Eigentlich sind Passwort-Manager ein alter Hut. Da sich aber mit steigender Tendenz beträchtliche Teile unseres Lebens online abspielen, ist das Thema Passwort-Schutz nach wie vor aktuell. Ob Social Media, Online-Banking, Online-Shopping, E-Mail Account oder nur der Login zur Terminvergabe beim lokalen Friseur. Die meisten von uns haben zig oder hunderte Accounts irgendwo im Internet. Bei mir sind es über 200 und es werden mehr. Sich so viele sichere Passwörter zu merken ist unmöglich. Für viele besteht die „Lösung“ leider darin, entweder sehr einfache Passwörter zu verwenden oder einfach immer das selbe Passwort für viele Accounts zu benutzen. Oft sieht man auch eine Kombination aus beidem.
Noch immer geht von zu schwachen Passwörtern die größte Sicherheitsgefahr im Bereich der Cyberkriminalität aus. Auch die steigende Verfügbarkeit von 2-Faktor-Authentifizierung oder Passkeys hat daran bislang nicht viel geändert. Das ist enorm kritisch. Mit der heute verfügbaren Rechenleistung in normalen Computern lassen sich schwache Passwörter teils in Minutenschnelle mit Brute-Force oder Dictionary-Attacken knacken. Oft braucht es nicht einmal das, denn noch immer gehören Passwörter wie „Passwort“, „1234“ oder „hallo“ zu den beliebtesten. Eigentlich kaum zu glauben, und ich bin immer wieder überrascht, wie wenige Menschen anscheinend Passwort-Manager verwenden.
Schwache Passwörter
Aber wann ist eigentlich ein Passwort zu schwach?
Bei sogenannten Wörterbuch-Attacken („Dictionary Attack“) benutzen die Angreifer Wörterlisten mit bekannten Begriffen und oft verwendeten Passwörtern, um diese auszuprobieren. Damit ist ein Passwort unabhängig von seiner Länge schwach, wenn es aus einem solchen Begriff besteht. Um also überhaupt ein starkes Passwort zu generieren, muss man mit zufälligen Buchstaben-, Sonderzeichen- und Zahlenkombinationen arbeiten. Dann laufen zumindest Wörterbuch-Attacken ins Leere. Angreifern bleibt aber immer die Brute-Force Attacke. Hierbei wird also quasi mit „roher Gewalt“ jede mögliche Kombination ausprobiert. Diese Art der Attacke wird insbesondere auf Passwortlisten angewendet, die aus Einbrüchen von Online-Plattformen stammen und oft im Darknet kursieren.
Idealerweise werden die Online-Plattformen die Passwörter auch stark verschlüsselt und mit einem geeigneten Salt versehen ablegen. Selbst bei einem Einbruch sind die Passwörter dann nicht einfach so verfügbar aber mit genügend Rechenpower ist das nur eine Frage der Zeit. Außerdem können Sie nie sicher sein, dass alle Online-Anbieter Ihre Passwörter auch entsprechend sicher verwahren. Daher kommt es darauf an, dass bei einer Brute-Force Attacke so viele Möglichkeiten durchprobiert werden müssen, dass es auch mit hoher Rechenleistung sehr lange dauern würde, das Passwort zu erraten. Und leider gibt es immer noch Online-Plattformen, die nicht einmal die Anzahl der fehlerhaften Login-Versuche begrenzen. So können Attacken auch direkt auf der Plattform ansetzen.
Und weil die Rechenleistung von Prozessoren quasi stetig steigt, können Passwörter, die vor einigen Jahren noch als sicher galten, heute schon unsicher sein. Beispielsweise gab es vor 10 – 15 Jahren noch die Empfehlung, dass ein Passwort mindestens 8 Zeichen lang sein sollte. Heutzutage sollten es schon mindestens 12 oder mehr sein. Und das immer mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Mit steigender Rechenleistung können eben auch immer schwierigere Passwörter schnell geknackt werden.
Ist einmal eines Ihrer Passwörter geknackt, werden Angreifer dieses dann auch bei anderen gängigen Accounts testen. Möglicherweise erlangen Sie dann gleich Zugriff auf mehrere Ihrer Accounts, falls Sie das selbe Passwort für alle oder mehrere Ihrer Accounts verwenden. Gleiches gilt, falls Ihr Passwort einmal im Zuge eines Datenlecks bei einer Online-Plattform in die falschen Hände geraten sollte, was wahrscheinlich heutzutage der häufigere Fall ist. Selbst wenn das Passwort eigentlich recht sicher war, sind dann gleich viele Ihrer Accounts in Gefahr. Es führt also kein Weg daran vorbei, für jeden Ihrer Accounts ein eigenes, möglichst sicheres Passwort zu verwenden und Ihre Passwörter dann auch regelmäßig zu aktualisieren.
