Fortschritt | Mobile Passwort Manager – wie sicher sind die USB-Passwort-Tresore?

14.05.2013

Um die Passwortflut im Internet besser zu organisieren, gibt es sogenannte Passwortmanager. Hier werden alle Zugänge gespeichert und archiviert. Inzwischen gibt es dafür fertige USB-Sticks, aber auch Softwarelösungen.

Mobile Passwort Manager können entweder als USB-Sticks gekauft oder als Software auf mobilen Datenträgern installiert werden. Foto: © Viktor Mildenberg, pixelio.de

empfiehlt die Hardware-Variante des mobilen Passwort Manager.Jörg Geigerempfiehlt die Hardware-Variante des mobilen Passwort Manager. 

amazon, paypal, Email-Dienste, facebook, der PIN für die Bank, weitere soziale Netzwerke, diverse Foren oder Online-Dienste wie zalando und Co. Das sind nur einige Beispiele, für die wir heutzutage im Internet Passwörter benötigen.

Um die Sicherheit zu maximieren, sollten alle Passwörter unterschiedlich sein. Sich dann aber alle zu merken und vor allem immer parat zu haben – das scheint unmöglich. Also gibt es inzwischen USB-Sticks mit integrierten Passwort-Manager. Dort loggt man sich mit einem Masterpasswort ein – und schon sind alle gespeicherten Passwörter überall abrufbar.

Wie diese funktionieren und ob solche USB-Sticks wirklich sicher sind, das weiß der Technikjournalist Jörg Geiger.

Fortschritt | Mobile Passwort Manager - wie sicher sind die USB-Sticks?

Die Softwarelösungen sind ein bisschen wenig sicherer einzuschätzen, die Hardwarelösungen sicherer – dafür bei Hardware ein etwas höherer Preis, Softwarelösungen sind günstiger. – Jörg Geiger


Das Interview zum Nachlesen

Ganz allgemein: Wie funktionieren diese Passwort-Manager auf USB-Sticks?

Man kann grob zwei Klassen unterscheiden. Es gibt einmal die etwas preiswerteren Sticks. Allgemein ist, dass sie verschlüsseln: bei den preiswerteren Sticks erledigt das eine Software, bei den etwas teureren Sticks erledigt das ein Hardware-Chip, der sozusagen die Daten ver- und entschlüsselt. Die Sicherheit verleiht das Prinzip der Verschlüsselung, sodass man nur mit dem richtigen Masterpasswort auf die Daten zugreifen kann und so ein schon ein recht viel höheres Maß an Sicherheit erreicht, als wenn man jetzt zum Beispiel die Passwörter einfach so auf dem Stick speichern würde oder wenn man sie irgendwo auf einen Zettel schreibt. Also, das grundsätzliche Prinzip ist, dass die Daten verschlüsselt werden. Und jetzt ist natürlich die Frage, wie sicher das Ganze dann in der Praxis ist.

Ganz genau! Können Sie dazu schon was sagen? Lassen die sich wie eine Kreditkarte sperren, wenn jemand sie geklaut hat?

Ne, also automatisch geht da eigentlich gar nichts. Die Sicherheit ist dann gewährleistet, wenn sie den Stick verlieren. Im Vergleich zum Passwortzettel kann den Passwortzettel jeder finden, jeder lesen und dann Ihre Passwörter nutzen. Das Prinzip der Verschlüsselung ist dann: sie verlieren den Stick und auch wenn man den Stick an den anderen Rechner anschließt, kommt man nicht an die Daten ran. Selbst wenn man dann sozusagen die Innereien ausbaut und versucht Daten auszulesen, kommt man nur dran, wenn man das richtige Passwort hat.

Es gibt aber ein paar Stolpersteine dabei. Das eine ist: Bei den Softwarelösungen kann zum Beispiel ein Fehler bei der Programmierung auftreten, d.h. es ist möglich oder es kann möglich sein, dass bei einem Fehler in der Software die Passwörter doch irgendwie ausgelesen werden können – muss nicht sein, kann aber auftreten. Bei den Hardwarelösungen, das sind die etwas Teureren – die sind grundsätzlich ein bisschen sicherer einzustufen, vor allem sind sie flexibler, weil man kann sie wirklich mitnehmen und dann zum Beispiel im Urlaub an einem Hotel-PC nutzen.

Das kann man mit den Softwarelösungen nicht machen, die Softwarelösungen sind da nicht so flexible. Da muss man meistens irgendwelche Treiber installieren auf dem Computer und dadurch sind die schon ein bisschen eingeschränkter. Also, grundsätzlich kann man sagen: Die Softwarelösungen sind ein bisschen wenig sicherer einzuschätzen, die Hardwarelösungen sicherer – dafür bei Hardware ein etwas höherer Preis, Softwarelösungen sind günstiger.

Das heißt aber auch, an dem Preis kann ich so ein bisschen die Sicherheit ablesen.

