Meine Passwort Strategie

Was passiert wenn ich im Urlaub mein Handy verliere und dringend Zugriff auf meine Emails benötige? Wie erhalte ich Zugang zu meinem Online Banking wenn durch einen Hausbrand alle meine Geräte und Unterlagen zerstört wurden? Ein Hacker hat Daten vom Dienst xy gestohlen bei dem ich angemeldet bin. Was muss ich tun und welche Auswirkungen hat das auf mein Passwörter?

Diese und ähnliche Fragen sind mir immer wieder durch den Kopf gegangen und aus den Lösungen auf meine Fragen habe ich die im folgenden vorgestellte Passwort Strategie entwickelt. Dabei handelt es sich um keine allgemeingültige Lösung die für jeden gleich gut funktioniert, sondern um meine spezielle Strategie im Umgang mit Passwörtern. Aber mit Hilfe der am Ende beschriebenen Kontrollfragen könnt ihr euren bisherigen Umgang mit Passwörtern leicht überprüfen und vielleicht einige meiner Ideen übernehmen.

Was möchte ich erreichen?

Das Ziel formuliert sich recht einfach: Ich möchte einen möglichst sicheren Zugriff auf meine passwortgeschützte Daten und Dienste in allen denkbaren Situationen. Welche Situationen das sind und wie sich “möglichst sicher” umsetzen lässt, daran habe ich lange gewerkelt.

Mein Passwort Konzept

Wie ihr sicher mit Passwörten umgeht haben bereits vor mir viele Blogger und Sicherheitsexperten ausformuliert. Besonders lesenswert finde ich dazu den Beitrag vom Sprecher des Chaos Computer Clubs Linus Neumann. Daher hier nur in Kürze die für meine Passwort Strategie zu Grunde liegenden Grundsätze:

  • Mach Deine Passwörter so lang wie möglich und nicht erratbar
  • Verwende das gleiche Passwort niemals mehr als einmal
  • Sichere Deine Passwörter in einem Passwort Manager
  • Aktiviere wo möglich die 2 Factor Authentification

Beim Passwort Manager habe ich mich für den Dienst von 1Password entschieden, den ich auf allen meinen Geräten nutze und über die Cloud von 1Password synchronisiere.

Praxisalltag mit 1Password

1Password bietet sowohl Software für Windows, Mac und Linux an, als auch Apps für iOS und Android sowie Plugins für den Chrome Browser. Ihr könnt eure gespeicherten Passwörter also auf allen möglichen Plattformen nutzen. Falls ihr einen Rechner verwendet, auf dem ihr keine Software oder Plugins installieren könnt, dann bietet 1Password auch einen Webdienst an auf dem ihr euch einloggen und ebenfalls auf eure Daten zugreifen könnt. Dabei kann 1Password selbst nicht auf eure Daten zugreifen, da sie euer Passwort, mit dem die Daten verschlüsselt sind nicht kennen.

Das alles erhält man aber nicht umsonst. 1Password bietet verschiedene Modelle an. Vom einmaligen Kauf der 1Password App über ein Abo-Modell bei dem ihr dann auch vom weiter unten beschriebenen Cloud Dienst profitiert. Das Abo gibt es dann wieder in verschiedenen Varianten wobei ich mich für das günstigste Angebot in Höhe von 2,99$ pro Monat entschieden habe.

Wenn ihr schon Geld für einen Passwort Manager ausgebt, dann wollt ihr diesen vermutlich für möglichst viele Anwendungsfälle nutzen. Neben dem Speichern von klassischen Passwörtern und Logins kann 1Passwort für euch auch Bankverbindungen, Ausweisdaten, Lizenzdateien, vertrauliche Notizen und auch Dokumente speichern.

Ein weiteres Feature, welches ich vorher bei noch keinem anderen Dienst gesehen habe, ist der 1Password Watchtower. Er scannt alle eure Logins auf verschiedene Sicherheitsmerkmale und informiert euch, wenn ihr Passwörter mehrfach verwendet, diese sehr einfach zu erraten sind, oder bei einem Dienst verwendet werden der kompromittiert wurde.

1password_watchtower

Welches Passwort muss ich mir trotzdem merken?

Auch wenn ihr nun alle Passwörter in eurem Passwort Manager gespeichert habt solltet ihr euch (neben dem Passwort für 1Password selbst!) einige Passwörter trotzdem merken:

Um überhaupt Zugriff auf 1Password zu bekommen müsst ihr eure Geräte entsperren können. Also z.B. die Festplattenverschlüsselung eures Laptops und euer Smartphone Entsperrpasswort auswendig kennen. Für den Zugriff von 1Password auf einem fremden Gerät benötigt ihr ebenfalls noch einen Secret Key, den ihr aber schlecht auswendig lernen könnt und euch über andere Wege zugänglich müsst (dazu später mehr). Als praktisch hat es sich für mich auch erwiesen die EC und Kreditkarten PINs im Kopf zu behalten und die notwendigen Passwörter zum Entsperren von dienstlich genutzten Geräten.

