Manage deine Passwörter!
Passwörter oder Kennwörter verfolgen uns heutzutage überall. Social Media, Online Banking, Shoppen im Internet, jeder Dienst verbirgt sich hinter einem Sicherheitssystem. Rein kommst du nur, wenn Benutzername und Passwort stimmen. Und das ist gut so, sind doch in vielen Fällen sensible Daten im Spiel, von denen keiner will, dass sie in falsche Hände geraten.
Und wie gestalte ich mein Passwort?
Um ein sicheres Passwort zu erstellen, gibt es eine Unzahl an Kriterien und Richtlinien. Dass es nicht mit dem Benutzernamen identisch sein sollte, versteht sich von selbst. Auch tatsächliche Wörter scheiden aus, da es für Hacker ein Leichtes ist, mittels automatischer Programme ganze Wörterbücher durchzuprobieren. Selbst eine Kombination mit Zahlen macht solche Kennwörter nicht wesentlich sicherer. Ob es nun »Schwertfisch« oder »Schwertfisch123« lautet, macht bei sogenannten »Brute-Force«-Angriffen keinen großen Unterschied mehr.
Ein sicheres Passwort besteht im Idealfall aus einer zufällig zusammengewürfelten Kombination aus Ziffern, Buchstaben und Sonderzeichen. Ein Konstrukt wie »a#82B?z4&« würde diese Anforderung erfüllen, allenfalls über die Länge ließe sich diskutieren. Prinzipiell gilt: je länger, desto sicherer.
In der Realität ist es aber mit einem einzelnen Passwort nicht getan. Bei jedem Dienst und jedem Service, den du nutzen willst, solltest du ein Neues verwenden. Denn falls Unbefugte oder Kriminelle es doch irgendwie schaffen, es zu stehlen oder zu erraten, stehen ihnen alle Logins offen, bei denen du es nutzt. Mehrere Passwörter minimieren also den potentiellen Schaden, falls es tatsächlich zum Schlimmsten kommen sollte.
Aber wer soll sich das merken?
Die Antwort ist leicht: dein Passwort-Manager.
Ein Passwort-Manager ist ein Programm, das deine Zugangsdaten in einer Datenbank speichert. In vielen Fällen bieten sie auch einen Generator, der per Knopfdruck sichere Passworte in beliebiger Länge erstellt. Wenn du dich nun irgendwo einloggen willst, weiß das Programm, welcher Benutzername und welches Kennwort nötig sind. Die meisten können sogar die entsprechenden Login-Felder für dich ausfüllen, sodass du nur mehr auf »Anmelden« klicken musst.
Aber ist das denn sicher? Immerhin heißt es doch, man solle keine Passwörter irgendwo notieren. Sie in der Datenbank des Passwort-Managers zu speichern ist doch genau das Gleiche, nur eben in elektronischer Form, oder nicht?
Nicht ganz. Denn jeder Passwort-Manager verfügt über Verschlüsselungsmechanismen. Damit sind nicht nur die Kennwörter sicher, sondern auch die Benutzernamen sowie die Information, für welches Konto sie gelten. Was du brauchst, ist ein besonders starkes Master-Kennwort, mit dem die Ver- und Entschlüsselung der Daten erfolgt. Für die Generierung dieses Kennworts gelten natürlich die Punkte, die zuvor gesagt wurden. Statt unzähliger verschiedener Passwörter musst du dir also nur mehr dieses eine merken und sicher verwahren.
Aber sind wir damit nicht wieder an dem Punkt, dass Kriminelle nur ein einzelnes Passwort stehlen müssen, um Zugriff auf all meine Logins zu haben?
Würden wir uns nur auf ein Master-Passwort beschränken, dann ja. Aber sichere Passwort-Manager setzen auf eine Zwei-Faktor-Authentisierung. Eine der beiden Komponenten ist eben das Master-Passwort. Als zweite kann beispielsweise eine Schlüsseldatei zum Einsatz kommen. Diese liegt auf einem physischen Speicher wie etwa einem USB-Stick. Der muss an dem Rechner, von dem aus du einen Dienst nutzen willst, angesteckt sein. Eine andere Variante ist die Nutzung deines Smartphones oder anderen mobilen Geräts. Sobald du an deinem PC das Master-Passwort eingegeben hast, musst du die Eingabe zusätzlich auch dort bestätigen.
Grundsätzlich gilt: Fehlt eine der beiden Komponenten, dann verweigert der Passwort-Manager den Dienst.
Und wo ist die Datenbank des Passwort-Managers gespeichert?
Kurze Antwort: Wo du willst.
Lange Antwort: Es hängt von dem System ab, das du wählst.
Es gibt Passwort-Manager, die du lokal installierst, und bei denen auch die Datenbank lokal bei dir gespeichert ist. Damit hast du die volle Kontrolle über das System, aber auch die Verantwortung. Eine regelmäßige Sicherung ist unbedingt nötig, andernfalls verlierst du bei einer Beschädigung der Datenbank alle Zugangsdaten, die darin gespeichert sind. Da es sich aber normalerweise um eine einzelne Datei handelt, ist das Sichern keine große Sache.