Ja, also, mir ist keine wirklich perfekte Lösung bekannt, muss ich ganz ehrlich sagen, die man für ’n Appl und ’n Ei kriegt. Es gibt teure Firmenlösungen, die dann auch so Features haben, dass sie die Daten per Daumendruck entschlüsseln. Was wir bisher hier in der Redaktion ausprobiert haben, ist das alles nicht so wirklich ausgereift. Da muss man oft dreimal den Finger drauflegen, bis es funktioniert, oder die Sticks sind zu dick gebaut, sodass sie an schicken Rechnern, die so schmale USB-Einschübe haben, sich gar nicht richtig einstecken lassen. Also, da steckt der Teufel oft auch im Details. So einen wirklich richtig perfekten Stick, den man jedem empfehlen kann, haben wir noch nicht gesehen.

Es gibt jetzt aber eine Möglichkeit, für jemanden, der jetzt sagt: naja, ich hab‘ vielleicht sowieso viele USB-Sticks zu hause rumliegen, die ich gar nicht mehr nutze, dass man sich so einen Sticks selbst sozusagen bauen kann. Das wäre dann eine Softwarelösung. Es gibt kostenlose Passwortspeicher, die dann eben die Daten verschlüsseln. Das Tool der Wahl wäre in diesem Fall KeePass, so nennt sich die Software. Die gibt’s in einer portablen Version, sodass man sie wirklich auf dem USB-Sticks speichern kann und von dort starten kann. Und da kann man dann auch alle Passwörter sicher verschlüsseln. Das wäre so eine einfache Methode, wie man mehr Sicherheit erreicht, ohne das man sich einen speziellen Stick kauft.

Also, Software auf einem handelsüblichen USB-Stick installieren, oder direkt einen wahrscheinlich etwas teureren Passwort Manager USB-Stick. Von was für Preisspannen sprechen wir da eigentlich?

Das ist jetzt nicht die Welt. Diese Softwarelösungen gibt es für so rund 15 Euro. Wobei da wirklich der Punkt oft ist, das man eben Software installieren muss auf dem Rechner, das heißt, man kann das dann zu Hause nutzen. Wenn man das am Büro-PC nutzen will, hat man vielleicht gar nicht mehr die Rechte, dass man das nutzen will. Und wenn man an einem fremden Rechner sitzt, zum Beispiel im Internetcafe im Urlaub oder an einem Hotel-Rechner, dann geht’s gar nicht. Also, da muss man vorher gucken, ob das wirklich für den eigenen Einsatzzweck in Ordnung ist. Die etwas teureren Lösungen gehen dann so rund beim doppelten Preis los, also ab 30 Euro gibt es die ersten, 50 Euro, und dann nach oben ausbaubar ersten.

Da sind wir dann auch relativ schnell in dem Bereich, in dem Firmen sichere Datenspeicher kaufen und da wird’s dann sehr schnell noch etwas teurer. Also für 50 Euro kann man da einsteigen in diese Hardware verschlüsselten Sticks und die sind dann auch einen Tick schneller als die Softwarelösungen. Ob das für den Privatnutzer jetzt unbedingt nötig ist, muss auch jeder selber wissen. Viele Leute nutzen eben noch diese sehr unsicheren Passwortmethoden. Entweder haben sie ein Passwort für alles oder sehr unsichere für verschiedene Dienst – also da erreicht man mit dem Eigenbau-Stick sehr viel mehr Sicherheit. Muss jeder selber entscheiden, ob er die 50 Euro dafür ausgeben möchte.

Angenommen, ich würde mich jetzt für einen USB-Stick mit integriertem Passwort-Manager entscheiden. Vielleicht können Sie noch zusammenfassen, worauf muss ich beim Kauf konkret achten?

Also, ich würde Ihnen empfehlen – wenn Sie sicc so einen speziellen Stick kaufen – einen kaufen, der eine Hardware-Verschlüsselung bietet. Das heißt, wir sind dann in dem etwas teureren Segment, so rund 50 Euro. Dann sollte der Stick nicht zu klobig sein. Wenn man im Internet kauft, kann man sich ja meistens Bilder anschauen. Das Ding sollte zumindest aussehen wie ein einigermaßen normaler USB-Stick, sodass man ihn auch problemlos in etwas engere USB-Buchsen einstecken kann. Dann sollte man natürlich einen renommierten Hersteller nehmen. Ich erwähne jetzt zum Beispiel „Kingston“. Die machen seit Jahren USB-Sticks und haben auch bewiesen, dass sie das mit den sicheren USB-Sticks gut hinkriegen.

Wenn man das hat, ist eigentlich nur noch wichtig, dass man sich für die richtige Speichergröße entscheidet. Wenn man jetzt sagt, man will wirklich nur Passwörter darauf speichern, muss es kein Riesenstick sein. Dann kann man noch ein bisschen Geld sparen. Das wäre es dann eigentlich auch. Diesen Stick kann man dann im Idealfall wirklich überall einsetzen, an jedem Rechner, ohne dass man jetzt was installieren muss. Dann hat man nicht das Problem, dass man vielleicht im Urlaub eine Onlineüberweisung machen möchte, und dann kommt man nicht an sein Passwort, weil das Ding nicht funktioniert. Also solche Stolpersteine in der Praxis sollte man auf jeden Fall bedenken und dann kann eigentlich wenig passieren.