Ratgeber

Passwort-Manager richtig verwenden

Ein Artikel von , veröffentlicht am 17.06.2016, bearbeitet am17.08.2018

Diese Nachricht gibt es inzwischen fast täglich: „Onlinedienst gehackt, tausende Anmeldedaten gestohlen“. Auch wenn es nervt: Anwender müssen sich selbst um die Sicherheit ihrer Online-Konten kümmern. Ein Passwort-Manager kann dabei helfen.

Für gute Passwörter gibt es zwei wichtige Regeln: Zuerst gilt es zu vermeiden, das selbe Passwort mehrfach einzusetzen. Sonst genügt der Diebstahl einer einzigen Datenbank, um sich bei vielen anderen Diensten im Namen des Opfers anzumelden.

Außerdem sollten Kennwörter mindestens zwölf Zeichen lang sein und aus zufällig zusammengewürfelten Zeichenketten wie „fSL*JF@uA3Vn“ bestehen. Dann sind sie schwer zu knacken.

Wer diese beiden Regeln beachten will, merkt schnell, dass ein Passwort-Manager notwendig ist. Denn niemand kann sich viele solcher Zeichenketten merken – schon gar nicht eine eigene für jedes Online-Konto.

Was ein sicheres Passwort ausmacht, erklären wir im Beitrag: Was ist ein sicheres Passwort?

Wie funktioniert ein Passwort-Manager?

Passwort-Manager sind Programme, die dem Anwender zwei wichtige Aufgaben abnehmen: Sie erzeugen Zeichenketten aus zufällig zusammengesetzten Zeichen und speichern diese auch gleich.

Die Datenbank, in der die Passwörter gespeichert sind, nennt man auch Passwort-Tresor. Die Passwörter werden dort verschlüsselt abgelegt. Beim nächsten Log-in holt das Programm den Nutzernamen und das sichere Passwort aus dem Tresor und füllt es automatisch ein.

Passwort-Manager gibt es schon länger. Früher funktionierten sie hauptsächlich als Erweiterung des Webbrowsers. Entsprechend konnten sie den Anmeldevorgang nur für Webseiten erledigen.

Auf dem Mobilgerät meldet man sich aber nicht nur auf Webseiten im Browser an, sondern auch in vielen Apps. Daher sind für das Mobilgerät Passwort-Manager empfehlenswert, die Anmeldedaten sowohl in anderen Apps als auch im Browser eintragen können.

Welche Passwort-Manager gibt es?

Unter dem Betriebssystem Android gibt es einige Lösungen, die das beherrschen. Zu den bekanntesten gehören LastPass des US-amerikanischen Herstellers LogMeIn Inc. (Basisversion kostenlos) und 1Password vom kanadischen Hersteller AgileBits Inc. (kostenpflichtiges Abomodell). Aber es gibt noch viele andere.

Unter Apples Betriebssystem iOS ist ein solch weitreichender Zugriff auf andere Apps nicht ohne Weiteres möglich. Hier müssen App-Entwickler den Login-Vorgang auf den Passwort-Manager abstimmen, damit er Passwörter in entsprechend kompatible Apps einfügen kann.

Für die iOS-Variante von LastPass haben zahlreiche populäre Anbieter wie Twitter, Zalando oder Dropbox eine solche Anpassung eingerichtet. Auch der weit verbreitete Manager 1Password ist mit vielen Apps unter iOS kompatibel.

KeePass: Quelloffen und nicht-kommerziell

Unter den Open-Source-Lösungen ist der Passwort-Manager KeePass am weitesten verbreitet. KeePass ist ein Gemeinschaftsprojekt, das der deutsche Programmierer Dominik Reichl 2003 ins Leben gerufen hat. Es gibt zahlreiche Varianten des Programms: Für Android zum Beispiel KeePassDroid oder Keepass2Android, für iOS die App MiniKeePass. Alle KeePass-Derivate sind kostenlos.

Ist ein Open-Source-Produkt sicherer? Generell ist es wünschenswert, dass der Programmcode zur Überprüfung durch unabhängige Experten frei zugänglich ist (Open Source). Nur so können sich Experten davon überzeugen, dass die Software keine Hintertüren mitbringt und die verwendeten Verschlüsselungsverfahren fehlerfrei in die Software eingebaut wurden.

Natürlich greift dieses Mehraugenprinzip nur, wenn ausgewiesenen Fachleuten den Code dann auch tatsächlich auf Fehler untersuchen. Für KeePass hat die EU-Kommission eine gründliche Untersuchung, auch "Audit" genannt, finanziert. Es wurde Ende 2016 abgeschlossen und fand keine kritischen Sicherheitslücken. Allerdings wurde nur die Version 1.31 geprüft, und nicht die aktuellere Version 2.34, die grundlegend neue Funktionen hat.

Wie Sie KeePass auf dem Android-Handy nutzen, erklären wir Schritt für Schritt im Beitrag KeePass2Android: So geht´s.

Master-Passwort: Sicher muss es sein

Der „Tresor“, also die Datenbank, in der alle Passwörter gespeichert sind, wird stets verschlüsselt abgelegt. Als Schlüssel für diesen Tresor dient das Master-Passwort. Gelangt ein Dieb an die Datenbank – zum Beispiel, indem er das Endgerät stiehlt –, kann er die Passwörter in der Datenbank in diesem Fall trotzdem nicht lesen.

Er kann aber versuchen, das Master-Passwort zu knacken. Die Qualität des Master-Passwortes entscheidet darüber, wie einfach das geht. Ist es zu kurz oder aus Sicht der Knacksoftware zu einfach, dann hält es eventuell nur Minuten stand. Das Master-Passwort sollte ein mindestens zwölfstelliges Passwort sein, das aus zufälligen Sonderzeichen, Buchstaben und Zahlen besteht.

