Fundstück: das Passwortbuch
Ein Kurzbeitrag für die Awareness:
Ist ein Buch als Passwortspeicher eine gute Idee? Meine Meinung: Bitte nicht nachmachen!!!
Doch eher ein Security-Albtraum? Ja, zumindest für mich!
Worum geht es?
In einem sozialen Medien wurde mir eine Werbeanzeige für ein Passwortbuch angezeigt. Aufhänger ist ein gesperrtes Konto, was mit dem Passwortbuch nach Aussage der Anzeige so nicht passiert wäre.
Zugegeben, besser als irgendwelche PostIts am Bildschirm, oder anderen „Zettelchen“ direkt im Umfeld des Arbeitsplatzes ist das Passwortbuch schon, aber der große Wurf ist es nicht.
Aber warum?
Warum ein Passwortmanager aus meiner Sicht besser ist:
- Geschickt eingerichtet, ist der Passwortmanager ortsunabhängig über mehrere Endgeräte verfügbar.
- Der Passwortmanager ist separat abgesichert und im Idealfall bedarf es sogar eines zweiten Faktors.
- Passwörter sollten bei Bedarf änderbar sein – im Passwortmanager kein Problem, ganz ohne Korrekturroller.
Warum habe ich Bauchschmerzen, wenn ich an das Passwortbuch denke?
- Diebstahl? Ohne „Verschlüsselung“ kann der Finder, Dieb – wer auch immer – alle Passwörter direkt und ohne Umwege nutzen und die Accounts sind dem Angreifer schutzlos ausgeliefert. Die eigene (digitale) Identität auf dem Silbertablett.
- Verlust? Die Passwörter sind bei Verlust einfach weg. Kein Backup, kein Mitleid… Wer also sicher unterwegs sein will, sollte bitte zukünftig zumindest 2 Passwortbücher synchron pflegen!
Gibt es denn „sinnvolle“ Anwendungsgebiete?
Im Unternehmen bin ich ein Freund von „Break-The-Glass“-Accounts, also Notfallzugänge, falls mit den regulären Zugängen etwas nicht stimmt. Diese Zugänge könnten unabhängig vom Passwortmanager – falls der Zugriff hierauf ebenfalls nicht mehr möglich ist – in einem solchen Buch dokumentiert werden. Diese Dokumentation gehört dann in den Safe und wird nur angefasst, falls Änderungen notwendig sind, oder der „Anwendungsfall“ eintritt. Ich würde hier allerdings trotzdem eine Offline-Sicherung des Passwortmanagers oder ein PDF-Export vorziehen.
Im Unternehmen sollte der sichere Umgang mit Passwörtern geregelt und geschult werden. Denken Sie daher an regelmäßige Datenschutz- und Awareness-Sensibilisierungen Ihrer Mitarbeiter.
Wie eine solche Schulung aussehen kann, bespreche ich gerne mit Ihnen persönlich.
Nehmen Sie gerne Kontakt mit mir auf!