Zuletzt aktualisiert am 13. Dezember 2022 von Lars
Passwort Manager: Sind sie die Lösung für den Umgang mit den vielen Logins, die man beim täglichen Arbeiten am PC benötigt? In diesem Artikel schauen wir uns die Passwort-Problematik etwas genauer an.
Umgang mit Passwörtern am Computer
Heutzutage benötigt man praktisch für alle Computer-Dienste einen Account mit Benutzernamen und Passwort. Wie hältst du es mit den Passwörtern? Dass Passwörter mit Vornamen, "1234", "qwertz" oder dem Geburtsdatum keine gute Idee sind, hat sich ja schon rumgesprochen. Aber warum verlangen so viel Dienste nach komplexen Passwörtern und wie soll ich mir diese merken?
Ein Passwort soll dazu dienen, deine Identität zweifelsfrei feststellen zu können. Damit schützt du also diverse Dienste, wie zum Beispiel deinen E-Mail-Account. Cyberkriminelle sind aber an fremden Accounts interessiert, zum Beispiel um darüber Spam verschicken zu können oder Geschäfte in fremden Namen abwickeln zu können.
Darum musst du ein komplexes Passwort verwenden
Wenn du nun ein einfaches Passwort verwendest, dann haben diese Gauner leichtes Spiel. Denn mit relativ wenig Aufwand lassen sich Programme generieren, die mit vordefinierten Wörterbüchern in Sekundenbruchteilen diverse Passwortkombinationen durchprobieren.
Hast du einfache Elemente in deinem Passwort, wie zum Beispiel "1234", "qwertz" oder deinen Vornamen, so ist dein Passwort Ruck Zuck geknackt und Fremde können unter deiner Identität agieren.
Daher musst du also ein komplexes Passwort verwenden.
Darum darfst du dein Passwort nur einmal für einen Dienst verwenden
Jetzt hast du vielleicht ein kompliziertes Passwort, verwendest das aber überall zur Anmeldung. Nehmen wir einmal an, du würdest bei deiner E-Mail-Adresse und beim Zugang zu deinem Ferien-Anbieter dasselbe Passwort verwenden. Beim Ferien-Anbieter sind aus irgendeinem Grund die Server nicht genügend abgesichert und die Passwörter nicht hoch genug verschlüsselt.
Cyberkriminelle hacken den Ferien-Anbieter und kommen so an alle Passwörter in der Kundendatenbank und damit auch an dein Passwort.
Die meisten Dienste verwenden als Benutzernamen eine E-Mail-Adresse. Die Hacker haben nun deine E-Mail-Adresse und dein Passwort und werden es mit der Kombination als Nächstes bei deinem E-Mail-Anbieter versuchen. Und schon haben die Gauner vollen Zugriff auf deine E-Mails und können in deinem Namen im Internet agieren.
Jetzt stell dir vor, auch dein E-Banking hätte das gleiche Passwort.
Aber bei mir kommt das doch nicht vor!
Leider sind solche Passwort-Hacks gang und gäbe. Es gibt Dienste, bei denen du abfragen kannst, ob deine E-Mail-Adresse bei einem Hack ausgelesen wurde. Der bekannteste dürfte ';--have i been pwned? (kurz HIBP) sein.
Gib doch auch einmal dort deine E-Mail-Adresse ein:
Du siehst, die von mir eingegebene E-Mail-Adresse taucht bei 3 sogenannten "data breaches" auftaucht. Um zu sehen, welche Dienste das waren, scrolle bitte weiter herunter.
Ein "data breach" (deutsch "Sicherheitsverletzung") ist so definiert:
"Eine 'Sicherheitsverletzung' ist ein Vorfall, bei dem Daten versehentlich in einem anfälligen System offengelegt werden, in der Regel aufgrund unzureichender Zugangskontrollen oder Sicherheitsschwächen in der Software." (https://haveibeenpwned.com/FAQs#DataSource)
Cyberkriminelle konnten sich also hier Zugang zu den beim Anbieter gespeicherten Daten verschaffen.
Neben "data breach" kennt HIBP noch "paste" (deutsch "Einfügen"):
Hier geht es um mögliche versehentliche Veröffentlichungen der E-Mail-Adresse in öffentlichen Foren, wie zum Beispiel Twitter.
Meine E-Mail-Adresse ist nicht gelistet
Wunderbar, da hast du Glück gehabt. Aber auch wenn deine E-Mail-Adresse nicht gelistet ist, solltest du auf keinen Fall überall das gleiche Passwort verwenden. Einmal ist immer das erste Mal.
Was ist mit der Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung, bei der man neben dem Passwort in der Regel mit dem Smartphone noch zusätzlich einen Code generiert oder erhält, entschärft die Problematik tatsächlich etwas. Aber wirklich nur etwas. Du solltest auch hier nicht überall das gleiche Passwort verwenden. Zukünftig können Lücken auftreten, die Angreifer nutzen können.
Aber wie soll ich mir alle Passwörter merken?
Hier kommen Passwort Manager ins Spiel.
Ein paar wenige komplexe Passwörter kann man sich noch mit Tricks merken: Zum Beispiel einen langen Merksatz nehmen und nur die ersten Buchstaben verwenden. Aber da ist mit steigender Anzahl der Passwörter schnell Schluss.
