Sicher und bequem: Passwortmanager

Passwörter sollen einzigartig sein und aus einer zufälligen Reihenfolge von Ziffern, Buchstaben und Sonderzeichen bestehen. Passwortmanager können beim Verwalten komplexer Zugangsdaten eine große Hilfe sein. Da sie sich unendlich viele komplexe Kombinationen merken können, bieten sie nicht nur Sicherheit, sondern auch Komfort.

„Hört auf, euch Kennwörter auszudenken.“ Diesen Rat gab der Programmierer und Hacker Jens Steube kürzlich im deutschen Nachrichtenmagazin „Der Spiegel“. Eine Empfehlung, der sich auch die Sicherheitsexperten vom Österreichischen Institut für angewandte Telekommunikation (OIAT) anschließen, erklärt der OIAT-Internetexperte und Leiter der Watchlist Internet Thorsten Behrens.

Selbst erdachte Passwörter sind leicht zu knacken

Mittlerweile gebe es zahlreiche Programme, die Passwörter ziemlich gut knacken können, so Behrens. Selbst erdachte Passwörter weisen meist erkennbare Muster auf. Etwa vorhersehbare Zahlenkombinationen, wie Geburtsdaten oder fortlaufende Zahlenfolgen. Solche Kombinationen könnten von Hackerprogrammen heutzutage problemlos errechnet werden.

Um viele komplexe Kennwörter zu erstellen, ohne sich diese gleich alle merken zu müssen, seien Passwortmanager derzeit die sicherste und komfortabelste Lösung, sagt Behrens. Diese Programme können beispielsweise als Plug-in für den Internetbrowser installiert werden. Solche Plug-ins sind dann in den Browser integriert. Im Umfeld der Adressleiste kann man direkt auf die Software zugreifen. Zusätzlich können Passwortmanager auch als App für ein Mobilgerät installiert werden.

Im Passwortmanager werden Kennwörter verschlüsselt

Passwortmanager speichern die Kennwörter in einem Passwortsafe ab. Dabei würden sie so sicher verschlüsselt, dass sie nach derzeitigem Stand der Technik nicht gehackt werden können, meint der Experte. Wer auf seine Benutzerdaten auch von unterwegs zugreifen möchte, muss seine Kennwörter in der Cloud des Herstellers hinterlegen. Die Cloud-Server sind ebenfalls verschlüsselt. Da auch die Passwörter, die in die Cloud übertragen werden, bereits verschlüsselt sind, sind sie auf diese Art doppelt abgesichert. Auch der Hersteller des Passwortmanagers habe also keine Möglichkeit, die Kennwörter auszulesen, sagt Behrens. Zumindest wäre der entsprechende Aufwand dermaßen groß, dass es Jahre dauern würde, ein derart gesichertes Passwort zu decodieren.

Experte: Abo-Programme meist sinnvoll

Um den vollen Umfang von Passwortmanagern nutzen zu können, werden diese meist als Abo-Versionen angeboten, die etwa drei Euro im Monat kosten. Diese Abos ermöglichen dann beispielsweise, dass die Programme nicht nur auf dem Heimcomputer sondern auch mobil eingesetzt werden können. Dies sei zwar mit Kosten verbunden, die entsprechenden Bezahlmodelle seien dennoch zu empfehlen, so der Experte.

Anwenderinnen und Anwender würden sichere und komplexe Passwörter nur dann konsequent verwenden, wenn sie von allen Plattformen bequem darauf zugreifen können, so Behrens. Passwortmanager haben den Vorteil, dass man sich die komplexen Zeichenfolgen nicht merken muss, weil die Programme die entsprechenden Zugangsdaten automatisch eingeben, wenn man sich bei einem Onlineportal anmelden möchte.

Automatische Eingabe kann gefahrlos genützt werden

Da im Passwortsafe gespeicherte Kennwörter sicher verschlüsselt sind, kann man diese automatische Eingabefunktion auch tatsächlich nutzen, ohne ein Sicherheitsrisiko einzugehen. Man muss sich die einzelnen Codes also weder merken, noch muss man sie jedes Mal eintippen. Das einzige Passwort, das man sich merken muss, ist ein Master-Passwort, welches bei der Installation gewählt wird. Dieses sollte mehr als zwanzig Zeichen haben und aus einer zufälligen Kombination von Buchstaben, Ziffern und Sonderzeichen bestehen.

