Wir alle wissen wie wichtig es ist, eine strukturierte und sichere Passwort-Strategie zu verwenden. Das hört sich in der Theorie auch gut an, allerdings sieht die Realität meist so aus, dass Passwörter quasi nie geändert und oft mehrfach verwendet werden. Das hat den einfachen Grund, dass es wesentlich bequemer ist sich ein Passwort merken zu können, und da man sich nicht zu viele Passwörter merken will, nutzt man eben eins für alles. Wozu das im schlimmsten Fall führen kann lässt sich bei Mat Honan’s „Epic Hack“ nachlesen.
Eine neue Komplexitätsstufe wird erreicht, wenn Zugangsdaten gemeinsam genutzt werden, wie es wahrscheinlich in jedem Unternehmen der Fall ist. Das beginnt mit WLAN-, VPN- und FTP-Zugängen, betrifft gemeinsam genutzte Web-Dienste, CMS-Backends, oder E-Mail Konten und manchmal sogar Zugänge zu Online Banking, Kreditkarten, oder anderen hochsensiblen Daten.
Diese Daten werden per E-Mail geteilt, in einem Dokument an zentraler Stelle gesammelt, oder per Hand irgendwo niedergeschrieben, was dann entweder zu einer großen Sucherei führt, oder wiederum eine drastische Vereinfachung à la „ein Passwort für alles“ bewirkt.
Eine Lösung – LastPass
Wir haben uns deshalb nach einer Lösung des Problems umgesehen, und nach einigem Suchen und Ausprobieren für die cloud-basierte Passwort-Verwaltung LastPass entschieden.
LastPass gibt es in einer Version für Einzel-, bzw. Privatnutzer – die der Eine oder Andere mit Sicherheit kennt – und in der kostenpflichtigen Enterprise Edition für Unternehmen. Das User Interface ist leider keine Schönheit, aber darauf kommt es hier ja nicht primär an.
Das Prinzip von LastPass ist folgendes: Jeder Nutzer hat einen eigenen „Tresor“, also eine verschlüsselte Datei, die alle für ihn relevanten Zugangsdaten enthält. Diese Datei ist lokal gespeichert und mit einem Passwort gesichert, daher auch der Name LastPass – das letzte Passwort, was man sich merken muss. Mit Hilfe einer Browser Extension oder einer Smartphone App lässt sich der Tresor öffnen und verwalten. Dank Cloud-Sync befindet sich auf jedem Endgerät die aktuelle Version des Tresors.
LastPass erweist sich im Browser als nützlicher Helfer, da es Login Daten automatisch eintragen kann, oder neue Zugangsdaten direkt übernimmt. Das bedeutet, dass das Passwort so kryptisch gestaltet werden kann wie man möchte – einen Passwort Generator gibt es natürlich auch – es kann ja getrost wieder vergessen werden.
Zusätzlich zu Zugangsdaten für browserbasierte Anwendungen beherrscht LastPass auch sogenannte Sichere Notizen, die vom FTP Zugang über die Kreditkarte bis hin zum Führerschein jegliche Art vertraulicher Daten beinhalten können.
Die Enterprise Edition erweitert die Grundfunktionalität, um die Möglichkeit Zugangsdaten mit anderen Nutzern, oder Nutzergruppen zu teilen. Trotzdem hat jeder Nutzer seinen eigenen Tresor, den auch niemand sonst (auch kein Administrator) einsehen kann.
LastPass Enterprise Edition benutzen
Zunächst gibt es eine Einladung vom Administrator LastPass zu nutzen. Dies geschieht in Form einer E-Mail, in welcher sich ein Aktivierungs-Link befindet, womit unter anderem das Master-Passwort festgelegt wird. Unter https://lastpass.com/misc_download.php kann dann der LastPass Installer heruntergeladen werden. Das Installationsprogramm installiert LastPass in allen verfügbaren Browsern und legt die Tresor Datei zentral im System ab. Hier unterscheidet sich LastPass also von einer einfachen Browser Erweiterung, welche den Browser-Kontext im Normalfall nicht verlässt.
Wenn alles geklappt hat, erscheint im Browser ein Button, mit dem man den Tresor öffnen kann.
Um alle Zugangsdaten zu verwalten genügt ein Klick auf „Mein LastPass Tresor“. Hier können über die linke Spalte Webseiten, Sichere Notizen, Gruppen oder freigegebene Ordner hinzugefügt werden. Ein freigegebener Ordner kann geteilt werden, so dass alle Zugangsdaten die sich in diesem Ordner befinden auch für andere Nutzer oder Nutzergruppen sichtbar sind. Es gibt auch die Möglichkeit die Zugriffsrechte zu begrenzen, so dass Nutzer z.B. nur lesen dürfen.
LastPass lässt sich auch aus dem Popup nach Klick auf den Browserbutton nutzen. Hier werden auch direkt passende Login-Informationen angezeigt, das heißt, wenn eine Seite geöffnet ist, zu der es Zugangsdaten im Tresor gibt, werden diese direkt angezeigt, oder je nach Einstellung auch direkt in das Login Formular eingetragen. Dies wird durch einen roten Rand um die Input Felder visualisiert.
Ein Klick auf den Eintrag im Popup zeigt weitere Optionen.
Bei Erstellung eines neuen Zugangs empfiehlt es sich den bereits erwähnten Passwort Generator zu verwenden. Da man sich das Passwort nicht merken muss, darf es auch gern sehr kompliziert sein.
Zusammenfassend lassen sich durch die Verwendung von LastPass alle eingangs beschriebenen Sicherheitsprobleme lösen. Es gibt keine Notwendigkeit mehr leicht zu merkende aber unsichere Passwörter zu verwenden, man kann für jeden Zugang problemlos ein eigenes Passwort erstellen und auch das teilen in der Arbeitsgruppe stellt kein Sicherheitsrisiko mehr dar.
Zusätzlich gibt es LastPass auch als Mobile App für Android, iOS, Windows Phone, Blackberry, uvm., so dass man seine vertraulichen Informationen und Zugangsdaten auch unterwegs immer griffbereit hat.
Da immer nur die mit 256-bit (AES) verschlüsselte Datei via SSL übertragen wird, ist LastPass meiner Meinung nach bereits ausreichend sicher, denn selbst wenn jemand an die Tresor-Datei gelangen sollte, ist es nahezu unmöglich die Datei zu öffnen.
Wer noch eine zusätzliche Schutz-Ebene einbauen möchte, dem sei die von Google entwickelte 2-Step-Verification empfohlen, welche sich mit LastPass verwenden lässt. Mit dieser muss man zusätzlich zum Passwort einen weiteren Code eingeben, den man per Anruf, SMS oder App auf einem zuvor registrierten Mobiltelefon erhält, und welcher nur kurze Zeit gültig ist.
tl;dr
Wer Ordnung ins Passwort Chaos bringen möchte sollte sich die LastPass.com Enterprise Edition anschauen, wie’s funktioniert lernt man hier.