Hintergrund

Passwort-Manager richtig verwenden

Passwort Manager richtig verwenden

Diese Nachricht gibt es inzwischen fast täglich: „Onlinedienst gehackt, tausende Anmeldedaten gestohlen“. Auch wenn es nervt: Anwender müssen sich selbst um die Sicherheit ihrer Online-Konten kümmern. Ein Passwortmanager kann dabei helfen.

Aktualisiert am
Veröffentlicht am
Autor
Schlagworte
Bildschirmsperre · Passwort-Manager · Passwörter
Drucken

Aktualisiert am

Auf einen Blick

Für gute Passwörter gibt es zwei wichtige Regeln: Zuerst gilt es zu vermeiden, das selbe Passwort mehrfach einzusetzen. Sonst genügt der Diebstahl einer einzigen Datenbank, um sich bei vielen anderen Diensten im Namen des Opfers anzumelden.

Außerdem sollten Kennwörter mindestens zwölf Zeichen lang sein und aus zufällig zusammengewürfelten Zeichenketten wie „fSL*JF@uA3Vn“ bestehen. Dann sind sie schwer zu knacken.

Wer diese beiden Regeln beachten will, merkt schnell, dass ein Passwort-Manager notwendig ist. Denn niemand kann sich viele solcher Zeichenketten merken – schon gar nicht eine eigene für jedes Online-Konto.

Wie funktioniert ein Passwort-Manager?

Passwort-Manager sind Programme, die dem Anwender zwei wichtige Aufgaben abnehmen: Sie erzeugen Zeichenketten aus zufällig zusammengesetzten Zeichen und speichern diese auch gleich.

Die Datenbank, in der die Passwörter gespeichert sind, nennt man auch Passwort-Tresor. Die Passwörter werden dort verschlüsselt abgelegt. Beim nächsten Log-in holt das Programm den Nutzernamen und das sichere Passwort aus dem Tresor und füllt es automatisch ein.

Passwortmanager gibt es schon länger. Früher funktionierten sie hauptsächlich als Erweiterung des Webbrowsers. Entsprechend konnten sie den Anmeldevorgang nur für Webseiten erledigen.

Auf dem Mobilgerät meldet man sich aber nicht nur auf Webseiten im Browser an, sondern auch in vielen Apps. Daher sind für das Mobilgerät Passwortmanager empfehlenswert, die Anmeldedaten sowohl in anderen Apps als auch im Browser eintragen können.

Welche Passwortmanager gibt es?

Unter dem Betriebssystem Android gibt es einige Lösungen, die das beherrschen. Zu den bekanntesten gehören „LastPass“ des US-amerikanischen Herstellers LogMeIn Inc.und 1Password vom Kanadischen Hersteller AgileBits Inc. Aber es gibt noch viele andere.

Unter Apples Betriebssystem iOS ist ein solch weitreichender Zugriff auf andere Apps nicht ohne Weiteres möglich. Hier müssen App-Entwickler den Login-Vorgang auf den Passwortmanager abstimmen, damit er Passwörter in entsprechend kompatible Apps einfügen kann.

Für die iOS-Variante von LastPass haben zahlreiche populäre Anbieter wie Twitter, Zalando oder Dropbox eine solche Anpassung eingerichtet. Auch der weit verbreitete Manager „1Password“ ist mit vielen Apps unter iOS kompatibel.

KeePass: Quelloffen und nicht-kommerziell

Unter den Open-Source-Lösungen ist der Passwortmanager „KeePass“ am weitesten verbreitet. KeePass ist ein Gemeinschaftsprojekt, das der deutsche Programmierer Dominik Reichl 2003 ins Leben gerufen hat. Es gibt zahlreiche Varianten des Programms: Für Android zum Beispiel KeePassDroid oder Keepass2Android, für iOS die App MiniKeePass. Sie beherrschen aber nur das Einfüllen von Passwörtern in den Browser. Mit mehreren Geräten ist KeePass zudem nicht ganz einfach zu nutzen.

Ist ein Open-Source-Produkt sicherer? Generell ist es wünschenswert, dass der Programmcode zur Überprüfung durch unabhängige Experten frei zugänglich ist (Open Source). Nur so können sich Experten davon überzeugen, dass die Software keine Hintertüren mitbringt und die verwendeten Verschlüsselungsverfahren fehlerfrei in die Software eingebaut wurden.

