17.02.2015, 08:11 Uhr
Schweizer Passwort-Tresore
Passwort-Manager sind praktisch, speichern aber unsere Losungen wer weiss in welcher Cloud. Doch es gibt auch Schweizer Tresore, in denen Passwörter sicher aufbewahrt werden können.
Sich selbst dutzende Passwörter merken zu müssen, ist für die meisten eine zu grosse Gedächtnisübung. Immer dieselbe Losung zu nutzen, ist gefährlich. Sogenannte Passwort-Manager helfen bei der Verwaltung, wie wir in diesen Beitrag krzlich aufgezeigt haben. Doch wo speichern diese meist US-amerikanischen Löungen unsere Passwörter? Selbst für die weniger paranoid gestimmten Gemüter unter uns, hinterlässt der Fact, dass Passwörter irgendwo im NSA-Land abgelegt werden, ein ungutes Gefühl.
Doch es gibt Schweizer Anbieter, welche Passwörter in heimischen Cloud-Gefilden abzulegen versprechen. Allerdings darf man von diesen Passwort-Tresoren nicht den gleichen Bedienkomfort erwarten, wie bei den ausgewachsenen Management-Tools. Zwei der bekanntesten Schweizer Online-Passwort-Hinterlegdienste ist SecureSafevon DSwiss und DocSafevon Swisscom.
Beide verwahren neben Dokumenten auch Passwörter, und zwar für Privatanwender gratis. Die Funktionsweise der beiden Services ist einfach und ziemlich selbsterklärend, und zwar sowohl bei der Web-Version als auch bei den entsprechenden Apps.
Besondere Security-Verfahren haben sich sowohl SecureSafe als auch DocSafe auf die Fahnen geschrieben. Beide erlauben die Zusatzidentifikation oder Zwei-Faktoren-Autentifikation via SMS, allerdings ist dies bei Securesafe nicht Teil des Gratis-Angebots und zieht ein Update auf ein 48 Franken teures Jahresabo nach sich. SecureSafe stellt dem Anwender zudem zu Beginn einen Wiederherstellungscode aus. Nur mit diesem kommt man bei Passwortverlust wieder an seine Daten, denn nach eigenen Angaben hat nicht einmal die Betreiberin Zugang zu diesen.
Passwortgenerator und Klartext-Problematik
Ein weiteres interessantes Feature bietet nur SecureSafe. Der Dienst unterhält einen Passwortgenerator, der im besten Fall einen 32 Zeichen umfassende Zufallsfolge ausspuckt, der wohl kaum noch per Brute-Force-Angriff knackbar sein dürfte.
Will man das Passwort verwenden, muss es kopiert werden. Einen Einfüll-Service wie bei den Passwort-Managern gibt es weder bei SecureSafe noch bei DocSafe. Bei beiden Diensten erscheinen die Passwörter zum Teil im Klartext, in jedem Fall werden sie in dieser Form in die Zwischenablage kopiert, aus der man sie dann wieder in das entsprechende Eingabefeld einfügen kann.
Wie Candid Wüest, Virenforscher und Principal Threat Researcher bei Symantec Schweiz, gegenüber Computerworld ausführt, birgt dies Risiken. «Wir haben bereits Malware gesehen, welche periodisch das Clipboard ausliest», berichtet er.
Allerdings sind auch Management-Lösungen à la Lastpass nicht gegen ein Abgreifen des Zwischenablageinhalts gefeit. Laut Wüest ist es zum Teil auch möglich mit Javascript das Clipboard auszulesen. «Dies würde dann auch bei lokal installierten Passwort-Managern funktionieren», relativiert er. Generell sei das Clipboard offen für alle Dienste, so der Virenjäger von Symantec. Deshalb empfielt er, das Passwort nach Gebrauch aus dem Clipboard zu löschen.
Fazit: Wer seine Passwörter auf Schweizer Servern gespeichert wissen will, für den sind SecureSafe und DocSafe eine gute Wahl. Allerdings muss man sich dabei bewusst sein, dass man nicht den selben Bedienungskomfort erhält wie bei den ausgewachsenen Passwort-Management-Angeboten.