In dieser Episode geht es um das Thema Kennwortverwaltung. Viel Spaß beim Zuhören.
Weiterführende Links
SAT-1 Frühstücksfernsehen – Die coolsten Apps zur Fotobearbeitung
SAT-1 Frühstücksfernsehen – Die besten Passwort-Apps
Einleitung
Schön, dass Sie wieder mit dabei sind bei einer weiteren Folge von iPad4productivity und dem Thema heute und zwar, Password-Manager. Ich weiß nicht, ob Sie zufälligerweise meinen Beitrag im Sat 1 Frühstückfernsehen gesehen haben. Ich packe gerne auch nochmal den Link dazu, aber für diejenigen von Ihnen die das Ganze auch lieber hören, vielleicht nochmal im Rahmen dieser Podcastepisode.
Kriterien für den Auswahl vom Kennwortmanager
Und zwar die Frage, die erst hier immer die Frage, Mensch, auf was wollte man bei der Auswahl von Kennwortmanagern denn achten.
Für mich ist immer… sind es folgende Kriterien. Zum einen das Kriterium, dass es eben idealerweise ein System ist, was für alle Plattformen verfügbar ist. Das hat für mich zwei große Vorteile. Der erste Vorteil ist, wenn Sie heute schon, also für Ihr Smartphone, für Ihr Tablet, für Ihren PC, für Browser-basiert gegebenenfalls, aber auf alle Fälle für PC/Mac/iPhone/iPad/Android, was Sie haben, also dort es verfügbar haben, dann haben Sie den Vorteil, dass Sie es auf jedem System immer griffbereit haben. Das heißt, Sie müssen nicht irgendwo immer sagen, ah, jetzt habe ich es doch nicht dabei, dann muss ich es mir doch irgendwo aufschreiben.
Das nächste Thema ist, wenn Sie das System wechseln sollten, also wenn Sie sagen, Sie haben zwar heute einen iPhone, aber möchten morgen sich vielleicht ein Android Telefon holen, dann müssen Sie nicht umsteigen auf ein komplett neues System, vielleicht alles irgendwo exportieren und importieren, sondern Sie haben einfach die Flexibilität so dieses Thema zu wechseln wie Sie mögen. Sehr generell auch eine Empfehlung, dass Sie idealerweise natürlich mit den Systemen arbeiten sollten, die Ihnen im Moment am besten passen, aber Sie sollten sich nie zu sehr auf ein System festlegen. Also selbst beispielsweise auf den Apple-Geräten ist es so, dass ich hier empfehle mit Microsoft Exchange als mit dem iCloud-Services zu arbeiten, zur Synchronisation Ihrer Outlook-Daten beispielsweise. Denn iCloud ist natürlich auf Apple-Systemen wunderbar zu nutzen, aber sobald Sie nicht auf Apple-Systemen sind, gibt es zwar mittlerweile auch Lösungen, aber sie sind nie so reibungslos wie wirklich Lösungen, die komplett plattformübergreifend sind. Ja, also wichtig, für alle Plattformen verfügbar ist.