Wenn du bereits ein Büchlein hast, in dem du sorgfältig alle Passwörter notierst, bist du eigentlich schon mal ganz gut dran. Doch das Büchlein kann man zu Hause vergessen.
Und mit der Excel-Liste im Rechner ist es auch so eine Sache. Ist diese wirklich sicher vor unbefugtem Zugriff? Wird diese regelmässig gesichert?
Passwort Manager
Wie funktioniert ein Passwort Manager?
Passwort Manager sind Programme oder besser verständlich Datenbanken für Passwörter. Manchmal sagt man auch Passwort Datenbanken dazu.
Die Datenbank selber ist dann durch ein Master Passwort und eventuell zusätzliche Mittel geschützt. Das Passwort für die Datenbank muss also dann entsprechend komplex sein und das darfst du wirklich nicht vergessen.
Sobald du den Passwort Manager startest und du das zugehörige Passwort eingegeben hast, kannst du auf deine Passwörter zugreifen.
Wie sicher sind Passwort Manager?
Natürlich gibt es auch Kritik an Passwort Manager, da diese im Falle einer Sicherheitslücke des Managers selber das ganze digitale Leben preisgeben könnten. Nach derzeitigem Stand sind die Passwort Manager aber sehr sicher. Die Daten werden entsprechend hoch verschlüsselt und diese Sicherheitsstandards sind sehr stark.
Die besten Passwort Manager?
Passwort Manager gibt es viele auf dem Markt und Tests sind schon einige im Netz, wie zum Beispiel Passwortmanager-Test 2022: Sichere Passwörter auf allen Geräten.
Grundsätzlich kann man unterscheiden zwischen kostenpflichtigen und kostenlosen Produkten. Die Produkte unterscheiden sich auch im Funktionsumfang.
KeePass - Ein kostenloser Passwort Manager
Der kostenlose Passwort Manager, den ich am liebsten einsetze, ist KeepassXC. Er kann zum Beispiel hier für Windows und hier für Mac heruntergeladen werden.
Für Apple und Android sind Apps verfügbar, die das Dateiformat ebenfalls lesen können.
Für iOS verwende ich IOSKeePass. Für Android KeePass2Android.
Es gibt generell verschiedene Clients, mit dem auf die Passwort-Datenbank zugegriffen werden kann. Das Originalprogramm KeePass kommt mit einer Oberfläche daher, die nicht mehr auf der Höhe der Zeit ist und von daher empfehle ich hier auf KeepassXC. Auf dieser Website findest du ausserdem weitere Clients für die verschiedensten Betriebssysteme.
KeePasssXC speichert seine Daten verschlüsselt in einer Datei. Wenn du die Passwörter in verschiedenen Systemen benötigst, musst du selbst entscheiden, ob du die Datei einer Cloud anvertrauen magst.
Eine gute Videoanleitung zu KeePassXC für Einsteiger gibt es von Bildner TV unter Mit dem kostenlosen Passwortmanager KeePass XC vergisst Du keine Passwörter mehr!
KeePassXC lässt sich auch mit Browsererweiterungen in verschiedene Browser integrieren. Auch hierzu gibt es bei Bildner TV ein Video: Passwortmanager KeePass XC: Mit Browsererweiterungen automatisch bei Benutzerkonten anmelden!
1Password - Ein kostenpflichtiger Passwort Manager
1Password ist ein kostenpflichtiges Produkt. Die zugehörige Website findest du hier: 1password.com. 1Password ist ab 2.99 Dollar im Monat erhältlich.
1Password bietet gegenüber KeePass zusätzliche Funktionen. Es kennt zum Beispiel bekannte Sicherheitsvorfälle bei Diensten und warnt, wenn man auch davon betroffen sein könnte. Ausserdem lassen sich Scans von wichtigen Dokumenten, wie zum Beispiel Ausweispapieren in 1Password ablegen
Grosse Vorteile hat 1Password auch beim Einsatz in Unternehmen mit mehreren Mitarbeitern. Es lassen sich diverse sogenannte "Tresore" bilden, die einzelnen Gruppen zugewiesen werden können und Nutzer können auch Ihren eigenen Tresor haben.
Die Passwort-Datenbank wird bei 1Password in der Standardkonfiguration zentral verschlüsselt in einem Online-Speicher bei 1Password abgespeichert. Der Vorteil ist hier, dass man sich um Ablageorte nicht zu kümmern braucht.
Auch wie für KeePass gibt es Clients für die verschiedensten Systeme.
Und was ist mit den Passwort-Managern im Browser?
Praktisch alle gängigen Browser wie zum Beispiel Chrome, Firefox oder Edge haben einen Passwort-Manager integriert. Der Komfort ist sogar meist noch höher, als bei den separaten Passwort-Managern. Natürlich kannst du auch diese nutzen, doch sie haben in meinen Augen zwei entscheidende Nachteile:
- Man kann sie nur im jeweiligen Browser nutzen, also nicht für eine App oder ein browserunabhängiges Programm.
- Benötigst du auf einer Website mehrere Logins, wird oft das falsche verwendet.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!