Wegen Heartbleed, dem Fehler in der Verschl�sselungssoftware OpenSSL, sollen Internetnutzer ihre Passw�rter �ndern. Das ist m�hsam. Ein paar Programme sollen helfen.
Normalerweise ignoriere ich Geschichten wie diese ja. Schlau ist das vermutlich nicht, aber mein Urvertrauen (meine Bequemlichkeit) ist meist gr��er als mein Sicherheitsbed�rfnis. Dieses Mal aber scheint alles ein bisschen gr��er und wichtiger und gef�hrlicher. Der Bug Heartbleed ist aus, unsere Passw�rter zu knacken - und zwar so ziemlich alle. Denn tendenziell betrifft die nun entdeckte Sicherheitsl�cke alle OpenSSL-Verschl�sselungen im Netz, immerhin eine halbe Million Webseiten - darunter Yahoo, Facebook und Gmail (wie das funktioniert, zeigt diese sch�ne Grafik).
Jede Seite, die mit dem eigentlich sicher geglaubten "https" beginnt, k�nnte also geknackt und sensible Daten geklaut werden. Das Sch�nste: Die L�cke besteht schon seit zwei Jahren und ist erst jetzt entdeckt worden.��
Entsprechend gro� ist die Aufregung. "Auf der Gruselskala bis 10 ist es die 11", "Ist das der GAU im Internet?", "Millionen Web-Nutzer gef�hrdet". Das sind nur drei der wenig beruhigenden Schlagzeilen der letzten 24 Stunden. Wem Anonymit�t und Privatsph�re besonders wichtig seien, rieten die Macher des Tor-Netzwerks hinterher, sollte dem Netz vielleicht ein paar Tage fern bleiben. Und selbst die New York Times rief ihre Leser umgehend auf: Passw�rter �ndern! (Welche wirklich ge�ndert werden m�ssen, steht hier.)�
Wenn das mal so einfach w�re. Kurz zu meiner Ausgangssituation. Irgendwann 2002 habe ich mir ein Passwort mittlerer St�rke und Kompliziertheit ausgedacht, zusammengew�rfelt aus Song-Titeln und bedeutenden Zahlen. Bei jedem neuen Account habe ich das Passwort wiederverwendet, schlie�lich war so wenigstens sichergestellt, dass ich mich beim n�chsten Mal auch daran erinnere. Einzelne Passw�rter habe ich nur widerwillig und leicht abge�ndert, wenn mich 1. eine Seite dazu in regelm��igen Abst�nden zwang, die Standard-Kombination 2. nicht akzeptiert wurde oder ich 3. aus pers�nlichen Gr�nden die Erinnerung an eine bestimmte Zeit zusammen mit dem bestimmten Passwort ausl�schen wollte. �ber die Jahre sind so rund 90 Logins zusammengekommen, von denen die Mehrheit mein "Master-Passwort" verwendet. Und wenn Adressen, Konto- und Kreditkarten als sensibel gelten, dann sind wahrscheinlich 88 davon Webseiten, bei denen ich dringend aufr�sten sollte.
Dass das nicht Sicherheit auf NSA-Niveau bedeutet, war mir klar, aber bislang meist egal. Denn irgendwie vorsorgen erschien viel zu aufwendig. Selbst die Browser-Hersteller hielten es lange nicht f�r n�tig, einen zu verschiedenen Logins zu ermutigen. Inzwischen haben Firefox, Safari und Chrome zwar Passwort-Ged�chtnisse, aber selbst die funktionieren und synchronisieren nur Browser- und/oder Computergebunden.
Doch Heartbleed l�sst auch mein Herz etwas stocken. Ich beschlie�e, mir den Vormittag freizuschaufeln und das Problem ein f�r alle Mal anzugehen: Neue Logins sollen her. Und damit ich mir die nicht merken muss, brauche ich Hilfe. Eine Kollegin erz�hlt mir von KeePass, einem kostenlosen Passwort-Manager, der sich die Logins f�r mich merken und beim n�chsten Besuch eingeben wird. Ihr Vater schw�re seit Jahrzehnten darauf. Klingt ideal.
Das Problem: Seit eben jenen Jahrzehnten scheint sich an der Benutzeroberfl�che nichts mehr getan zu haben. Als ich nach mehreren Installationsversuchen und genauso vielen Abst�rzen endlich drin bin, f�hle ich mich in l�ngst vergangene Windows-Zeiten zur�ckversetzt. Wenn ich ein bisschen programmieren k�nnte, s�he so wohl mein erstes Projekt aus: Jedes einzelne Passwort muss ich f�r jeden einzelnen Account von Hand eingeben. Die "Auto-Fill"-Funktion, die mir das einloggen in Zukunft abnehmen soll, bekomme ich gar nicht zum Laufen. Mir bleibt nur, die Kombinationen m�hsam hin�berzukopieren. Meine Geduld endet nach wenigen Minuten und ich schmei�e das Programm vom Rechner (auch das gelingt erst im dritten Versuch).��
Dashlane merkt sich nicht nur Passw�rter
Ich versuche es mit Dashlane. Programme wie LastPass�und 1Password funktionieren �hnlich, aber von Dashlane war selbst der damalige New-York-Times-Tech-Schreiber David Pogue begeistert. Dashlane merkt sich nicht nur s�mtliche Logins, sondern nebenbei auch Adressen, Kreditkarteninformationen und Ausweisnummern. Kurz: Wann immer es im Internet etwas auszuf�llen gibt, ist Dashlane zur Stelle. Alles, was man sich merken muss, ist ein Master-Passwort, das den Zugriff auf alle weiteren Passw�rter erm�glicht. Dashlane f�llt Anmeldeformulare mit nur einem Klick aus und warnt, wenn ein Account gehackt wurde (wie zuverl�ssig, musste ich zum Gl�ck offenbar bislang nicht testen). Muss ich mich von unterwegs auf einer Seite anmelden, kann ich die Login-Daten aus der iPhone-App kopieren und einsetzen. Pl�tzlich scheint mein Leben so viel besser.�
Das Beste: Dashlane ist gratis, zumindest erstmal. Das unterscheidet es zum Beispiel von 1Password, bei dem zum Start schlappe 49 Dollar f�r die Mac-Variante, 18 Dollar f�rs iPad und nochmal 14 f�r die iPhone-App f�llig werden. Das Schutzbed�rfnis h�lt sich da in Grenzen.
Keine Kommentare:
Kommentar veröffentlichen