Was ein sicheres Passwort ausmacht, erklären wir im Beitrag: Was ist ein sicheres Passwort?

Mehr Faktoren, mehr Sicherheit

Der Schutz des Tresors lässt sich nochmals erhöhen durch den Einsatz von Zwei-Faktor-Authentifizierung. Neben dem bekannten Faktor "Master-Passwort" muss zum Entsperren des Tresors dann noch ein zweiter Faktor eingegeben werden.

Dieser zweite Faktor kann zum Beispiel ein Gegenstand sein – etwa ein sogenannter Yubikey, eine Art Schlüssel in Form eines USB-Sticks. Solange der Datendieb diesen nicht besitzt, verschafft ihm selbst ein geknacktes Master-Passwort keinen Zugriff. Gute Passwort-Manager bieten Verfahren für die Zwei-Faktor-Authentifizierung an.

Was Zwei-Faktor-Authentifizierung genau ist, und welche Verfahren es dafür noch gibt, erklären wir im Beitrag: Zwei-Faktor-Authentifizierung.

Lokal oder in der Cloud?

Der Passwort-Manager kann den Tresor entweder lokal auf dem Smartphone oder Computer des Nutzers speichern oder in der Cloud, also auf einem Server im Internet.

Es mag auf den ersten Blick leichtsinnig anmuten, seine komplette Passwort-Sammlung auf einem Server im Internet zu speichern. Genau das ist aber nötig, um auf allen Endgeräten die aktuellen Passwörter parat zu haben.

Das Master-Passwort sollte dabei das Endgerät des Nutzers nie verlassen, wie es zum Beispiel bei LastPass der Fall ist. Dann kann der Cloud-Dienstanbieter selbst die Passwörter nicht lesen und das Master-Passwort kann nicht vom Server gestohlen werden. Angenehm: Bei KeePass hat man die Wahl, seine Schlüssel-Datei entweder nur lokal abzuspeichern, oder in einer Cloud seiner Wahl.

Wie sicher sind Passwort-Manager?

Natürlich ist ein solcher Passwort-Tresor ein reizvolles Ziel für Datendiebe. Seriösen Anbietern von Passwort-Managern ist das bewusst. Entsprechend hoch sind die Hürden, die sie einem Datendieb in den Weg legen.

Die Tresore sind – je nach Anbieter – mehrfach mit Verfahren verschlüsselt, bei denen selbst Profi-Passwortknacker nur langsam voran kommen. So braucht zur Zeit ein normaler PC bei den Standardeinstellungen von LastPass etwa zehn Jahre, um ein Passwort mit acht Zeichen (vier Kleinbuchstaben, zwei Ziffern und zwei Sonderzeichen) zu knacken. Ähnlich sieht das bei KeePass aus.

Diese Zahlen stammen von Jens Steube, dem Entwickler der bekannten Passwort-Knack-Software hashcat, der die Sicherheit von Passwörtern in verschiedenen Programmen regelmäßig testet.

Trotzdem wurden in der Vergangenheit immer wieder Sicherheitslücken in populären Passwort-Managern bekannt. Zuletzt im März 2017, durch eine Untersuchung vom Fraunhofer SIT.

Darin fanden Wissenschaftler gravierende Implementierungsfehler in neun Passwort-Managern für Android. Darunter auch mehrere in LastPass und 1Password. Die Fehler sind inzwischen behoben. Ob es noch weitere Fehler in den Apps gibt, kann nicht eindeutig geklärt werden, da der Programmcode nicht offen zugänglich ist.

Allerdings ist noch kein Fall bekannt, in dem diese Schwachstellen auch tatsächlich ausgenutzt wurden. Insofern gilt: Besser als Standardpasswörter, oder gleiche Passwörter für alle Konten, ist ein Passwcort-Manager auf jeden Fall.

Weitere Artikel

YouTube-Video 

Ecosia: Wie privat ist die grüne Suchmaschine?

Die Suchmaschine Ecosia wirbt damit, die Privatsphäre der Suchenden zu achten. Doch die App ist eine Enttäuschung: Es fehlt an grundlegenden Einstellmöglichkeiten und Tracking-Schutz. Als Standardsuchmaschine in einem sicheren Browser wie Firefox finden wir Ecosia aber in Ordnung.

Ansehen
Ratgeber 

Datenschutz bei Apple: Optionen im Überblick

Auch Apple reagiert auf die DSGVO: Der Konzern stellt neuerdings viele zusätzliche Infos und Einstellungsmöglichkeiten für iPhone und iPad bereit. Damit Sie nicht den Überblick verlieren, haben wir die wichtigsten Optionen für den Datenschutz für Sie aufgelistet.

Mehr
Schadprogramme 

Schadprogramme: Was tun bei Infektionen?

Ihr Android-Gerät ist plötzlich extrem langsam, überträgt ungewöhnlich viele Daten, es erscheinen seltsame Warnungen, oder es spielt anderweitig verrückt? Dann könnte es sein, dass Sie sich ein Schadprogramm eingefangen haben. Diese Tipps können Ihnen dann helfen.

Mehr
Google 

Wie viel Google steckt in Android?

Das Betriebssystem Android und die Firma Google gehören zusammen – soweit bekannt. Google beschreibt Android als „freie“ Software, bei der jeder den Programmcode nutzen und verändern kann. Wem also gehört Android? Und wer bestimmt, was im Code steht?

Mehr