PassPack – Ein Tresor für Passwörter
Das Risiko des Passworts – hinlänglich bekannt, vielfach zitiert. Um das Risiko einigermaßen gering zu halten, begegnet man immer wieder dem Rat, möglichst sichere Passwörter zu verwenden. So sollte es mindestens 8 Zeichen umfassen, einen Mix aus Zahlen und Buchstaben sowie Groß- und Kleinschreibung beinhalten, optimalerweise keine direkten Worte verwenden und Ähnliches.
Viel wichtiger aber noch, nicht an allen Stellen das identische Passwort verwenden! Die Anforderungen sind zwar alle schön und gut, erschweren einem Anwender aber aus Gründen der Usability das Leben in der digitalen Welt ungemein. Denn vermutlich dürfte es den meisten Benutzern schwerfallen, sich an 20, 30, 40 oder noch mehr Passwörter der Marke „Ui6eo9Ae“ zu erinnern.
Mögliche Abhilfe für diesen Umstand verspricht ein so genannter Passwortmanager. Er speichert die einzelnen Zugangsdaten seinerseits ab. Natürlich besteht an einen solchen Passwort-Tresor die höchste Anforderung an Sicherheit. Ist erst einmal jemand Unerwünschtes im Besitz des Schlüssels zum Tresor, so kann nahezu alles verloren sein!
Passwort 2.0 im Internet
Mit PassPack hat sich vor kurzem ein neuer Dienst in die Reihen der Passwort-Manager gesellt. Ganz im Stile des Web 2.0 befindet sich der kostenlose Dienst aber noch in der Beta-Phase. Nichtsdestotrotz handelt es sich um einen sehr interessanten Ansatz. Denn der Dienst ist von jedem Internet-fähigen Rechner per Webbrowser zu bedienen. Auf den ersten Blick mag diese Kombination aber wohl etwas seltsam erscheinen: Passwortmanager komplett im Internet?!
„Unter der Haube“ entpuppt sich aber hinter PassPack ein großes Maß an Sicherheit. So werden die eingegebenen Daten direkt im Browser verschlüsselt und erst dann über die Internetverbindung übertragen. Dieser Prozess wird im Projektjargon von PassPack als „Packing“ bezeichnet. Hierzu wird der Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) verwendet.. Die Ver- respektive Entschlüsselung der Daten erfolgt vollständig auf der Clientseite mittels Javascript. Hierzu wird der so genannte Packaging Key verwendet. Dieser Schlüssel wird aber aufgrund der clientseitigen Abhandlung niemals an den Server übermittelt.
Darüberhinaus erfolgt sämtliche Kommunikation zwischen Client und Server zusätzlich noch über eine per SSL verschlüsselte, sichere Verbindung. Im Klartext: Verschlüsselte Datenpakete werden zusätzlich nochmals verschlüsselt übertragen. Ein weiteres positives Merkmal ist die Tatsache, dass es sich bei einem PassPack Account um einen vollständig anonymen Account handelt. Es sind keinerlei persönliche Informationen mit dem Account verknüpft, nicht einmal die E-Mail-Adresse. Demnach ist es aber auch nicht möglich, ein verlorenes/vergessenes Passwort zurückzusetzen!
Kostenloser Zugang
Ein PassPack-Account kann derzeit völlig kostenlos registriert werden. Dieser Vorgang verläuft in mehreren Stufen: Zunächst wird eine Benutzer-ID mit zugehörigem Account-Passwort auf dem Server angelegt. Danach wird im zweiten Schritt der Packaging-Key definiert, welcher aber nicht an den Server übertragen wird. Dieser dient lediglich der Ent- und Verschlüsselung des vom Server erhaltenen Passwortpaketes. Sollte es einem böswilligen Gegenüber gelingen, sich auf dem Server einzuklinken, so findet er lediglich die per AES verschlüsselten Datenpakete vor. Einzige Chance für ihn an die Daten zu kommen ist das Erraten des Packaging Keys. Daraus ableitend lässt sich also festhalten, dass das ganze System natürlich konkret abhängig ist von der Sicherheit des Passwortes bzw. des Packing Keys.
Nachstehende Grafik verdeutlicht die einzelnen Ablaufschritte nochmals:
Zusammenfassend lässt sich PassPack als interessanten Ansatz eines Passwortmanagers bezeichnen. Mitunter vorteilhaft ist meiner Meinung nach die Tatsache, dass clientseitig keinerlei Installationen vorgenommen werden müssen und dass der Dienst von überall her zu erreichen ist. Allerdings muss jeder für sich selbst bewerten und entscheiden, ob er diesem Dienst seine Daten anvertraut! Folgende Webadressen sind interessant:
- http://passpack.wordpress.com – Blog
- https://www.passpack.com/html – Website zu PassPack
- https://www.passpack.com/html/security.asp – Security Information zu PassPack
Mehr Informationen zu Secure Password Share
Hello,
I’m sorry, I don’t speak German. I wanted to give you this link which describes the PassPack anti-phishing system:
http://passpack.wordpress.com/2007/02/17/anti-phishing-welcome-message/
And our new complete set of features:
http://passpack.wordpress.com/passpack-infosheet/
And the (coming soon) automatic login tool:
http://passpack.wordpress.com/2007/03/22/passpack-auto-login-no-plugin-needed/
Thanks You for your kind article.
Cheers,
Tara
Ein weiterer webbasierter Passwortmanager ist LOCKBIN (https://lockbin.com). Interessant daran ist, dass dieser mit OpenID zusammenspielt.
Allerdings waren meine persönlichen Tests etwas ernüchternd. Es beginnt bereits beim Lesen der FAQ: Mit Firefox in der aktuellen Version kommt es beim Anklicken der Links zu Javascript-Fehlern. Die Problemreihe zieht sich fort bis hin zum verwendeten Lockbin Code. Anscheinend kommt der Dienst mit Sonderzeichen nicht klar. Diese Thematik ist meines Erachtens bei PassPack besser gelöst. So ist dort ausdrücklich erwünscht, für die User ID, dass Passwort und den Packaging Key komplizierte Zeichenfolgen zu verwenden. Auch lange Kombinationen mit Leerschritten, Sonderzeichen, Zahlen, etc. sind durchaus möglich.
LOCKBIN versucht aber im Gegenzug Phishing vorzubeugen. So wird bei jedem Login-Vorgang ein bei der Registrierung an an den Server übermitteltes Bild angezeigt. Nur wenn dieses angezeigt wird, handelt es sich tatsächlich um den LOCKBIN-Server.