Ihr verliert langsam den Überblick über all die verschiedenen Passwörter? Ihr wisst kaum noch wo ihr welches Passwort verwendet und müsst immer öfters einen Passwort-Reset machen? Oder noch schlimmer, ihr verwendet bei mehreren Online-Diensten das gleiche Passwort? Dann wird es zeit über einen Passwort-Manager nachzudenken. Doch was können diese und macht ein Passwort-Manager überhaupt Sinn?
Bei der Wahl eines Passworts gilt: Jeder Account und Service muss ein unterschiedliches Passwort erhalten. Sollte ein Passwort durch einen Hack oder Leak seinen Weg in die Öffentlichkeit finden, kann das Passwort für den Login bei anderen Diensten nicht wiederverwendet werden. Der Schaden hält sich in Grenzen. Wird ein Passwort für alle Accounts verwendet, kann ein Schaden entstehen noch bevor ihr vom Leak etwas mitbekommt.
Leider ist diese Best Practice sehr aufwendig und somit kaum anwendbar. Wenn ihr zu den sehr aktiven Menschen im Internet gehört, sammeln sich schnell an die 100 Logins für unterschiedliche Konten und Online-Dienste an.
Macht ein Passwort-Manager Sinn?
Eine weitere Möglichkeit ist das Speichern von Passwörtern im Webbrowser. Eine Option zu der ich selbst bis vor kurzem gegriffen habe. Diese Methode ist jedoch unsicher, da Angreifer die gespeicherten Passwörter aus dem Browser leicht stehlen und für Betrug und Cyber-Angriffe verwenden können. Auch das Verwenden des gleichen Passworts mit leichten Abweichungen für unterschiedliche Konten wird zwischenzeitlich von Online-Betrügern erkannt und ausgenutzt.
Wie ein sicheres Passwort aussehen soll, wurde hier im Blog schon öfters diskutiert. Aber wie lassen sich all die verschiedenen Passwörter merken?
Hier macht ein Passwort-Manager Sinn. Diese speichern die Login-Daten wie Benutzername und Passwort in einem persönlichen Tresor. Dieser Tresor lässt sich über ein Master-Passwort öffnen. Dadurch müsst ihr euch nur noch ein Passwort merken. Jetzt müsst ihr nur noch den richtigen Passwort-Manager für eure Bedürfnisse finden.
Wie funktioniert ein Passwort-Manager?
Ein Passwort-Manager übernimmt das Speichern des Passworts für euch. Damit macht ihr Platz in eurem Hirn für produktive Arbeit und ihr müsst euch keine lange Passwörter mehr merken.
Wenn ihr einen Passwort-Manager verwendet und ihr euch auf einer Webseite einloggen möchtet, ruft ihr die Webseite wie gewohnt auf. Anstatt den Benutzernamen und das Passwort einzutippen, gebt ihr euer Master-Passwort in den Passwort-Manager ein. Dieser fügt dann automatisch die richtigen Login-Daten für die Webseite ein. Solltet ihr bei eurem Passwort-Manager schon eingeloggt sein, erfolgt das Ausfüllen automatisch.
Ihr müsst euch keinen Benutzername, keine E-Mail-Adresse und kein Passwort für die Webseite merken. All die Informationen weiß euer Passwort-Manager für euch.
Wenn ihr euch für einen Online-Dienst neu anmeldet, kann der Passwort-Manager ein neues, zufälliges und sicheres Passwort für euch erzeugen. Auch diese Arbeit entfällt. Zudem lassen sich einige Passwort-Manager auch zum Ausfüllen von Web-Formularen nutzen und speichern euren Namen und eure Adresse.
Für diese Aufgaben macht ein Passwort-Manager Sinn. Jedenfalls deutlich mehr als das Wiederverwenden von Passwörter oder das führen von Passwort-Listen.
Wieso sollte ich nicht den Passwort-Manager des Browsers verwenden?
Chrome, Firefox, Safari und andere Webbrowser bieten integrierte Passwort-Manager an. Die Passwort-Manager der Browser können mit einem vollwertigen Passwort-Manager nicht mithalten. Chrome und der Internet Explorer speichern eure Passwörter unverschlüsselt auf eurem Computer. Solange eure Festplatte nicht verschlüsselt ist, lässt sich die Passwort-Datei auslesen.
Der Mozilla Firefox bietet ein Master-Passwort an, über das sich alle anderen Passwörter gespeicherten Passwörter verschlüsselt auf eurem Computer speichern lässt. Perfekt ist der Passwort-Manager des Firefox jedoch nicht. Zufällige und sichere Passwörter lassen sich nicht generieren. Auch das Synchronisieren von Passwörter über verschiedene Plattformen wird nicht unterstützt. Firefox kann Passwörter nicht auf iOS-Gerät synchronisieren.
Welchen Passwort-Manager soll ich verwenden?
