Jeder von uns kennt es: man erstellt zunehmend Benutzer-Accounts, sei es geschäftlich oder auch privat, um online zu bestellen, Dienste zu streamen oder auch sonstige Online-Dienste in Anspruch nehmen zu können. Dabei wird man regelmäßig dazu aufgefordert einen Benutzernamen und ein Passwort zu vergeben. Die Folge ist: Je mehr Online-Accounts man erstellt, desto weniger Lust hat man in der Regel sich neue – bestenfalls komplexe – Anmeldedaten zu überlegen und zu merken. Daher besteht oft die Versuchung, die gleichen Anmeldedaten für alle Accounts zu verwenden oder die Anmeldedaten auf ein Stück Papier zu schreiben bzw. in einem nicht passwortgeschützten Handy zu speichern. Und dann verliert man das Handy… denkbar ist auch, dass mehrere Accounts gleichzeitig gehackt werden, da diese identische Passwörter haben… Hätte hier ein Passwortmanager schlimmeres verhindern können?
Was ist ein Passwort-Manager überhaupt?
Aber erstmal zu der Frage: Was ist überhaupt ein Passwort-Manager? Passwort-Manager sind Programme, die Benutzernamen und Passwörter verwalten. Mittels einer Verschlüsselung und eines komplexen Masterpassworts werden alle Ihre Passwörter sicher verwahrt. In etwa wie ein Notizbuch, das in einer Schublade eingeschlossen ist und dessen Inhalte nur für den Besitzer/die Besitzerin einsehbar sind – vorausgesetzt, sie haben den Schlüssel. Bei dem Masterpasswort handelt es sich um ein zentrales Passwort, das man für die Anmeldung im Passwort-Manager benötigt. Dieses Passwort muss besonders komplex und gesondert aufbewahrt werden, denn damit lassen sich alle anderen Passwörter, die im Passwort-Manager gespeichert sind, abrufen.
Vorteile aber auch Risiken
Das Ganze hört sich gut und einfach an aber ist es wirklich sicher und lohnt es sich überhaupt? Bei der Beantwortung dieser Frage, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gute Übersicht mit den wichtigsten Aspekten eines Passwort-Managers veröffentlicht.
Zu den Vorteilen eines Passwort-Managers zählen insbesondere das Verwahren von Passwörtern und Benutzernamen mittels Verschlüsselung und die Unterstützung bei der Vergabe von komplexen Passwörtern (z. B. durch die Generierung starker Kombinationen und Kennzeichnung schon verwendeter oder schwacher Begriffe). Zudem gibt es grundsätzlich eine Warnung vor gefährdeten Websites und möglichen Phishing-Attacken (beispielsweise, wenn sich die URL der aufgerufenen Webseite von der gespeicherten unterscheidet), sodass das Surfen im Internet dadurch ein Stück sicherer wird. Nicht zu vergessen ist dabei, dass auch ein Synchronisieren möglich ist, sodass bei Verwendung der Online-Dienste auf mehreren Geräten (mehrere Computer/Smartphones und unterschiedliche Betriebssysteme) nur ein Programm verwendet werden muss, das alle Einträge synchronisiert.
Leider ist auch der Einsatz eines Passwort-Managers nicht risikofrei. Ein hohes Risiko stellt der Anwender selbst dar. Dieser kann das Masterpasswort vergessen, sodass grundsätzlich alle im Passwort-Manager gespeicherten Daten ggf. verloren gehen können. Je nach ausgewähltem Anbieter kann aber eine Wiederherstellung des Masterpassworts möglich sein, sodass die Auswahl des richtigen Anbieters eine besonders wichtige Rolle spielt. Denkbar ist auch ein Cyber-Angriff auf einen Passwort-Manager, durch den alle Passwörter auf einmal gestohlen werden können. Dabei ist mit Sicherheit im Einzelfall das jeweilige Risiko für sich selbst abzuwägen, d. h. zwischen einem Cyber-Angriff und dem Verlust von eigenen Passwörtern aufgrund des eigenen unvorsichtigen Verhaltens. Nicht zu vergessen ist dabei selbstverständlich die rechtzeitige Durchführung von Updates. Wie jedes andere Software-Programm sind auch in diesem Fall stets die neuesten Updates zu installieren. Nur so kann sichergestellt werden, dass offene und bekannte Lücken der Anwendung, rechtzeitig behoben werden. Zudem sind bei der Auswahl des Anbieters die ergriffenen Sicherheitsmaßnahmen für den Passwort-Manager mit Sorgfalt zu bewerten. Für hochsensible Inhalte z. B. sollte man am besten einen erweiterten Schutz mit einer sog. 2-Faktor-Authentifizierung (d. h. ein Bestätigungscode wird an ein weiteres Gerät wie Ihr Smartphone gesendet, um den Vorgang eindeutig zu authentifizieren) einrichten.