Freund und Helfer
Hier kommen Passwort-Manager ins Spiel. Sie steigern nicht nur Ihre Online-Sicherheit beträchtlich, sondern schaffen auch deutlich mehr Komfort. Die aus meiner Sicht wichtigsten Gründe, ab sofort einen Passwort-Manager zu verwenden, sind:
- Sie müssen sich nur noch ein starkes Passwort merken, nämlich das Master-Passwort für Ihren Passwort-Manager
- Passwort-Manager generieren sichere Passwörter für Sie und verwalten sie sicher (entweder lokal oder in der Cloud)
- Gute Passwort-Manager arbeiten i.d.R. systemübergreifend und synchronisieren Ihre Passwörter auf Ihren verschiedenen Geräten (Mein Passwort-Manager synchronisiert meine Passwörter zwischen MacOS, Linux, IOS und Windows und das über vier verschiedene Browser)
- Passwort-Manager helfen auch beim sicheren Teilen von Passwörtern für gemeinsame Zugänge in Ihrer Familie oder in Ihrem Team auf der Arbeit
- Passwort-Manager können zwischen beruflichen und privaten Accounts trennen, Sie brauchen im Idealfall nur einen Passwort-Manager für Ihre beruflichen und Ihre privaten Accounts
- Passwort-Manager können prüfen, ob Ihr Passwort möglicherweise von einem bekannt gewordenen Datenleck betroffen ist
- Üblicherweise helfen Passwort-Manager auch beim Verwalten von sonstigen „Geheimnissen“, wie PIN-Nummern und Kreditkarten-Daten
- Es gibt neben kostenpflichtigen Angeboten auch sehr gute kostenlose Produkte, die einen sehr hohen Sicherheitsstandard bieten
Und noch besser: Bei der wachsenden Zahl an Browser-basierten Anwendungen integrieren sich gute Passwort-Manager über Plug-ins so gut, dass sie Logins quasi automatisch ausführen und neu angelegte Accounts automatisch in ihren Tresor übernehmen können.
Apropos Browser
Auch die gängigen Browser bieten jeweils Passwort-Speichermöglichkeiten an. Wozu also noch ein extra Produkt anschaffen, das womöglich auch noch Geld kostet?
Von der Speicherung Ihrer Passwörter im Browser muss ich abraten. Die aktuellen Browser erreichen bei Weitem nicht die Sicherheitslevel von guten Passwort-Managern. Man kann sagen, dass das Kombiprodukt in diesem Fall leider nicht so gut ist, wie das Spezialprodukt. Immerhin tun die Hersteller von Passwort-Managern nahezu nichts anderes, als sich um Sicherheitsthemen zu kümmern. Neben der Sicherheit ist aber auch der Komfort ein Thema. Im Optimalfall benötigen Sie nur einen einzigen Passwort-Manager für alle Ihre Geräte.
Bei der Speicherung im Browser binden Sie sich einen bestimmten Browser. Für manche man das kein Problem sein. Ich denke jedoch, dass die Mehrheit der Nutzenden mehrere Geräte mit verschiedenen Betriebssystemen und Browsern verwendet. Tablet, Laptop und Handy sind ja heutzutage eher die Grundausstattung und nur sehr selten dürften Sie auf allen ihren Geräten den gleichen Browser verwenden. Aus diesem Grund ist es für die meisten Nutzer wahrscheinlich eher unpraktisch, Passwörter im Browser zu speichern.
Investitionen
Gute Passwort-Manager müssen nicht teuer sein. Es gibt sogar einige Kostenlos-Versionen mit sehr hohem Sicherheitsstandard und gutem Bedienkomfort. Diese tun es für den Privatgebrauch meist schon. Wer etwas Geld ausgeben will, wird mit zusätzlichen Features wie verschlüsselten Dateitransfers, unlimitiertem Teilen von Passwörtern und Erkennung kompromittierter Passwörter belohnt. Die Kosten liegen dann meist unter 5€ pro Benutzer im Monat. Eine lohnenswerte Investition, privat genauso wie im Unternehmen.
Gute Produkte erkennen Sie daran, dass deren Anbieter transparent mit ihren Sicherheitsmaßnahmen sind und sich regelmäßig externen Audits unterziehen. Einige sind sogar Open Source. Das bedeutet, dass Expert*innen weltweit – und auch Sie wenn Sie mögen – den Quellcode des Passwort-Managers einsehen und auf Herz und Nieren prüfen können. Sie bieten starke Ende-zu-Ende Verschlüsselung jedes einzelnen Passworts nach dem AES-Verschlüsselungsstandard und verschlüsseln alle Passwörter lokal vor ihrer Übertragung.
Ihr Master-Passwort wird ebenso nur lokal einweg-verschlüsselt und als kryptographischer Hash übertragen. Weder Entwickler noch Betreiber der Passwort-Manager können niemals ihre Passwörter einsehen. Die Hash-Funktionen sollten dabei mindestens dem Standard SHA-2 (mindestens SHA-256) oder besser dem SHA-3 Standard entsprechen. Auch wenn viele vielleicht mit diesen Angaben nicht viel anfangen können, vielleicht sind sie Motivation, sich doch ein wenig mit der Materie zu beschäftigen. Ich nenne hier bewusst keine bestimmten Produkte oder Anbieter. Kontaktieren Sie mich aber gerne für ein paar konkrete Empfehlungen.
Aber wenn mein Passwort-Manager gehackt wird?
Setze ich da nicht alles auf eine Karte? Sind dann nicht auf einmal alle meine Passwörter weg? Eine berechtigte Frage …
Die Antwort ist: Das ist äußerst unwahrscheinlich. Angreifer müssten die Liste Ihrer sehr stark verschlüsselten Passwörter in die Hände bekommen und zusätzlich Ihr Master-Passwort. Das dürfte kaum passieren, wenn Sie ein sicheres Passwort wählen und eine 2-Faktor Authentifizierung für Ihren Passwort-Tresor aktivieren.
Schließlich sind die Entwickler und Betreiber von Passwort-Managern Profis, deren Job darin besteht, für die heutige und zukünftige Sicherheit von Passwörtern zu sorgen. In den sehr langen Listen von Einbrüchen bei Internet-Plattformen kommen in den letzten 10 Jahren nur äußerst selten Password-Manager vor. Die Fälle, die bekannt sind, wurden auch stets sehr schnell behoben und nur in extrem wenigen Fällen wurde auch tatsächlich Zugriff auf (immer noch verschlüsselte) Passwörter erreicht.
Letztlich geht es darum, wem Sie vertrauen möchten. Ich hoffe allerdings, hier in paar gute Gründe für das Vertrauen in die Nutzung von Passwort-Managern geliefert haben zu können.