Passwortmanager
Hilfsmittel oder Sicherheitsrisiko? Das können Passwortmanager

Mit Hilfe eines Passwortmanager kann man Passwörter verschlüsselt abspeichern – und muss sie sich nicht mehr alle merken. Doch viele Sicherheitsexperten raten von diesem Hilfsmittel ab. Eine Übersicht zu Stärken und Schwächen - und Alternativen.

,

Das Prinzip eines Passwortmanagers: Ein einzelnes Passwort schützt alle anderen Passwörter. Doch wie sicher ist das wirklich?
Das Prinzip eines Passwortmanagers: Ein einzelnes Passwort schützt alle anderen Passwörter. Doch wie sicher ist das wirklich?

Wer viele Accounts bei Plattformen im Internet hat, kennt das Problem: Für alle das gleiche Passwort zu nutzen, ist unsicher. Wird einer der Accounts gehackt, probieren die Datendiebe das gekaperte Passwort häufig auch bei anderen Plattformen aus. So kann auf vielen Konten Schaden entstehen. Darum sollten Verbraucher für jeden Account ein eigenes Passwort vergeben – was aber eine Herausforderung fürs Gedächtnis ist.

„Üblicherweise können sich Leute Passwörter schlecht merken“, sagt Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der TU Dresden. Das führt dazu, dass sie dazu tendieren, schlechte Passwörter zu nutzen, die nicht besonders sicher sind. Dass sich zum Beispiel die Zahlenfolge „123456“ als Passwort ungebrochen großer Beliebtheit erfreut, bleibt auch vielen Kriminellen nicht verborgen.

Dieses Dilemma sollen Passwortmanager lösen. In solchen Programmen speichern Nutzer ihre Passwörter verschlüsselt ab – ohne das Risiko, sie zu vergessen. Für den Zugriff auf die Passwortliste müssen sich Nutzer nur ein einziges Passwort merken – das Masterpasswort.

Angriffspunkt für Trojaner

Die Vorteile der Manager liegen auf der Hand: Man kann komplexere Passwörter wählen. Außerdem liegen sie alle an einer Stelle gespeichert. Genau darin liegt aber auch der große Nachteil, erklärt Ronald Eikenberg von der Fachzeitschrift „c’t“: „Es gibt einen Angriffspunkt, zum Beispiel für einen Trojaner.“ Sobald ein PC mit einer solchen Schadsoftware infiziert ist, könne der Trojaner unter Umständen das Masterpasswort ausspähen. Dann sind alle in der Datenbank abgespeicherten Zugangsdaten in Gefahr.

Die Manager seien ein interessantes Angriffsziel für Hacker, sagt auch Thorsten Strufe: „Dort greifen sie auf einen Schlag viele Passwörter ab.“ Im Sommer 2016 gab es zum Beispiel beim Anbieter Lastpass eine kritische Sicherheitslücke. Andererseits können die Programme dazu beitragen, dass Nutzer für ihre Dienste schwierigere Passwörter wählen. Einige der Manager nehmen ihren Nutzern das Erfinden von Passwörtern sogar ab: Sie erzeugen bei Bedarf direkt beim Anmelden auf einer neuen Plattform ein sicheres Passwort und speichern es ab.

So erstellen Sie sichere Passwörter mit Merksätzen

Ihr Masterpasswort, also den Schlüssel zum Passwort-Safe, müssen sich Anwender aber selbst ausdenken. Damit es als sicher gilt, sollte ein Passwort laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Und es sollte nicht im Wörterbuch zu finden sein. Leichte Merksätze helfen beim Erstellen. Etwa: Am Morgen stehe ich um Acht auf und putze mir meine Zähne. Daraus wird gekürzt: AMsiu8a&pmmZ.

„Es gibt eine ganze Menge einfacher Methoden, um sich komplizierte Passwörter zu merken“, sagt Strufe. Seiner Meinung nach ist das die bessere Variante, anstatt Daten einer Software anzuvertrauen.

Die Nutzung von Passwortdatenbanken ist trotzdem weit verbreitet: Laut einer Umfrage von Bitkom Research aus dem Sommer 2016 verwendet rund ein Drittel (34 Prozent) der Internetnutzer in Deutschland einen Passwort-Safe.