Natürlich greift dieses Mehraugenprinzip nur, wenn ausgewiesenen Fachleuten den Code dann auch tatsächlich auf Fehler untersuchen. Für KeePass hat die EU-Kommission eine gründliche Untersuchung, auch „Audit“ genannt, finanziert. Es wurde Ende 2016 abgeschlossen und fand keine kritischen Sicherheitslücken. Allerdings wurde nur die Version 1.31 geprüft, und nicht die aktuellere Version 2.34, die grundlegend neue Funktionen hat.

Master-Passwort: Sicher muss es sein

Der „Tresor“, also die Datenbank, in der alle Passwörter gespeichert sind, wird stets verschlüsselt abgelegt. Als Schlüssel für diesen Tresor dient das Master-Passwort. Gelangt ein Dieb an die Datenbank – zum Beispiel, indem er das Endgerät stiehlt –, kann er die Passwörter in der Datenbank in diesem Fall trotzdem nicht lesen.

Er kann aber versuchen, das Master-Passwort zu knacken. Die Qualität des Master-Passwortes entscheidet darüber, wie einfach das geht. Ist es zu kurz oder aus Sicht der Knacksoftware zu einfach, dann hält es eventuell nur Minuten stand. Das Master-Passwort sollte ein mindestens zwölfstelliges Passwort sein, das aus zufälligen Sonderzeichen, Buchstaben und Zahlen besteht.

Mehr Faktoren, mehr Sicherheit

Der Schutz des Tresors lässt sich nochmals erhöhen durch den Einsatz von Zwei-Faktor-Authentifizierung. Neben dem bekannten Faktor Master-Passwort muss zum Entsperren des Tresors dann noch ein zweiter Faktor eingegeben werden.

Dieser zweite Faktor kann zum Beispiel ein Gegenstand sein – etwa ein sogenannter Yubikey, eine Art Schlüssel in Form eines USB-Sticks. Solange der Datendieb diesen nicht besitzt, verschafft ihm selbst ein geknacktes Master-Passwort keinen Zugriff. Gute Passwortmanager bieten Verfahren für die Zwei-Faktor-Authentifizierung an.

Lokal oder in der Cloud?

Der Passwortmanager kann den Tresor entweder lokal auf dem Smartphone oder Computer des Nutzers speichern oder in der Cloud, also auf einem Server im Internet.

Es mag auf den ersten Blick leichtsinnig anmuten, seine komplette Passwort-Sammlung auf einem Server im Internet zu speichern. Genau das ist aber nötig, um auf allen Endgeräten die aktuellen Passwörter parat zu haben.

Das Master-Passwort sollte dabei das Endgerät des Nutzers nie verlassen, wie es zum Beispiel bei LastPass der Fall ist. Dann kann der Cloud-Dienstanbieter selbst die Passwörter nicht lesen und das Master-Passwort kann nicht vom Server gestohlen werden.

Wie sicher sind Passwort-Manager?

Natürlich ist ein solcher Passwort-Tresor ein reizvolles Ziel für Datendiebe. Seriösen Anbietern von Passwortmanagern ist das bewusst. Entsprechend hoch sind die Hürden, die sie einem Datendieb in den Weg legen.

Die Tresore sind – je nach Anbieter – mehrfach mit Verfahren verschlüsselt, bei denen selbst Profi-Passwortknacker nur langsam voran kommen. So braucht zur Zeit ein normaler PC bei den Standardeinstellungen von LastPass etwa zehn Jahre, um ein Passwort mit acht Zeichen (vier Kleinbuchstaben, zwei Ziffern und zwei Sonderzeichen) zu knacken. Ähnlich sieht das bei KeePass aus.

Diese Zahlen stammen von Jens Steube, dem Entwickler der bekannten Passwort-Knack-Software „hashcat„, der die Sicherheit von Passwörtern in verschiedenen Programmen regelmäßig testet.

Trotzdem wurden in der Vergangenheit immer wieder Sicherheitslücken in populären Passwortmanagern bekannt. Zuletzt im März 2017, durch eine Untersuchung vom Fraunhofer SIT.

Darin fanden Wissenschaftler gravierende Implementierungsfehler in neun Passwort-Managern für Android. Darunter auch mehrere in LastPass und 1Password. Die Fehler sind inzwischen behoben. Ob es noch weitere Fehler in den Apps gibt, kann nicht eindeutig geklärt werden, da der Programmcode nicht offen zugänglich ist.

Allerdings ist noch kein Fall bekannt, in dem diese Schwachstellen auch tatsächlich ausgenutzt wurden. Insofern gilt: Besser als Standardpasswörter, oder gleiche Passwörter für alle Konten, ist ein Passwort-Manager auf jeden Fall.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!