Passwort-Management – Wie verwaltet man seine Passwörter?

geschrieben am 20.02.2015
Schlagwörter: ,

Immer noch nutzen viele Internetnutzer nur eine Handvoll Passwörtern oder sogar nur ein Einzelnes zur Identifikation im Internet. Ohne beschönigende Worte: Dies grenzt an Harakiri. Nur unwesentlich besser machen es solche User, die zwar mehrere Passwörter verwenden, diese aber in einer Text-Datei abspeichern (die schlimmstenfalls auch noch „passwoerter.doc“ genannt wird).
Passwörter sind nur gut, solange diese geheim sind und nicht leicht erraten werden können. Die beiden beschriebenen Verhaltensweisen sind weit verbreitet, sie sind aber auch sehr gefährlich, denn sie unterlaufen die Schutzfunktion von Passwörtern.
In diesem Artikel erläutern wir Ihnen, warum gutes Passwortmanagement wichtig ist, wie Sie Ihr Passwortmanagement verbessern können und welche Methoden von moderner Software unterstützt werden.

Passwörter sind nicht sicher

Angesichts der vielen Online-Dienste, die man heutzutage benutzt, summieren sich selbst bei wenig ambitionierten Surfern die Login-Daten schnell auf zwei Dutzend Nutzername-Passwort-Kombinationen. Dafür ist unser Hirn nicht gemacht und so siegt am Ende dann häufig die Bequemlichkeit über unser Sicherheitsbedürfnis und man fällt auf zwei/drei Passwörter zurück oder unterscheidet in ein wichtiges und ein unwichtiges Passwort. Kommt Ihnen das bekannt vor? Wenn ja, tun Sie dies bitte nicht!

  • Januar 2014: Yahoo gibt zu, dass Hacker Zugangsdaten und Passwörter seiner Nutzer gestohlen haben. Wie viele Kunden betroffen sind, wird nicht veröffentlicht. (Quelle: Stern)
  • April 2014: Das BSI veröffentlicht eine Liste mit 18 Millionen kompromittierten E-Mail Konten (Quelle: BSI)
  • Mai 2014: Ebay meldet, dass 145 Millionen Kundendaten gestohlen wurden (Quelle: eBay)
  • August 2014: eine Russische Hackergruppe veröffentlicht eine Liste mit 1,2 Millionen Zugangsdaten (Quelle: t3n)

Dies ist nur ein Auszug der Meldungen über den Diebstahl von Passwörtern und Kundendaten aus dem letzten Jahr. Die Liste ließe sich nahezu beliebig verlängern. Schlimmer noch: Cyber-Kriminalität nimmt seit Jahren zu und die Methoden der Hacker werden immer ausgefallener. Schlimmer noch, das Katz- und Maus-Spiel von Cyber-Dieben und Cyber-Wächtern scheint zunehmend zu Gunsten der Diebe aus zu gehen. Leider, so muss man mit einem nüchternen Blick auf die Realität eingestehen, fällt früher oder später auch eines Ihrer Passwörter in die Hände der Datenmafia.

Grafik: schlechteste Passwörter aus 2012Die einzige und effektive Maßnahme zur Minimierung der Folgen eines Passwortdiebstahls ist es, für jeden Dienst und jede Webseite ein eigenes Passwort zu verwenden. Nur so kompromittiert ein verlorenes Passwort nicht die gesamte digitale Identität des Nutzers. Stellen Sie sich vor, ein Gauner nutzt eine bekannte Sicherheitslücke von irgendeiner unbedeutenden, nicht aktualisierten Forumswebseite und erbeutet Ihr Passwort. Der Schaden ist minimal, aber der Gauner wird dann versuchen, mit diesem oder systematischen Abwandlungen davon auch bei Shopping-Portalen, PayPal oder anderen Diensten einzusteigen. Dies kann teuer werden.

Tools zum Verwalten Ihrer Passwörter

Im Folgenden möchten wir Ihnen verschiedenste Möglichkeiten aufzeigen, wie man mit der Flut an Passwörtern umgehen kann.

