computerwoche.de

Security

Zugangsdaten verschlüsselt übertragen

Passwörter am Mac verschlüsselt speichern und übertragen

25.10.2016
Von Christian Rentrop

Besser: Self-Hosted-Passwortmanager auf eigenem Webspace verwenden

Genau das bieten Open-Source-Lösungen wie RatticDB und TeamPass: Statt sich auf fremde Server und Dienstleister verlassen zu müssen oder jederzeit Angst darum zu haben, dass eine Passwort-Lösung eines Tages nicht mehr weiterentwickelt wird, können Sie auch einfach auf einem beliebigen Apache-Webserver mit MySQL - und das kann sogar ein Inhouse-Raspberry-Pi oder ein alter Mac in Ihrem Office sein - eine eigene Passwort-Datenbank für Ihre Mitarbeiter aufsetzen, die mit jedem Webbrowser funktioniert und dementsprechend einfach zu handhaben ist. Denn einen Webbrowser gibt es natürlich auf jedem System, egal ob iOS, MacOS, Android, Linux oder Windows.

Der Passwort-Safe TeamPass kann auf jedem LAMP- oder MAMP-Server aufgesetzt werden und besitzt eine eigene Verschlüsselung
Der Passwort-Safe TeamPass kann auf jedem LAMP- oder MAMP-Server aufgesetzt werden und besitzt eine eigene Verschlüsselung

Beide Lösungen sind für den genannten Zweck ausreichend; TeamPass ist allerdings eine Spur besser geeignet, weil es eine integrierte Verschlüsselung mitbringt, die die Passwörter mit einem AES-256-Schlüssel in der Datenbank ablegt. Zudem gibt es eine ausgesprochen sinnvolle Rollenverteilung: Der Administrator kann genau definieren, welcher Nutzer welches Passwort verwenden darf. Dazu werden die Passwörter in Gruppen aufgeteilt.

Passwörter können eingepflegt und von Usern je nach Berechtigung eingesehen werden. Die Lösung ist kostenlos und schnell installiert, der Administrationsaufwand ist jedoch nicht zu unterschätzen
Passwörter können eingepflegt und von Usern je nach Berechtigung eingesehen werden. Die Lösung ist kostenlos und schnell installiert, der Administrationsaufwand ist jedoch nicht zu unterschätzen

Gleichzeitig kann bei Bedarf ein Passwort für einen Nutzer freigeschaltet werden und die Nutzer selbst können, sofern sie dazu berechtigt sind, auch selber Passwörter einpflegen. Auf diese Weise können Sie genau steuern, welcher User welches Passwort verwenden darf - eine deutliche Erleichterung gegenüber allen anderen Lösungen. Und weil die Software auf dem eigenen Server läuft, haben Sie auch die Kontrolle darüber, dass die Daten bleiben, wo sie sind. Ach ja: Eine Backup-Funktion besitzt TeamPass auch, allerdings ist es natürlich immer sinnvoller, regelmäßige Backups des gesamten Servers anzulegen. Wichtig ist natürlich auch, dass der Webserver SSL/HTTPS unterstützt. Nur so kann unterwegs sichergestellt werden, dass niemand zwischen Browser und Server Daten abgreift.

Wenn's eine Nummer kleiner sein darf: KeeWeb

Zuguterletzt noch eine praktische Passwort-Safe-Lösung, wenn Sie einfach online auf eine bereits vorhandene KeePass-Datenbank zugreifen wollen: Die Web-App KeeWeb erlaubt Ihnen, diese online zu verwenden. Dabei wird nichts auf dem Server hoch- oder heruntergeladen: KeeWeb ist einfach ein Web-Interface, mit dessen Hilfe Sie online zum Beispiel auf eine in der Dropbox oder Google Drive gelagerte KeePass-Passwortsafe zugreifen können.

Für kleinere Teams oder Einzelanwender kann sich auch der Einsatz von KeeWeb lohnen
Für kleinere Teams oder Einzelanwender kann sich auch der Einsatz von KeeWeb lohnen

Falls Ihnen der Zugang über die Website nicht koscher erscheint, gibt es übrigens auch die Möglichkeit, die Web-App direkt in der Dropbox zu installieren: Dazu müssen Sie nur die Index.html des zugehörigen GitHub-Projekts laden und in einen öffentlich zugänglichen Ordner in der Dropbox legen. Kopieren Sie den Link zu dieser Index-Datei in den Browser, um die App zu verwenden. Damit Sie auch von anderen Rechnern aus auf Ihr KeePass-Verzeichnis zugreifen können, sollten Sie die "lange" Dropbox-URL zudem kürzen, etwa mit einem Linkkürzer wie Googles Goo.gl.

Die Web-App greift auf eine reguläre KeePass-Datenbank zu und stellt diese online, etwa in der Dropbox, zur Verfügung
Die Web-App greift auf eine reguläre KeePass-Datenbank zu und stellt diese online, etwa in der Dropbox, zur Verfügung

Keine Sorge: Die KeePass-Datenbank ist ja ohnehin per Passwort geschützt - wenn sie sie im Web öffentlich zugänglich machen, sollten Sie allerdings dafür sorgen, dass dieses Passwort allen Anforderungen an die Passwort-Sicherheit entspricht.

Fazit: Gewusst, wie

Insgesamt ist das Problem der Passwort-Sicherheit, -Lagerung und -Übermittlung in Teams oder Arbeitsgruppen nach wie vor kritisch. Zwar gibt es kommerzielle Dienste, die maximale Sicherheit versprechen - etwas Passwordsafe oder Team Password Manager . Die allerdings haben gegenüber RatticDB oder TeamPass vor allem darin den Vorteil, dass sie einen geringen Wartungs- und Lernaufwand besitzen und eine gesicherte Verbindung mit den Anwendern herstellen. Das Hauptproblem der Passwort-Übermittlung bleibt allerdings bei allen Lösungen, gleich welchen Anbieters, bestehen: Selbst wenn nur ein Zugangspasswort übermittelt wird, besteht hier die Gefahr, dass jemand darauf zugreift - und sich auf diese Weise die Datenbank unter den Nagel reißt. Dagegen gibt es leider - außer der lästigen E-Mail-Verschlüsselung - nur einen Weg: Konto-Passwörter und Benutzernamen sollten immer in getrennten Mails oder ZeroBins übermittelt werden, nie zusammen. Zudem sollte der Empfänger anschließend sofort das Passwort ändern. Nur so kann vollständige Sicherheit gewährleistet werden.

Zuguterletzt noch ein Hinweis: Das Lagern von Passwort-Speichern im Netz - völlig egal, ob es sich dabei um Bezahldienste wie Passwordsafe, ein selbst gehostetes Passwort-System wie TeamPass oder eine in der Dropbox gespeicherte KeePass-Datenbank handelt - ist immer mit erhöhten Risiken verbunden. Und so bleibt die Passwort-Lagerung und Übermittlung für Teams nach wie vor eine der Anwendungen, die entweder komfortabel oder sicher sein kann. Beides zusammen ist nur sehr schwer zu realisieren. (Macwelt)