Es sollte möglichst leicht zu bedienen sein. Also es gibt beispielsweise Kennwort-Apps, die auch OpenSource sind, die Sie wirklich komplett kostenfrei teilweise nutzen können, die sind aber manchmal so aufwendig zu installieren und zu benutzen, dass es dann wieder etwas schwierig wird. Und natürlich sollten Sie darauf achten, dass sie sicher sind, also das heißt, dass sie eine 256 Bit AES-Verschlüsselung beispielsweise haben, und ich bin ehrlich gesagt überhaupt nicht der Freund der Synchronisation von Kennwörtern über Clouddienste. Also vor dem Hintergrund sage ich eher, yhm, lieber über ein sicheres W-LAN die Dinge zu synchronisieren. Und finally würde ich immer empfehlen, einen Dienst zu nutzen, der ich ganz so bekannt ist, weil dann sind eben auch ein paar wenige Hecker auf dem System drauf. Also ich nutze deshalb beispielsweise seit Jahren, eWallet, denn es ist für alle Plattformen verfügbar, es ist eben auch für Blackberry, für Nokia, für was weiß ich nicht alles, eben verfügbar, Sie haben dort die Möglichkeit, wenn Sie wollen das Ganze über iCloud zu synchronisieren, aber Sie müssen es nicht, und ich synchronisiere es eben über mein W-LAN entsprechend. In dem Zuge auch etwas, was ich gefragt werde, sag mal, es gibt ja durchaus applikationen oder auch Betriebssysteme, die sagen, Mensch, speichere das doch automatisch ab, oder hier im iCloud-Schlüsselbund, und da schlage ich immer vor, das eher nicht zu machen, denn wenn Sie beispielsweise einen iCloud-Schlüsselbund nehmen, und Sie sind auf dem iPad, und dann können Sie in den Einstellungen oder Passwörter und Accounts reingehen, und wenn Sie dann die Touch oder Face-ID, oder eben den Kode des gerätes haben, und es entsperren, sehen Sie alle Kennwörter, die im Schlüsselbund hinterlegt sind im Klartext. Also das heißt, manchmal denkt man gar nicht daran, da hat man vielleicht dann… dass man sagt, ah, ich teile mit jemand die Apple-ID beispielsweise, dann kann der auch mal meine Apps runterladen, hat man das vielleicht so im privaten Umfeld, aber wenn derjenige dann entsprechend auf seinem iPad mit seinem Entsperrkode in den Bereich Kennwörter in den Einstellungen reingeht, sieht da alle Ihre Kennwörter im Klartext. Also vor dem Hintergrund sage ich auch immer, nie seine eigene Apple-ID / iCloud-ID weitergeben, gerade wenn Sie dann vielleicht sogar noch Ihre Kennwörter automatisch speichern. Ich habe das mal auf einem Testsystem gemacht, und dann hatte eben Kunde mich auch darauf hingewiesen, zu sagne, Sie wissen schon, dass ich hier Ihre Kennwörter, die Sie hier hinterlegt haben, dort sehe – zum Glück waren das keine produktiven, aber das war für mich auch nochmal ein Reminder zu sagen, da sollte man einfach eine Ecke vorsichtig sein.
Alternativen zu eWallet
Ja, ich arbeite, wie gesagt, mit eWallet. Was sind noch weitere Empfehlungen von Apps. Zum einen Bitwarden. Bitwarden auch regelmäßig in der Chip Top-10-Liste der empfehlenswerten antiviren, beziehungsweise in dem Fall Password Safe und hier ist es so, die ist eben gratis für alle Plattformen verfügbar, und Sie können dort für 10 US Dollar im Jahr nochmal upgraden auf eine bezahlte Variante, beziehungsweise dann sogar nochmal im Unternehmenskotext auf größer(?) (??? 05:56). Also ein wichtiges Thema ist auch die Art der Skalierbarkeit, die Sie auch bei Lösungen wie LastPass oder 1Password haben, die vielleicht viele von Ihnen kennen. Hier ist es oft so, dass Sie eben die Möglichkeit haben, das als Einzelperson zu nutzen; die Möglichkeit, dass Sie es in der Familie skalieren können, also dann haben Sie auch oft so Lösungen, die kosten dann 4-5 Euro im Monat und dann haben Sie eben einen kompletten Familiensafe. Und Sie können das Ganze noch eine Ecke hochskalieren, nämlich dann im Unternehmensumfeld nutzen. Dann wird’s natürlich interessant, dass man dann sagt, okay, ich habe Password-Manager eben im Unternehmen, um dann einfach auch sicher zu stellen, dass Kennwörter, wenn Mitarbeiterinnen oder Mitarbeiter das Unternehmen verlassen, beispielsweise eben, dann nicht das Unternehmen verlassen, sondern dass das eben Firmeninformationen sind, die für die Firma dann auch entsprechend enthalten und erhalten bleiben.