Gleichzeitig lässt sich die Datenbank dadurch auch sehr leicht von einem Computer auf einen anderen übertragen. Dies kann etwa dann nötig sein, wenn du ein neues Gerät bekommst oder deine Services an mehreren PCs nutzen willst. An dieser Stelle sei nochmals auf die Zwei-Faktor-Authentifizierung hingewiesen. Wer nicht über dein Master-Passwort und über die Schlüsseldatei verfügt, kann mit deiner Passwort-Datenbank nichts anfangen, unabhängig davon, wo sie liegt.
Andere Passwort-Manager funktionieren als Online-Dienste. Das bisher Beschriebene trifft auch auf diese Varianten zu, jedoch liegt in diesem Fall die Datenbank nicht auf einem lokalen Rechner, sondern auf einem Server oder in einer Cloud. Der Vorteil ist, dass das Übertragen der Datenbank entfällt, falls du einen anderen Rechner verwenden willst. Bei externen Anbietern musst du dich auch nicht mehr selbst um die Sicherung der Datenbank kümmern.
Dabei ist wichtig, dass auch bei Passwort-Managern, die als Online-Dienst funktionieren, das Verschlüsseln und Entschlüsseln der Passwörter lokal passiert. Somit hat der Anbieter keinen Zugriff auf die unverschlüsselten Daten.
Und wie funktioniert es jetzt eigentlich?
Sobald du dich für einen Passwort-Manager entschieden hast, speicherst du alle gewünschten Logins im System deiner Wahl. Dies kannst du natürlich auch manuell erledigen, doch in den meisten Fällen gibt es auch verschiedene Browser-Plugins. Die sorgt dafür, dass deine Zugangsdaten beim nächsten Mal, wenn du dich bei einem Service anmeldest, in die Datenbank übertragen werden.
Auch für die Verwendung deiner Zugangsdaten gibt es verschiedene Varianten. So besteht, z. B. bei KeePass, die Möglichkeit, die Daten erst in die Zwischenablage zu übertragen und danach manuell in die entsprechenden Felder einzufügen. Viel bequemer ist es jedoch, ebenfalls per Plugin, die Eintragung automatisch erledigen zu lassen.
Aber brauche ich denn wirklich einen Passwort-Manager? Mein Browser fragt mich doch auch immer, ob ich die Zugangsdaten speichern will.
Das ist zwar richtig, jedoch erfolgt die Speicherung im Browser meist unverschlüsselt. Besser ist es daher, auf ein System zu setzen, das auf moderne und sichere Techniken setzt.
Darüber hinaus gibt es auch Apps, mit deren Hilfe du die im Passwort-Manager gespeicherten Daten auch auf deinen mobilen Geräten nutzen kannst. Diesen Komfort würde dir die Nutzung der (unsicheren) Speicherung im Browser nicht bieten.
Ein sicherer und zuverlässiger Passwort-Manager ist ein unverzichtbarer Begleiter für uns Menschen des digitalen Zeitalters.
Und was für Passwort-Manager-Anbieter gibt es?
Jede Menge. Stellvertretend seien hier einige genannt.
Keepas
KeePass ist ein lokal zu installierender freier Passwort-Manager (GNU General Public License), der für Windows, Linux oder Mac erhältlich ist. Er unterstützt verschiedene Verschlüsselungsverfahren wie AES-256, ChaCha20 oder Twofish zu verwenden. Per Plug-In sind verschiedene Erweiterungen möglich. Als Open Source Projekt unterliegt Quellcode des Passwort-Managers einer ständigen Verbesserung und Kontrolle durch eine motivierte Community.
Passbolt
Speziell zur Nutzung durch Teams ist passbolt gedacht. Da es bisweilen vorkommt, dass mehrere Menschen sich den Zugang zu einem oder mehreren Systemen teilen müssen, ermöglicht dieser Passwort-Manager das Teilen der notwendigen Kennwörter. Die Datenbank wird dabei auf einem eigens einzurichtenden Server gehalten, auf den das Team Zugriff haben muss. Trotzdem ist natürlich auch die Nutzung durch Einzelpersonen möglich. Wie KeePass ist auch passbolt frei erhältlich und Open Source.
Bitwarden
Bitwarden ist ein weiterer freier Passwort-Manager, der ebenfalls Open Source ist. Als webbasierter Online-Dienst bietet Bitwarden Cloud-Hosting an, so dass du dir keine weiteren Gedanken über die Speicherung deiner Passwort-Datenbank machen musst. Alternativ hast du aber auch die Möglichkeit zu einer lokalen Installation, wenn du das willst. Zusätzlich zu einer kostenlosen Basis-Variante gibt es Premium-Varianten mit erweiterten Features.
LastPass
Auch LastPass bietet ein Lizenzmodell, bei dem eine Basisvariante für Privatpersonen kostenlos ist. LastPass ist eine webbasierte Online-Lösung, bei der die Datenbank vom Anbieter gehostet wird. Du musst nur ein Konto mit einem möglichst sicheren Master-Passwort anlegen, dann stehen dir per Browsererweiterung oder App deine Zugangsdaten auf deinem PC oder deinen mobilen Geräten zur Verfügung. Aufgrund der lokal erfolgenden Ver- und Entschlüsselung hat der Anbieter keinen Zugriff auf deine Daten.
Günter Gerstbrein
Günter Gerstbrein, Jahrgang 1977, studierte technische Mathematik an der TU Wien und war etwa 13 Jahre in der Software-Entwicklung tätig. Als „Texter, der aus der Technik kam“ ist es sein Ziel, komplizierte Sachverhalte leicht verständlich und ohne viel Techno-Babble zu vermitteln.