Shownotes & Links
- Der Blog-Post von Tavis Ormandy
- Die Reaktion von Enpass auf den Blog-Post
- Mozilla: Five myth about password managers
- Gelöste Sicherheitsprobleme im Firefox Passwort-Manager
- Der Apple-Passwort-Manager ist jetzt auch für Windows verfügbar
- Plattübergreifendes Passwort-Autofill von Microsoft
- Tracking in Passwort-Managern
- Passwort-Autofill-API: iOS, Android
- Die erwähnten Podcastfolgen: HTTP, Krypto-Folge, Passwörter, Sondersendung: Exchange
- Kapserskys Passwort-Manager: nicht zufällige „Zufallzahlen“ führen zum Desaster
- 1Password Security Design
- PwndPasswords
Feedback
Falls ihr Fragen oder Anregungen habt, schreibt uns gerne eine E-Mail an [email protected]
.
Transkript
Lisa:
Hallo und herzlich willkommen zu einer neuen Ausgabe vom INNOQ Security Podcast. Nach einer kleinen Sommerpause melden wir uns zurück mit dem Thema Passwort-Manager. Das Thema hat uns schon in verschiedensten Episoden häufiger begleitet. Und heute wollen Christoph Iserlohn und ich einmal konkret genau über dieses Thema sprechen. Aber Christoph, warum wollen wir denn gerade jetzt darüber sprechen?
Christoph:
Ja, hallo Lisa. Wir haben das schon, wie du gesagt hast, ein paar Mal gestreift. Beim Thema Passwörter oder auch bei unserer Sondersendung zu Exchange war das immer ein Thema, aber wir haben das noch nie so im Einzelnen besprochen. Und eigentlich habe ich mich auch immer dagegen gewehrt, weil wenn man darüber spricht, dann wollen die meisten Leute auch eine konkrete Empfehlung haben und das mache ich ziemlich ungerne. Eigentlich habe ich dann immer nur empfohlen: Holt euch so einen Third Party Manager und benutzt nicht den Passwort-Manager, der in den Browsern zum Beispiel eingebaut ist. Und da muss ich jetzt mal meine Meinung aber überdenken. Vor einiger Zeit kam ein Blogpost von Tavis Ormandy, das ist ein Sicherheitsforscher bei Google in deren Project Zero. Der hat schon ziemlich viele sehr ausgeklügelte Lücken herausbekommen. Der hat schon einiges an Gewicht und der hat mich über meine Empfehlung zum Nachdenken gebracht.
Lisa:
Okay, cool. Diesen Artikel hast du also gelesen, aber ich vermute, dass es für die Zuhörerinnen und Zuhörer etwas interessanter ist, wenn wir sie vielleicht einmal zum Thema Passwort-Manager abholen, bevor wir seine Empfehlung besprechen. Oder was sagst du?
Christoph:
Ja, das ist eine ganz gute Idee, dass wir erst einmal allgemein besprechen, was ein Passwort-Manager ist und was er alles können sollte oder in welchen Fällen der bestimmte Fähigkeiten haben sollte. Und dann können wir uns mal anschauen, ob man dann eher den Externen nimmt, was ich bis jetzt immer empfohlen habe oder den Internen, wie Tavis das empfiehlt. Das können wir dann am Ende vielleicht dann noch mal besprechen. Eins werde ich aber schon mal als kleiner Spoiler sagen: Eine ganz konkrete Empfehlung gebe ich am Ende immer noch nicht.
Lisa:
Also für alle, die das erwartet haben: Sie können abschalten. Sowas passiert nicht. Aber vielleicht geben wir Tipps, worauf man bei der Wahl eines Passwort-Managers achten sollte.
Christoph:
Ganz genau. Also abschalten sollten die natürlich nicht, sondern wir werden schon eine ganze Menge Aspekte durchsprechen, die wichtig sind für die Wahl des Passwort-Managers. Aber am Ende werden wir nicht einfach sagen: Nehmt Produkt XY an, sondern man muss seine eigenen Use Cases einfach mal dagegen abchecken, was man braucht. Und dann kann man vielleicht eine bessere Wahl treffen als vorher. Also schön dran bleiben.
Lisa:
Genau. Fangen wir mal mit dem einfachsten Thema an: Was sind Passwort-Manager denn überhaupt?
Christoph:
Das steckt schon fast im Name drin. Ein Passwort-Manager verwaltet meine Passwörter. In der einfachsten Form ist ein Passwort-Manager auch eine Liste, wo ich meine Passwörter einfach handschriftlich draufmache. Das könnte auch ein Passwort-Manager sein. Da schreibe ich mir die Webseite auf, meinen Usernamen und mein Passwort dazu. In so eine kleine Kladde zum Beispiel. Und dann hätte ich auch einen Passwort-Manager. Über sowas wollen wir natürlich jetzt nicht reden, sondern über Programme, die Passwort-Manager sind und die die natürlich auf der Festplatte speichern, vielleicht auch in der Cloud. Und die, die natürlich am besten auch sicher speichern, dass man immer Zugriff auf seine Passwörter hat.
Lisa:
Und warum brauchen wir Passwort-Manager? Klar, um Passwörter zu speichern, um Passwörter wie Passwort123 zum Beispiel zu vermeiden. Gibt es noch mehr Use Cases für Passwort-Manager?
Christoph:
Der wichtigste Use Case ist wahrscheinlich, dass ich heutzutage mit einer ganzen Menge Passwörter umgehen muss. Ich weiß nicht, wie es bei dir ist, aber ich habe bestimmt hunderte Accounts bei verschiedenen Diensten. Nicht alle werden aktiv genutzt, aber trotzdem sind die mal erstellt worden. Und da ist meine E-Mail-Adresse oder einer meiner E-Mail-Adressen drin und ein Passwort. Auch wenn ich ein sehr gutes Gedächtnis habe bzw. ich nicht. Wenn ich ein gutes Gedächtnis hätte, könnte man sich vielleicht ein, zwei schwierige Passwörter merken und dann hätte man nicht Passwort123 oder HalloWelt als Passwort, sondern ein relativ komplexes, kompliziertes Passwort, was nicht zu erraten ist und was auch per Brute-Force nicht zu knacken ist. Und das kann ich mir dann aber für so viele Accounts nicht merken. Und gibt es die zwei Möglichkeiten: Die schlechte Möglichkeit ist, dass ich zwar ein gutes nehme und überall benutze, aber davon raten wir immer ab. Das haben wir schon auch in der Password Folge ein bisschen besprochen, warum das eine schlechte Idee ist. Weil dann könnte man, wenn das mal irgendwo liegt, bei einem Account, dann können die das bei 1000 anderen Diensten ausprobieren und würden dann damit durchkommen. Das heißt, im Endeffekt brauche ich für jeden Account am besten ein anderes Passwort. Und das kann ich nur noch verwalten, indem ich mir dann Hilfsmittel hole, wie so ein Passwort-Manager, der das für mich in die Hand nimmt, damit ich sichere Passwörter habe und verschiedene Passwörter für jeden Account. Weil das kann ich nicht mehr im Kopf machen. Was ich dann noch brauche ist immer noch das Master Passwort, das mit dem Zugang zum Passwort-Manager. Das ist nur noch eins. Und das liegt dann bei mir und nicht bei den einzelnen Accounts. Und der die Chance für ein Leak ist viel geringer als bei den ganzen Diensten, die sich im Internet tummeln.
Lisa:
Das kannst du dann zum Beispiel auch in deine Password Kladde reinschreiben, das Master Passwort, welches bei dir ist.
