Am letzten World Password Day veröffentlichten wir einen Artikel, der über fünf häufige Fehler im Umgang mit Passwörtern aufklärte. Obwohl der Passwortschutz einen Eckpfeiler unserer digitalen Existenz darstellt, macht man sich oft zu wenig Gedanken darüber. Nichts zeigt uns das deutlicher als die jährlich zusammengestellten Listen der am häufigsten benutzten Passwörter. Dazu gehören seit langem simpelste Passwörter wie „12345“ und „Passwort“ die keinerlei Schutz bieten.
Die Vorliebe für schwache Passwörter lässt sich teilweise darauf zurückführen, dass viele eine Unmenge verschiedener Dienste verwenden. Sofern diese Services nicht mit dem Facebook- oder dem Google-Account verknüpft werden, muss man für jeden Dienst ein neues Konto erstellen und dieses mit einem Passwort sichern. Sichere Passwörter sind komplex und oft nur schwer zu merken, also verwenden viele einfache Kennwörter und oft ein und dasselbe für mehrere Accounts – den Hacker freut’s.
Funktionsweise eines Passwort-Managers
An dieser Stelle kommt der Passwort-Manager ins Spiel. Die Anwendung wurde speziell dafür entwickelt, verschiedene komplexe Anmeldedaten in einer verschlüsselten Datenbank aufzubewahren – wie in einem Tresor. Der Passwort-Manager übernimmt das Generieren und Speichern von Kennwörtern und das automatische Ausfüllen von Passwort-Feldern. Dieser „digitale Safe“ stellt eine effektive Lösung dar, einzigartige und sichere Passwörter für jedes Online-Konto zu haben. Der User muss sich nur noch das eine Master-Passwort merken, um die Datenbank mit den gespeicherten Passwörtern freizugeben.
Die unterschiedlichen Arten von Passwort-Managern
Cloud-basierte Passwort-Manager
Die gängigsten Passwort-Manager gibt es als Cloud-Anwendung, auf die via Browser zugegriffen wird. Unabhängig von der Wahl des Managers gilt: Ein starkes Master-Passwort ist Pflicht. Denn das schützt letztendlich alle anderen gespeicherten Kennwörter. Bei dessen Erstellung sollte man also sehr bedacht vorgehen. Bei Cloud-basierten Passwort-Managern ist das Master-Kennwort teil des Online-Accounts beim Passwort-Manager Anbieter.
Von hier an übernimmt dann der Manager. Den „digitalen Tresor“ füllt man mit allen bereits vorhandenen Anmeldedaten der verschiedenen Online-Accounts. Wenn der User sich bei einem neuen Dienst registriert, kann dieser selbst eine starke Passphrase wählen oder es vom Passwort-Manager generieren lassen. Möchte man sich bei einem Online-Dienst einloggen, wählt der Manager die Anmelde-Daten aus und meldet den User an – ganz automatisch.
Lokale Passwort-Manager
Wer seine Passwörter nicht in der Cloud liegen haben möchte, kann auf lokale Lösungen zurückgreifen. Bei dieser Art von Passwort-Manager liegt die Passwort-Datenbank im verwendeten Gerät. Wer sich für diese Variante entscheidet, kann aus einer Reihe von Open-Source-Anbietern wählen. Funktional stehen sie den Cloud-Anbieter nicht nach – Ästhetiker müssen eventuell Abstriche beim Design in Kauf nehmen.
Viele seriöse Anti-Malware Security Anbieter integrieren Passwort-Manager in ihre Sicherheitslösungen und unterstützen die User damit im Alltag.
Vor- und Nachteile von Passwort-Managern
Den Usern steht eine Reihe von Passwort-Managern zur Auswahl, wobei die Cloud-basierten Anbieter zu den beliebtesten gehören. Ein Vorteil ist die Verfügbarkeit der Passwörter über alle Geräte hinweg. Viele populäre Services (1Password, Dashlane, LastPass usw.) bieten ihre Funktion auch für mobile Endgeräte an. Die Verwendung mehrere Geräte gleichzeitig stellt kein Problem dar, da die Passwort-Datenbank stets über alle Geräte hinweg synchronisiert wird. Für Desktop-Varianten muss dazu meist ein Plug-in im Browser aktiviert werden.
