Zwei Passwort-Manager, Dashlane und Lastpass, haben diese Woche die gleiche neue Funktion eingeführt, nämlich automatische Passwortwechsel. Dashlane unterstützt im Augenblick 78 Sites, auf denen sein System funktioniert. Lastpass kann auf 75 Websites das Anwenderpasswort automatisch wechseln.
Beide erstellen Skripte für die jeweilige Website – beispielsweise Webmail-Clients, Shopping-Angebote oder Soziale Netze. So können sie HTTPS-Verbindungen automatisieren und die Felder, die sonst ein Anwender ausfüllen müsste, selbsttätig ergänzen. Gibt es dort Captcha-Abfragen, die eigentlich sicherstellen sollen, dass nur Menschen den Passwortwechsel vornehmen können, müssen sie diese natürlich auch beantworten.
Dashlane zeigt dabei die tatsächliche Verbindung zur jeweiligen Site nicht an, sondern informiert den Nutzer nur durch eine Fortschrittsanzeige. Falls Nutzereingaben nötig sind, erscheint eine Dialogbox. Es verspricht auf seiner Homepage, Passwortwechsel auf 80 Websites binnen 60 Sekunden durchführen zu können.
Lastpass verfolgt einen anderen Ansatz: Es öffnet einen neuen Browser-Tab, und der Nutzer kann die komplette Wechselaktion selbst verfolgen. Dem Anbieter zufolge wird so sichergestellt, dass unverschlüsselte Passwörter das System des Nutzers nie verlassen. Das allerdings scheint auch bei Dashlane nicht der Fall zu sein.
Eine solche Funktion ist im Zusammenhang mit Sicherheitslücken wie dem Heartbleed-Bug, aber auch Passwortdiebstählen bei Online-Diensten von besonderem Interesse. Solche Vorkommnisse machen zwar eigentlich einen dringenden Passwortwechsel erforderlich, sobald die Lücke behoben ist, die meisten Anwender führen ihn aber aus Trägheit oder Unkenntnis nicht oder nur mit großer Verzögerung durch.
Eleganter und weniger Einschränkungen unterworfen als ein seitenweises Scripting wäre ein Webstandard für Passwortwechsel. Dazu müsste ein Unternehmen oder Konsortium eine Programmierschnittstelle entwerfen, sie erst einmal selbst implementieren, andere vom Einsatz überzeugen und sie einem Gremium wie dem W3C zur Standardisierung vorlegen. Da ein solcher Standard nicht existiert, dürfte Scripting derzeit der einzige gangbare Weg für automatisierte Wechsel sein – auch wenn es wie ein Hack wirkt.
Passwortmanager wie die genannten oder auch das gerade von Intel aufgekaufte PasswordBox gelten als Antwort auf das Problem, dass viele Anwender schwache Passwörter verwenden, weil sie sich starke Passwörter nicht merken können – oder zumindest nicht in ausreichender Zahl für alle Websites, bei denen sie registriert sind. Allerdings stellt eine zentrale Passwortsammlung mit einem einzelnen Masterpasswort ein umso lohnenderes Ziel für Kriminelle dar. Insbesondere die Synchronisierung über öffentliche Netze scheint nicht ohne Risiko. Sie ist aber eine Vorbedingung, will der Anwender auf seine Dienste nicht nur von einem Gerät aus zugreifen.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…