Herausforderung 2-Factor-Authentification

Die oben beschriebene 2 Factor Authentification bietet euch ein kleines zusätzliches Stück Sicherheit, das ihr wenn möglich immer aktiveren solltet. 1Password unterstützt dabei die Methode des Time-based One-Time Password (kurz TOTP).

Ich nutze aber einige Dienste, die ihre eigene 2 Factor Methode anwenden, z.B. Google und Apple. Hier besteht der zweite Faktor aus einer Bestätigung per installierter App bzw. bereits eingeloggtem Gerät. Verliert ihr diese Geräte, dann hilft euch 1Password alleine leider nicht weiter, sondern ihr benötigt entweder die Möglichkeit eine SMS auf die registrierte Handynummer zu empfangen oder müsst einen zeitlich aufwendigen Wiederherstellungsprozess durchlaufen.

Google_2_schritte_bestaetigung

1Password für Fortgeschrittene

Um in meine Passwort Strategie zu passen muss 1Password noch ein paar weitere Aufgaben erfüllen. Dazu gehört z.B. die Export- und Druckfunktion. Möchtet ihr eure Passwörter auch außerhalb von 1Password im Zugriff haben, dann könnt ihr diese entweder unverschlüsselt exportieren oder auch ausdrucken. Dazu aber später mehr.

Für Notfälle gedacht ist das 1Password Emergency Kit. In dieses müsst ihr nur noch händisch eurer Passwort eintragen und schon hat der Besitzer des Emergency Kit Zugriff auf alle eure in 1Password gespeicherten Passwörter.

1Password_Emergency_Kit

Mit den zu Beginn dieses Artikels vorgestellten Grundsätzen und 1Password inkl. seiner erweiterten Funktionen sind nun alle Bausteine für meine Passwort Strategie vorhanden. Mit Hilfe der folgenden Kontrollfragen zeige ich euch, wie ich in (hoffentlich) jeder Situation Zugriff auf meine geschützten Daten und Dienste behalte.

Kontrollfragen

Was taugt mein Passwort Konzept in folgenden Fällen:

  1. Verlust eine Passworts

    • Ereignis:
      Eines meiner Passwörter ist bekannt geworden. Das kann z.B. dadurch passieren, dass ein Dienst oder eine Website kompromittiert wurde. Ist in letzter Zeit ja häufig durch die Nachrichten gegangen.(z.B. dadurch, dass Online Dienst gehackt wurde)
    • Strategie:
      Das Passwort dieses Dienst muss schnellstmöglich geändert werden. Glücklicherweise kommt dieses Passwort an keiner anderen Stelle zum Einsatz und der Verlust kann daher keinen größeren Schaden anrichten.

  2. Verlust eines Gerätes

    • Ereignis:
      Eines meiner Geräte mit denen ich 1Passwort nutze ist abhanden gekommen. Zum Beispiel wurde mein Handy mit der 1Password App gestohlen.
    • Strategie:
      Da ich den Passwort Manager auf verschiedenen Geräten nutzen kann habe ich auf den verbliebenden Geräten weiterhin Zugriff auf meine Passwörter. Die Zugangsdaten auf dem gestohlenen Gerät sind durch das sichere Passwort von 1Password geschützt.

  3. Verlust aller Geräte

    • Ereignis:
      Alle meine Geräte mit denen ich 1Passwort nutze sind abhanden gekommen. Zum Beispiel hat ein Hausbrand sowohl Handy, als auch Laptop zerstört.
    • Strategie:
      Da ich den Cloud Service von 1Password abonniert habe kann ich auch von fremden Geräten auf meine Passwörter zugreifen. Dazu benötige ich neben meiner Email Adresse und meinem Passwort noch einen sogenannten Secret-Key. Ohne den Secret Key erhalte ich keinen Zugriff. Der Secret-Key kann von jedem 1Password Gerät, auf dem ich eingeloggt bin angezeigt und auch jederzeit geändert werden. Für den hier beschriebenen Fall in dem ich alle meine Geräte verloren habe bleiben mir zwei Optionen:
      1. Ich finde einen Computer, auf dem ich mich bereits mit meinem 1Password Account eingeloggt habe. In diesem Fall ist die erneute Eingabe des Secret-Key nicht notwendig.
      2. Ich habe meinen Secret-Key notiert oder in irgendeiner Form in Zugriff. Hier müsst ihr selbst kreativ werden und euch überlegen ob ihr den Secret-Key – mit dem alleine ohne eurer Master-Passwort niemand etwas anfangen kann – irgendwo sicher hinterlegen könnt.