Immer ein wichtiges Thema, was man oft zu wenig bedenkt, also auch wie beispielsweise beim Thema WhatsApp, wo immer nicht darüber nachgedacht wird, was passiert, wenn ein Mitarbeiter oder Mitarbeiterin, das Unternehmen verlässt. Dann ist eben oft so, wenn das dann mit privaten Systemen läuft, dann verlassen eben alle Informationen das Unternehmen und genauso wie Kundeninformationen im Unternehmen gehören, gehören eben auch die Kennwortsysteme und die Kennwortspeicher eben dann dem Unternehmen erstmal. Also deswegen eher dann Firmen(??? 07:20) das Ganze zu sehen.
Wie merkt man sich die Kennwörter?
Ja, dann auch die Frage, die ich immer wieder gestellt bekomme, wie kann man sich die Kennwörter merken? Also zum einen, wenn Sie PINs haben, dann ist eine gute Idee, sich für jede Zahl von 0 bis 9 ein Bild zu merken, also dort beispielsweise für eine 2 ist es dann vielleicht ein Mensch, also für den anderen ist die 2 vielleicht ein Schwan, weil die Form vielleicht so ausschaut wie eine 2, eine 8 ist für einen eine Brille, für einen anderen eine Brezel, und dann bauen Sie sich eine Geschichte zusammen aus den entsprechenden Zahlen. Also durch dieses klassische Beispiel ist, dass Sie sagen, ein Mensch ist auf einem Schemel und ist dann Hähnchenschenkel, dann kommt ein Hund und klaut dem Mensch den Hänchenschenkel, da nimmt der Mensch den Schemel und wirft damit nach dem Hund. Wenn man das jetzt übersetzt, dass man sagt, eben ein Mensch ist ein Zweibein, ein Schemel ist ein Dreibein, eine Hänchenkeule ist ein Einbein und der Hund ist dann Vierbein, dann kann man sich das merken, dass eben ein Zweibein auf einem Dreibein sitzt und ein Einbein ist, dann kommt ein Vierbein, klaut dem Zweibein das Einbein, dann nimmt das Zweibein das Dreibein und wirft damit nach Vierbein. Und wenn Sie jetzt die Beine weglassen, dann sagen Sie eben, zwei, drei, eins, vier, zwei, eins, zwei, drei, vier. Das heißt, Sie sehen, mit dieser Strategie kann man sich wunderbar Zahlen merken.
Eine zweite Strategie ist die sogenannte Satzstrategie, die auch von Sicherheitsprofis wie Götz Schartner beispielsweise empfholen wird. Die Grundidee ist, dass Sie sich einen Satz merken, also beispielsweise „ich spiele sehr gerne Tennis seit 1988“ und dann machen Sie Folgendes, dann nehmen Sie die ersten drei Buchstaben jedes Wortes und bauen daraus dann ein neues Wort zusammen. Und das Ganze, wenn Sie ein „i“ dabei haben, dann drehen Sie es noch auf den Kopf. Dann haben Sie nämlich ein Ausrufezeichen und an eine beliebige Stelle, die vierte, die fünfte, die dritte, je nachdem, wie Sie es mögen, setzen Sie nochmal das System. Also Wenn Sie Dropbox haben, dann sagen Sie vielleicht DRO, das hängen Sie dann irgendwo an die vierte oder fünfte Stelle nochmal dazwischen. Dann können Sie dieses Kennwort sogar für mehrere Systeme nutzen. Natürlich muss man es dann wechseln, wenn eines der Systeme kompromitiert wird. Daran sollte man immer denken. Aber es ist eben deutlich besser, als einen Begriff zu nehmen, der entweder aus Ihrem Umfeld ist, also neulich hatte ich es im Rahmen eines Trainings, da hatte mir jemand eine Zahlenkombination als Zahl gegeben, dann habe ich gesagt, wenn ich mir so angucke, dann weiß ich, wann Ihre Frau und Ihre Tochter jetzt Geburtstag haben, weil das waren genau die Gebrutsdaten, die mir relativ plausibel vorkamen. Da sagte er, ja. Das Blöde ist, dass solche Sachen eben auf Social Media Plattformen meistens öffentlich verfügbar sind, und die Profis nutzen diese Informationen im Rahmen des sogenannten Social Engineering.