Offline- und Online-Passwortmanager

Die Merkhelfer gibt es in zwei Varianten: offline und online. Bei Offline-Programmen – zum Beispiel Keepass – liegen die Daten auf dem Nutzerrechner, während onlinebasierte Dienste – zum Beispiel Lastpass oder 1Password – die Datenbank mit den Passwörtern verschlüsselt auf einem Server speichern. Der Vorteil der Online-Manager: Nutzer haben recht einfachen Zugriff von allen Geräten – ob Rechner, Tablet oder Smartphone. Offline muss der Nutzer die Passwortdatei von Hand hin und her kopieren: zum Beispiel, um die Listen von Computer und Smartphone auf dem gleichen Stand zu halten.

Oft lassen sich Passwortmanager über Plugins genannte Zusatzprogramme mit dem Browser verzahnen. Damit können auf vielen Anmeldeseiten die entsprechenden Passwörter automatisch übernommen werden. Dafür müssen Anwender nur einmal ihr Masterpasswort eingeben. Das erhöht den Komfort. Andernfalls muss man das benötigte Passwort beim Login erst im Manager suchen und es von dort in die Anmeldemaske der Plattform hineinkopieren.

Auf USB-Sticks gepackt, haben Nutzer die Passwort-Datenbanken auch unterwegs dabei. Den Stick an einen beliebigen Rechner anzuschließen, hält Ronald Eikenberg aber für keine gute Idee: Es könnte sein, dass der unbekannte Computer mit Schadsoftware infiziert ist.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

Eine Alternative zum Passwortmanager gibt es in Form der klassischen Papierliste. Das sei im Prinzip ähnlich wie ein Passwortmanager, erklärt das BSI. Und es ist wesentlich sicherer, statt sie als ungesichertes Text-Dokument auf dem Computer zu speichern. Allerdings gehört dieser Passwortzettel weder an den PC-Monitor noch unter die Tastatur. Dort kann er schnell in falsche Hände geraten. Die Liste liegt besser in einem sicheren Versteck, idealerweise in einem Safe.

