computerwoche.de

Web

Passwortsaver verspricht Sicherheit

27.04.2006
Wer seine Passwörter am Schlüsselanhänger mit sich herumtragen will und dazu größtmögliche Sicherheit vor Datenklau möchte, könnte mit dem "Passwortsaver" gut bedient sein.

Die Eurasia Deutschland GmbH ist zwar nicht der erste Anbieter, der USB-Sticks vertreibt, auf denen Passwörter gespeichert werden können. Mit dem "Passwortsaver" (PWS) lassen sich aber die geheimen Daten auch direkt von dem USB-Stick abfragen.

Jeder Anwender heutzutage kennt das Problem: Er muss sich nicht nur beispielsweise eine vierstellige PIN für den Bankautomaten merken. Vielmehr verlangen Einlogg-Prozesse in Firmenrechner, für Online-Transaktionen, Auktionsbörsen etc. eine Vielfalt von Eingangscodes. Der Einfachheit halber vergeben viele Benutzer deshalb ein einziges Passwort für alle möglichen Zugänge und schreiben dieses womöglich auf einen Zettel, der unter der Schreibtischunterlage liegt. Aus Sicherheitserwägungen, vor allem aber aus haftungsrechtlichen Gründen ist solch ein Vorgehen nicht anzuraten.

Bei dem Passwortsaver handelt es sich um einen USB-Stick, der bis zu 1000 Datensätze speichern kann. Er ist batteriebetrieben und wird mit Anhänger geliefert. Das Gerät besitzt ein Display, über das unabhängig von einem Computer sämtliche gespeicherten Codes, PINs, Passwörter etc. abgerufen werden können. Eingegeben werden die Daten entweder direkt in den Passwortsaver oder über einen PC.

Jeder der gespeicherten Datensätze besteht zum einen aus einem 32 Zeichen großen Beschreibungsfeld, das unverschlüsselt gespeichert wird. Zum anderen verfügt er über ein 32 Zeichen langes Feld und zwei 16 Zeichen lange Felder. Diese werden verschlüsselt gespeichert. Das Klartext-Beschreibungsfeld dient zum Auffinden eines Datensatzes, in die anderen Felder werden Passwörter und andere vertrauliche Daten eingetragen. Der Datenzugang zum USB-Stick erfolgt über eine Passwort-Eingabe. Bei dreimaliger Falscheingabe wird das Gerät gesperrt und kann nur durch ein Master-Passwort wieder freigeschaltet werden. Wird auch dieses dreimal falsch eingegeben, wird die komplette Datenbank aus Sicherheitsgründen unwiderruflich gelöscht. Zur Eingabe der Daten sowohl am PWS als auch über einen PC wird eine Software auf CD mitgeliefert. Auch bei Dateneingaben über den PC ist die Datensicherheit gewährleistet, schreibt Eurasia. So könnten die Tastatureingaben nicht abgefangen werden, weil alle Eingaben verschlüsselt werden.

Als Verschlüsselungs-Algorithmus wird beim UBS-Stick von Eurasia "AES 128" im CBC-Mode verwendet. Der Schlüssel für AES wird aus dem Passwort abgeleitet. Dies bedeutet, dass die effektive Schlüssellänge vom Passwort abhängig ist. Weder das Master-Passwort noch das Passwort und der daraus generierte Schlüssel sind im PWS gespeichert.

Vom Passwort und vom Master-Passwort ist lediglich deren Hash-Wert im PWS abgelegt. Diesen verschlüsselt der Session-Key, bevor der Hashwert zum PWS übertragen wird. Dadurch ist es nicht möglich, den Hash-Wert abzufangen. Der Session-Key wiederum wird mit einem Pseudo-Zufallszahlen-Generator erzeugt, der dazu auch die Zeitpunkte einzelner Tastendrucke benutzt.

Das Typenschild auf der Unterseite des USB-Sticks ist mit dessen Seriennummer und der Postanschrift des Herstellers versehen. Sollte das Gerät einmal verloren gehen, kann es der Finder postalisch an den Hersteller senden, der es an den Eigentümer weiterleitet.

Die Menüführung des PWS ist mehrsprachig (derzeit Deutsch, Englisch und Französisch) und kann je nach Bedarf auf beliebige andere Sprachen erweitert werden. Der USB-Stick kostet 39,90 Euro. (jm)