Das Internet gewinnt stetig an Zuwachs. Über wenige Jahre hinweg pubertierte sich das World Wide Web vom Nerdstatus zum offenen Medium für internationale Datenverarbeitung. Innovationen sind zurück gegangen, weil es „neue“ Ideen schon mehrere Male gibt bzw. gegeben hat und in den meisten Fällen nie zum Ruhm führten. Ohne die richtigen Mittel ist es heute nahezu unmöglich, aus einem kleinen Projekt einen großen Dauerbrenner zu formen. Ausnahmen wie Twitter & Co. zeigen, dass es trotzdem geht – jedoch vermittelt die Diskussion, ob es sich um einen einmaligen Hype handelt, eine düstere Zukunft für diese hervorragende Geschäftsidee.

Auf schätzungsweise jeder zweiten oder dritten Website wird dem Besucher die Möglichkeit geboten, sich zu registrieren oder anzumelden, um einen größeren Funktionsumfang freizuschalten oder kontrovers privilegierter von Mutter ISP behandelt zu werden. Einmal eine Registrierung beim Social Network, um mit seinen Freunden in Kontakt zu bleiben, dann noch eine Anmeldung im Computerforum, um den nervigen Grafikkartentreiber endlich mit Unterstützung von Mehrwissenden auf die Reihe zu bekommen. Irgendwann kommt einem die Idee, einen kleinen Blog zu starten (bei dem man im Laufe der Jahre sowieso immer unregelmäßiger Zeit findet, um ihn länger zu betreuen), mietet sich dazu ein kleines Webspacepaket beim nächsten Webhoster.

Im Laufe der Jahre begeisterter Internetnutzung hat sich eine Stange Passwörter angesammelt. Mehr als die Hälfte aller Accounts werden durch ein und demselben Passwort geschützt, ein paar andere Accounts wurden durch den eigenen Vornamen geschützt, den Rest hat man schon lange vergessen.

Welche Möglichkeiten gibt es, um die Passwörter sicher aufzubewahren?

Die mit Abstand schlechteste Möglichkeit ist, die Passwörter einfach im Browser zu speichern. Da reicht ein Klick auf den einladenden Button „Passwort merken“ und schon muss man sich nie mehr Sorgen darüber machen. Failed. Beim nächsten Update zerschießt es vielleicht das Passwortarchiv, nach einem Stromausfall ist die Festplatte kaputt, alle Passwörter sind weg. Unwiederbringlich weg.

Auch Passwörter in Dateien zu schreiben ist auch nicht immer die beste Lösung. Die Dateien sind in den allermeisten Fällen unverschlüsselt, jeder kann sie also lesen. Und das Problem eines Festplattencrashes ist auch nicht aus dem Weg geräumt.

Schon bessere Methoden sind Passwortdatenbanken. Hierbei handelt es sich um Programme, in welche man alle Passwörter speichern kann. Den Zugriff auf die Passwörter wird durch ein einziges Masterpasswort oder durch einen Fingerprintreader geschützt. Die gesamte Datenbank kann man sichern, damit auch bei einem potentiellen Fehler noch alle Infos vorhanden sind. Man darf es nur nicht vergessen…

Ich persönlich empfehle für diese Methode „KeePass Password Safe“ (Linux, Windows, Mac) oder ein distributionsabhänginges Derivat.

Aber die folgende Nerdlösung stellt die bisherigen Ideen in den Schatten: Ein Passwortbuch. Für kleines Geld kauft man sich einen kleinen DIN A5 Ringordner, bereichert ihn mit einem A bis Z Register und klappert in jedes Fach ein paar Zettel. Jede Registrierung wird hier handschriftlich festgehalten, mit dem Namen der Website, deren URL, dem Benutzernamen (bzw. der eMail-Adresse) und natürlich dem Passwort. Das Buch sollte unbeschriftet sein und gut aufbewahrt werden, vielleicht im Regal zwischen anderen unscheinbaren Büchern, jedoch leicht zu erreichen wenn es gebraucht wird. Darin kann man dann jedes Mal sein Passwort notieren und zu einem anderen Zeitpunkt wieder lesen. Mit Bleistift kann man die Infos auch jederzeit ändern.

Wohin mit all den Private Keys?!

Private Keys werden immer beliebter. Für eine Authentifizierung werden zwei Keys benötigt, dem so genannten „Keypair“. Er besteht aus dem besagten Private Key und einem Public Key. Den Private Key erhält der Benutzer, den Public Key der Server, auf dem sich der Benutzer später einloggen können soll. Dabei wird der Private Key während jedem Login hoch geladen und mit dem Public Key verglichen. Ich möchte auf das Verfahren nicht weiter eingehen, das würde hier zu weit vom eigentlichen Thema ablenken.

Zur Aufbewahrung von Private Keys, die nicht oft verwendet werden, eignet sich eine CD, die zusammen mit anderen Keys ins Passwortbuch gelegt wird.

Wenn man Private Keys öfters braucht, ist ein eigens eingerichteter Key-Stick praktisch. Auf diesen Stick kommen sämtliche Keys, die benötigt werden. Ein statisch compilierter SSH-Client kann, falls er gebraucht wird, auch mit auf den Stick, um einer Malwareverseuchung vorzubeugen.

Das ganze Teil wird wiederum verschlüsselt. Unter Linux geht das mit LUKS recht gut, weil es dazu auch gute Plugins für Dateimanager gibt. Ansonsten gibt es alternativ TrueCrypt (auch für Windows geeignet), mit dem Geräte ebenso einfach verschlüsselt werden können.

Auch hier gibt es viele Möglichkeiten und einen freien Spielraum für eigene Ideen. Ich verwende eine extremere Version von dem „Verschlüsselter Key-Stick“-Konzept und komme damit sehr gut klar.