Eine Abwägung der Vorteile und Risiken im privaten Bereich lässt sich in der Regel leicht durchführen, denn hier greift die DSGVO nicht – vorausgesetzt, man verwaltet eigene personenbezogene Daten. Sollten Passwort-Manager hingegen in einem Unternehmen eingesetzt werden, so ist eine weitreichende Abwägung unter der Berücksichtigung der geltenden datenschutzrechtlichen Vorschriften durchzuführen. Insbesondere die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO und die Beteiligung des Datenschutzbeauftragten / der Datenschutzbeauftragten des Unternehmens spielen dabei eine wichtige Rolle.
Fazit
Ob privat oder geschäftlich, die meisten von uns haben täglich mit Passwörtern zu tun. Dabei wird die Anzahl und die Komplexität von Passwörtern leider noch oft verharmlost, was wiederum nicht selten zu schwerwiegenden Folgen für die Sicherheit unserer Daten führt oder führen kann. Die Einrichtung eines Passwort-Managers ist eine sehr gute Option, um die Datensicherheit sowohl im Online-, als auch im Offline -Bereich zu erhöhen. Für den Anfang ist gewiss maßgeblich, sich mit der Auswahl des richtigen Dienstleisters auseinanderzusetzen.
Anonymous
10. März 2022 @ 13:06
Privat verwende ich statt eines Passwortmanagers lieber einen Texteditor mit Verschlüsselungsfunktion, dessen EXE-Datei einen unverdächtigen oder irreführenden Namen bekommen hat und in der Tiefe der lokalen Ordnerstruktur versteckt ist. Bei einem Passwortmanager weiß ein Angreifer genau, dass er darin findet, was er sucht, bei einer unbekannten EXE-Datei nicht. Zur Erhöhung der Sicherheit kann man diese zusätzlich noch in eine verschlüsselte ZIP-Datei packen – damit keine Informationen über die EXE-Datei ausgelesen werden können. Und in dieser Textdatei kann man seine Daten so verkürzen, dass man nur selbst die Bedeutung kennt. Selbst nummerische PINs speichere ich nicht direkt, sondern nur das Ergebnis einer Multiplikation mit der PIN, wobei einer oder mehrere Buchstaben mir den Multiplikator verraten.
Das ist zwar nicht so komfortabel wie ein Manager, aber aus meiner Sicht sehr viel sicherer, zumal ich nur von zuhause aus auf Online-Dienste zugreife. Selbstverständlich wird diese Datei auch in die Datensicherung einbezogen.
Anonymous
9. März 2022 @ 13:03
Tavis Ormandy „empfiehlt“ KeePass oder LastPass:
https://twitter.com/taviso/status/1167311357957435392
KeePass hat halt den Nachteil (und gleichzeitig Vorteil), dass man sich selbst um den Verbleib der Datenbank kümmern kann und muss. Wer die lokal auf seinem Rechner gespeichert hat und der kommt abhanden oder fällt aus, naja, das wars dann mit den Zugangsdaten.
Bei KeePass sollte man auf jeden Fall die Einstellungen der Datenbank so ändern, dass die Anzahl der Iterationen für die Schlüsselableitung so hoch gewählt ist, dass die Datenbank auf dem langsamsten Gerät das man verwendet in gerade noch akzeptabler Zeit geöffnet werden kann.
PC-Fluesterer.info Christoph Schmees
10. März 2022 @ 21:55
bitte genau lesen und wiedergeben! Travis EMPFIEHLT KeePass und KeePassX, beides FOSS. Leider ist es damit schwierig (aber möglich), die PW-Datenbank online verfügbar zu haben. Für den Fall nennt er LastPass, aber eher im sinne des kleinsten Übels. Außerdem ist der Beitrag vom August 2019, so alt wie die Welt. Im Dezember des Jahres wurde LogMeLin, die damalige Besitzerin von LastPass, an eine Heuschrecke verkauft. LastPass ist als Closed-Source für mich off-limits. Das Bessere ist des Guten Feind. Inzwischen gibt es Bitwarden. Die SW ist FOSS; wer will, kann selber einen Server für seine Datenbank betreiben. Man kann aber auch die Dienste von Bitwarden nutzen, sogar kostenlos. Für 10$/Jahr bekommt man 2FA und mehr. Das Alles mit E2EE und Zero-Knowledge des Anbieters. Mehr zum Themenkomplex hier: https://www.pc-fluesterer.info/wordpress/2019/12/20/lastpass-an-heuschrecke-verkauft/