Wer viel im Internet unterwegs ist, weiß: Es ist schon keine Frage mehr ob, sondern nur noch wann man auch selbst von einem Passwort-Klau betroffen ist. Die beste Möglichkeit, Datendiebstahl vorzubeugen sind sichere Passwörter. Damit man sich diese nicht mehr merken muss, übernehmen Passwortmanager das Erstellen und Speichern der Kennwörter.

Egal ob Webshop, Singlebörse, Fotoplattform oder Soziales Netzwerk, ein Passwort sollte sorgfältig gewählt werden: Möglichst lang soll es sein, und idealerweise aus einem zufälligen Mix aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen bestehen.

Jedem Dienst sein eigenes kompliziertes Passwort

Hat man es geschafft, sich ein solches Zahlen-Buchstaben-Ungetüm auszudenken und einzuprägen, fängt das Spiel wieder von vorne an – mit der nächsten Registrierung beim nächsten Onlinedienst. Für viele eine mehr als lästige Prozedur. Groß ist da die Verlockung, ein und dasselbe Passwort einfach überall zu verwenden. Doch genau das sollte man nicht tun, warnt Edgar Weippl, Experte für Computersicherheit am Forschungszentrum SBA Research der Technischen Universität Wien (TU).

Denn wenn es Hackern gelingt, einen Dienst erfolgreich anzugreifen und sie so an die Logindaten und Passwörter der Nutzer gelangen, haben sie sonst nicht nur Zugang zu diesem einen Dienst, sondern gleich zu allen Diensten, bei denen man sich mit der gleichen E-Mail-Adresse und dem gleichen Passwort registriert hat. Und mittlerweile vergehen kaum Tage, an denen keine neuen Meldungen zu Datendiebstählen oder Datenpannen in der Presse zu finden sind. Ob man selbst auch schon von einem dieser Datendiebstähle betroffen ist, kann man auf der Website „Have I Been Pwned“ herausfinden. Nach Eingabe der E-Mail-Adresse oder des Usernamens in das Suchfeld, ermittelt die Website, ob und bei welchem Dienst die Zugangsdaten gestohlen wurden.

Passwortmanager übernimmt das Merken

Wer viel im Internet unterwegs ist, braucht also nicht nur ein gutes Passwort, sondern ganz viele gute Passwörter. Doch wer soll sich das alles merken? Eigens zu diesem Zweck programmierte Softwarelösungen versprechen Hilfe. „Passwortmanager sind Programme, mit denen man seine Kontodaten, also Zugangsname und Passwort speichern kann“, so Weippl. Weippl selbst verwendet Keepass, eine kostenlose Open-Source-Software, die für alle Plattformen (iPhone, Android, PC, Mac) erhältlich ist. Die Software speichert alle Zugangsdaten in einer verschlüsselten Datei lokal auf der Festplatte. Ein weiterer beliebter Passwortmanager ist Lastpass.

Zugriff von allen Geräten

Wie in einem Tresor werden die Login-Daten in hier sicher verwahrt. Zwar ist der Anfang mit einigem Aufwand verbunden, schließlich müssen alle Zugangsdaten mit den zugehörigen Internetadressen erst einmal eingegeben werden. Hat man das geschafft, genügt künftig ein Klick auf den Link und der Passwortmanager füllt die Login-Felder auf der Website automatisch aus.

Um jederzeit und überall Zugriff auf seine Passwörter zu haben, kann die Software auch auf mehreren Geräten installiert und genutzt werden. Die verschlüsselte Passwortdatei muss dafür online gespeichert werden, so dass der Passwortmanager beim Start darauf zugreifen kann. Lastpass verlangt für diesen Komfort 12 Dollar im Jahr, bei Keepass kostet es nichts, der Nutzer muss dafür aber selbst händisch ein paar Einstellungen tätigen – seine verschlüsselte Datei bei einem Onlinespeicherdienst wie z.B. Dropbox speichern und in der Smartphone-App die Synchronisation aktivieren. Selbst wenn Angreifer den Onlinespeicherdienst attackieren und die Passwortdatei erbeuten sollten, können sie nichts damit anfangen, da die Datei verschlüsselt ist.

Komplexe Passwörter auf Knopfdruck

Nicht nur das Merken, schon das Ausdenken der komplizierten Zeichenfolgen übernimmt mit der Passwort-Manager. „Man gibt einfach an, welche Zeichen verwendet werden sollen (Groß-, Kleinbuchstaben, Sonderzeichen, Ziffern) und wie viele Stellen das Passwort haben soll und dann drückt man einen Knopf und das Passwort wird erzeugt“, so Weippl. „Dadurch bekommt man wirklich zufällige Passworte und variiert nicht seinen Hundenamen oder irgendwelche Geburtsdaten.“

Der Passwortmanager selbst ist ebenfalls mit einem Kennwort – dem so genannte Masterpasswort – versperrt. Nur wenn dieses richtig eingegeben wird, gibt der Tresor seinen Inhalt frei. Dieses Masterpasswort sollte gut gewählt und bei keinem anderen Dienst verwendet werden. Aber Achtung: Ist das Masterpasswort weg – sind alle Passwörter verloren. Trotzdem sollte es auf keinen Fall als Textdatei am Computer, als Erinnerung am Handy oder sonst wo digital gespeichert werden. Wer Angst hat, das Masterpasswort zu vergessen, kann es notfalls auf Papier notieren und an einem sicheren Ort hinterlegen.

Fazit: Zwar ist der Umgang mit einem Passwortmanager anfangs gewöhnungsbedürftig, bleibt man konsequent, bereiten einem Passwörter aber künftig kein Kopfzerbrechen mehr.

von

Günter Schwarz – 08.04.2017