  4. Passwort vergessen

    • Ereignis:
      Ich kann mich nicht mehr an das Master Passwort zur Entsperrung von 1Password erinnern.
    • Strategie:
      Nun kommt zum ersten mal eine der vorgestellten erweiterten Funktionen von 1Password ins Spiel, nämlich das Emergency Kit. Dieses liegt an einem sicheren Ort und enthält sämtliche Zugangsdaten (login, Secret-Key, Master Passwort) um auf meine Passwörter zugreifen zu können. Es ist natürlich klar, dass der Zugriff auf das Emergency Kit Zugriff auf alle Passwörter und Dienste bedeutet. Daher muss das Emergency Kit an einem wirklich sicheren Ort aufbewahrt werden!

  5. 1Password Cloud Dienst nicht verfügbar

    • Ereignis:
      Der Cloud Dienst von 1Password ist nicht mehr verfügbar. Dabei spiel es keine Rolle ob meine Geräte selbst offline sind, der Dienst ausgefallen ist oder auch kurzfristig eingestellt wurde.
    • Strategie:
      Die Geräte auf denen ich 1Password nutze (Handy und Laptop) benötigen keine aktive Verbindungen zum 1Password Cloud Dienst und arbeiten unabhängig von dem Dienst. So lange ich also Zugriff auf diese Geräte habe kann ich auch auf meine Passwörter zugreifen.

  6. 1Password Cloud Dienst nicht verfügbar und alle Geräte mit installierten Passwort Manager nicht verfügbar.

    • Ereignis:
      So langsam kommen wir in den Bereich der Alu-Hut konstruierten Fälle. Es ist nicht nur der Cloud Dienst von 1Password für mich nicht nutzbar, sondern alle meine Geräte sind nicht mehr verfügbar.
    • Strategie:
      Um bezüglich der Passwort Strategie nicht völlig von 1Password abhängig zu sein könnt ihr auch hier wieder die erweiterten Funktionen von 1Password nutzen. Alle gespeicherten Passwörter können mit Hilfe der Druckfunktion oder der Exportfunktion unverschlüsselt gespeichert werden. Im Vergleich zum Emergency Kit seid ihr hier wirklich unabhängig von 1Password. Dafür müsst ihr die exportierten bzw. ausgedruckten Passwörter aber aktuell halten. Im Falle der Druckfunktion sollte dieser Ausdruck – wie auch das Emergency Kit – an einem sehr sicheren Ort aufbewahrt werden. Die unverschlüsselt exportierten Passwörter solltet ihr auf einem verschlüsselten USB Stick oder Festplatte speichern.

  7. Tod

    • Ereignis:
      Darüber macht man sich meistens nicht gerne Gedanken aber bei dieser Situation geht es um den Fall, dass ich nicht mehr da bin und meine Familie Zugang zu meinen Passwörter benötigt.
    • Strategie:
      Auch hier hilft das 1Password Emergency Kit weiter. Natürlich sind für die Situation des eigenen Ablebens noch weitere Schritte notwendig um Zugriff auf die eigenen Passwörter und ermöglichen. Aber das noch weiter auszuführen würde diesen Artikel vom Umfang her sprengen.

  8. Emergency Kit entwendet / Login, Passwort und Secret-Key bekannt geworden

    • Ereignis:
      Das 1Password Emergency Kit wurde entwendet oder sowohl mein Login, das Master-Password und der Secret Key sind bekannt geworden.
    • Strategie:
      Hiermit ist der Super Gau der Passwort Strategie eingetreten und ein Angreifer hat nun Zugriff auf alle meine Dienste und Passwörter. Diesen Fall gillt es so gut wie möglich zu verhindern. Als letztes Trostpflaster gilt vielleicht, dass 1Password euch zumindest per Email informiert, dass sich von einem neuen Gerät Zugriff auf eure Passwörter verschafft wurde. Jetzt hilft nur noch hoffen und das schnellstmögliche Ändern aller Passwörter, begonnen mit dem Email Account.

Zusammenfassung meiner Strategie

In diesem doch recht lang gewordenen Artikel habe ich euch meine Passwortgrundsätze vorgestellt. Mit Hilfe der obigen Kontrollfragen kennt ihr nun meine Passwort Strategie und könnt eure eigene Strategie nun ebenfalls testen. Jetzt interessiert mich natürlich was ihr davon haltet. Was habe ich übersehen, was macht ihr anders? Seid ihr mehr oder weniger paranoid als ich?

Meine kleine Nerd Welt

In der Artikelserie Meine-kleine-Nerd-Welt schreibe ich über meine ganz eigenen Lösungen für die technischen Probleme meines Alltags. Dabei sollen Artikel herauskommen, die ich zum Nachschlagen selbst im Netz finden möchte. Wie zum Beispiel meine Strategie für sichere Passwörter und Backups, verlorene Sachen, Verschlüsselung oder mein Netzwerk Setup. Ihr findet alle Posts dieser Reihe unter: