PASSWORD MANAGER

Was ist ein Passwort-Manager?

Es war einmal in den frühen Jahren des Internets, da hatten Sie vielleicht nur eine Handvoll Passwörter für einige wenige essenzielle Webanwendungen, die Sie zum Einkaufen, Lernen, in Verbindung bleiben und Arbeiten nutzten. Heute ist alles viel komplizierter. Im Durchschnitt wird berichtet, dass Menschen sich etwa 100 Passwörter merken müssen.

Während die Technologie verspricht, unser Leben zu erleichtern – was sie im Allgemeinen auch tut – bedeutet jede neue Website und Anwendung, für die wir uns anmelden, ein weiteres Passwort, das wir uns merken müssen. Für die meisten ist es unmöglich geworden, sich alle zu merken. Denken Sie an sich selbst – verwenden Sie Ihre Passwörter mehrfach über verschiedene Konten hinweg (so wie zwei Drittel der Internetnutzer)? Das ist ein absolutes No-Go.

Mit riesigen Listen gestohlener Passwörter (auch „Dumps“ genannt), die im Dark Web gekauft wurden, können Cyberkriminelle sich entweder durch Brute Force Zugang zu anderen Seiten verschaffen oder alte Passwörter benutzen, um Nutzer in Betrugsmaschen zu erpressen. Dies ist der Dominoeffekt eines Datenlecks. Ein Leck führt zum nächsten und so weiter.

Berichtet wird, dass die meisten Datenlecks auf kompromittierte, schwache und mehrfach verwendete Passwörter zurückzuführen sind. 1234567, irgendjemand? 

Wie sind wir hierhergekommen und was können wir dagegen tun?

Der berühmte xkcd Webcomic „Password Strength“ erklärte es am besten: „Durch 20 Jahre Anstrengung haben wir es geschafft, jedem beizubringen, Passworter zu verwenden, die schwer zu merken, aber leicht für Computer zu erraten sind.“

Es stimmt. Vor 20 Jahren rieten Cybersicherheitsexperten den Verbrauchern dringend, Standardpasswörter auf IoT-Geräten (wie etwa Ihrem Internet-Router) zu ändern oder einfache Passwörter wie „12345“ oder „password“ zu vermeiden. Daraus entstand das lang und starke Passwort, über das sich xkcd lustig macht: ein allgemeines Wort mit einer Mischung aus Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Symbol.

Beim Erstellen eines neuen Kontos fordern Websites uns auf, lange und starke Passwörter zu erstellen. Wenn das nicht gelingt, dürfen wir nicht einmal ein Konto anlegen. Angenommen, man übersteht die Kontoerstellungsphase, vergisst man schnell die

Glücklicherweise müssen Sie sich all diese Passwörter nicht mehr merken. Ein Passwort-Manager kann sie für Sie speichern.

Malwarebytes Labs definiert einen Passwort-Manager als „eine Softwareanwendung, die zur Speicherung und Verwaltung von Online-Anmeldedaten entwickelt wurde. Sie erzeugt auch Passwörter. Diese Passwörter werden normalerweise in einer verschlüsselten Datenbank gespeichert und durch ein Master-Passwort gesichert.“

Sobald alle Ihre Kontobenutzernamen und Passwörter in den Tresor eingegeben wurden, müssen Sie sich nur noch Ihr Master-Passwort merken. Das Eingeben Ihres Master-Passworts entsperrt Ihren Passwort-Tresor, und von Ihrem Tresor aus können Sie dann jedes benötigte Passwort abrufen.

Was sind die Vorteile der Nutzung eines Passwort-Managers?

Sie müssen sich nicht mehr alle Ihre Passwörter merken. Sie müssen sich nur noch das Master-Passwort merken, das Ihren Passwort-Tresor entsperrt. Und wenn Sie sich für einen cloudbasierten Passwort-Manager entscheiden, können Sie von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen.

Sie können hochsichere Passwörter für Sie automatisch generieren. Passwort-Manager bieten Ihnen in der Regel an, ein automatisch generiertes Passwort zu verwenden, wann immer Sie ein neues Konto bei einer Website oder Anwendung erstellen. Diese zufälligen Passwörter sind lang, alphanumerisch und im Wesentlichen unmöglich zu erraten.

Sie können Sie vor Phishing-Websites warnen. Hier ist eine kurze Einführung in Phishing-Betrügereien. Spam-E-Mails werden gefälscht oder gefälscht, um so auszusehen, als kämen sie von einem legitimen Absender, wie einem Freund, Familienmitglied, Kollegen oder einer Organisation, mit der Sie Geschäfte machen. Die in der E-Mail enthaltenen Links führen zu ebenso gefälschten schädlichen Websites, die darauf ausgelegt sind, Anmeldeinformationen zu stehlen. Wenn Sie einen browserbasierten Passwort-Manager verwenden, wird dieser die Benutzername- und Passwortfelder nicht automatisch ausfüllen, da er die Website nicht als diejenige erkennt, die mit dem Passwort verknüpft ist.

Sie können Ihren Erben helfen, wenn Sie versterben. Dies wird als „digitale Erbschaft“ bezeichnet. Im Falle Ihres Todes erhalten Ihre Familie oder die von Ihnen ausgewählte Person Zugriff auf Ihren Passwort-Tresor.

Passwort-Manager sparen Zeit. Neben der reinen Speicherung von Passwörtern füllen viele Passwort-Manager auch Anmeldeinformationen für den schnelleren Zugriff auf Online-Konten automatisch aus. Darüber hinaus können einige auch Name, Adresse, E-Mail, Telefonnummer und Kreditkarteninformationen speichern und automatisch ausfüllen. Dies kann beim Online-Shopping beispielsweise eine enorme Zeitersparnis sein.

Viele Passwort-Manager synchronisieren sich über verschiedene Betriebssysteme (OSes). Wenn Sie bei der Arbeit ein Windows-Nutzer und zu Hause ein Mac-Nutzer sind, von Montag bis Freitag auf Ihrem Android unterwegs sind und an den Wochenenden auf iOS umsteigen, können Sie schnell auf Ihre Passwörter zugreifen, unabhängig davon, auf welcher Plattform Sie sich befinden. Gleiches gilt für alle gängigen Webbrowser; also Chrome, Firefox, Edge, Internet Explorer und Safari.

Sie helfen, Ihre Identität zu schützen. Auf indirekte Weise helfen Passwort-Manager, Identitätsdiebstahl vorzubeugen, und hier ist der Grund: Durch die Verwendung eines eindeutigen Passworts für jede Seite segmentieren Sie Ihre Daten im Grunde über jede Website und Anwendung, die Sie verwenden. Wenn ein Krimineller eines Ihrer Konten hackt, hat er nicht automatisch Zugriff auf alle anderen. Es ist nicht narrensicher, aber es ist eine zusätzliche Sicherheitsebene, die Sie sicherlich schätzen werden, nachdem ein Datenleck aufgetreten ist.

Sind Passwort-Manager sicher?

Passwort-Manager wurden gehackt, aber ihre allgemeine Erfolgsbilanz in Bezug auf die Sicherheit von Benutzerdaten ist sehr gut. Der Passwort-Manager LastPass hat einige Datendiebstähle erlitten – ebenso wie einige andere Passwort-Manager-Tools. Es gibt viele seriöse Passwort-Manager, die Verschlüsselungen verwenden und 2023 sicher zu verwenden sind. Ein Beispiel ist NordPass Password Manager, das auch auf der Liste der sichersten Passwort-Manager von Cyber News steht.

Es ist wichtig zu beachten, dass Ihr Passwort-Manager ebenfalls kompromittiert werden kann, wenn Ihr Telefon mit Malware infiziert ist. Daher ist es ein Muss, Ihre Anti-Malware- und Antivirus-Software auf dem neuesten Stand zu halten.

Welche Arten von Passwort-Managern gibt es?

Desktop-basierte Passwort-Manager speichern Ihre Passwörter lokal auf Ihrem Gerät, wie etwa Ihrem Laptop, in einem verschlüsselten Tresor. Sie können von keinem anderen Gerät aus auf diese Passwörter zugreifen, und wenn Sie das Gerät verlieren, verlieren Sie alle dort gespeicherten Passwörter. Lokal installierte Passwort-Manager sind eine großartige Option für Menschen, die einfach nicht möchten, dass ihre Daten auf dem Netzwerk eines anderen gespeichert werden. Einige lokal installierte Passwort-Manager finden ein Gleichgewicht zwischen Privatsphäre und Bequemlichkeit, indem sie Ihnen erlauben, mehrere Passwort-Tresore auf Ihren Geräten zu erstellen und diese zu synchronisieren, wenn Sie sich mit dem Internet verbinden.

Cloud-basierte Passwort-Manager speichern Ihre verschlüsselten Passwörter im Netzwerk des Dienstanbieters. Der Dienstanbieter ist direkt für die Sicherheit Ihrer Passwörter verantwortlich. Der Hauptvorteil von Cloud-basierten Passwort-Managern, wobei 1Password und NordPass gute Beispiele sind, besteht darin, dass Sie von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen können, solange Sie eine Internetverbindung haben. Webbasierte Passwort-Manager können in verschiedenen Formen vorkommen – am häufigsten als Browsererweiterung, Desktop-Anwendung oder mobile App.

Einmalige Anmeldung (Single sign-on, SSO). Im Gegensatz zu einem Passwort-Manager, der einzigartige Passwörter für jede Anwendung speichert, die Sie verwenden, ermöglicht SSO Ihnen, ein Passwort für jede Anwendung zu verwenden. Betrachten Sie SSO als Ihren digitalen Reisepass. Wenn Sie in ein fremdes Land einreisen, bescheinigt ein Pass den Beamten bei der Zoll- und Einwanderungsbehörde, dass Ihr Heimatland für Sie bürgt und dass Sie mit minimalem Aufwand eintreten dürfen. Ebenso müssen Sie bei der Verwendung von SSO zur Anmeldung bei einer Anwendung Ihre Identität nicht verifizieren. Stattdessen bürgt der SSO-Anbieter für Ihre Identität. Unternehmen bevorzugen SSOs gegenüber Passwort-Managern aus mehreren Gründen. Vor allem ist SSO eine sichere und bequeme Möglichkeit für Mitarbeiter, auf die Anwendungen zuzugreifen, die sie für ihre Arbeit benötigen. SSOs verringern auch die Zeit, die IT zur Fehlersuche und zum Zurücksetzen vergessener Passwörter aufwendet.

Best Practices für Passwörter

Passwörter nicht wiederverwenden. Selbst mit einem Passwort-Manager. Stattdessen sollten Sie einzigartige Passwörter für jede Seite erstellen und den Passwort-Manager das tun lassen, wofür er gemacht ist. Verwenden Sie einen sicheren starken Passwort-Generator, um einzigartige Passwörter für alle Ihre Konten zu erstellen.

Komplexe Passwörter erstellen. Viele Passwort-Manager schlagen Ihnen automatisch starke Passwörter vor, wenn Sie ein Konto für eine neue Seite erstellen. Falls nicht, versuchen Sie, eine zufällige Kombination aus Buchstaben und Zahlen zu verwenden und zwischen Groß- und Kleinbuchstaben zu wechseln. Je komplexer und unsinniger, desto besser—vor allem, da Sie sich das nicht merken müssen. Der Passwort-Manager übernimmt das. Der einzige wichtige Unterschied besteht darin, dass Sie sich Ihr Master-Passwort (das, das alle anderen Passwörter entsperrt) merken müssen. Also, es sei denn, Sie haben ein fotografisches Gedächtnis, versuchen Sie sich etwas einprägsames zu überlegen, das nicht leicht auf Ihre Identität zurückzuführen ist. Dann fügen Sie einige Großbuchstaben, einige Buchstaben und einige Sonderzeichen hinzu, und Ihr Passwort-Tresor ist gut geschützt.

Eine Passphrase verwenden. Bei der Erstellung Ihres Master-Passworts (das, das Ihre anderen Passwörter entsperrt), versuchen Sie es mit einer Passphrase; d.h. eine Reihe von Wörtern, die leicht zu merken, aber schwer zu erraten sind. Etwas Vertrautes mit einer seltsamen Wendung, zum Beispiel: „Bohnenburrito Eiscremeschnitten.“ Oder einfach eine Menge zufälliger Dinge, die sich ein Mensch leicht vorstellen, ein Computer jedoch nicht. Benutzen Sie Ihre Fantasie! Namen von Haustieren, Kindern oder anderen Familienmitgliedern oder Sätze wie „Lassen Sie mich rein!“ sind viel zu häufig und daher leicht von Cyberkriminellen zu entziffern.

Aktivieren Sie die Zwei-Faktor- (2FA) oder Multi-Faktor-Authentifizierung (MFA). Eine der besten Möglichkeiten, ein Konto zu sichern, sei es ein Passwort-Manager oder nicht, besteht darin, MFA zu aktivieren. Mit einem MFA-aktivierten Passwort-Manager müssen Sie Ihre Identität mit zwei oder mehr Authentifizierungsfaktoren verifizieren, die etwas umfassen, das Sie wissen, etwas, das Sie besitzen, und etwas, das Sie sind. Das, was Sie wissen, ist in der Regel Ihr Passwort, kann aber auch eine PIN sein. Etwas, das Sie besitzen, könnte Ihr Mobiltelefon, Ihre Bankkarte oder ein Sicherheitstoken auf einem USB-Stick sein. Schließlich kann etwas, das Sie sind, mit biometrischen Daten überprüft werden, wie Gesichts-, Sprach- oder Iriserkennung und Fingerabdruck-ID. Verhaltensbiometrie, wie zum Beispiel Tastenanschläge, kann ebenfalls angewendet werden.

Diese zusätzliche Sicherheitsebene bedeutet, dass jeder, der versucht, sich in Ihr Konto einzuloggen (einschließlich Ihnen selbst), die zusätzlichen Authentifizierungsfaktoren unter Kontrolle haben muss, die außerhalb von Benutzername und Passwort liegen. Ein Beispiel hierfür wäre: Nachdem Sie Ihr Master-Passwort eingeben, um auf den Passwort-Manager zuzugreifen, würde ein Code an Ihr Mobiltelefon gesendet, den Sie dann eingeben müssten, bevor Sie auf den Tresor zugreifen können. Eine Sache, die zu bedenken ist, wenn Sie Ihr Telefon als Authentifizierungsfaktor verwenden – Telefonnummern können gehackt werden.

Das nennt man SIMjacking (auch SIM-Swapping genannt) und es passiert, wenn ein Cyberkrimineller, der sich als Sie ausgibt, Ihren Telefonanbieter davon überzeugt, Ihre Telefonnummer auf sein eigenes Telefon zu übertragen, indem er Ihre Sicherheitsfragen erfolgreich beantwortet. Eine einfache Suche in sozialen Medien reicht oft aus, um die notwendigen Antworten zu finden, die Betrüger benötigen. Sobald Kriminelle die Kontrolle über Ihr Telefon haben, haben sie alles, was sie brauchen, um Ihre Identität zu stehlen. Dementsprechend sollten Sie stattdessen einen softwarebasierten Authentifikator wie Authy oder Google Authenticator für kritische Konten in Betracht ziehen.

Überlegen Sie zweimal, bevor Sie kostenlose Passwort-Manager nutzen. Viele der beliebtesten kostenlosen Passwort-Manager arbeiten tatsächlich nach einem Freemium-Geschäftsmodell, was bedeutet, dass Sie zahlen müssen, wenn Sie die besten – manchmal essenziellen – Funktionen wollen. Müssen Ihre Passwörter über Browser und Geräte hinweg synchronisiert werden? Benötigen Sie eine digitale Erbschaft? Müssen Sie Anmeldungen mit Ihrer Familie teilen? Benötigen Sie Multi-Faktor-Authentifizierung? Kostenlose Passwort-Manager enthalten diese Funktionen in der Regel nicht. MFA zum Beispiel ist ein Muss. In der Debatte zwischen kostenlos vs. bezahlt, entscheiden Sie sich für einen kostenpflichtigen Passwort-Manager.

Erstellen Sie eine Passwort-Manager-Richtlinie. Hier ein Tipp für kleine und mittlere Unternehmen: Erstellen Sie eine Richtlinie für Passwort-Manager und informieren Sie Ihre Mitarbeiter darüber, dass es in Ordnung ist, einen Passwort-Manager zu verwenden, um ihre Arbeitskonten zu sichern. Ihre Mitarbeiter verwenden bereits einen Mischmasch potenziell unsicherer Methoden, um ihre zahlreichen Passwörter zu verwalten, und die meisten Datenlecks beginnen mit einem schwachen oder wiederverwendeten Passwort. Eine offizielle Passwort-Manager-Richtlinie ist Ihre erste Verteidigungslinie gegen einen Cyberangriff auf Ihr Netzwerk.

Siehe auch: Passkey