Gut gesichert

Die Strategien, sich Passwörter für viele unterschiedliche Zugänge zu merken, sind vielfältig. Manche verwenden einfach immer das gleiche Passwort, andere schreiben Passwörter auf Notizzettel oder in – bestenfalls GnuPG-verschlüsselte – Textdateien. Eine unverschlüsselte Ablage ist jedoch unsicher und eine verschlüsselte oft kompliziert zu handhaben. Das dezentrale Authentifizierungssystem OpenID für Webseiten reduziert zwar die Anzahl der sich zu merkenden Passwörter im Internet, funktioniert jedoch bei weitem nicht mit jedem Angebot [1]. Passwort-Formeln helfen dabei, sich unterschiedliche Passwörter zu merken [2]. Einfache Kennworte lassen sich leicht erraten, kompliziertere erweisen sich oft als unpraktisch.

Passwortspeicher wie Kwalletmanager, Gnome Keyring, Keepassx oder Passwordsafe bieten einen Kompromiss zwischen Sicherheit und Alltagstauglichkeit: Sie speichern mehrere Passwörter in einer elektronischen Brieftasche, die sie mit dem Hash-Wert aus einem Master-Passwort schützen. Die Sicherheit einer solchen elektronischen Brieftasche steht und fällt mit dem Master-Passwort. Wer es kennt, hat Zugang zu allen gespeicherten Passwörtern. Mehrere digitale Brieftaschen mit unterschiedlichen Passwörtern, zum Beispiel eine für Webseiten und eine für Online-Bezahldienste, reduzieren das Risiko.

Gehostete Online-Passwortmanager wie Clipperz.com, Passpack.com, Enterprise-password-safe.com, Mysafebox.com und Lastpass.com lassen wir im Folgenden außen vor, obwohl auch diese die Passwörter verschlüsselt auf dem Server ablegen. Von Clipperz.com gibt es eine Community-Edition für den eigenen Server [3].

Integriert

Für Gnome- und KDE-Anwender bieten sich die integrierten Passwortmanager Keyring und Kwalletmanager (kurz: Kwallet) an [4]. Die integrierten Passwortspeicher interagieren mit Programmen der entsprechenden Desktop-Umgebung direkt. Möchte ein Programm ein Passwort erfahren, fragt ein Dialogfenster um Erlaubnis für den Zugriff auf die digitale Brieftasche. Der Gnome Keyring bietet zudem die Möglichkeit, den Schlüsselbund bereits beim Anmelden zu entsperren.

Von der KDE-Variante existiert seit KDE SC 4 eine Windows- sowie eine Mac-Variante. Unter Windows verwenden Sie die Datei kdewin-installer-gui-0.9.7-0.exe. Wer nur das Nötigste installieren möchte, wählt bei Install Mode die Option Package Manager und unter Package Selection das Paket kdeutils-vc90.

Im Test funktionierte die Version stable-latest – derzeit stable-4.4.4 – einwandfrei (Abbildung 1). Das Programm stand nach Installation unter Alle Programme | KDE 4.4.4 Release | System | KWalletManager bereit. Unter Linux installieren Sie das Paket kdeutils, für OpenSuse kdeutils4.

Abbildung 1: Der Kwalletmanager läuft auch unter Windows.

Für die Gnome-Variante installieren Sie unter vielen Distributionen das Paket gnome-keyring, unter Debian und Ubuntu libpam-gnome-keyring beziehungsweise unter OpenSuse gnome-keyring-pam. Gnome Keyring bietet eine SSH-Agent-Integration sowie mit PKCS#11 eine Schnittstelle, um Geheimnisse anderen Anwendungen, die diesen Standard sprechen, sicher zu übermitteln.

Der Kwalletmanager nistet sich als Brieftaschen-Symbol im Systemabschnitt der Kontrollleiste ein. Wollen Sie ihn immer sehen, so stellen Sie in den Einstellungen zum Systemabschnitt der Kontrollleiste die Sichtbarkeit von Dienstprogramm für digitale Brieftasche auf Immer. Ein Doppelklick auf das Symbol öffnet das Programm, neue Einträge und Ordner erstellen Sie via Kontextmenü.

Unter Gnome zeigt das ursprünglich nur fürs Verwalten von PGP- und SSH-Schlüsseln entwickelte Seahorse den Inhalt eines Passwortspeichers an, wenn Sie bei einem Schlüsselbund im Reiter Passwörter im Kontextmenü Entsperren wählen (Abbildung 2). Ein neues Passwort fügen Sie mit Datei | Neu... aus dem Menü in der Titelleiste des Fensters hinzu. Wählen Sie Gespeichertes Passwort als Eintragstyp. Mit Umlauten im Schlüsselbundnamen kam das Programm auf einem UTF-8-System übrigens nicht klar.

Abbildung 2: Seahorse verwaltet unter Gnome Passwörter und Schlüssel.

Mozillas Manager

Die Mozilla-Programme Firefox und Thunderbird bieten mit dem Software Security Device eine eigene Lösung. Für Firefox gibt es Addons, um Passwörter stattdessen in Kwallet oder Keyring zu speichern ([5],[6]). Die Gnome-Variante läuft nicht mit dem aktuellen Firefox 3.6.12. Das Addon für KDE sucht zumindest in der stabilen Version 0.4 mit KDE 4.5 an der falschen Stelle nach der KWallet-Daemon-Bibliothek. Abhilfe schafft der Befehl:

sudo ln -s /usr/lib/kde4/libkdeinit/libkdeinit4_kwalletd.so /usr/lib

In den Webbrowsern Firefox und Konqueror gemeinsame Passwörter über das Addon zu nutzen, klappt nicht: Es speichert Passwörter in der Brieftasche kdewallet in einem eigenen Ordner Firefox, anstatt die Ordner Form Data und Passwords mitzuverwenden. Die Beta-Version 0.6, die die gleichen Ordner wie KDE-Anwendungen verwendet, funktionierte im Test nicht.

Firefox merkt sich beim Einfügen gespeicherter Passwörter in Web-Formulare nur die Domain, nicht aber das Unterverzeichnis und den Dateinamen der Webseite. Der Browser prüft auch nicht, an welche Adresse das Formular die Passwörter verschickt [7]. Das ermöglicht es Angreifern, mit präparierten Webseiten und Javascript-Programmen Passwörter zu entwenden. Der von Heise Online bereitgestellte Test funktioniert selbst mit Firefox 3.6.12 [8]. Konqueror aus KDE 4.5.1 gab hingegen die Zugangsdaten der fremden Webseite nicht preis.

Ansonsten bleibt die Möglichkeit, ein Passwort über die Zwischenablage in eine Anwendung zu übertragen. Eine direkte (auch Auto-Type genannte) Eingabemöglichkeit zum Umgehen der Zwischenablage bieten die integrierten Lösungen nicht. Für Kwallet gibt es mit KWallet CLI im Debian/Ubuntu-Paket kwalletcli zusätzlich eine Befehlszeilen-Oberfläche [9]. So zeigt kwalletcli -f Amarok -e lastfm_password das von Amarok gespeicherte Last.fm-Passwort. Allerdings greift Kwallet CLI immer auf die Standard-Brieftasche kdewallet zu; den Wechsel zu einer anderen Brieftasche unterstützt die Software derzeit nicht.