1) Passwortmanager
Es gibt eine schier unzählige Menge an Passwortmanagern auf dem Markt. Alle arbeiten nach dem Prinzip, dass der Passwortmanager neue Passwörter per Zufallsgenerator erzeugt und alle genutzten Passwörter sicher verwaltet. Um an die gespeicherten Passwörter zu kommen, genügt ein zentrales Masterpasswort. Ein bekannter Vertreter aus dem Open Source Bereich ist z.B. Keepass oder KeepassX. Die bekannten Internet Security-Suiten bieten in aller Regel ebenfalls einen integrierten Passwort Manager.
Der unbestreitbare Vorteil von Passwortmanager ist deren Komfort, da diese die Last des Passwort-Merkens abnehmen und die Eingabe des kryptischen, zufällig erzeugten Passworts übernehmen. Mit den guten Open Source-Passwortmanagern erhalten Sie auch sehr gute Programme ohne Zahlungsverpflichtung.
Das Problem bei Passwortmanagern ist jedoch, dass mit dem Verlust des Masterpassworts auch alle abgespeicherten Nutzernamen-Passwort-Kombinationen verloren gehen. Wenn das Masterpasswort geklaut wird, dann bedeutet dies ebenso, dass der Dieb mit Hilfe des Masterpassworts den uneingeschränkten Zugang zu allen Ihren Diensten und Webseiten hat. In diesem Fall ist ein Passwortmanager nicht viel sicherer als die oben beschriebene Text-Datei passwoerter.doc.
Ein weiteres Problem kommt bei der Nutzung mehrerer internetfähiger Geräte hinzu: Wenn Sie Ihre Passwörter auf Ihren unterschiedlichen Geräten synchron halten wollen und Sie verwenden dafür irgendwelche Cloud-Dienste, dann speichern Sie Ihre wichtigsten und schützenswertesten Informationen eventuell in einem unsicheren Medium.

2) Passwort-Wolke
Alternativ kann man all seine Passwörter einem Cloud-Dienstleiser anvertrauen. So entfällt die lästige Synchronisation, jedoch muss man den Angaben des Anbieters vertrauen. Bekannte Vertreter der Passwort-Wolke sind Lastpass und Mitro.
Niemand kann jedoch wirklich nachprüfen, ob der Anbieter tatsächlich die Passwörter so speichert, dass er selbst nicht darauf zugreifen bzw. dass ein Einbrecher nicht auf die Passwörter im Klartext Zugriff erlangen kann. Es liegt nahe, dass die Passwort-Wolken Anbieter ihr Möglichstes tun, um dies zu vermeiden. Andererseits stellen Sie aber auch attraktive Ziele für Hacker dar.

3) Passwörter im Browser speichern
Mittlerweile bieten alle bekannten Browser die Möglichkeit, Benutzernamen und Passwörter für Logins auf Webseiten zu speichern. Chrome und Firefox bieten darüber hinaus die Möglichkeit, diese geräte- und plattformunabhängig abzugleichen.
Auf den ersten Blick erscheint diese Option sehr attraktiv. Firefox und/oder Chrome verwendet nahezu jeder und gerade bei Firefox als Open Source Projekt kann man hohes Vertrauen haben, dass es keine Hintertürchen gibt. Auf den zweiten Blick zeigen sich dann aber doch die Nachteile: Abgesehen von der fehlenden Backupmöglichkeit seiner Passwörter hat die Texas Tech Security Group bereits gezeigt, dass es für einen Trojaner oder einen versierten Computernutzer durchaus möglich ist, an die gespeicherten Passwörter zu kommen. (Quelle: raidersec) Auch in diesem Fall gilt: Ihre gesamte digitale Identität ist bedroht.

4) Ein Basispasswort mit Ergänzungen
Viele Experten empfehlen, dass man sich ein ausreichend sicheres Basispasswort merkt und dieses in Abhängigkeit des genutzten Dienstes erweitert. Hier ein Beispiel: Man merkt sich z.B. die Anfangsbuchstaben von „Zurück in die Zukunft mit Michael J. Fox 1985“ als Basispasswort. ZidZmMJ.F1985 wäre somit das Basispasswort. Dieses Passwort wird dann für jeden Dienst individualisiert, indem man z.B. den ersten und letzten Buchstaben des Dienstes sowie der Anzahl der Stellen ergänzt. So erhält man ZidZmMJ.F1985Ey4 für Ebay und ZidZmMJ.F1985An6 für Amazon.
Diese Art des Passwortmanagement ist auf jeden Fall der Word-Datei oder der Handvoll Passwörter vorzuziehen. Trotzdem besteht eine Restgefahr, dass ein findiger Krimineller oder eine Software anhand von zwei Passwörtern Ihre Regel ableiten kann.

5) Zwei-Faktor Identifikation
Diese Art der Identifizierung ergänzt die übliche Passworteingabe um eine weitere Komponente. So bieten mittlerweile Google, Facebook, Twitter, Evernote, Dropbox, Github und Outlook.com an, dass dem Nutzer ein zusätzlicher Zahlencode per SMS auf ein Handy geschickt werden kann. Nur durch die kombinierte Eingabe des Standardpassworts und des temporär gültigen Codes ist der Zugriff auf den Dienst möglich. Online-Banking Nutzer mit TAN-Generator nutzen ein ganz ähnliches Prinzip.
Die Zwei-Faktor Identifikation erhöht die Sicherheit signifikant. Aus Sicherheitsaspekten ist sie sehr empfehlenswert. Trotzdem wird sich dieser Prozess wohl nicht zum Standard entwickeln, da der Login-Prozess verzögert wird und die Kosten für die SMS und somit jeden Login am Ende zu groß sind. Auch scheuen viele Nutzer die Komplexität: Hat man sein Handy nicht zur Hand oder den TAN-Generator nicht dabei, bleibt der Dienst verschlossen – auch für den eigentlichen Nutzer.

