Bundesamt für Sicherheit in der Informationstechnik

M 4.306 Umgang mit Passwort-Speicher-Tools

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Die meisten Menschen müssen sich sowohl im Arbeitsleben als auch privat eine Vielzahl von Passwörtern, PINs und anderen Authentikationsgeheimnissen merken. Dies führt immer wieder zu Problemen. Typische Beispiele dafür sind, dass Benutzer ihre Passwörter vergessen, so dass diese in aufwendigen Prozessen zurückgesetzt werden müssen, oder dass sie sie notieren und unsicher verwahren.

Um solche Probleme zu vermeiden, werden als technische Hilfsmittel Produkte angeboten, mit denen eine Vielzahl von Passwörtern, PINs und anderen Authentikationsgeheimnissen verwaltet werden können. Solche Passwort-Speicher-Tools, auch "Passwort-Safes" genannt, sind sowohl als reine Software-Lösungen als auch in Kombination mit eigenständiger Hardware erhältlich. Beim Einsatz von Passwort-Speicher-Tools sind diverse Aspekte zu beachten (siehe auch M 2.22 Hinterlegen des Passwortes ):

Eine Hinterlegung oder Speicherung von Passwörtern ist immer mit organisatorischem Aufwand verbunden. Bei jeder Änderung eines der gespeicherten Passwörter ist dieses auch im Passwort-Speicher-Tool zu aktualisieren. Es darf kein Passwort dabei vergessen werden.

Bevor ein Passwort-Speicher-Tool eingesetzt wird, ist der Schutzbedarf der Passwörter abzuschätzen, die damit gespeichert werden sollen. Nicht alle Passwort-Tools eignen sich zur Speicherung hochschutzbedürftiger Passwörter. Andererseits unterstützen sie Benutzer darin, für jede Anwendung unterschiedliche und trotzdem möglichst komplexe Passwörter auszuwählen.

Wenn ein Tool zur Speicherung von Passwörtern benutzt werden soll, sind die im Folgenden beschriebenen Anforderungen an solche Werkzeuge zu beachten.

  • Es darf nicht möglich sein, dass Unbefugte auf die gespeicherten Passwörter Zugriff nehmen. Jeder Zugriff auf das Passwort-Speicher-Tool sollte protokolliert werden.
  • Ein Passwort-Speicher-Tool sollte einfach und intuitiv zu bedienen sein. Es sollte keine Einschränkungen bei der Länge und der Zeichenzusammensetzung der sicher hinterlegten Passwörter geben. Es sollte möglich sein, lange und komplexe Master-Passwörter zu benutzen, dies sollte möglichst auch technisch gefordert werden.
  • Ein Passwort-Speicher-Tool darf auf keinen Fall die Möglichkeit bieten, dass Benutzer sich ohne Eingabe eines Master-Passwortes anmelden können oder dass das Master-Passwort vom Tool automatisch "vorgemerkt" werden kann.
  • Nach einem vorgegebenen Inaktivitäts-Zeitraum sollte das Tool den angemeldeten Benutzer automatisch abmelden.
  • Passwörter dürfen nur verschlüsselt gespeichert werden. Dafür muss ein anerkanntes Verschlüsselungsverfahren mit ausreichender Schlüssellänge gewählt worden sein.
  • Vor der Beschaffung eines Passwort-Tools sollte in Fachzeitschriften und in Internet-Foren nachgeforscht werden, ob dort Erfahrungsberichte, Tests oder sogar Beschreibungen über erfolgreiche Angriffe auf die in Frage kommenden Tools zu finden sind. Ebenso sollte dort regelmäßig nachgeprüft werden, dass bei den eingesetzten Tools keine Sicherheitslücken bekannt geworden sind.
  • Leider gab und gibt es immer wieder Tools zur Passwort-Speicherung, bei denen schwerwiegende Sicherheitsmängel festgestellt wurden. Beispielsweise wurden Master-Passwörter im Klartext im Arbeitsspeicher abgelegt oder in der Zwischenablage gespeichert. Daher sollten möglichst nur sicherheitsüberprüfte Passwort-Tools eingesetzt werden (siehe M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung ).
  • Da der Zugriff auf Passwort-Speicher-Tools sehr gut abgesichert sein muss, kann es sinnvoll sein, Produkte mit spezieller Sicherheitshardware einzusetzen. Dies können z. B. Passwort-Tools auf USB-Token oder Chipkarte sein.
  • Als Schutz vor Keyloggern kann es auch sinnvoll sein, ein Passwort-Tool einzusetzen, bei der die Passwörter über eine mausgesteuerten Bildschirm-Tastatur eingegeben werden. Diese sollte einerseits sowohl Zahlen, als auch Buchstaben und Sonderzeichen anbieten, damit möglichst vielfältige Passwörter ausgewählt werden können. Andererseits sollten die Zeichen dynamisch in der Bildschirmtastatur angezeigt werden, also die Zeichen nach jeder Eingabe an einer anderen Stelle angeordnet sein. Dies macht zwar für die Benutzer die Eingabe langsamer, erschwert aber, dass Schadsoftware anhand der Zeichenposition auf dem Bildschirm das Passwort mitlesen kann.
  • Die Eingabe des Master-Passwortes sollte schnell und einfach möglich sein. Vor allem bei Passwort-Speicher-Tools mit integrierten Eingabetasten und bei der Nutzung von Bildschirm-Tastaturen sollte das Verfahren zur Eingabe des Master-Passwortes genau geprüft werden. Wenn hier die Eingabe zu lange dauert, beispielsweise weil einzelne Zeichen umständlich ausgewählt werden müssen, kann das Master-Passwort sehr leicht ausgespäht werden und die Akzeptanz seitens der Benutzer ist gefährdet.
  • Sollte ein Passwort-Speicher-Tool mit einer externen Stromversorgung, z. B. über eine Batterie, verwendet werden, ist zu überprüfen, was nach einem Ausfall der Stromversorgung mit den Passwörtern geschieht. Eventuell sind dann zusätzliche Datensicherungen notwendig, die ebenfalls ausreichend geschützt werden müssen.