Christoph:
Genau, das ist gar nicht so eine schlechte Idee, das vielleicht auch noch mal aufgeschrieben zu haben, weil eigentlich will man auch da ein sicheres Passwort haben, was nicht leicht erratbar ist. Und das vielleicht noch mal irgendwo sicher. Wer Hause einen Safe hat, kann das da einschließen oder sonst so zu verwahren ist gar nicht die schlechteste Idee. Besser ist natürlich, wenn man es sich so merken kann. Was nicht aufgeschrieben ist, kann auch kein anderer sehen. Aber das ist auch nicht so einfach. Das muss man ein bisschen für sich selbst abwägen. Wie sicher macht man sein Passwort für den Passwort-Manager und bin ich in der Lage mir das zu merken? Da nochmal vielleicht ein Rückgriff auf die Passwort Folge, eine Empfehlung vielleicht so eine Phrase zu verwenden, die dann sehr lang ist, eine hohe Komplexität hat, aber gleichzeitig noch relativ einfach zu merken ist. Dann braucht man sich das vielleicht nicht direkt aufschreiben.
Lisa:
Jetzt sagtest du schon, wir sprechen heute nicht über diese Papierform von Passwort-Managern, sondern wir möchten über Programme sprechen. Es gibt nicht nur einen Passwort-Manager auf dem Markt, sondern es gibt sehr viele. Worauf muss man denn achten, wenn man genau einen Passwort-Manager wählt? Was sind Faktoren, die die implementieren, die die unterstützen, die vielleicht die einen besser können als die anderen? Was für Use Cases decken die ab?
Christoph:
Ja, das ist das Wichtigste, dass man sich selbst klar wird: Welche Use Cases habe ich denn dafür? Denn wie du schon gesagt hast, gibt es ganz viele Passwort-Manager auf dem Markt. Und sich da einen rauszusuchen, da muss man schauen ob der Passwort-Manager, den man sich ausgesucht hat, vielleicht ganz gut zu den Use Cases passt, die man hat. Und es ist nicht so, dass es irgendwie einen gibt, der alles abdeckt, sondern es ganz viele Produkte gibt, die verschiedene Schwerpunkte oder verschiedene Stärken und Schwächen haben. Und dann muss man das ein bisschen vergleichen. Es gibt nicht den einen idealen Passwort-Manager für jeden. Du sagtest, das macht man dann in Use Cases aus und da gibt es eine ganze Menge. Also sozusagen der Basic Use Case, den man voraussetzen sollte, ist einfach, dass der einfach meine Passwörter sicher speichern kann. Das hört sich so trivial an, dass man das eigentlich gar nicht unbedingt extra erwähnen müsste. So können wir sagen: Ja, das ist ja selbstverständlich. Aber so selbstverständlich ist das nun auch nicht. Weil es gab schon ein Passwort-Manager, auch intern in den Browsern, die am Anfang diese „Passwort merken“-Funktion hatten, die aber gar nicht richtig gut verschlüsselt haben, bei der Ablage. Die waren dann einfach in so einer SQL Leihdatenbank. Und wenn ich dann lokal den Zugriff auf das File System hatte, konnte ich die da auslesen. Und Verschlüsselung ist auch immer noch was, was extrem schwierig ist. Wir hatten es schon über Kryptographie in einer Folge. Und da haben wir auch gelernt, dass es so ist, dass a) es erst mal in der Theorie schwierig ist. Erst mal zu wissen: Welches Verfahren muss ich denn überhaupt anwenden? Nicht jedes Verschlüsselungsverfahren eignet sich für jeden Use Case. Und dann ist die Implementierung auch noch besonders schwer. Da kann man auch sehr viele Fehler machen. Das hört sich trivial an, aber das ist gar nicht so einfach zu sagen: Wir speichern jetzt mal sicher Passwörter. Wenn man dann zum Beispiel auf Bibliotheken zurückgreifen kann, die das für einen übernehmen, ist das schon nicht schlecht, als wenn man zum Beispiel, nehmen wir mal an, das wäre AES verschlüsselt, das einfach mal selbst implementiert. Das ist wahrscheinlich auch schon der einfachste Passwort-Manager, den wir nicht als Kladde haben, sondern als Programm und der eine Verschlüsselung macht. Da kann ich einfach zum Beispiel einen GPG nehmen. Die meisten kennen das wahrscheinlich aus dem Mail Kontext um verschlüsselte Mails zu machen, aber damit kann ich auch Files verschlüsseln. Und da kann ich einfach einen Text File anlegen und das damit verschlüsseln. Da wüsste ich schon mal, dass die Kernfunktionalität relativ sicher ist. GPG hat zwar auch immer wieder mal Bugs und Probleme, aber die werden auch schnell behoben und meistens gehen die darum wieder mit den Mail Sachen interagiert und die eigentliche Verschlüsselung ist richtig. Da hbe schon mal einen ganz rudimentären Passwort-Manager, der portabel ist und der auch nichts kostet. Problem dabei ist, und dann gehen wir auf den zweiten Use Case ein, ist, dass wir damit natürlich eine ganz schreckliche UX haben. Also GPG als Programm zu bedienen ist schon nicht so einfach. Gerade für den Laien nicht. Das heißt, dass es sowas für Leute wie dich und mich. IT Profis, die sich gut auskennen damit, die auf der Kommandozeile vielleicht auch schon sicher sind. Die könnten das machen. Aber eigentlich muss ich eine ganz andere UX dafür haben. Das erste wäre, was man dann sozusagen als Evolution hat, ist das Pass, ein Unix Programm. Ich glaube das besteht eigentlich auch nur aus Shell Skripten, die mir GPG steuern, wo ich dann sagen kann: Insert Password oder das rausholen kann. Die bauen auf GPG auf und verschlüsseln jedes Passwort in der eigenen Datei, mit einem Extra Schlüssel und haben so eine gewisse lokale Struktur, wo ich dann sozusagen ein Sharing machen kann und alles mögliche. Das ist das klassische, was so ein Unix Admin benutzen könnte. Wenn wir jetzt UX ein bisschen weiter fassen, dann geht es natürlich wahrscheinlich um die Endnutzerin. Und um nicht IT-Profis und da bräuchten wir etwas anderes. Und das kennt man wahrscheinlich aus den meisten Passwort-Managern und auch aus den eingebauten in den jeweiligen Browsern, dass sie sich irgendwie in den Browser einklinken. Und wenn man dann auf so einer Registrierung Seite ist und seine Daten eingibt, dass sie das merken und dann sagen: Soll ich das Passwort für dich speichern? Und wenn man dann wieder auf die Seite kommt und sich wieder anmelden muss, dass so einen Autofill haben und dann automatisch die Daten dort in das Formularfeld vorbelegen, dass man nur noch auf Enter drücken muss oder auf Einloggen klickt. Beziehungsweise gibt es auch einige, die das auch sogar automatisch übernehmen und diese Enter oder Abschick-Funktion auch automatisch aktivieren. Ich glaube ohne so ein Autofill kriegt man auch keine Laien dazu so ein Passwort-Manager zu benutzen. Alles, was noch weitere Interaktion oder Extra Interaktionen erfordert, ist ziemlich schwierig. Und da gibt es einen Sonder Case, den wir vielleicht mal erwähnen sollten, weil er vielleicht später im Vergleich relativ wichtig ist. Wir haben jetzt formbasierten Login gesprochen, da funktioniert das alles recht gut. Entweder Browser nativ oder über einen Plugin. Aber ein Use Case ist, wenn man Basic OS benutzt. Also Basic OS heißt, man benutzt halt über das HTTP Protokoll definierte Basic OS. Wenn da der entsprechende Header kommt und der entsprechende Status Code von http, dann kommt so ein nativer Dialog, dann hat man nicht mehr so eine HTML Form, wo man seine Daten eingibt, seine Credentials eingibt, sondern ein nativer Dialog. Und wenn man die da eingibt, wie gesagt, beim Basic OS kommt so ein nativer Dialog und da kann man da sein Passwort eingeben. Und damit kommen sehr viele Plugins nicht gut zurecht. Das steht noch mal auf einem anderen Blog, welchen Basic OS man nehmen sollte, weil da gibt es auch Probleme mit dem Abmelden und andere Sachen. Da verweise ich mal auf die HTTP-Folge aus dem regulären INNOQ Podcast. Da hat der Lucas das mal ganz gut erklärt. Solche Sachen würde man jetzt nicht so nutzen, aber zum Beispiel in unserer Infrastruktur ist das ist so ein großer Stolperstein für viele. Der Passwort-Manager.