6) Passwortkarte
Die Passwortkarte ist eine zweidimensionale Matrix (z.B. 10 Spalten, 10 Zeilen), in deren einzelnen Feldern unterschiedliche Zeichen enthalten sind. Grafik: ein Beispiel einer Passwortkarte Die Idee hinter der Passwortkarte ist, dass es für uns Menschen einfacher ist, uns eine Logik auf dieser „Karte“, denn eine kryptische Nummern-Zeichenfolge zu merken. So könnte z.B. Ihr eBay-Passwort die vier Kombinationsfelder aus Buchstabe und Position des Anbieters sein. Dies wäre natürlich eine sehr einfache Logik, verdeutlicht aber das Prinzip.
In der c’t 18/2014 wurde die Passwortkarte empfohlen. Mit dieser kann man sich auf einfache Weise individuelle Passwörter für beliebige Dienste erzeugen, welche deutlich sicherer als das Basispasswort mit Ergänzungen sind. Da die Passwörter nirgends gespeichert werden, ist die Gefahr des Diebstahls von der eigenen Festplatte oder der Cloud gebannt. Der Nachteil ist jedoch, dass man immer die Passwortkarte dabei haben muss, die Logik nicht vergessen darf und dass man die Passwörter jedes Mal manuell eintippen muss.

Wie merke ich mir ein Passwort – Fazit

Jeder Ansatz hat seine Vor- und Nachteile. Bei einer Abstimmung unter den ionas-Mitarbeitern gab es keinen klaren Gewinner. Die einen schwören auf einen Passwortsafe, ein anderer Teil merkt sich lieber ein Basispasswort und unzählige damit verbundene Ausprägungen und ein paar unverbesserliche verwenden für unwichtige Seiten ein Standardpasswort und machen Sich nur für wichtige Seiten die Mühe mit dem jeweils eigenen Passwort.
Aus diesem Grund geben wir auch keine Empfehlung ab. Überlegen Sie sich anhand dieser Übersicht, wie Sie Ihre Passwörter verwalten und wo Sie den Schnitt aus Komfort und Sicherheit ziehen wollen. Es kann auch nicht schaden, die Passwörter regelmäßig zu ändern. Dies soll nicht bedeuten, dass Sie alle 14 Tage neue Passwörter setzen müssen, aber spätestens nach 12 Monaten oder einem konkreten Anlass sollten Sie eine Neudefinition der Passwörter ins Auge fassen. Unsere klare negative Empfehlung vom Beginn des Artikels wollen wir hier aber auf jeden Fall nochmal wiederholen: Jede der oben genannten Lösungen ist besser als ein oder zwei Standardpasswörter.


Kommentar schreiben

Kommentar


[…] Nehmen wir mal an, Sie gehören zu den wenigen Internetnutzern, die mustergültige Passwörter verwenden. Ihre Passwörter haben mehr als 10 zufällige Zeichen, darunter Groß- und Kleinbuchstaben, genauso wie Zahlen und Sonderzeichen. (Passwörter werden im Folgenden grundsätzlich als Kombinationen aus Buchstaben, Ziffern und Sonderzeichen verstanden und nicht im engen Sinne als sinnvolle Buchstabenfolgen.) Mit solchen Passwörtern ist Ihre digitale Identität im Internet sehr gut geschützt (siehe dazu auch unseren Artikel zu Passwort Management). […]

[…] Verwenden Sie gute und unterschiedliche Passwörter (siehe dazu unseren Artikel Passwort Management). […]

[…] So wird es gemacht: Öffnen Sie die Einstellungen Ihres Android-Gerätes. Suchen Sie sich den Punkt ‚Sicherheit‘ und in dieser Rubrik den Unterpunkt ‚Displaysperre‘ (siehe Abbildung). Wählen Sie an dieser Stelle ‚PIN‘ aus. Denken Sie daran, dass die PIN mindestens 8 Zeichen haben sollte. Eine 6 stellige PIN bietet auch schon recht guten Schutz, solange sie nicht ‚123456‘ oder eine anderere ähnlich generische Zeichenfolge ist. Ein alphanumerisches Passwort, also eines das Groß- und Kleinbuchstaben, Zahlen und Symbole enthält, bietet wesentlich mehr Schutz (siehe dazu auch unseren Wissensartikel Passwort-Management – Wie verwaltet man seine Passwörter?). […]


« | »

Unser angebotener PC Service

Gerade in der Ära 2.0 ist es für manch einen ziemlich kompliziert, sich mit der medialen Welt auseinanderzusetzen. Eben aus diesem Grund hat es sich ionas zur Aufgabe gemacht, den Hilfesuchenden ein Ansprechpartner zu sein. Mit unserem kompetenten und fachmännischen PC Service können wir Ihnen jedes Problem lösen.

