Passwortmanager wie KeePass erfreuen sich in Unternehmen wachsender Beliebtheit. Mit einem Plug-in für KeePass, das die gespeicherten Kennwörter auf Datenleaks überprüft, lässt sich die Sicherheit weiter erhöhen.
Mithilfe von Passwortmanagern wie KeePass können Mitarbeiter sichere Passwörter erstellen und zentral verwalten, der Passwort-Safe generiert komplexe Kennwörter und speichert sie verschlüsselt in einer Datenbank. „Ein Master-Passwort schützt diese Daten, nur mit diesem lässt sich die Datenbank öffnen“, schreibt die NCP engineering GmbH in einem neuen Blog-Beitrag. Für jedes Konto können Nutzer einen Eintrag anlegen, der Informationen wie Benutzername, Passwort, URL und Notizen enthält.
Datenleaks: Plug-in gleicht Passwörter mit HIBP-Datenbank ab
Mit dem Plug-in „HIBP Offline Check“ kommt eine weitere wichtige Funktion hinzu. Es versetzt den Passwortmanager in die Lage, „gespeicherte Passwörter automatisch mit der Datenbank von Have I Been Pwned? (HIBP) abzugleichen“, so NCP. HIBP ist eine riesige Datenbank mit Informationen über Milliarden von Passwörtern, die in Leaks im Internet auftauchten. „Passwörter, die in einem dieser Leaks enthalten sind, sollten nicht mehr zum Einsatz kommen“, warnt NCP. Cyberangreifer hätten sie vermutlich in ihre Wörterbücher aufgenommen und könnten Accounts damit leicht knacken.
Das KeePass-Plug-in übertrage dabei nicht die Passwörter selbst, sondern nur deren Hash-Werte an HIBP. „Jeder Datensatz (und jedes Passwort) hat einen solchen einzigartigen Hash, der sich errechnen lässt“, schreibt NCP. „Aus diesem Wert lässt sich das eigentliche Passwort nicht wieder herleiten.“ Falls das Plug-in eine Übereinstimmung mit den bei HIBP bekannten Hashes findet, sollten Nutzer das zugehörige Passwort umgehend ändern. Für maximale Sicherheit lasse sich die Prüfung auch offline vornehmen. Dazu müssten Nutzer die HIBP-Datenbank mit den Hash-Werten herunterladen und in KeePass integrieren.
Die Kombination aus Passwortmanager und Offline-Leak-Check stelle eine effektive Methode dar, um die Passwort-Sicherheit in Unternehmen auf ein neues Level zu heben, resümiert NCP.
