Ein sicheres Passwort für Internet-Accounts ist das beste Mittel gegen Datenklau. Trotzdem neigen heutzutage noch viele Menschen dazu, einfache Passwörter zu verwenden, an die sich zwar einfach erinnert werden kann, die jedoch auch ebenso leicht zu knacken sind. Ein Passwort-Manager kann diesem Problem Abhilfe schaffen.
Ein Passwortmanager – Was ist das?
Wer viel Zeit im Internet verbringt – egal ob privat oder beruflich – muss sich im Laufe der Zeit eine große Anzahl an Passwörtern überlegen: Manche Seiten verlangen Sonderzeichen, andere Zahlen, andere eine Kombination aus Buchstaben und Zahlen… Um den Überblick zu wahren, neigen einige User deshalb dazu, für unterschiedliche Seiten dasselbe oder besonders einfache Passwörter (wie z.B. „1234“) zu verwenden, wie eine Studie des Hasso-Plattner-Instituts beweist. Dies stellt jedoch ein signifikantes Sicherheitsrisiko dar, denn wird ein Passwort geknackt, so sind gleich mehrere Accounts betroffen.
Ein Passwort-Manager funktioniert nun ganz ähnlich wie ein Bankschließfach, in dem wichtige Dokumente (in diesem Fall Passwörter) abgelegt werden können. Meldet sich ein User bei einer neuen Seite an und erstellt für diese ein neues Passwort, wird dieses von den meisten Passwort-Managern automatisch im Passwort-Manager gespeichert. Will sich der User in Zukunft auf der entsprechenden Seite anmelden, so kann er das Passwort verschlüsselt aus dem Manager kopieren und einfügen. Ganz ähnlich wie ein Schließfach einen Schlüssel benötigt, um den Zugriff auf die Inhalte zu ermöglichen, benötigt auch der Passwort-Manager einen Schlüssel und zwar in Form eines Master-Passworts. Zusätzlich können mit den meisten Passwort-Managern auch automatisch generierte Passwörter erzeugt und für Accounts verwendet werden, die durch ihre Zufälligkeit besonders sicher sind.
Was für Angebote gibt es und wo liegen die Vor- und Nachteile?
Es existieren zahlreiche unterschiedliche Angebote für Passwort-Manager, die mit unterschiedlichen Funktionen, Preismodellen usw. aufwarten. Einen guten Vergleich über die Angebote liefert etwa die Seite Software Experte, die die laut Stiftung Warentest am besten bewerteten Account-Manager vergleicht. Grundsätzlich lässt sich zwischen Online- und Offline-Managern unterscheiden. Der Unterschied liegt darin begründet, wo die Passwörter des Users gespeichert werden: Bei einem Online-Passwort-Manager (z.B. LastPass oder Sticky Password) werden die Daten auf einem betriebseigenen Server oder einer Cloud gespeichert, ein Offline-Passwort-Manager (z.B. KeePassX) speichert sie auf dem Computer des Users. Beide Modelle bieten Vor- und Nachteile. So geraten bspw. die Clouds von größeren Firmen schneller in das Visier von Hackern als der Heimcomputer, dafür hinterlassen Offline-Passwort-Manager allerdings auf dem Heimcomputer auch digitale Spuren im Zwischenspeicher, die von Experten ausgelesen werden können. Welche Art von Passwortmanagern also zu bevorzugen ist, hängt also letztlich vom Nutzer und seinen individuellen Vorlieben und Bedürfnissen ab.
Schritt für Schritt zum Passwortmanager
Zunächst ist es wichtig, dass beim Download eines Passwort-Managers die Nutzungsbedingungen sorgfältig gelesen werden. In den Nutzungsbedingungen findet man etwa Informationen über das Bezahlmodell. Das ist wichtig, um unliebsame Überraschungen – etwa zusätzliche Kosten – zu vermeiden. Anschließend muss ein sicheres Master-Passwort gewählt werden. Das BEE SECURE PWD-Test-Tool kann darüber hinaus benutzt werden, um die Sicherheit des Passwortes zu überprüfen. Nun können die verschiedenen Accounts des Users zusammengeführt und mithilfe des Master-Passworts übergreifend gesichert werden. Zuletzt ist es wichtig, die sogenannte Zwei-Faktor-Authentifizierung (engl., 2-Factor Authentication (2FA)) beim Passwort-Manager zu aktivieren. Eine 2FA ist eine Authentifizierungsmethode, die aus zwei Komponenten besteht; nur, wenn beide Komponenten erfüllt sind, ist der Zugriff möglich. Beispielsweise geschieht dies im alltäglichen Leben bei einem Log-In in viele Online-Banking-Dienste, bei der zuerst mit einem Passwort der Zugang zur Bank ermöglicht wird und anschließend mit einer TAN (die meisten getrennt per Toke, SMS, o.ä. verschickt wird) noch einmal der zweite Sicherheitsfaktor bestätigt wird. Ein großer Vorteil des 2FA ist die Tatsache, dass bei der Kompromittierung eines Faktors (z.B. wenn der Heimrechner von Viren befallen ist), nicht automatisch auch der andere Faktor betroffen ist. Grundsätzlich sollten Nutzer sowieso bei allen wichtigen Konten (Soziale Netzwerke, Online Shopping, Online Banking, usw.) diese zweite Schutzbarriere einrichten.
Zum Thema Passwortsicherheit lohnt sich auch ein Besuch der Seite haveibeenpwned, auf der sich kostenlos und schnell nachvollziehen lässt, ob ein Passwort/Account gehackt worden ist. Auch empfehlenswert ist das Data-Breach-Sheet von Tactical Technology, dass viele weiterführende Informationen zum Thema Passwortsicherheit bietet.
Weiterführende Links: