Was ist ein Passwort-Manager?
Es war einmal in den frühen Jahren des Internets, da hatten Sie vielleicht nur eine Handvoll Passwörter für einige wenige essenzielle Webanwendungen, die Sie zum Einkaufen, Lernen, in Verbindung bleiben und Arbeiten nutzten. Heute ist alles viel komplizierter. Im Durchschnitt wird berichtet, dass Menschen sich etwa 100 Passwörter merken müssen.
Während die Technologie verspricht, unser Leben zu erleichtern – was sie im Allgemeinen auch tut – bedeutet jede neue Website und Anwendung, für die wir uns anmelden, ein weiteres Passwort, das wir uns merken müssen. Für die meisten ist es unmöglich geworden, sich alle zu merken. Denken Sie an sich selbst – verwenden Sie Ihre Passwörter mehrfach über verschiedene Konten hinweg (so wie zwei Drittel der Internetnutzer)? Das ist ein absolutes No-Go.
Mit riesigen Listen gestohlener Passwörter (auch „Dumps“ genannt), die im Dark Web gekauft wurden, können Cyberkriminelle sich entweder durch Brute Force Zugang zu anderen Seiten verschaffen oder alte Passwörter benutzen, um Nutzer in Betrugsmaschen zu erpressen. Dies ist der Dominoeffekt eines Datenlecks. Ein Leck führt zum nächsten und so weiter.
Es wird berichtet, dass die meisten Datenschutzverletzungen durch kompromittierte, schwache und wiederverwendete Passwörter verursacht werden. 1234567, jemand?
Wie sind wir hierhergekommen und was können wir dagegen tun?
Der berühmte xkcd Webcomic „Password Strength“ erklärte es am besten: „Durch 20 Jahre Anstrengung haben wir es geschafft, jedem beizubringen, Passworter zu verwenden, die schwer zu merken, aber leicht für Computer zu erraten sind.“
Es stimmt. Vor 20 Jahren rieten Cybersicherheitsexperten den Verbrauchern dringend, Standardpasswörter auf IoT-Geräten (wie etwa Ihrem Internet-Router) zu ändern oder einfache Passwörter wie „12345“ oder „password“ zu vermeiden. Daraus entstand das lang und starke Passwort, über das sich xkcd lustig macht: ein allgemeines Wort mit einer Mischung aus Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Symbol.
Beim Erstellen eines neuen Kontos fordern Websites uns auf, lange und starke Passwörter zu erstellen. Wenn das nicht gelingt, dürfen wir nicht einmal ein Konto anlegen. Angenommen, man übersteht die Kontoerstellungsphase, vergisst man schnell die
Glücklicherweise müssen Sie sich all diese Passwörter nicht mehr merken. Ein Passwort-Manager kann sie für Sie speichern.
Malwarebytes Labs definiert einen Passwort-Manager als „eine Softwareanwendung, die zur Speicherung und Verwaltung von Online-Anmeldedaten entwickelt wurde. Sie erzeugt auch Passwörter. Diese Passwörter werden normalerweise in einer verschlüsselten Datenbank gespeichert und durch ein Master-Passwort gesichert.“
Sobald alle Ihre Kontobenutzernamen und Passwörter in den Tresor eingegeben wurden, müssen Sie sich nur noch Ihr Master-Passwort merken. Das Eingeben Ihres Master-Passworts entsperrt Ihren Passwort-Tresor, und von Ihrem Tresor aus können Sie dann jedes benötigte Passwort abrufen.
Was sind die Vorteile der Nutzung eines Passwort-Managers?
Sie müssen sich nicht mehr alle Ihre Passwörter merken. Sie müssen sich nur noch das Master-Passwort merken, das Ihren Passwort-Tresor entsperrt. Und wenn Sie sich für einen cloudbasierten Passwort-Manager entscheiden, können Sie von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen.
Sie können hochsichere Passwörter für Sie automatisch generieren. Passwort-Manager bieten Ihnen in der Regel an, ein automatisch generiertes Passwort zu verwenden, wann immer Sie ein neues Konto bei einer Website oder Anwendung erstellen. Diese zufälligen Passwörter sind lang, alphanumerisch und im Wesentlichen unmöglich zu erraten.
Sie können Sie auf eine Phishing-Site aufmerksam machen. Hier eine kurze Erläuterung zu Phishing-Betrügereien. Spam-E-Mails sind gefälscht, um den Anschein zu erwecken, dass sie von einem seriösen Absender stammen, z. B. von einem Freund, einem Familienmitglied, einem Mitarbeiter oder einer Organisation, mit der Sie geschäftlich zu tun haben. Die in der E-Mail enthaltenen Links führen zu ähnlich gefälschten, bösartigen Websites, die darauf abzielen, Anmeldedaten zu sammeln. Wenn Sie einen browserbasierten Passwort-Manager verwenden, füllt dieser die Felder für den Benutzernamen und das Passwort nicht automatisch aus, da er die Website nicht als diejenige erkennt, die mit dem Passwort verknüpft ist.
Sie können Ihren Erben helfen, wenn Sie versterben. Dies wird als „digitale Erbschaft“ bezeichnet. Im Falle Ihres Todes erhalten Ihre Familie oder die von Ihnen ausgewählte Person Zugriff auf Ihren Passwort-Tresor.
Passwort-Manager sparen Zeit. Neben der reinen Speicherung von Passwörtern füllen viele Passwort-Manager auch Anmeldeinformationen für den schnelleren Zugriff auf Online-Konten automatisch aus. Darüber hinaus können einige auch Name, Adresse, E-Mail, Telefonnummer und Kreditkarteninformationen speichern und automatisch ausfüllen. Dies kann beim Online-Shopping beispielsweise eine enorme Zeitersparnis sein.
Viele Kennwort-Manager lassen sich mit verschiedenen Betriebssystemen (OS) synchronisieren. Wenn Sie bei der Arbeit Windows und zu Hause Mac verwenden, können Sie auf Ihrem Android und am Wochenende auf iOS umsteigen, können Sie unabhängig von der jeweiligen Plattform schnell auf Ihre Passwörter zugreifen. Gleiches gilt für die gängigsten Webbrowser, d. h. Chrome, Firefox, Edge, Internet Explorer und Safari.
Sie helfen, Ihre Identität zu schützen. Auf indirekte Weise helfen Passwort-Manager, Identitätsdiebstahl vorzubeugen, und hier ist der Grund: Durch die Verwendung eines eindeutigen Passworts für jede Seite segmentieren Sie Ihre Daten im Grunde über jede Website und Anwendung, die Sie verwenden. Wenn ein Krimineller eines Ihrer Konten hackt, hat er nicht automatisch Zugriff auf alle anderen. Es ist nicht narrensicher, aber es ist eine zusätzliche Sicherheitsebene, die Sie sicherlich schätzen werden, nachdem ein Datenleck aufgetreten ist.
Sind Passwort-Manager sicher?
Passwort-Manager wurden gehackt, aber ihre allgemeine Erfolgsbilanz in Bezug auf die Sicherheit von Benutzerdaten ist sehr gut. Der Passwort-Manager LastPass hat einige Datendiebstähle erlitten – ebenso wie einige andere Passwort-Manager-Tools. Es gibt viele seriöse Passwort-Manager, die Verschlüsselungen verwenden und 2023 sicher zu verwenden sind. Ein Beispiel ist NordPass Password Manager, das auch auf der Liste der sichersten Passwort-Manager von Cyber News steht.
Es ist wichtig, daran zu denken, dass, wenn Ihr Telefon mit Malware infiziert ist, auch Ihr Passwort-Manager angegriffen werden kann. Daher ist es unerlässlich, Ihre Anti-Malware- und Antiviren-Software auf dem neuesten Stand zu halten.
Welche Arten von Passwort-Managern gibt es?
Desktop-basierte Passwort-Manager speichern Ihre Passwörter lokal auf Ihrem Gerät, wie etwa Ihrem Laptop, in einem verschlüsselten Tresor. Sie können von keinem anderen Gerät aus auf diese Passwörter zugreifen, und wenn Sie das Gerät verlieren, verlieren Sie alle dort gespeicherten Passwörter. Lokal installierte Passwort-Manager sind eine großartige Option für Menschen, die einfach nicht möchten, dass ihre Daten auf dem Netzwerk eines anderen gespeichert werden. Einige lokal installierte Passwort-Manager finden ein Gleichgewicht zwischen Privatsphäre und Bequemlichkeit, indem sie Ihnen erlauben, mehrere Passwort-Tresore auf Ihren Geräten zu erstellen und diese zu synchronisieren, wenn Sie sich mit dem Internet verbinden.
Cloud-basierte Passwort-Manager speichern Ihre verschlüsselten Passwörter im Netzwerk des Dienstanbieters. Der Dienstanbieter ist direkt für die Sicherheit Ihrer Passwörter verantwortlich. Der Hauptvorteil von Cloud-basierten Passwort-Managern, wobei 1Password und NordPass gute Beispiele sind, besteht darin, dass Sie von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen können, solange Sie eine Internetverbindung haben. Webbasierte Passwort-Manager können in verschiedenen Formen vorkommen – am häufigsten als Browsererweiterung, Desktop-Anwendung oder mobile App.
Einmalige Anmeldung (Single sign-on, SSO). Im Gegensatz zu einem Passwort-Manager, der einzigartige Passwörter für jede Anwendung speichert, die Sie verwenden, ermöglicht SSO Ihnen, ein Passwort für jede Anwendung zu verwenden. Betrachten Sie SSO als Ihren digitalen Reisepass. Wenn Sie in ein fremdes Land einreisen, bescheinigt ein Pass den Beamten bei der Zoll- und Einwanderungsbehörde, dass Ihr Heimatland für Sie bürgt und dass Sie mit minimalem Aufwand eintreten dürfen. Ebenso müssen Sie bei der Verwendung von SSO zur Anmeldung bei einer Anwendung Ihre Identität nicht verifizieren. Stattdessen bürgt der SSO-Anbieter für Ihre Identität. Unternehmen bevorzugen SSOs gegenüber Passwort-Managern aus mehreren Gründen. Vor allem ist SSO eine sichere und bequeme Möglichkeit für Mitarbeiter, auf die Anwendungen zuzugreifen, die sie für ihre Arbeit benötigen. SSOs verringern auch die Zeit, die IT zur Fehlersuche und zum Zurücksetzen vergessener Passwörter aufwendet.
Best Practices für Passwörter
Passwörter nicht wiederverwenden. Selbst mit einem Passwort-Manager. Stattdessen sollten Sie einzigartige Passwörter für jede Seite erstellen und den Passwort-Manager das tun lassen, wofür er gemacht ist. Verwenden Sie einen sicheren starken Passwort-Generator, um einzigartige Passwörter für alle Ihre Konten zu erstellen.
Komplexe Passwörter erstellen. Viele Passwort-Manager schlagen Ihnen automatisch starke Passwörter vor, wenn Sie ein Konto für eine neue Seite erstellen. Falls nicht, versuchen Sie, eine zufällige Kombination aus Buchstaben und Zahlen zu verwenden und zwischen Groß- und Kleinbuchstaben zu wechseln. Je komplexer und unsinniger, desto besser—vor allem, da Sie sich das nicht merken müssen. Der Passwort-Manager übernimmt das. Der einzige wichtige Unterschied besteht darin, dass Sie sich Ihr Master-Passwort (das, das alle anderen Passwörter entsperrt) merken müssen. Also, es sei denn, Sie haben ein fotografisches Gedächtnis, versuchen Sie sich etwas einprägsames zu überlegen, das nicht leicht auf Ihre Identität zurückzuführen ist. Dann fügen Sie einige Großbuchstaben, einige Buchstaben und einige Sonderzeichen hinzu, und Ihr Passwort-Tresor ist gut geschützt.
Verwenden Sie eine Passphrase. Versuchen Sie bei der Erstellung Ihres Hauptpassworts (das Ihre anderen Passwörter entsperrt) eine Passphrase zu verwenden, d. h. eine Reihe von Wörtern, die leicht zu merken, aber schwer zu erraten sind. Etwas Bekanntes mit einer seltsamen Wendung, zum Beispiel: "Bohnen-Burrito-Eiscreme-Split". Oder einfach eine Reihe von zufälligen Dingen, die sich ein Mensch leicht vorstellen kann, ein Computer aber nicht: "schickes Ratten-Neon-Avocado-Auto". Lassen Sie Ihrer Fantasie freien Lauf! Haustiere, Kinder oder andere Familiennamen oder Zeilen wie "Lass mich rein!" sind viel zu häufig und daher für Cyberkriminelle leicht zu entschlüsseln.
