Passwort-Manager: Entlastung fürs Hirn

Auf einen Blick:

• Hackerangriffe auf Millionen Nutzerkonten gehören zum Internetalltag. Das erfordert besonders starke Passwörter für wichtige Konten. Passwort-Manager entlasten das Gedächtnis des Nutzers. Gute Passwort-Manager können Passwörter sicher verwahren. Die gibt es sogar kostenlos.
• Passwort-Manager – darauf kommt es an: Neben der Sicherheit sollten Passwort-Manager die Passwörter übersichtlich strukturieren und einfach zu bedienen sein. Wichtig ist auch, dass ein Passwortgenerator mit an Bord ist, der nach definierten Parametern automatisch sichere Passwörter erstellt.
• Die größten Risiken der Passwort-Manager liegen im Verlust des Masterpassworts oder der Passwortdatei. Dieses Risiko können Sie leicht reduzieren.
• Der schlechteste Passwort-Manager: Die Funktion von Internetbrowsern, Zugangsdaten zu speichern, gilt als unsicher.

Einkauf, Kommunikation, Bankgeschäfte, Unterhaltung – das Internet hat nahezu jede Ecke unseres Arbeits- und Lebensalltags erobert. Das ist bequem, macht es aber auch lukrativ für Hacker. Es vergeht kaum ein Monat ohne größeren Hackerskandal. Sie legen Websites lahm, kapern Millionen Nutzerkonten und erpressen Lösegeld.

Die Sicherheitslösung ist für Internetnutzer im Grunde einfach. „Jedes Zugangskonto, das sensible Daten enthält, sollte mit einem eigenen, starken Passwort geschützt werden“, sagt der Datenforensiker Christian Perst. Der IT-Spezialist weiß aber auch: „Mit der Zeit hat man sehr viele Passwörter zu verwalten. Das kann man nicht alles im Kopf behalten.“

Perst empfiehlt daher die Verwendung von Passwort-Managern. Das sind digitale Tresore, in denen Nutzer ihre Internet-Konten samt Zugangsdaten speichern können. Merken müssen sie sich dann nur noch einen Code: das Master-Passwort, um den Tresor zu öffnen. Für das Masterpasswort empfiehlt Perst eine Kombination aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen mit mindestens zwölf Zeichen Länge. (Warum das nötig ist, lesen Sie hier).

Ist der Passwort-Manager offen, lassen sich die Zugangsdaten zum gewünschten Nutzerkonto einfach aus dem Manager herauskopieren.

Nach Ansicht des IT-Profis Perst, zeichnen folgende Eigenschaften einen guten Passwort-Manager aus:

• Übersichtlichkeit: Er sollte die Möglichkeit bieten, die Passwörter in verschiedenen Kategorien zu speichern.
• Passwortgenerator: Wichtig sei auch, dass der Passwort-Manager einen guten Code-Generator an Bord hat. So ein Passwortgenerator erstellt automatisch starke Passwörter. „Er sollte konfigurierbar sein, so dass ich Mindestlänge und zu verwendende Zeichenarten vorgeben kann“, sagt Perst.
• Nutzerfreundlichkeit: Er sollte über eine einfache Kopierfunktion des Passworts verfügen.
• Plattformunabhängigkeit: Der Passwort-Manager sollte unabhängig vom verwendeten System funktionieren. „Ich möchte die gleiche verschlüsselte Datei plattformübergreifend mit gleichem Hauptpasswort verwenden können“, sagt Perst.
• Sicherheit: Der Passwort-Manager sollte möglichst sicher programmiert sein. Gute Passwort-Manager löschen zudem ein kopiertes Passwort nach kurzer Zeit wieder aus der Zwischenablage.

Das Gute: „Es gibt kostenlose Software, die all diese Anforderungen erfüllt“, sagt Perst. Er favorisiert die englischsprachigen Programme Keepass und Keepassx. „Die wurden noch nie geknackt und haben keine essenziellen Schwachstellen“, sagt Perst.

Sicherheitstipp: Ob eine Software bekannte Sicherheitslücken hat, können Sie relativ leicht selbst überprüfen. Suchen Sie die gewünschte Software einfach in der Datenbank der englischsprachigen Website www.cvedetails.com. Dort sind Sicherheitslücken von mehr als 2800 Programmen gelistet. „Keepassx hat dort überhaupt nur eine Lücke gehabt“, sagt Perst. „Die war als Mittel einzustufen.“

Eine Selbstverständlichkeit ist das gute Abschneiden nicht. So hat das Fraunhofer Institut für Informationstechnologie Anfang des Jahres neun Passwort-Manager für Android-Systeme mit schweren Sicherheitslücken identifiziert. Sie wurden von den Herstellern inzwischen behoben.

Auch bei sicheren Passwort-Managern bleiben Restrisiken, die Nutzer durch bestimmte Vorsichtsmaßnahmen aber deutlich reduzieren können.

Verlust des Masterpassworts: Der Passwort-Manager reduziert die Zahl Ihrer benötigten Passwörter auf 1. Problem: Vergessen Sie das Masterpasswort, sind auch alle Ihre anderen Passwörter verloren. Tipp: Schreiben Sie sich das Masterpasswort auf einen Zettel und verwahren Sie diesen an einem sicheren Ort (z.B. einem Safe).

Verlust der Passwortdatei: Der Passwort-Manager speichert Ihre Daten in einer verschlüsselten Datei auf der Festplatte. Da auch Festplatten nur eine begrenzte Lebensdauer haben, würde ein Festplattendefekt zum Verlust Ihrer persönlichen Daten inklusive der Passwortliste führen. IT-Experte Christian Perst empfiehlt daher Backups der Datei. „Sie sollte an drei unterschiedlichen Orten aufbewahrt werden.“

Hackerangriff: Bekommt ein Hacker per Trojaner weitreichende Zugriffsrechte auf den Computer, wäre auch ein Passwort-Manager keine Garantie mehr für geschützte Passwörter, sobald der Benutzer ihn per Masterpasswort geöffnet hat. In einem solchen Szenario könnte der Hacker jedoch auch manuelle Passworteingaben auslesen.

Die wohl beliebteste Variante, Passwörter zu managen, ist gleichzeitig die unsicherste: Internet-Browser wie Internet-Explorer, Firefox oder Safari. Sie bieten vor allem zwei wesentliche Angriffspunkte.

„Entferne ich mich vom Computer, ohne ihn zu sperren, kann jeder andere Benutzer den Browser aufrufen, sich Zugang zu meinen Konten verschaffen und sie für sich kopieren“, sagt Datenforensiker Perst.

Auch für Angriffe von außen sind die Passwörter im Browser anfälliger: Denn ständig werden neue Sicherheitslücken in Internet-Browsern und Browserplugins wie Javascript entdeckt. „Diese Lücken können Angreifer nutzen, um Zugangsdaten auszulesen“, sagt Perst.