Das Master-Passwort sollte man auf Papier notieren und an einem sicheren Ort aufbewahren. Keinesfalls darf man diesen Code irgendwo elektronisch speichern, etwa als Word-Datei. Benötigt wird das Master-Passwort beispielsweise auf Reisen, wenn man sich von einem fremden Computer aus bei einem Onlinedienst anmelden möchte oder, wenn man den PC neu aufsetzt und den Passwortmanager daher neu installieren muss.

Master-Passwort oder Sicherheits-Token

Alternativ zu einem Master-Passwort können auch spezielle Sicherheits-Token zum Einsatz kommen. Das sind kleine Hardwarekomponenten, die meist in Form eines USB-Speichersticks angeboten werden. Wenn diese Geräte als Sicherheitsmerkmal mit dem PC oder dem Smartphone verbunden sind, könne die Eingabe des Master-Passworts entfallen. Sicherheits-Token bieten ein sehr hohes Maß an Sicherheit, sagt Behrens. Ein Nachteil sei allerdings, dass man sie gegebenenfalls immer dabei haben müsse. Außerdem dürfen sie keinesfalls verloren gehen oder gestohlen werden. Gehen der Sicherheits-Token oder das Master-Passwort verloren, gibt es keine Möglichkeit mehr, auf den Inhalt des Passwortsafes zuzugreifen, da ja auch der Hersteller des Passwortmanagers die darin enthaltenen Daten nicht kennt.

Passwörter schrittweise in das Programm speichern

Um den Passwortsafe schließlich zu befüllen, sollte man schrittweise vorgehen, empfiehlt Behrens. In der Regel gebe es ja Onlinedienste, die man öfter in Anspruch nimmt. Deren Zugangsdaten sollte man zuerst in den Passwortsafe eintragen. Die Möglichkeit dazu erhalte man meist automatisch, wenn man sich auf einem Onlineportal anmeldet. Der Passwortmanager frage dann nach, ob das entsprechende Passwort gespeichert werden soll. Auf diese Weise gelange schrittweise ein Passwort nach dem anderen in den sicheren Safe. Der Experte rät davon ab, alle Passwörter auf einmal in das Programm zu übertragen. Dies könne in eine recht frustrierende Tätigkeit ausarten, die den Spaß am Programm verdirbt.

Sichere Passwörter automatisch generieren lassen

Voraussetzung dafür ist, dass die eigenen Passwörter die bereits erwähnten Sicherheitsstandards erfüllen. Anderenfalls kann das Programm neue und sichere Passwörter erstellen. Um die eigene Sicherheit zusätzlich zu erhöhen, rät Internetexperte Behrens dazu, auch beim Einsatz von Passwortmanagern auf eine Zwei-Faktor-Authentifizierung Wert zu legen. Eine solche nutzt man beispielsweise dann, wenn man sich beim Einloggen eine zusätzliche TAN-Nummer auf das Handy senden lässt. Ein Vorgang, den man etwa vom Onlinebanking her kennt, wenn man Überweisungen vornimmt. Viele Onlineshops und auch alle gängigen Passwortmanager bieten diese Funktion an.

Die Auswahl an Passwortmanagern ist groß. Am meisten verbreitet seien derzeit die Programme „Last Pass“ und „1Password“. Zahlreiche Tests hätten ergeben, dass diese beiden Programme nicht nur eine hohe Sicherheit bieten, sondern auch für Laien gut bedienbar sind, so Behrens. Auf YouTube finden sich darüber hinaus zahlreiche Anleitungen, die das Einrichten und die Nutzung der Passwortmanager ausführlich und anschaulich erklären.

Paul Urban Blaha, help.ORF.at

Links:

• Österreichisches Institut für angewandte Telekommunikation (OIAT)
• Watchlist Internet

Mehr zum Thema:

• Neue App warnt vor Internetbetrug
• E-Banking: Sicherheit auf Kosten der Bequemlichkeit
• Österreicher sind sorglos mit ihren Passwörtern