Aktivieren Sie die Zwei-Faktor- (2FA) oder Multi-Faktor-Authentifizierung (MFA). Eine der besten Möglichkeiten, jedes Konto zu sichern, ob mit oder ohne Passwortmanager, ist die Aktivierung von MFA. Bei einem MFA-aktivierten Passwortmanager müssen Sie Ihre Identität anhand von zwei oder mehr Authentifizierungsfaktoren überprüfen, zu denen etwas gehört, das Sie wissen, etwas, das Sie besitzen, und etwas, das Sie sind. Bei dem, was Sie wissen, handelt es sich in der Regel um Ihr Passwort, es kann aber auch eine PIN-Nummer sein. Etwas, das Sie besitzen, kann Ihr Mobiltelefon, Ihre Bankkarte oder ein Sicherheits-Token auf einem USB-Stick sein. Die Person, die Sie sind, kann durch biometrische Verfahren wie Gesichts-, Stimm- oder Iriserkennung und Fingerabdruckidentifizierung überprüft werden. Auch verhaltensbiometrische Daten, wie z. B. Tastenanschläge, können verwendet werden.
Diese zusätzliche Sicherheitsebene bedeutet, dass jeder, der versucht, sich in Ihr Konto einzuloggen (einschließlich Ihnen selbst), die zusätzlichen Authentifizierungsfaktoren unter Kontrolle haben muss, die außerhalb von Benutzername und Passwort liegen. Ein Beispiel hierfür wäre: Nachdem Sie Ihr Master-Passwort eingeben, um auf den Passwort-Manager zuzugreifen, würde ein Code an Ihr Mobiltelefon gesendet, den Sie dann eingeben müssten, bevor Sie auf den Tresor zugreifen können. Eine Sache, die zu bedenken ist, wenn Sie Ihr Telefon als Authentifizierungsfaktor verwenden – Telefonnummern können gehackt werden.
Das nennt man SIMjacking (auch SIM-Swapping genannt) und es passiert, wenn ein Cyberkrimineller, der sich als Sie ausgibt, Ihren Telefonanbieter davon überzeugt, Ihre Telefonnummer auf sein eigenes Telefon zu übertragen, indem er Ihre Sicherheitsfragen erfolgreich beantwortet. Eine einfache Suche in sozialen Medien reicht oft aus, um die notwendigen Antworten zu finden, die Betrüger benötigen. Sobald Kriminelle die Kontrolle über Ihr Telefon haben, haben sie alles, was sie brauchen, um Ihre Identität zu stehlen. Dementsprechend sollten Sie stattdessen einen softwarebasierten Authentifikator wie Authy oder Google Authenticator für kritische Konten in Betracht ziehen.
Überlegen Sie zweimal, bevor Sie kostenlose Passwort-Manager nutzen. Viele der beliebtesten kostenlosen Passwort-Manager arbeiten tatsächlich nach einem Freemium-Geschäftsmodell, was bedeutet, dass Sie zahlen müssen, wenn Sie die besten – manchmal essenziellen – Funktionen wollen. Müssen Ihre Passwörter über Browser und Geräte hinweg synchronisiert werden? Benötigen Sie eine digitale Erbschaft? Müssen Sie Anmeldungen mit Ihrer Familie teilen? Benötigen Sie Multi-Faktor-Authentifizierung? Kostenlose Passwort-Manager enthalten diese Funktionen in der Regel nicht. MFA zum Beispiel ist ein Muss. In der Debatte zwischen kostenlos vs. bezahlt, entscheiden Sie sich für einen kostenpflichtigen Passwort-Manager.
Erstellen Sie eine Passwort-Manager-Richtlinie. Hier ein Tipp für kleine und mittlere Unternehmen: Erstellen Sie eine Richtlinie für Passwort-Manager und informieren Sie Ihre Mitarbeiter darüber, dass es in Ordnung ist, einen Passwort-Manager zu verwenden, um ihre Arbeitskonten zu sichern. Ihre Mitarbeiter verwenden bereits einen Mischmasch potenziell unsicherer Methoden, um ihre zahlreichen Passwörter zu verwalten, und die meisten Datenlecks beginnen mit einem schwachen oder wiederverwendeten Passwort. Eine offizielle Passwort-Manager-Richtlinie ist Ihre erste Verteidigungslinie gegen einen Cyberangriff auf Ihr Netzwerk.
Siehe auch: Passkey