails getrunken haben und sich an all diese Fakten auch später noch erinnern können.