Lisa:
Was mir gerade noch so auffällt. Ich habe das Gefühl, GPG und Pass sind beides Dinge, die Nutzerinnen nur auf dem Computer verwenden können, oder? Ich glaube, ein großer Use Case heutzutage ist auch, dass man seine Passwörter am Handy irgendwie häufiger eingeben muss oder auch an anderen Geräten, In so einem Blu-Ray Player. Es gibt jetzt durchaus viele Dinge, die nach Passwörtern fragen. Kann ich da quasi auch Passwort-Manager nutzen an der Stelle? Oder sind die für diese Cases nicht geeignet?
Christoph:
Naja, es kommt darauf an, welchen Passwort-Manager du hast, aber vielleicht ist das Stichwort dabei Synchronisierung zwischen verschiedenen Geräten, die man hat und das unterstützen relativ viele. Du hast jetzt das Beispiel Blu-Ray Player genannt. Ich glaube das wird schwierig darauf zu gehen. Die übliche Unterstützung geht über die normalen Rechner. Dann aber auch mit verschiedenen Betriebssystem: Linux, Windows, Mac, OS. Und die Mobiltelefone, dann Android und iOS. Dafür stellen da viele eine Synchronisierungsmöglichkeit bereit und da muss man auch noch mal sehen: Wie synchronisiere ich? Schicke ich jetzt die Daten in die Cloud? Irgendwie müssen sie synchronisiert werden können. Das heißt, die meisten Anbieter haben dann irgendeine Cloud-Lösungen dabei. Da wird das dann dort gespeichert und andere Geräte können sich das dann da abholen. Gibt es da noch mal Unterschiede, welcher Cloud-Anbieter da benutzt wird oder ob man das auch selbst angeben kann. Ob man wählen kann oder bzw. auch einen eigenen Storage bereitstellen kann. Man könnte sagen: Ich habe einen Server, der spricht Webduff und da kann ich das jetzt installieren. Und noch eine weitere Möglichkeit ist natürlich, ob man, das ist zum Beispiel ein Feature, warum ich mich für mein Passwort-Manager entschieden habe, man kann es lokal machen. In meinem lokalen Netzwerk können sich die Geräte, wenn sie sich sehen, synchronisieren und ich brauche in dem Fall keinen Cloud-Anbieter. Das war für mich zum Beispiel ein entscheidender Use Case, Nicht nur der. Aber warum ich mich für einen ganz gewissen Passwort-Manager entschieden habe, den ich jetzt aber auch nicht nennen werde. Nicht jeder möchte auch der Cloud seine Daten anvertrauen. Das ist zwar normalerweise so, dass die verschlüsselt sind. Das heißt nicht, dass ich mein Passwort unverschlüsselt irgendwo hinschicken, sondern die werden in Passwort Saves gespeichert. Da kann man vielleicht gleich drauf, was das bedeutet. Der verschlüsselte Passwort Safe wird dann in die Cloud geladen und ein anderer kann sich das dann runterladen. Und ohne das Master Passwort komme ich da nicht dran. Aber wir hatten das ja ganz am Anfang. Die Basic Funktion: Sicheres Speichern ist nicht einfach und so ein Passwort-Manager Anbieter ist natürlich ein super interessantes Ziel für Angreifer. Wenn da hunderte Passwort Saves sind, dann lohnt sich das vielleicht die schon mal anzugreifen. Und wenn der Angreifer die lokal bei sich hat, dann lohnt es sich vielleicht da auch mal zu schauen, ob es nicht irgendwie Fehler in der Implementierung gibt und die Verschlüsselung vielleicht doch aufbrechbar ist. Und wie gesagt, das ist vielleicht gar nicht so unwahrscheinlich. Da müssen wir uns vielleicht mal anschauen, bei der Ransomware Angriffen, das ist der umgekehrte Fall. Das ist auch schon oft genug passiert, dass Sicherheitsforscher die Verschlüsselung Implementierung knacken konnten und dann als kostenlose Entschlüsselungs-Tool gibt. In dem Fall ist das gut, weil die Guten knacken die Verschlüsselung der Bösen, aber wenn bei der Synchronisierung die Passwort verloren gegangen wären und es wird umgekehrt: Die Bösen knacken die Verschlüsselung der Guten, dann wäre das nicht schlecht. Da muss man ein bisschen so schauen: Wie groß ist das Sicherheitsbedürfnis oder wie groß ist der Aluhut, den man trägt?
Lisa:
Hat aber auch dann einfach Unterschiede in der Nutzung. Wenn ich in der Cloud bin, dann würden sich die Dinge sofort synchronisieren, in dem Moment, wo ich ein Passwort update. Und bei dir ist es jetzt einfach so, wenn du ein Passwort updatest, dann müssen die Geräte, die auf dieses Passwort zugreifen, im selben Netz sein, um sich zu updaten. Verstehe ich das richtig?
Christoph:
Ganz genau. Das ist jetzt kleiner Nachteil für diese lokale Synchronisation. Sagen wir mal, ich bin auf einer Dienstreise und muss mir beim Kunden irgendwie einen Account machen und ich bin dann mit meinem Mobiltelefon oder vielleicht sogar mit meinem zweiten Gerät, weil ich brauche zum Beispiel einen Linux Rechner und einen Windows-Rechner und brauche über beide einen Zugang. Dann müssen die Geräte sich auch erst mal in diesem Netzwerk sehen können. Und das ist oft nicht der Fall, dass sich die Geräte zusammenführen. Also in diesem Netzwerk beliebig sehen können oder dann die entsprechenden Ports für die Synchronisierung offen sind. Das kann schon Probleme machen. Das ist eine Einschränkung im Komfort, den ich jetzt für mich in Kauf genommen habe. Wobei bei anderen natürlich die Entscheidung ganz anders ausfallen kann.
Lisa:
Okay, jetzt hast du schon unfassbar oft das Wort Passwort Safe gesagt. Was ist das denn und wofür wird das genutzt?