Mit dem PC Service des Unternehmens ionas setzen wir neue Maßstäbe und bieten schnelle Computerhilfe. Eine wichtige Komponente unserer Firmenphilosophie ist ein erstklassiger Dienst am Kunden. Mit Freundlichkeit und Kompetenz lösen wir Ihr PC-Problem. Es ist uns wichtig, dass Sie unserem Expertenteam Vertrauen schenken, damit wir bestmöglich mit Ihnen zusammenarbeiten können. Bei uns haben Sie immer einen erfahrenen Ansprechpartner und können so von dem besten PC Service Deutschlands profitieren.

Zudem bieten wir Ihnen regelmäßige Computerinspektionen, um möglichen Problemen und auftretenden Sicherheitslücken vorzubeugen. Mit unserem PC Service checken wir Ihr Betriebssystem und die dazugehörigen wichtigsten Programme, die oft Anwendungen finden, auf mögliche Schwachstellen und beugen potentiellen Angriffen vor. Außerdem ist das Thema Datensicherung eine wichtige Komponente in unserem PC-Service, damit wichtige Daten nicht verloren gehen.

Der PC Service von ionas ist für Jedermann gedacht. Ob Sie nun als Gesellschaft, Privatperson, Organisation oder als Freiberufler einen Online-Assistenten benötigen - ionas ist für Sie da. Wenn Sie regelmäßige Hilfestellung am Computer in Betracht ziehen und einen Experten an Ihrer Seite zu schätzen wissen, dann haben Sie mit uns genau den richtigen Ansprechpartner.

Auch eine PC Fernwartung ist kein Problem

Es ist uns sehr verständlich, dass ein Hausbesuch oft unangenehm und befremdlich ist. Wer wenig Zeit hat und schnell eine Lösung wünscht, macht keine Termine zur Wartung, sondern möchte sofortige Unterstützung erhalten. Durch Fernwartung können wir unmittelbare Hilfestellung leisten und uns dem Problem widmen, als seien wir vor Ort. Durch einen einfachen Anruf bei ionas können Sie direkt mit unseren Experten sprechen. Sie schildern Ihr Problem, unser Online Assistent schaltet sich in Ihr System per PC Fernwartung ein und kann Ihnen prompt unter die Arme greifen. Schnell, einfach und günstig können Sie von dem Wissen und der Erfahrung unserer Experten profitieren.

Die Zeiten, in denen der PC abgebaut und zu dem nächsten Computerladen um die Ecke gebracht werden musste, sind endlich vorbei. Sie haben sich eine Menge Arbeit erspart und können so kostengünstig wie nie zuvor, mit einer PC Fernwartung Ihren Computer reparieren lassen. Die PC Fernwartung unseres Online Assistenten Teams ist zudem sehr transparent, da Sie jeden Arbeitsschritt genau mitverfolgen können. So wird Vertrauen geschaffen!

Die Computerhilfe von ionas ist erstklassig

Eine professionelle Computerhilfe bei einem Fachmann ist in der Regel sehr teuer. Vor allem wenn man einen Notfall hat und schnelle Unterstützung benötigt, kann die Rechnung exorbitant werden. Mit ionas erhalten Sie schnellstmögliche Computerhilfe zu einem fairen Preis. Auch am Wochenende lassen wir Sie nicht im Stich.

Häufig bekommen wir es mit, dass Laien sich aus Kostengründen keinen erfahrenen Ansprechpartner suchen, sondern ihre Probleme selbst in die Hand nehmen wollen. In der Regel geht dies nicht gut, sodass man lieber gleich eine professionelle Computerhilfe in Anspruch genommen hätte. Genau hier wollen wir Ihnen Probleme ersparen und von Anfang an eine günstige und effektive Computerhilfe anbieten.

Sollten Sie sich aktuell Problemen ausgesetzt sehen, sollten Sie nicht zögern und sofort den Kontakt zu ionas suchen. Unsere freundlichen und professionellen Online Assistenten freuen sich auf Ihren Anruf und werden Ihnen eine schnelle und zielgerichtete Computerhilfe anbieten.

Weitere Themen: IT Support, PC Beratung