Nicht alle Feature stehen in den oft kostenfrei angebotenen Versionen zur Verfügung. Meistens bieten die Passwort-Manager-Anbieter unterschiedliche Abo-Modelle an. Allgemein gilt, je höherpreisig desto mehr Features, Einstellungen und Sicherheitsfunktionen stehen dem User parat.
Insgesamt erweisen sich die Passwort-Manger als sehr praktisch für den Alltag. Allerdings hat das Ganze auch einen Haken. Die Achilles-Ferse ist das Master-Kennwort. In der Vergangenheit fanden sich außerdem Sicherheitslücken in einigen beliebten Passwort-Managern wieder. Laut Sicherheitsforschern waren einige Android-Varianten anfällig für Phishing-Angriffe, bei anderen konnte man die Master-PIN endlos oft eingeben.
Da die Daten auf einem Server liegen, sollte man bedenken, dass Cyberkriminelle mit Hilfe von erfolgreichen Hacks darauf massenhaften Zugriff erhalten könnten. In diesem Fall ist man auf die Verschlüsselung des Cloud-Anbieters angewiesen sowie auf die Stärke des eigens festgelegten Master-Passworts. Letztendlich stellt das das Tor zum digitalen Leben dar.
Wie bei jedem Dienst sollte man sich vorher mittels Cyber Security Blogs und unabhängigen Tests über die Zuverlässigkeit oder etwaige kürzlich bekannt gewordene Sicherheitslücken informieren – genauso wie über die zum Schutz der Passwörter erhobenen Sicherheitsmaßnahmen des Anbieters.
Auch lokal installierte Open-Source Passwort-Manager bieten ihre Vorteile. Einige sind ebenso in der Lage, sehr sichere Passwörter zu generieren. KeePass bietet beispielsweise die Möglichkeit, direkt vom USB-Stick zu laufen. Mit Hilfe solcher Open-Source-Apps kann man auch nach professionellen Security Audits der Core Encryption und Security Function Code suchen.
Ein Feature, was sich bei lokalen Passwort-Managern zunächst als scheinbar nachteilig erweist, kann jedoch die Sicherheit tatsächlich erhöhen. Da die Daten meist lokal auf einem Gerät liegen und nicht mit andere Geräten synchronisiert sind, wird Cyberkriminellen der Zugang zu Anmeldedaten erschwert. Diese müssten dann speziell ein Gerät ins Visier nehmen.
Eine Möglichkeit, um an die Daten zu gelangen, gelingt mithilfe von Keyloggern. Dagegen schützen aber solide und zuverlässige Anti-Malware Security Lösungen mit on-board Passwort-Managern.
Ein großer Nachteil bei lokalen Lösungen stellt der Verlust des Geräts dar. Geht das Gerät mit der lokalen Passwortdatenbank verloren, sind auch alle Passwörter weg. Deshalb empfiehlt sich immer ein Datenbank-Backup an einem sicheren Ort aufzubewahren. Bei Cloud-basierten Lösungen ist der Verlust nicht ganz so problematisch, da auf die Kennwörter jederzeit mithilfe anderer Geräte zugegriffen werden kann.
Abschließende Gedanken
Wenn es um das digitale Leben geht, dürften viele das gleiche Sicherheitsbedürfnis haben. Jeder sollte sich im Klaren sein, welchen Anforderungen die dargebotenen Optionen am ehesten nachkommen. Bei der Wahl des richtigen Passwort-Managers sollten die folgenden drei Fragen beantwortet werden können:
- Wie speichert der Passwort-Manager die Anmeldedaten?
- Wenn etwas mit dem Endgerät passiert, sind die Passwörter wiederherzustellen?
- Existieren zusätzliche aktivierbare Sicherheitsoptionen, die einen höheren Schutz gewährleisten?
Die Wahl des richtigen Passwort-Managers ist nicht leicht. Dieser Artikel soll aber dazu beitragen, die häufigsten vorkommenden Fehler zu vermeiden. Neben einen sehr starken Master-Passwort raten wir zu einen zusätzlichen Authentifizierungsfaktor wie beispielsweise der Zwei-Faktor-Authentifizierung bei Online Accounts, die sich auch mit einigen Passwort-Managern verknüpfen lässt.