Christoph:
Passwort Safe oder auch Vault ist eigentlich die Datei, die verschlüsselt ist, wo die Passwörter sicher drin gespeichert sind oder vielleicht auch die Datenbanken. Es könnte auch eine verschlüsselte SQLite sein oder sonst wie. Das wird eigentlich als Passwort Safe oder Vault benannt. Das heißt, ich komme dann nur mit meinem eigenen Schlüssel dran, deshalb Safe. Warum ist das wichtig? Das könnte man jetzt sagen, das ist ein technisches Detail. Aber es gibt Passwort-Manager, die mehrere solche Safes unterstützen. Das kann ganz praktisch sein. Zum Beispiel, wenn ich auf Reisen bin und sage: Ich will jetzt auf meinem Gerät nur einen haben, wo nur ganz bestimmte Sachen drin sind. Denken wir mal an Einreisebestimmungen in gewisse Länder, die so was wie Homeland Security haben, wo man dann verpflichtet ist, seine Passwörter preiszugeben und sonst vielleicht nicht einreisen darf oder längere Zeit in Gewahrsam genommen wird. Dann ist vielleicht gar nicht schlecht. Wenn man also einen Teil hat, der vielleicht weniger schmerzhaft ist. Andererseits kann man natürlich, wenn die Bedrohungslage für einen persönlich so wäre, natürlich sagen, dann bietet sich, noch mal zum Thema Synchronisierung zurück. Natürlich auch so ein Cloud synchronisiert sich, dann lösche ich diesen Passwort vielleicht komplett von meinem Gerät und erst wenn ich eingereist bin, mache ich wieder eine Synchronisierung, um an meine Passwörter zu kommen. Es hat aber noch einen anderen Grund, warum die ganz praktisch sind. Man kann ihn nämlich auch in vielen Passwort-Manager teilen. Da kann ich zum Beispiel mit meiner Familie meine Streaming Angebote teilen, weil die wollen auch gerne gute Serien schauen oder schöne Musik hören. Und dann hätten die dasselbe Passwort zum Beispiel an der Stelle oder einfach auch, wenn ich wichtige Unterlagen, mein Testament oder ähnliches. Testament wird nicht elektronisch gespeichert. Aber nehmen wir mal an, man hat irgendwelche wichtigen Bevollmächtigungen und sonstiges elektronisch verfügbar. Die sind natürlich auch irgendwo verschlüsselt gespeichert. Das sind wichtige und private Dokumente, dass ich das zum Beispiel dann mit meinem Partner teile. Oder Versicherungsdokumente, dass der im Notfall, wenn mir was passieren würde, auch da rankommt. Dazu ist so ein Teilen dieser Safes oder Vaults ganz praktisch. Und deshalb ist es gut, wenn zum Beispiel mehrere Passwort Vaults oder Safes von einem Passwort-Manager unterstützt werden, dass man solche Use CaseS abdecken kann. Das hatte ich schon in mehreren Projekten, dass von den Administratoren wichtige Passwörter zu Datenbanken oder zu anderen Accounts darin geteilt wurden. Indem man zum Beispiel nicht in so was wie diesem solchen Secret Managern, wie Amazon Manager oder HashiCorp Vault speichern kann, der Admin Account bei irgendeinem Software Service Anbieter, wo es dann nur einen Admin Account gibt, aber mehrere Admins gibt, dann ist das gar nicht schlecht. Und wie gesagt diese Passwörter funktionieren auch über so einen geteilten Vault.
Lisa:
Aus Projekten kenne ich das auch, aber das bedeutet quasi immer, dass die Leute den gleichen Passwort-Manager nutzen müssen oder? Weil man hat dann so ein spezielles Dateiformat, das vielleicht nicht jeder Passwort-Manager unterstützt.
Christoph:
Ja, da bin ich jetzt ehrlich gesagt überfragt, ob es da schon irgendwie Standardisierungensbemühungen gäbe. Ich glaube nicht, weil das würde das Wechseln leichter machen und das will eigentlich kein kommerzieller Anbieter, dass man leicht wechseln kann. Bei Open Source kann das vielleicht gehen, aber das stimmt. In den Projekten, wo ich das erlebt habe, hatten alle den gleichen Passwort-Manager, den gleichen Anbieter und dann hat das soweit funktioniert. Das ist übrigens auch der Grund, warum ich lokal auch zwei Passwort-Manager installiert habe. Einen, den ich eigentlich benutze und einen, der für ein Projekt war. Ich meine, das kann ich bald runterwerfen, weil da bin ich eigentlich nicht mehr drin und der ist leer, aber er ist noch installiert. Der Vault ist auch schon weg bei mir, da muss man auch ein bisschen sehen, das sind so Enterprise Funktionen, auch der Zugang. Wo ich jetzt sage: Ich bin eigentlich nicht mehr in dem Projekt drin, dann sollte ich auch gar nicht mehr Zugang zu diesen Passwörtern haben. Und da gibt es einige, wo man sozusagen auch noch seine Benutzer Administration machen kann, wo mir der dann entzogen wird, ohne dass ich den selbst löschen müsste. Das sind dann so Enterprise Funktionen für Passwort Safes, die man vielleicht auch noch in Betracht ziehen muss, wenn man das in so einem Kontext benutzt.
Lisa:
Du hast eben gerade schon angefangen mit Versicherungsdokumenten und ähnlichen Dingen, die du teilen möchtest. Es könnte auch noch ein Feature von Passwort-Manager sein, dass man auch ganz andere Dinge darin verschlüsselt ablegen kann.
Christoph:
Ja, meiner hat eine Funktion, das heißt „Sichere Notizen“, in der deutschen Lokalisierung. Da kann ich eigentlich beliebigen Text speichern. Das wird aber meistens nicht dafür benutzt um verschlüsselte PDFs zu machen. So kenne ich das jedenfalls nicht. Ein Passwort dient zur Authentifizierung. Und oft ist es nicht nur eine Sache, mit der man sich authentifiziert. Es gibt irgendwie immer Sicherheitsmechanismen oder Recovery Mechanismen. Zum Beispiel, die berühmten Sicherheitsfragen, von denen man abrät. Wenn man die ehrlich beantwortet, sind die leicht erreichbar. Wissen wir, kann man oft in den sozialen Medien nachschauen, wie der erste Hund hieß oder der Mädchenname oder was weiß ich, was da alles so gefragt wird. Und ich mache das persönlich so und ich kenne auch viele andere, die das machen. Die machen dann auch einfach ein sicheres Passwort dazu. Irgendwie random und ich lege dann diese Sicherheitsfrage mit dem entsprechenden Passwort einfach als sogenannte „Sichere Notiz“ ab. In anderen Passwort-Manager heißt das wahrscheinlich irgendwie anders, aber da kann man beliebigen Text speichern. Oder auch, wenn man Zwei-Faktor-Authentifizierung nutzt. Zum Beispiel mit einem Hardware Token, dann gibt es oft solche sogenannten Recovery Codes dafür. Wenn einem die kaputt gehen. Sowas speichere ich da drin. Es gibt eine vollständige Festplatten Verschlüsselung auf MacOS, was ich benutze und da gibt es auch so ein Recovery Code dafür, den man einmal am Anfang bekommt, wenn man eine Verschlüsselung zum Beispiel angeworfen hat und den habe ich da zum Beispiel auch drin. Alles, was man sicher speichern kann und will, ist da ganz gut. Um noch mal auf die Frage einzugehen: Ich weiß nicht, wie gut das funktioniert mit größeren Dokumenten und PDFs und was die alles haben. Aber prinzipiell spricht nichts dagegen. Da bräuchte ich auch nur das Master Passwort dafür. Von daher, sollte man können. Dann können wir vielleicht noch einen Punkt ansprechen: Die Sicherheitsfragen. Eine Funktion, die das auch immer haben sollte ist das Generieren von Passwörtern. Oft wird es einem angeboten, ein sicher generiertes Passwort, wenn man irgendwo ein Account registriert und der Passwort-Manager merkt das, dann bietet er einem schon eins an. Wenn er es nicht merkt, muss man das auch manuell aufrufen können. Und wichtig dabei ist auch, dass man das ein bisschen parametrisieren kann, weil die einen wollen Sonderzeichen drin haben, die andere nicht oder nur bestimmte Sonderzeichen. Die einen haben eine maximale Länge, die vielleicht viel kürzer ist, als man das eigentlich macht. Und dann sollte man das am besten einstellen können: Länge von, bis und Sonderzeichen oder nur folgende Zeichen oder Zeichen ausschließen. Da gibt es Regeln, die man bei den verschiedenen einstellen kann, damit man auch für alles ein vernünftiges Passwort bekommt und nicht, dass der einem eins generiert, was dann nicht funktioniert. Und ich benutze das auch immer, das manuelle Aufrufen zum Beispiel, um für diese Sicherheitsfragen, wo ich oft keins angeboten kriege, mir eins zu generieren. Das ist dann schon ganz wichtig. Das Dümmste sind dabei die Sicherheitsfragen, die in so eine Auswahlliste gehen. Das ist ein anderes Thema, hatten wir schon mal noch in der anderen Folge. Sollte man natürlich nicht tun, aber generieren von Passwörtern sollten die auch können und das sollte auch wirklich zufällig sein. Kryptographie ist schwierig und vernünftige Zufallszahlen sind da von elementarer Sicherheit. Und da gab es auch schon mal Probleme dabei, dass man solche Sachen dann erraten konnte, weil die einen Zufallszahlen Generator benutzt haben, der nicht kryptographisch sicher war und wo immer dasselbe Seed war. Und dann konnte man das relativ einfach herauskriegen. Das war irgendwie die Zeit, ich bin mir nicht mehr ganz sicher, vielleicht ist das was für die Shownotes. Auf jeden Fall nicht gut, wenn er Passwort-Manager Passwörter generiert, die dann erratbar sind. Das ist natürlich nichts.