Außerdem sind beim Einsatz von Tools zur Speicherung von Passwörtern unter anderem folgende Rahmenbedingungen zu beachten:

  • Der Zugriff auf Passwort-Speicher-Tools muss selbst wieder durch eine erfolgreiche Anmeldung freigegeben werden. Auch hierfür werden im Allgemeinen Passwörter oder PINs benutzt. An deren Qualität sollten natürlich höchste Ansprüche gelegt werden. Hierfür benutzte Master-Passwörter müssen lang und abwechslungsreich sein (siehe M 2.11 Regelung des Passwortgebrauchs ).
  • Erfolglose Anmeldeversuche sollten mit einer kurzen Fehlermeldung ohne Angabe von näheren Einzelheiten abgelehnt werden. Insbesondere darf bei erfolglosen Anmeldeversuchen nicht erkennbar sein, ob der eingegebene Benutzername oder das eingegebene Passwort (oder beides) falsch ist. Nach drei aufeinander folgenden fehlerhaften Passworteingaben für dasselbe Benutzerkonto sollte das Authentisierungssystem den Zugang für das jeweilige Benutzerkonto sperren (für eine bestimmte Zeitspanne oder dauerhaft). Die Sperrung eines Benutzerkontos darf bei nachfolgenden erfolglosen Anmeldeversuchen ebenfalls nicht erkennbar sein, sondern sollte dem jeweiligen Benutzer auf separatem Weg mitgeteilt werden.
  • Noch besser ist es, bei erfolglosen Anmeldeversuchen keine Fehlermeldung, sondern eine übliche Benutzeroberfläche anzuzeigen. Wenn dann im folgenden echt aussehende, aber nutzlose Ergebnisse angezeigt werden, kann ein Angreifer nicht direkt erkennen, dass es sich bei dem angezeigten Passwort nicht um das korrekte handelt.
  • Passwort-Tools sollten möglichst nur auf vertrauenswürdigen IT-Systemen benutzt werden, also solchen IT-Systemen, die unter der eigenen Aufsicht bzw. unter der Kontrolle der eigenen Institution stehen. Dies können beispielsweise Mobiltelefone, PDAs oder spezielle Authentisierungsserver sein.
  • Externe webbasierte Dienstleistungen zur Passwort-Speicherung sollten nur dann benutzt werden, wenn die Zuverlässigkeit des Dienstleisters in einem angemessenen Verhältnis zum Schutzbedarf der Passwörter steht. In jedem Fall sollten hier nicht alle Kreditkartendaten inklusive PIN hinterlegt werden, da es schwierig ist, die Zuverlässigkeit und Sicherheit einer solchen Dienstleistung zu überprüfen.
  • Es dürfen nur auf ihre Sicherheit überprüfte und in der Institution freigegebene Passwort-Tools eingesetzt werden.

In der Institution sollten alle Mitarbeiter darauf hingewiesen werden, ob Passwort-Speicher-Tools genutzt werden dürfen. Wenn dies der Fall ist, sind die hierfür freigegebenen Tools bekannt zu geben. Es sollte dann außerdem eine Regelung geben, in der beschrieben ist, welche Arten von Passwörtern damit gespeichert werden dürfen und welche Rahmenbedingungen dabei eingehalten werden müssen.

Prüffragen:

  • Wird vor dem Einsatz eines Passwort-Speicher-Tools geprüft, ob sich der Einsatz mit dem Schutzbedarf der zu speichernden Passwörter vereinbaren lässt?

  • Bietet das ausgewählte Passwort-Speicher-Tool eine ausreichende Zugriffskontrolle und eine verschlüsselte Speicherung?

  • Falls der Einsatz von Passwort-Speicher-Tools in der Organisation genehmigt ist: Ist den Benutzern bekannt, welche Tools eingesetzt werden dürfen?

  • Falls der Einsatz von Passwort-Speicher-Tools in der Organisation genehmigt ist: Ist geregelt, welche Arten von Passwörtern mit dem Tool gespeichert werden dürfen?

Stand: 13. EL Stand 2013