Heute am World Wide Web Day feiern wir die Errungenschaften des Internets und die Rolle, die es in unserem täglichen Leben spielt. Immer mehr Aktivitäten – privat wie geschäftlich – verlagern sich zunehmend auf Online-Dienste. Genau deshalb ist es wichtig, sich über die Sicherheit unserer Online-Aktivitäten Gedanken zu machen.

Zur Absicherung dieser Aktivitäten benötigen wir immer mehr (sichere) Passwörter. Laut einer Untersuchung zum World Password Day 2017 verfügte damals jede in Deutschland lebende Person bereits über 78 Online-Konten – inzwischen sind es deutlich mehr.

Bereits in einem früheren Blogbeitrag haben wir uns damit beschäftigt, was ein sicheres Passwort eigentlich ausmacht: Passwortsicherheit.

Nun kann sich niemand über 100 Passwörter merken – wie gehen die Menschen also damit um?

1. Sie schreiben die Passwörter auf (vielleicht sogar ein Klebezettel am Monitor?)
2. Sie speichern sie in einer Datei
3. Sie speichern sie im Browser
4. Sie verwenden für mehrere Accounts das gleiche Passwort (und merken sich nur dieses)
5. Sie verwenden einen Passwortmanager
6. Sie benutzen unsichere Passwörter, die man sich leicht merken kann

Bspw. ist Variante 4 deshalb besonders unsicher, weil mit dem Hacken der Passwortdatenbank eines Services sofort alle Accounts unsicher werden.

Noch zu wenige Internetnutzende wissen, was ein Passwortmanager ist – und noch weniger verwenden einen.

Was ist nun ein Passwortmanager?

Ein Passwortmanager ist eine Software, mit der Nutzende Zugangsdaten und Passwörter verschlüsselt speichern, verwalten und verwenden können.

Man verfügt somit über eine zentrale Passwortverwaltung an einem Ort. Die Zugangsdaten können thematisch gruppiert (z. B. in einer Baumstruktur) – und neben Login-Name und Passwort auch die Zugangs-URL sowie weitere Daten (z. B. IBAN) zum Konto abgelegt werden. Damit können Zugänge vor unberechtigtem Zugriff geschützt und gleichzeitig bequem genutzt werden. Handgeschriebene Notizen und ungeschützte Text-Dateien gehören somit der Vergangenheit an.

Auch weitere vertrauliche Daten wie bspw. Daten des Personalausweises, Gesundheitsdaten, sichere Notizen sowie SSH-Schlüssel können gespeichert werden.

Einige Passwortmanager sind auch imstande, sichere Passwörter zu erzeugen, die dabei auf die Anforderungen des betreffenden Online-Dienstes eingehen (z. B. mindestens ein Groß- und Kleinbuchstabe, eine Ziffer und ein Sonderzeichen). Zusätzlich können sie auch die Sicherheit bestehender Passwörter bewerten.

Mit der „Auto-Ausfüllen“-Option wird es noch einfacher. Dort kann das automatische Ausfüllen von Login-Name und Passwort im Webformular konfiguriert werden. Eine Alternative sind Browser-Add-ons, die sich die Daten über einen lokalen Port von Passwortmanagern holen.

Der Zugang zum Passwortmanager erfolgt standardmäßig mit einem „Masterpasswort“. Dieses verschlüsselt die interne Datenbank des Passwortmanagers, weshalb dieses Passwort auch als besonders schützenswert gilt. Es wird daher empfohlen, ein besonders starkes Passwort dafür zu wählen.

Der Zugang kann zusätzlich abgesichert werden durch:

• Masterpasswort + Schlüsseldatei
• Hardware (FIDO-Key)
• Fingerabdruck-Scanner

Einige Passwortmanager sind auch in der Lage, Einmalpasswörter (One Time Passwords; OTP) zu erzeugen, was einen weiteren Vorteil bietet. Man spart sich dadurch die zusätzliche Verwendung von Smartphone-Apps. Einmalpasswörter sind nur eine gewisse Zeitspanne gültig (meist 30 Sekunden) – und werden üblicherweise über einen Hardware-Token oder einen Authenticator-Client (z. B. Google Authenticator oder Microsoft Authenticator) erzeugt.

Es gibt verschiedene Arten von Passwortmanagern, darunter sowohl kostenpflichtige als auch kostenlose Optionen sowie Open-Source- und nicht Open-Source-Lösungen.

Kostenpflichtige Passwortmanager:

• LastPass (nicht Open Source)
• 1Password (nicht Open Source)
• Dashlane (nicht Open Source)
• Bitwarden (Open Source)

Kostenlose Passwortmanager:

• Passwortmanager der Browser (nicht Open Source)
• Smartphone Apps (z.B. Google Password Manager für Android; iCloud Keychain für iOS) (nicht Open Source)
• KeePass sowie seine Derivate (z.B. KeePassXC) (Open Source)
• Passbolt (Open Source)
• Psono (self-hosted) (Open Source)
• Teampass (Open Source)

Da die Passwörter in einer verschlüsselten Datei gespeichert werden (für KeePass bspw. im KDBX-Format), können Nutzende diese durch Kopieren der Datei auch schnell auf einen neuen Rechner oder ein neues Smartphone umziehen.

Möchte man Passwörter über mehrere Geräte hinweg verwenden (z. B. PC, Smartphone, Tablet), besteht die Möglichkeit, die Passwortdateien entweder über den Anbieter zu synchronisieren oder man kümmert sich selbst um die Synchronisierung (z. B. über Cloud-Dienste). Für einen Austausch der Daten ist der Export und Import mit verschiedenen Formaten wichtig.

Hat die Verwendung eines Passwortmanagers auch Nachteile?

Die anfängliche Einrichtung eines Passwortmanagers kann für Nutzende eine gewisse Hürde darstellen. Es ist erforderlich, den Passwortmanager einmalig zu installieren und sich mit seiner Funktionsweise vertraut zu machen. Darüber hinaus müssen die individuellen Accounts im Passwortmanager eingerichtet werden. Bei Bedarf muss man sich auch um die Beschaffung der Secrets für die Erzeugung von Einmalpasswörtern bemühen. Wer Browser-Add-ons verwenden möchte, hat diese ebenso selbstständig einrichten. Es ist außerdem ratsam, den integrierten Passwortmanager des Browsers zu deaktivieren, sofern dieser zuvor aktiv war.

Neben dieser Einstiegshürde ergeben sich vor allem zwei Problemfälle:

• Das Masterpasswort (und/oder die Schlüsseldatei oder der Hardware-Key) geht verloren. Hier muss man entweder die verlorenen Elemente wiederbeschaffen oder die Passwortdatei neu aufbauen.
• Der Datenträger mit der Passwortdatenbank ist defekt. Aus diesem Grund sollte man immer ein Backup-Konzept haben (und es auch leben). Anderenfalls ist auch hier die Passwortdatei neu aufzubauen.

Fazit

Der vergleichsweise geringe Aufwand für die Einrichtung eines Passwortmanagers lohnt sich definitiv. Nutzende erhalten eine gute Übersicht ihrer Zugänge sowie ein komfortables Tool zur Verwaltung der Zugangsdaten. Darüber hinaus animieren Passwortmanager zur Erzeugung starker sowie pro Service unterschiedlicher Passwörter und erhöhen dadurch die Passwortsicherheit. Vor allem für einen sicheren Umgang im Internet sind Passwortmanager für viele heute unverzichtbar geworden.