Lisa:
Apropos errartbar: Kann mich ein Passwort-Manager auch dabei unterstützen, wenn Passwörter von mir kompromittiert wurden?
Christoph:
Ja. Und das sollten sie am besten auch. Also wir können das mal verallgemeinern, der sollte dich vor schlechten Passwörtern schützen. Das hatten wir gerade für die Generierung. Dann sollte der auch simple Passwörter unterbinden können, weil ich benutze nicht immer das generierte. Manchmal gibt man die auch von Hand ein und dann fragt er: Soll ich das für dich speichern? Und er sollte dir sagen, Vielleicht, das hat aber wenig Entropie. „Hallo, hier bin ich“ ist nicht so das Ideale. Und viele haben eine Anbindung an Have I Been Pwnd, den Service, wo ein Sicherheitsforscher geleakte Passwort Datenbanken sammelt. Und die sind schon im Milliardenbereich drin. Ich bin mir nicht ganz sicher. Verlinken wir auch nochmal dazu. Das hatten wir auch schon mal in anderen Sendungen kurz erwähnt. Da kann ich finden: Wurde das schon mal benutzt? Und das sollte ich natürlich nicht machen, weil wir haben am Anfang gesagt, so eine sogenannte Credentials Stuffing Angriff. Das heißt, ich benutze ein geleaktes Passwort und die entsprechende E-Mail-Adresse bei ganz vielen Diensten. Deshalb wollen wir bei jedem Dienst ein anderes Passwort haben. Das kann ich damit verhindern, wenn man weiß, das ist schon mal geleakt, dann soll ich das nicht wiederverwenden. Eine ganze Reihe können das eigentlich checken und für mich ist das auch ein Kriterium, wo ich immer sagen würde, wenn man jetzt ein neues Passwort nimmt, das sollte auf jeden Fall dabei sein, dass die einen warnen können. Das solltest du vielleicht nicht verwenden. Wenn sie das selbst generieren und es ist der ganz komische Zufall, dass ein generiertes Passwort genau eins ergibt, was doch schon mal geleakt ist, dass er sagt: Ich generiere dir direkt noch mal ein anderes und speichere das gar nicht. Das ist wichtig und ist für mich auf jeden Fall ein wichtiges Feature, was das Passwort-Manager haben sollte.
Lisa:
Jetzt fallen mir als letzten Punkt auf jeden Fall noch die Kosten, die anfallen und die Lizenz, die verwendet wird von dem Passwort-Manager ein. Hast du noch andere Aspekte, die wir vielleicht gerade beim Auflisten vergessen haben?
Christoph:
Was auf jeden Fall noch wichtig ist, ist die Plattform Abhängig- oder Unabhängigkeit? Worauf kann ich den Passwort-Manager benutzen? Das haben wir am Anfang mal so gehabt: Okay, auf welchen Betriebssysteme? Aber gibt es da vielleicht auch ein Plugin für Firefox, für Safari, für Chrome oder für eins der Chrome Derivate? Den von Microsoft, den Edge oder den Brave oder es gibt noch ein paar andere Anbieter, die zwar alle irgendwie intern auf Chrome basieren, aber da sollte ich das natürlich auch haben. Und passt das zum Beispiel auf mein Mobiltelefon? Das sollte man natürlich im Auge behalten, weil ich verwende zum Beispiel Apple und ich habe aber auch ein Windows Gerät. Ich bräuchte schon mal Plattformenunabhängigkeit dafür. Darauf sollte man achten. Und das ist jetzt für die Leute, die ganz hohe Sicherheitsbedürfnisse haben. Unterstützt es vielleicht auch Zwei-Faktor Authentifizierung? Also ich habe immer noch ein Passwort, das Master Passwort und das ist noch viel wertvoller als alle anderen, weil nur mit dem einen komme ich an alle anderen dran. Da wäre es nicht schlecht, wenn man ein hohes Sicherheitsbedürfnis hat, dass die vielleicht Zwei-Faktor Authentifizierung selbst unterstützen. Zum Beispiel mit einem Yubikey, einer Hardware Lösung oder gerne auch mit so einem OTP Verfahren. Da muss man mal schauen, was man da einsetzen will, aber dass man den Schutz des Passwort-Managers auch noch mal entsprechend erhöhen kann.
Lisa:
Kannst du Yubikey einmal ganz kurz erklären, was das ist?
Christoph:
Yubikey ist eigentlich eine Marke. Das sind so Hardware Tokens, so ein kleiner USB-Stick, da ist ein Chip drauf, der solche Funktionen übernehmen kann. Die gibt es in verschiedenen Ausführungen. Manche können solche One-Time Passwort Tokens erzeugen. Manche können deinen GPG Key speichern, manche unterstützen dieses webOS N-Verfahren. Dazu machen wir noch mal eine Extrafolge, was das wieder bedeutet. Aber sie bringen sozusagen Sicherheit in Hardware und da gibt es auch noch andere Hersteller. Nitrokey ist auch einer, den ich vielleicht empfehlen würde, das ist eine deutsche Firma aus Berlin. Aber Yubikey hat es sozusagen bekannt gemacht. Das steht so, das ist wie die Pampers unter den Windeln, ist Yubikey der Markenname, wenn man solche Hardware Tokens hat, die man als USB Stick benutzt. Und das heißt, wenn ich mich dann beim Passwort-Manager anmelde, würde der noch mal verlangen, dass ich irgendwie den Yubikey einstecke und dann darf. Es gibt welche, die dann am Yubikey noch mal so Fingerabdruck abtesten oder wo man vielleicht nochmal einen Extra Pin eingeben muss. Das ist ein zweiter Faktor, der auf Hardware beruht, den ich in meinem Besitz haben muss. Wie gesagt, das machen wir vielleicht nochmal im Detail, wie diese Keys. Also brauchen wir glaube ich Zeit und machen dafür noch mal eine ganz eigene Folge.
Lisa:
Sehr gute Idee. Schreibe ich mir direkt auf. Du hast vorhin im Rahmen von dem Artikel schon einmal mit den Wörtern interner und externer Passwort-Manager um dich geworfen. Was ist denn der Unterschied zwischen intern und extern?
