Im Test: Password Safe
Ein virtueller Kennworttresor
Wer die Sicherheit kennwortgestützer Anmeldesysteme verbessern will, muss nicht unbedingt sofort in teure Zwei-Faktor-Authentifizierung investieren. Für den Anfang reicht auch ein kleines Tool, das den Mitarbeitern eine sichere Alternative zum Aufschreiben der Passwörter bietet.
Gegen das Passwortchaos in Unternehmen hilft die Einführung von Single Sign-on, möglichst
verknüpft mit dem Umstieg auf Tokens, Gridcards oder gar Smartcards. Viele kleine Firmen können
sich derartige Systeme allerdings nicht leisten und müssen weiter mit dem Dilemma leben, dass sich
sichere Kennwörter niemand merken kann, eingängige Passcodes aber leicht zu knacken sind.
Verschärft wird die Problematik durch Richtlinien, die aus Sicherheitsgründen eigentlich den
häufigen Wechsel der Kennwörter vorschreiben. Wer diese Regel konsequent umsetzt, muss entweder das
Notieren der Kennwörter stillschweigend akzeptieren, was den erwünschte Sicherheitsgewinn gleich
wieder zunichte macht, oder er muss im Support-Team eine Stelle für das Rücksetzen von
Systemzugängen schaffen und sich daran gewöhnen, dass immer wieder einzelne Mitarbeiter wegen
vergessener Kennwörter ausgebremst werden.
"Kennwörter sollte man aufschreiben und den Zettel ins Portemonnaie stecken", empfahl deshalb
ausgerechnet Sicherheitsspezialist Whitfield Diffie auf der RSA-Konferenz 2006 in San Jose (siehe
LANline 3/2006, Seite 12). Der Vorschlag war ernst gemeint, denn auf den Geldbeutel gibt man
normalerweise Acht, reicht ihn nicht herum und bemerkt den Verlust sofort. Die Standardregel,
sichere Kennwörter durchzusetzen und zugleich das Notieren zu verbieten, mochte Diffie erst gar
nicht mehr diskutieren.
Eine Alternative zur manuellen Notiz stellt das Programm Password Safe dar. Sein simples
Prinzip: Der Anwender schreibt alle Kennwörter in eine Datei, die er stark verschlüsselt auf seinem
PC ablegt. Um sie aufzurufen, benötigt er nur noch das Kennwort zum Safe.
Versionen für verschiedene Betriebssysteme
Password Safe steht in mehreren Versionen unter passwordsafe.sourceforge.net/ zum
Download bereit. Die jüngste deutsche Version für Windows erreicht man über
passwordsafe.sourceforge.net/index.html#NonEnglish. Sie hat die Versionsnummer 2.16.
Password Safe 3.0 ist bereits in der Entwicklung, die derzeitige Beta 2 (englisch) dürfte nach
Ansicht der Entwickler die letzte vor der endgültigen Freigabe sein. Das Programm existiert
zusätzlich in Versionen für Unix/Linux und Pocket PC, auch an einer Java-Variante wird
gearbeitet.
Dieser Test befasst sich ausschließlich mit der deutschen Windows-Version, da er als Endanwender
die Belegschaft eines deutschsprachigen Unternehmens im Blick hat. Es soll untersucht werden, ob
sich Password Safe zur Verteilung durch den Administrator eignet und ob das Programm für einen
technisch nicht übermäßig versierten Benutzer leicht genug zu bedienen ist.
Das deutsche Password Safe entpuppt sich nach dem Download als knapp 390 KByte großes Zip-File,
das die eigentliche Programmdatei und eine kompilierte deutsche HTML-Hilfedatei enthält
(CHM-Format). Eine Installation ist nicht notwendig, sinnvoll erscheint höchstens das Anlegen eines
Icons auf dem Desktop oder in den Startmenüs. Ein Administrator, der das Produkt an die Mitarbeiter
weitergeben will, kann also den einfachen Weg der Verteilung per E-Mail wählen. Liefert er eine
Kurzanleitung mit – Ordner anlegen, Programm hineinkopieren, Symbol auf den Desktop bringen –
dürften die meisten Anwender in der Lage sein, die Software selbstständig in Betrieb zu nehmen. Das
Programm kann auch von mehreren Benutzern zugleich verwendet werden, ließe sich also auch auf einem
Netzwerklaufwerk bereitstellen.
Beim ersten Start muss der Anwender eine neue Kennwortdatenbank erstellen. Nach einem Klick auf
die entsprechende Schaltfläche folgt der aus sicherheitstechnischen Erwägungen wichtigste Schritt:
Das Festlegen des Master-Kennworts, das später sämtliche gespeicherten Benutzernamen und Kennwörter
schützen soll. Konsequent und für technisch wenig interessierte Anwender eingängig bezeichnet
Password Safe das Master-Kennwort als "Safe-Kombination". Gibt man ein zu kurzes oder nach gängigen
Regeln zu schwaches Kennwort ein, meldet Password Safe dieses Problem, gibt Hilfen zur Konstruktion
eines starken Kennworts mit gemischt großen und kleinen Zeichen sowie Sonderzeichen und fragt nach,
ob es den schwachen Code dennoch verwenden soll. Leider erscheint das entsprechende Dialogfeld in
englischer Sprache. Anwender, die den Text nicht lesen können, werden an dieser Stelle einfach "Ja"
anklicken und so das schwache Kennwort aktivieren. Im Hinblick auf das hier beschriebene
Einsatzszenario bedeutet dies, dass der Administrator leider vorbeugen muss und die Regeln für das
Master-Kennwort in der E-Mail vorzugeben hat. Es wäre besser, wenn das Programm diese potenzielle
Schwachstelle selbst ausschließen könnte.
Ist die Einstiegshürde überwunden, präsentiert sich das Programm als kleine Datenbankanwendung,
die keine großen Rätsel aufgibt. Die Kennwörter lassen sich in einer Baumstruktur nach Gruppen
geordnet ablegen. Gut ist, dass das Programm auch sichere Zufallskennwörter generiert, und zwar
nach zuvor separat einstellbaren Regeln. Sie müssen allerdings im Programm selbst festgelegt werden
– eine Vorgabemöglichkeit durch den Administrator war nicht zu entdecken.
Die Anwendung ist einfach: Man lässt Password Safe, das sich im System-Tray einträgt, im
Hintergrund laufen, wenn man eine per Kennwort gesicherte Anwendung startet. Ein Doppelklick auf
den jeweiligen Kennworteintrag genügt, um das Kennwort in die Zwischenablage zu übertragen, von
dort kann es dann in die jeweiligen Eingabezeile eingefügt werden. Alternativ markiert man den
jeweiligen Eintrag und übernimmt das Kennwort oder in diesem Fall auch den Benutzernamen mit einem
Klick auf die entsprechende Schaltfläche des Programms in die Zwischenablage. Dieses Verfahren
klingt umständlich, läuft aber immer noch schneller ab als das manuelle Eintippen der
Benutzerdaten. Hinderlich ist wieder, dass einige Dialogfelder nicht eingedeutscht wurden – so etwa
jene Meldung, die beim Aufrufen einer Datenbank fragt, ob man sie im Read-Only-Modus oder auch zum
Ändern öffnen will.
Für einen Hacker, der sich mit Phishing-Methoden vertraut gemacht hat, dürfte es kaum etwas
Verlockenderes geben als die Verteilung eines Speicherprogramms für Kennwörter, das seinen Inhalt
von Zeit zu Zeit "nach Hause telefoniert". Wo ein derart plumpes Verhalten auffällt, könnte
immerhin noch ein Hintertürchen eingebaut werden, das sich entweder mittels klassischem
Hackerzugriff übers Netz öffnen lässt oder zumindest dann, wenn sich der Angreifer physisch Zugang
zum Rechner des Anwenders verschafft – bei einem Unternehmen mit gut verkäuflichen vertraulichen
Daten ein für professionelle Datendiebe durchaus gangbarer Weg.
Sicherheitsbewertung
Bei Password Safe lassen sich der Verdacht auf Hintertüren und die Gefahr technischer
Grundfehler auch ohne eigene Krypto- und Code-Analyse mit großer Sicherheit ausschließen. Der
symmetrische Blowfish-Algorithmus ist aus Twofish hervorgegangen, der dem Wettbewerb um die
DES-Nachfolge vor einigen Jahren lediglich aus Performance-Gründen unterlag. Algorithmus und
Programm-Code sind Open Source, werden also öffentlich überwacht. Kritische Schwachstellen der
aktuellen Versionen sind derzeit nicht bekannt. Zur Arbeitsweise des Produkts gibt es im Web
Abhandlungen (siehe etwa passwordsafe.sourceforge.net/passwordsafe_software_patterns. pdf),
die ebenfalls keine prinzipiellen Schwächen aufzeigen. Beispielsweise ist das Programm so
eingestellt, dass es beim Schließen die Zwischenablage löscht, die der Benutzer zum Transfer der
Kennwörter nutzt, und das Master-Kennwort liegt nirgendwo im Klartext vor, sondern nur
verschlüsselt und versteckt in der Kennwortdatei. Von den Kennwortdatenbank-Files erstellt Password
Safe auf Wunsch Sicherheitskopien.
Schließlich spricht auch für Password Safe, dass das Produkt ursprünglich vom international
anerkannten Sicherheitsspezialisten Bruce Schneier entwickelt wurde. Würde das Programm
kompromittiert, würde Schneier dies aus Rücksicht auf seinen Ruf publizieren, auch wenn er die
Entwicklung nicht mehr selbst vorantreibt. Wichtig ist nur, das Programm von den in diesem Artikel
genannten offiziellen Seiten herunter zu laden oder andere vertrauenswürdige Quellen zu nutzen, um
nicht einer Fälschung auf den Leim zu gehen.
Fazit
Wäre die Übersetzung durchgängig perfekt und wäre so gewährleistet, dass die Anwender starke
Master-Kennwörter für ihren Password-Speicher verwenden, gäbe es ein Lob. Password Safe lässt sich
im Unternehmensumfeld als Sicherheitswerkzeug zur Speicherung unterschiedlicher Benutzernamen und
Kennwörter verwenden und ist so in der Lage, das Sicherheitsniveau zu heben.
Es bietet sich an, das kostenlose Open-Source-Programm im Rahmen einer Schulung zu verteilen,
die auch die Kennwortproblematik thematisiert. Bei dieser Gelegenheit lässt sich dann auch
erklären, wie ein starkes Master-Kennwort – die "Safe-Kombination" – auszusehen hat.
Lesen Sie mehr zum Thema