Ein Passwort-Manager sollte folgendes können. Passwörter müssen verschlüsselt gespeichert werden. Der Passwort-Manager bietet das Erstellen von zufälligen und sicheren Passwörtern an. Das ganze wird über eine übersichtliche Oberfläche dargestellt. Wichtig dabei ist, Passwörter müssen über alle Geräte zur Verfügung stehen. Es genügt nicht, wenn der Passwort-Manager nur auf eurem Computer läuft. Eine Synchronisation zwischen eurem Android-Smartphone und iPad muss ebenfalls möglich sein. Eine Zwei-Faktor-Authentifizierung muss mit angeboten werden.
Zwischenzeitlich gibt es zahlreiche Passwort-Manager und ebenfalls zahllose Tests. Deshalb verzichtet dieser Beitrag auf einen Vergleich und eine ausdrückliche Empfehlung. Der von mir für mich gewählte Passwort-Manager mag möglicherweise nicht für eure Bedürfnisse passen.
Stiftung Warentest hat sich im Oktober 2017 neun Passwort-Manager angesehen. Davon sind vier empfehlenswert und fünf eingeschränkt empfehlenswert. Getestet wurden Dashlane, True Key, Keeper Security, LastPass, 1Password, SafeInCloud, F-Secure Key, Kaspersky Password Manager und Sinew Enpass. Die getesteten Passwort-Manager sind auch mit die populärsten am Markt. Leider fehlen reine Open-Source-Lösungen wie beispielsweise KeePass oder bitwarden.
Die von Stiftung Warentest empfohlenen Passwort-Manager sind Dashlane Premium, Intel Security True Key Premium, Keeper Security und Last-Pass Premium. Alle vier konnten im Test überzeugen und erhöhen den Schutz durch eine Zwei-Faktor-Authentifizierung.
Bevor ihr euch für einen Passwort-Manager entscheidet, schaut euch im Internet auf den verschiedenen Webseiten für Vergleiche um. Lest den ein oder anderen Testbericht und prüft, ob der Passwort-Manager alle von euch benötigten Funktionen bietet.
Den Passwort-Manager einrichten
Nehmt euch hierfür etwas Zeit. Ein Passwort-Manager muss eingerichtet werden. Das beginnt mit der Wahl eines starken und sicheren Master-Passwort. Das Master-Passwort kontrolliert den Zugang zur Datenbank des gesamten Passwort-Managers. Es sollte absolut sicher sein. Es ist auch das einzige Passwort, das ihr euch zukünftig merken müsst. Wer hier 123456 vergibt, kann es direkt lassen. Eine Liste mit weiteren Passwörter, die ihr nicht verwenden sollt.
Im Zweifelsfall schreibt ihr euch das Master-Passwort auf und hinterlegt es an einem absolut sicheren Ort (nicht die Unterseite der Tastatur). Das Master-Passwort lässt sich später ändern, aber eben nur wenn ihr das alte Master-Passwort noch kennt. Vergesst ihr das Master-Passwort, besteht je nach Passwort-Manager kein Zugriff mehr auf die gespeicherten Passwörter.
Das Passwort-Manager muss auf allen Geräten installiert werden, die eure Passwörter kennen müssen. Beispielsweise der Computer mit Windows, das Android-Smartphone und das iPad mit iOS. Gleichzeitig bietet es sich an, die alten Passwörter gegen neue und sichere Passwörter auszutauschen.
Einige Passwort-Manager ermöglichen auch das Speichern von zusätzlichen Daten. Von privaten Notizen wie Versicherungsnummern bis hin zu Kreditkartennummern. Alle Daten werden mit dem Master-Passwort verschlüsselt. Ohne Master-Passwort besteht kein Zugriff auf diese Daten.
Passwort-Manager können sogar vor Phishing schützen. Da die Login-Daten basierend auf der Web-Adresse (URL) eingetragen werden, solltet ihr stutzig werden, wenn der automatische Login nicht funktioniert. Es muss nicht, kann aber, ein Hinweis auf eine falsche URL sein.
Wer von einer Browser-Passwort-Manager auf einen richtigen Passwort-Manager umsteigt, sollte nach der Einrichtung des Passwort-Managers die Passwörter aus dem Browser löschen.
Persönliche Meinung
Noch immer finden sich in den Top 10 Passwörtern Kombinationen wie 123456 oder passwort. Passwörter sind der ultimative Schutz eurer privaten und finanziellen Informationen. Ein gutes Passwort ist kritisch für die Sicherheit eurer persönlichen Daten, aber auch für die Sicherheit im beruflichen Kontext.
Macht euch das Leben deshalb nicht schwerer als es schon ist. Wer viele Online-Konten und Passwörter besitzt, greift am besten zu einem Passwort-Manager. Selbst wenn die gewählte Lösung einige Euros im Jahr kostet. Das sollte euch die Sicherheit wert sein und ist besser investiert als in einen Virenscanner.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.