Christoph:
Ich würde vielleicht gerne noch mal zurückgehen, weil ich habe deine Frage nämlich gar nicht beantwortet bzw. du hast selbst erwähnt, Export, Import und Lizenzen. Vielleicht sollten wir dazu auch noch mal zwei Worte verlieren. Das sind nämlich wichtige Themen. Lizenzen und Kosten. Ja, da muss man schauen, was man bereit ist zu zahlen. Die meisten, die ich als besser betrachte, sind alle auf so ein Subscription Modell gewechselt. Dafür muss man jährlich zahlen. Ich finde das in Ordnung. Wenn man 30 Euro im Jahr für die Sicherheit ausgibt, finde ich, das ist nicht so wenig. Aber wir kennen das so von den Apps auf Mobiltelefonen. Alles was kostet, wird irgendwie nicht gemacht. Und wenn es Kosten sind, wie ich sonst irgendwie jeden Tag meinen Kaffee hole, bei meinem bevorzugten Kaffee Anbieter, ist es eigentlich ein bisschen verrückt. Das ist aber ein Problem für die breite Adoption von Passwort-Managern, dass Leute auch nicht bereit sind, gerade die, die nicht aus dem professionellen Umfeld kommen. Wenn man die Familie überzeugen will, nutze alle ein Passwort-Manager und dann heißt es: Dafür zahlst du aber und zwar jährlich, dann winken viele ab. Und es gibt zwar ein paar Sachen, die sind auch OpenSource. Da sind wir so beim Thema Lizenz. Die sind aber oft nicht so ganz komfortabel. Die haben auch ihre Wehwehchen. Für die UX zahlt man wahrscheinlich nochmal drauf. Das muss man manchmal unterjubeln. Es gibt so einige, die haben Familien Lizenzen, dann macht man das einfach mal und installiert das seiner Mama, seinem Papa, seiner Oma. Wer da schon noch unterwegs ist, aber die, die so was dann oft gar nicht überblicken und auch nichts ausgeben können, dann muss man vielleicht manchmal selbst unternehmen. Im professionellen Umfeld sehe ich da weniger das Problem. Gehört zu unseren Arbeitsgeräten, da gehört Software dazu und dann sind da die Sachen. Das finde ich auch durchaus preiswert. Das andere Thema ist der Export, Import. Das ist natürlich so was, da muss man ein bisschen aufpassen. Vielleicht will ich mal meinen Anbieter wechseln, weil er zum Beispiel sein Subscription Modell umgestellt hat oder wie jetzt ein berühmter Passwort-Manager sein Client auf Elektron umstellt und der total träge ist und die ganzen Leute alle sagen: Das will ich nicht mehr. Dass ich das irgendwie exportieren und importieren kann. Und viele sprechen was von CSV oder ein einfaches Textformat. Das geht, aber wir haben in der Vorbereitung mal geschaut in so einer Vergleichstabelle und da war ein Anbieter, der nur ein provitäres Format herausgibt. Das heißt, wenn ich da drin bin, bin ich gefangen oder ich muss mir die mal abschreiben. Und gerade im Enterprise Umfeld, wo ich dann vielleicht ganz viele Passwörter habe, wurde sicher auch so positioniert. Darauf sollte man auf jeden Fall achten, dass ich mich nicht für immer und ewig da dran binde, sondern Import-Export finde ich schon wichtig. Wobei ich zugeben muss, wo ich gar nicht weiß, was mein Passwort-Manager alles an Exportformaten unterstützt. Aber irgendwelche Text Formate sind es schon, damit kommt man schon weiter. Aber ob der Wechsel so einfach wäre? Als ich mich damals dafür entschieden habe, habe ich nicht so darauf geachtet. Jetzt wo einige, was wir auch im Kollegen Umfeld beide gehört haben, einige das wechseln wollen, weil da die die Lizenz umgestellt auf Subscription wurde und der Client auch nicht mehr so snappy ist wie vorher. Sollte man sich vielleicht schon noch Gedanken darüber machen. Und jetzt hattest du noch eine Frage gestellt, die habe ich schon wieder vergessen.
Lisa:
Jetzt schließen wir das Thema ab, mit den Dingen, worauf man beim Passwort-Manager achten muss. Du hast ganz am Anfang über den Artikel gesprochen, weswegen wir die Folge jetzt auch machen. Und da hast du schon mit den Begriffen interner und externer Passwort-Manager um dich geworfen. Und ich wollte gerne von dir wissen, was denn der Unterschied zwischen einem internen und einem externen Passwort ist.
Christoph:
Was ich als intern immer bezeichne, sind so Firefox, der Chrome, der Safari. Die bieten alles schon so ein „Passwort merken“ Funktion an. Wenn man wieder auf die Seite kommt, dass man das dann auch ausgefüllt hat und nur noch auf einloggen klicken muss. Da sind für mich die internen, haupsächlich in den Browsern. Das ist auch so ein bisschen aufgekommen. Und die Externen sind welche, die kann man noch zusätzlich als Zusatzprogramm kaufen. Die haben dann meistens einen Browser Plugin, bieten eine ähnliche Funktionalität mit diesem AutoFill an. Das waren aber externe Programme. Das hat sich ein bisschen auch vermischt. Es ist nicht schwarz weiß. Wenn ich auf Apple Geräten unterwegs bin, speichert das nicht im Safari selbst, sondern in der sogenannten KeyChain. Und die kann durchaus von anderen Programmen auch angesprochen werden. Der Schlüsselbund, da sind Passwörter drin, nicht nur aus dem Browser, auch deine WLAN Passwörter sind da drin. Oder auch die Zertifikate, die man hat, werden da drin gespeichert und die kann man auch synchronisieren. Also die könnte ich, wenn ich im Apple Walled Garden bin, kann ich auch mit meinem iPhone synchronisieren und dann habe ich das. Von daher bieten die jetzt auch Funktionen, die waren vorher auch nur den Externen vorbehalten. Hier Synchronisierung, Teilen, Zwei-Faktor Authentifizierung, Plattform Unabhängigkeit. Das sind die typischen Merkmale, die ich nur bei externen bekomme. Wenn ich bei Firefox bin, dann habe ich die im Firefox gespeichert. Da gibt es jetzt auch eine Synchronisierungsfunktion, aber auch nur unter Firefox zu Firefox. Das heißt, wie gesagt, es hat sich ein bisschen aufgesplittet. Die haben ganz schön aufgeholt, die internen. Früher konnte man die auch gar nicht empfehlen, weil die zum Beispiel auch gar nicht die Passwörter richtig verschlüsselt hatten. Intern, was es in den Browsern und in den Betriebssystemen so ein bisschen eingebaut ist und die externen Programme, die ich dann noch zusätzlich kaufe.
Lisa:
Also ich glaube, die Keychain liegt wahrscheinlich einfach in der Apple Cloud, das ist wie zur Synchronisierung dabei.
Christoph:
Genau, das muss ich aktivieren. Dann wird die über die iCloud synchronisiert, auf die Geräte. Liegt natürlich verschlüsselt da drin, das ist klar, wie bei den anderen Anbietern auch. Aber da kann ich auch keinen anderen Cloud-Anbieter machen. Das macht natürlich Apple mit ihrer iCloud. Genau, das geht. Die sind da noch mit am weitesten von denen, was die an Sachen anbieten, an noch zusätzlichen Features, außer ich fülle einfach das Passwort aus. Aber wie gesagt, da bin ich in der Apple Welt gefangen.
Lisa:
Und jetzt sagtest du eben, dass Firefox auch zwischeneinander synchronisiert. Machen die das auch über eine Cloud oder machen die das anders?
Christoph:
Ja, du darfst mich jetzt aber nicht festnageln, über welchen Anbieter die gehen. Es macht Firefox und Synchronisierung Service. Glaube ich jedenfalls. Ich habe den schon gar nicht mehr Ewigkeiten benutzt. Ich hoffe, der existiert noch. Manchmal fliegen so Sachen raus. Aber es ging mal, dass man die Passwörter über den Firefox Dienst synchronisiert hat und die werden auch Amazon oder Google Cloud benutzt haben um ihre Files zu storen. Die Synchronisierung ist eigentlich relativ einfach. Du brauchst nur ein File Storage. Wenn du im einfachsten Fall machst, musst einfach nur ein File austauschen. Das kann komplizierter werden, immer was synchronisiert wird, wenn man auf zwei Geräten was ändert und die müssen sich synchronisieren. Dann kannst du nicht nur den verschlüsselten Block austauschen, sondern muss das mergen. Aber der einfachste Fall ist: Du brauchst einfach nur ein Storage. Und bei manchen Open Source Sachen kannst du das auch einfach selbst sagen: Hier ist mein File Storage, mein Web Duff Server und dann kannst du damit synchronisieren. Das kann man dann auch da einrichten. Und wie gesagt, ganz genau habe ich das nicht mehr im Blick, wie aktuell das so im Firefox und Chrome funktioniert. Am besten habe ich da noch das bei Apple parat, weil ich Apple Nutzer bin. Sowohl auf dem Mobiltelefon als auch auf dem Rechner bzw. ich benutze auch Windows und Linux, aber hauptsächlich Apple Geräte. Daher kenne ich mich da am besten aus. Ich weiß, bei Google ist es so, du kannst es im Chrome machen, nur im Chrome und dann kannst du aber sagen, dein Google Account soll damit synchronisieren, dann kann er das auch auf Android Geräten, anderen Applikationen und sowas anbieten. Dann geht das ein bisschen weiter, aber dann muss man auch immer bei Google eingeloggt sein und dann wissen sie es auch. Ich weiß nicht, ob man Chrome überhaupt anonym vernünftig nutzen kann und Google nicht weiß, wo du so surfst, aber dann bist du auch immer eingeloggt, dann wissen die alles. Muss man bedenken.