Was auch keine gute Idee ist, sollten Sie kein Kennwort nutzen, das im Duden steht. Dann kann man mit einer sogenannten Dictionary Attack knacken. Dictionary Attack heißt, dass einfach der Duden einmal durchprobiert wird. Und da brauchen Sie mit modernen Techniken ein paar Milisekunden, also deswegen auch keine gute Idee. Wie immer für mich ein Beispiel für „erst Hirn einschalten, dann Technik“. Und vielleicht nochmal abschließend die Frage, welches ist das Kennwort, was für Sie am wichtigsten ist?? Dann sagen die meisten natürlich, jawohl, fürs Online-Banking. Ja. Auch nicht unwichtig. Die nächsten sagen, ja die E-Mail für den Kennwort Safe. Ja, auch völlig richtig, denn wenn da jemand dran kommt ist alles auf. Man kriegt dann oft den Hinweis, ja ist es denn nicht gefährlich? Dann sage ich, ja natürlich, wenn das ein schlechtes Kennwort ist, dann ist es gefährlich. Die Frage ist nur, was ist die Alternative. Und die Alternative ist meistens unsicherer im Form von Excel-Liste, von Notizen oder Sonstigen. Also deswegen immer die Frage zu sagen, da sehe ich den Kennwort Safe schon besser.
Was ist das wichtigste Kennwort?
Ja, was ist aber jetzt das wichtigste Kennwort. Das wichtigste Kennwort, was Sie auch regelmäßig ändern sollten ist das für Ihre E-Mail. Denn über Ihren E-Mail Account können Sie alle anderen Passwörter im Regelfall zurücksetzen, sich autorisieren, also das ist immer etwas, was wirklich am Gefährlichsten ist, da sollten Sie ganz besonders darauf achten. Seien Sie da nicht paranoid, aber seien Sie da einfach ein bisschen sensibel. Das erinnert mich immer an den Witz, wo die zwei Freunden in Südafrika im Busch sind und auf einmal kommt von Hinten ein Löwe rausgesprungen und der eine Freund fängt an seine Schnürsenkel fest da zu binden, und dann sagt der andere, du bist doch nie schneller als der Löwe. Da sagt er, ja, aber schneller als du. Und das ist genau das Prinzip von Internetsicherheit. Sie werden nie schneller sein als der Löwe / nie schneller sein als der Hecker, Sie müssen einfach nur ein bisschen besser geschützt sein als die Menschen links und rechts um Sie herum. Und da die meisten da eher nachlässig mit dem Thema sind, kann man mit wenigen kleinen Änderungen im eigenen Verhalten dort ein großes Maß an wirklich realisierter IT-Sicherheit hinbekommen.
Ich bin beispielsweise überhaupt kein Freund dieses Themas dauernd Passwörter ändern zu müssen, also diese 30-Tage-Policy in Unternehmen, die sorgt nämlich eher, das sagen auch viele Studien für eine geringere Sicherheit, weil viele dann einfach anfangen zu numerieren oder sonst irgendwie kreativ zu werden, oder sich es aufzuschreiben. Also wichtig ist immer nicht die theoretische Internetsicherheit, sondern die praktische, denn Sie wissen, ich habe ja die zwei Motti, erst Hirn einschalten, dann Technik, und letztendlich dann auch Technik einfach nutzen.
Fazit
In diesem Sinne freue ich mich, wenn Sie nächste Woche wieder mit dabei sind, und dann geht es mal um das Thema pfiffige Apps für das Thema Fotos auf dem iPhone, denn da habe ich von meinem lieben Freund und Kollege Markus Walter eine ganze Menge an tollen Tipps bekommen, die ich gerne auch im Rahmen dieses Podcasts an Sie weitergeben möchte.
Bis zum nächsten Mal. Ihr Thorsten Jekel.
Letzte Kommentare