Für Kryptographie-Liebhaber: Passwortkarten

Eine weitere sichere Möglichkeit bieten Passwortkarten. Sie sehen aus wie eine Tabelle ohne erkennbaren Sinn. Die Spalten sind durchnummeriert, die Zeilen bilden das ABC nach. Die einzelnen Felder sind beliebig mit Zeichen gefüllt. Sogenannte Passwortkarten sind dafür gedacht, für beliebige Internet-Konten sichere Passwörter zu erstellen – und sie mit der Karte immer rekonstruieren zu können. Kostenlose Passwortkarten gibt es zum Beispiel bei der Initiative Deutschland sicher im Netz unter https://www.sicher-im-netz.de/dsin-muster-passwortkarte.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Wer viele Accounts bei Plattformen im Internet hat, kennt das Problem: Für alle das gleiche Passwort zu nutzen, ist unsicher. Wird einer der Accounts gehackt, probieren die Datendiebe das gekaperte Passwort häufig auch bei anderen Plattformen aus. So kann auf vielen Konten Schaden entstehen. Darum sollten Verbraucher für jeden Account ein eigenes Passwort vergeben - was aber eine Herausforderung fürs Gedächtnis ist. „Üblicherweise können sich Leute Passwörter schlecht merken“, sagt Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der TU Dresden. Das führt dazu, dass sie dazu tendieren, schlechte Passwörter zu nutzen, die nicht besonders sicher sind. Dass sich zum Beispiel die Zahlenfolge „123456“ als Passwort ungebrochen großer Beliebtheit erfreut, bleibt auch vielen Kriminellen nicht verborgen. Dieses Dilemma sollen Passwortmanager lösen. In solchen Programmen speichern Nutzer ihre Passwörter verschlüsselt ab - ohne das Risiko, sie zu vergessen. Für den Zugriff auf die Passwortliste müssen sich Nutzer nur ein einziges Passwort merken - das Masterpasswort. Angriffspunkt für Trojaner Die Vorteile der Manager liegen auf der Hand: Man kann komplexere Passwörter wählen. Außerdem liegen sie alle an einer Stelle gespeichert. Genau darin liegt aber auch der große Nachteil, erklärt Ronald Eikenberg von der Fachzeitschrift „c't“: „Es gibt einen Angriffspunkt, zum Beispiel für einen Trojaner.“ Sobald ein PC mit einer solchen Schadsoftware infiziert ist, könne der Trojaner unter Umständen das Masterpasswort ausspähen. Dann sind alle in der Datenbank abgespeicherten Zugangsdaten in Gefahr. Die Manager seien ein interessantes Angriffsziel für Hacker, sagt auch Thorsten Strufe: „Dort greifen sie auf einen Schlag viele Passwörter ab.“ Im Sommer 2016 gab es zum Beispiel beim Anbieter Lastpass eine kritische Sicherheitslücke. Andererseits können die Programme dazu beitragen, dass Nutzer für ihre Dienste schwierigere Passwörter wählen. Einige der Manager nehmen ihren Nutzern das Erfinden von Passwörtern sogar ab: Sie erzeugen bei Bedarf direkt beim Anmelden auf einer neuen Plattform ein sicheres Passwort und speichern es ab. So erstellen Sie sichere Passwörter mit Merksätzen Ihr Masterpasswort, also den Schlüssel zum Passwort-Safe, müssen sich Anwender aber selbst ausdenken. Damit es als sicher gilt, sollte ein Passwort laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Und es sollte nicht im Wörterbuch zu finden sein. Leichte Merksätze helfen beim Erstellen. Etwa: Am Morgen stehe ich um Acht auf und putze mir meine Zähne. Daraus wird gekürzt: AMsiu8a&pmmZ. „Es gibt eine ganze Menge einfacher Methoden, um sich komplizierte Passwörter zu merken“, sagt Strufe. Seiner Meinung nach ist das die bessere Variante, anstatt Daten einer Software anzuvertrauen. Die Nutzung von Passwortdatenbanken ist trotzdem weit verbreitet: Laut einer Umfrage von Bitkom Research aus dem Sommer 2016 verwendet rund ein Drittel (34 Prozent) der Internetnutzer in Deutschland einen Passwort-Safe. Offline- und Online-Passwortmanager Die Merkhelfer gibt es in zwei Varianten: offline und online. Bei Offline-Programmen - zum Beispiel Keepass - liegen die Daten auf dem Nutzerrechner, während onlinebasierte Dienste - zum Beispiel Lastpass oder 1Password - die Datenbank mit den Passwörtern verschlüsselt auf einem Server speichern. Der Vorteil der Online-Manager: Nutzer haben recht einfachen Zugriff von allen Geräten - ob Rechner, Tablet oder Smartphone. Offline muss der Nutzer die Passwortdatei von Hand hin und her kopieren: zum Beispiel, um die Listen von Computer und Smartphone auf dem gleichen Stand zu halten. Oft lassen sich Passwortmanager über Plugins genannte Zusatzprogramme mit dem Browser verzahnen. Damit können auf vielen Anmeldeseiten die entsprechenden Passwörter automatisch übernommen werden. Dafür müssen Anwender nur einmal ihr Masterpasswort eingeben. Das erhöht den Komfort. Andernfalls muss man das benötigte Passwort beim Login erst im Manager suchen und es von dort in die Anmeldemaske der Plattform hineinkopieren. Auf USB-Sticks gepackt, haben Nutzer die Passwort-Datenbanken auch unterwegs dabei. Den Stick an einen beliebigen Rechner anzuschließen, hält Ronald Eikenberg aber für keine gute Idee: Es könnte sein, dass der unbekannte Computer mit Schadsoftware infiziert ist. Eine Alternative zum Passwortmanager gibt es in Form der klassischen Papierliste. Das sei im Prinzip ähnlich wie ein Passwortmanager, erklärt das BSI. Und es ist wesentlich sicherer, statt sie als ungesichertes Text-Dokument auf dem Computer zu speichern. Allerdings gehört dieser Passwortzettel weder an den PC-Monitor noch unter die Tastatur. Dort kann er schnell in falsche Hände geraten. Die Liste liegt besser in einem sicheren Versteck, idealerweise in einem Safe. Für Kryptographie-Liebhaber: Passwortkarten Eine weitere sichere Möglichkeit bieten Passwortkarten. Sie sehen aus wie eine Tabelle ohne erkennbaren Sinn. Die Spalten sind durchnummeriert, die Zeilen bilden das ABC nach. Die einzelnen Felder sind beliebig mit Zeichen gefüllt. Sogenannte Passwortkarten sind dafür gedacht, für beliebige Internet-Konten sichere Passwörter zu erstellen - und sie mit der Karte immer rekonstruieren zu können. Kostenlose Passwortkarten gibt es zum Beispiel bei der Initiative Deutschland sicher im Netz unter https://www.sicher-im-netz.de/dsin-muster-passwortkarte.