Lisa:
Ich glaube jetzt kommen wir zu dem wirklich spannenden Teil. Jetzt, wo wir die Grundlagen ein bisschen abgearbeitet haben. Und zwar hast du den Artikel am Anfang erwähnt und du hast gesagt, dass da eine andere Empfehlung gemacht wurde als die Empfehlung, die du sonst gegeben hast. Möchtest du einmal kurz die Empfehlung von Tavis Ormandy sagen, damit wir dann darüber reden können?
Christoph:
Tavis Ormandy sagt, man sollte doch die Passwort-Manager benutzen, die in den Browser eingebaut sind, also die internen. Er sagt, er nimmt Chrome. Aber er würde auch Firefox und Safari empfehlen und hat gesagt, das ist eigentlich besser. Und ich hatte, nicht nur ich, auch einige andere Personen, die ich im Security Umfeld kenne, haben immer genau das Gegenteil empfohlen. Wir haben gesagt: Lasst die Finger weg von den internen, sondern nimmt lieber die externen Passwort-Manager. Und wie gesagt, das Wort von Tavis hat ein bisschen Gewicht. Er weiß wovon er redet, wenn man ein bisschen darüber liest oder die Sachen von ihm liest und schaut, was er schon so gemacht hat. Dann hat mich das zum Nachdenken gebracht, ob man das denn noch so weiterempfehlen kann. Da passieren auch manchmal solche Dinge, dass man eine Meinung gefasst hat und dann hat sich die Welt weitergedreht, aber man hat das nicht mitgekriegt und es gibt dann Dinge, die nicht in Ordnung sind. Mein Beispiel war immer, wo ich Programmieren gelernt habe, dass man früher empfohlen hat, dass es in einer Funktion oder Methode nur einen Ort gibt, wo es ein Return gibt, also ein Rücksprung und kein vorzeitiger Return. Das kam damals daher, dass man da noch ein C programmiert hat und dann mussten Ressourcen aufgeräumt werden. Da gab es kein Garbage Collector und sonstiges. Wo Files Handles automatisch geschlossen werden oder ähnliche Mechanismen, die man heute in Programmiersprachen vorfindet und daher kam die Empfehlung. Und dann habe ich dieselbe Empfehlung aber auch noch häufig gelesen, wo es dann Sprachen wie Java gab, wo es Garbage Collection gibt. Und auch in anderen Sprachen, wo das Wort nicht mehr das Problem ist, wo man dann manchmal Dinge viel lesbarer gestalten kann, weil man nicht so eine FL Kaskade hat, wo man dann unten bei einem einzigen Return landen muss, sondern einfach mal vorher irgendeine kleine Vorbedingung ablegt. Und wenn die nicht stimmt, dann mache ich einen vorzeitigen Return und ich dann nicht in eine Eindrückungstiefe ganz weit am rechten Bildschirmrand bin, sondern schön links bleibe, das geht. Und dann war das genau so eine Situation, wo man das nicht überdacht hat. Und mein Wissen davon war auch so: Ja, Firefox hatte am Anfang Probleme mit der Verschlüsselung, da konnte man einfach an die Datenbank ran und solche Sachen. Und ich glaube, das hat sich so ein bisschen auch teils überholt. Und, was der Tavis dann noch speziell als Hauptargument anmerkt, dass die externen Passwort Mensch eigentlich die Sicherheitshölle schlechthin sind. Wenn der das sagt, dann sollte man vielleicht noch mal schauen, was er damit meint und ob das vielleicht stimmt.
Lisa:
Warum sagt er denn, dass das eine Sicherheitshölle ist?
Christoph:
Ja, das ist eine Sicherheitshölle, wenn man so ein Plugin im Browser hat, der dann diese AutoFill Funktion macht. Eigentlich sagt er das nicht über diese ganz Basics, Unix oder Pass Command, was ich ganz am Anfang mal erwähnt hatte, wo man sagt: Das mache ich alles auf der Kommandozeile, sondern so ein Plug in Browser heißt, dieses Plugin injiziert in jede Seite ein kleines Schnipsel von JavaScript, die zum Beispiel diese Forms erkennen können und diesen AutoFill machen lassen. Ein sogenanntes Content Script ist das. Und da ist die Isolation nicht so da. Dieses Skript ist verantwortlich um auf der einen Seite diese Felder zu erkennen, wo man sich anmelden kann und diesen AutoFill für zu machen und andererseits dann mit dem eigentlichen Programm, das irgendwo im anderen Prozess läuft, zu kommunizieren und sagt: Ich bin jetzt auf der Seite INNOQ.com, gib mir noch mal das Passwort dafür. Das muss damit kommunizieren, so eine interne Prozesskommunikation. Und eine JavaScript Seite, die lade ich von irgendwo und es gibt natürlich Mechanismen, um JavaScript untereinander zu isolieren, aber es funktioniert nicht immer alles so, wie man das will. Und er hatte da auch schon einige Beispiele genannt, wo man da einfach Sicherheitslücken waren und wo man dann zum Beispiel den Passwort Safe einfach fragen kann: Gib mir Passwörter für XY. Und da das in jede Seite injiziert wird, weil man weiß nicht vorher wo so eine Anmeldeseite unbedingt ist. Also ist es in jeder Seite drin, dann brauche ich nur mal auf die falsche Seite kommen, die vielleicht so eine Sicherheitslücke kennen und dann kann er vielleicht die Passwörter entziehen. Das ist die große, das macht eine riesige Angriffsoberfläche, die man eigentlich nicht haben will. Und die browserinternen Passwort-Manager haben das nicht. Die benutzen kein JavaScript, in der Seite, die sie injizieren müssen, sondern die können das auf einer ganz anderen Ebene, wenn sie das ändern und können was anderes anbieten und sind davor eigentlich deutlich besser geschützt. Und deshalb sagt er, er wollte sicher haben und er wollte AutoFill haben, weil das ist halt das UX Merkmal. Ohne dass sich das nicht, weil so ein Passwort-Manager nicht weit verbreiten. Dann solltet ihr doch lieber auf die internen Mechanismen zurückgreifen. Und er hat da nicht ganz unrecht. Es i st er nicht groß isoliert und wir wissen das vom Programmieren, es gibt Bugs und solche Bugs können auch ausgenutzt werden. Und wie gesagt, das konnte er mit Beispielen unterfüttern, dass es da schon bei einigen Passwort-Managern Probleme gegeben hat. Genau in diesem JavaScript. Jede Seite ist betroffen, weil es überall initiiert wird. Von daher, er hat da nicht Unrecht.
Lisa:
Aber deine Lösung hat sich davon nicht beeinflussen lassen, sondern nur deine Meinung. Also du bleibst weiter bei deinem externen Passwort-Manager und nutzt ihn weiter. Oder hast du nach dem Lesen des Artikels noch was anderes getan, als deine Meinung etwas anzupassen?
Christoph:
Also ich nutze noch ein externen Passwort-Manager tatsächlich. Aber wenn ich jetzt gefragt werde. Wie gesagt, konkrete Produkte empfehle ich nicht. Aber ich habe immer vorher gesagt: Ja, nehnt nicht hier so das interne Zeug. Und das sage ich jetzt nicht mehr, sondern sage: Okay, welche Use Cases hast du? Was kann man mit den internen noch abdecken? Meistens fällt dann irgendwas raus. Da haben sie noch nicht so aufgeholt. Auch nicht im Apple Walled Garden haben sie auch noch nicht aufgeholt, dass man das alles hat. Wie tewa mehrere Passwort Vaults oder die Plattform Unabhängigkeit. Aber dann gleiche ich das ein bisschen ab und sage: Okay, jetzt musst du den Kompromiss finden. Diese potenziell große Angriffsoberfläche, kannst du das in Kauf nehmen oder kannst du lieber auf irgendein Use Case verzichten, den du hast? Ich bin differenzierter geworden. Und ein anderer Grund, der gar nichts damit zu tun hat, deshalb habe ich das für normal mit den Kosten ein bisschen ausgebreitet. Ich sage: Okay, du willst kein Geld ausgeben, dann nimm doch wenigstens die internen. Die sind jetzt gut genug, dass man die ruhigen Gewissens empfehlen kann. Da habt ihr vielleicht die nicht so die alle Use Cases abgedeckt, gerade Synchronisierung ist immer so ein Thema, aber dann speichert die Passwörter von mir aus in verschiedenen Passwort-Manager doppelt, aber benutzt den wenigstens anstatt überall das gleiche Passwort. Da habe ich die Meinung schon geändert. Besser den im Browser als gar keinen. Und wenn nicht, muss man mal genau hinschauen. Wie ist denn dein dein Case jetzt dabei? Was brauchst du? Was brauchst du nicht? Und wie möchtest du dein Sicherheitsniveau haben? Also da habe ich meine Meinung schon geändert- Trotzdem gibt es keine Produktempfehlung.
Lisa:
Ja genau. Möchtest du vielleicht noch einen Abschluss Tipp geben? Ich merke mir auf jeden Fall von der Folge: Wenn ich einen Passwort-Manager nutzen möchte, muss ich auf verschiedene Faktoren achten und schauen, was für mich wirklich sinnvoll ist an einem Passwort-Manager, was ich auf jeden Fall brauche, worauf ich verzichten kann. Und ich würde mir jetzt auch noch merken, dass ich vielleicht Leuten aus der Familie empfehle, bevor sie über ein Passwort123 als Passwort nutzen. Doch lieber mal im Firefox oder Chrome oder was auch immer sie nutzen, die Passwort speichern Funktion zu verwenden und dann dort ein Passwort-Manager innerhalb des Browsers zu verwenden.
Christoph:
Genau das hast du sehr gut zusammengefasst. Da kann ich gar nicht viel hinzufügen. So würde ich das auch empfehlen. Aber ich würde noch an andere appellieren, an Leute, die wahrscheinlich überhaupt nicht zuhören, aber an die Browser Hersteller. Man könnte das Problem nämlich auch lösen. Und zum Beispiel bei iOS ist dieses Problem gelöst, dass ich einen externen benutzen kann und trotzdem die Sicherheit des internen Passwort-Manager bekomme. Anstatt da JavaScript zu initiieren, gibt es auf iOS die Möglichkeit eine AutoFill API zu benutzen. Wer ein iOS Gerät, kennt das vielleicht, der kann verschiedene Passwort-Manager installieren und dann wird man gefragt: Von welchem soll ich das dann nehmen? Und dann wird da kein JavaScript initiiert, sondern es gibt einen API. Da fragt dieses AutoFill nach. Hier kannst du mir dafür das Passwort geben bzw. der User wählt das aus und dann wird genau dieser Manager gefragt. Und damit würde man dem leicht entgehen. Und ich meine auf Android ist das auch so, dass es auch eine API für gibt. Aber ich will das auch auf einem normalen Browser haben und auch mit Synchronisierung. Das heißt, wenn man sich eine API immer standardisiert, die zum Beispiel jeder Browser erfüllen kann, dann könnten diese Plugins ohne initiiertes JavaScript auskommen. Und diese potenzielle Sicherheitslücke und die hohe Angriffsoberfläche wäre einfach gelöst. Jetzt geht’s, wenn ich iOS, also wenn ich in der Apple Welt bleibe, dann funktioniert das auch so ein bisschen. Aber wie gesagt, vielleicht auch bei Android. Wie gesagt, da bin ich mir nicht ganz so sicher, aber ich meine schon. Aber das ist dann nur auf dem Mobiltelefon. Wir als IT Professionals arbeiten auch viel wirklich vor Ort am Rechner und da sollte das auch gehen. Da könnte man was machen. Und das andere, da hast du mich jetzt darauf gebracht worden mit dem, dass diese Passwort Safes vielleicht auch mal standardisierte Formate haben könnten. Und das hätte nicht nur den Vorteil, dass man die beliebig exportieren importieren kann, sondern dass vielleicht auch Sicherheitsforscher sich diesees Format genau ansehen können und dann auch Implementierungen besser machen können. Das wäre vielleicht auch eine gute Idee, die man mal machen könnte, dass man da was macht. Ich meine, das wollen die Hersteller natürlich nicht, weil man will die Kunden an sich binden. Und dann so ein einfacher Import, Export gehört nicht dazu, die Kunden besonders stark an sich zu binden. Aber das wäre auch eine gute Idee. Und das dritte habe ich noch. Das war mal ein konkreter Tipp an alle, die einen benutzen wollen. Es gibt, das haben wir beide auch so in der Vorbereitung noch mal uns angeschaut. Es gibt so Tests in Fachzeitschriften zum Beispiel oder auch in Internet Magazinen. Da wird immer alles mögliche getestet. Da kann man gut die ganzen Use Cases abgleichen. Aber eins wird da garantiert nicht getestet die Sicherheit. Also wenn ich da sehe, da wären 30 Passwort-Manager getestet, dann kann ich mir nicht vorstellen, dass die Zeitschrift dafür die Tester bezahlen kann um zu sagen, das ist jetzt auch wirklich safe. Das ist eigentlich sozusagen das minimale Merkmal, was ich haben will. Das sichere Speichern der Passwörter. Also Kerngeschäft wird meistens nicht getestet. Also da auch ein bisschen Vorsicht, die sind super, um abzugleichen welche Use Cases ich habe, aber dann will ich vielleicht doch nicht irgendeinem obskuren Anbieter, von dem man noch nie was gehört hat, der vielleicht in China sitzt, dem ausgerechnet da den Passwort-Manager nehmen. War natürlich ein bisschen übertrieben, aber soll man auch drauf achten. Also der Test sagt oft nichts zur Sicherheit aus. Können die auch gar nicht leisten. Von daher, würde ich ein bisschen vorsichtig sein. Also da vielleicht doch auch ein bisschen auf die Bewährten setzen. Es gibt nämlich zum Beispiel, das können wir dann auch noch mal verlinken, auch Hersteller, die auf diesen Artikel reagiert haben und ihre Sicherheitsmechanismen noch mal dargelegt haben. Und das ist natürlich auch was wobei da vielleicht mehr Vertrauen hat. Wenn sie sagen: Okay, die nehmen sowas wahr. Die zeigen, was sie dann noch an Sicherheitsmaßnahmen tun, damit so was vielleicht verhindert wird oder eingeschränkt möglich ist, als irgendwer, wo dann nichts passiert und man nichts hört. Das muss kein schlechtes Zeichen sein. Aber vielleicht ist das auch ein ganz guter Tipp, da mal drauf zu schauen.
Lisa:
Sehr cool. Christoph Ich fand das sehr spannend heute Abend mit dir. Wenn du nichts mehr zu ergänzen hast, dann würde ich uns jetzt verabschieden.
Christoph:
Ich glaube, wir haben jetzt schon alles Wichtige noch mal gesagt zum Thema Passwort-Manager. Eine Verabschiedung ist eine gute Idee.
Lisa:
Dann vielen, vielen Dank für den ganzen Input zu dem Thema. Ich hatte sehr viel Spaß. Ich hoffe den Zuhörerinnen und Zuhörern hat es auch sehr gut gefallen und ihr habt was mitgenommen und gelernt. Und wir hören uns dann das nächste Mal beim INNOQ Security Podcast. Tschüss!
Christoph:
Ciao!