Wie sicher sind Passwort-Manager
Ein Passwort Manager speichert alle deine Passwörter und trägt diese automatisch auf Webseiten oder in Apps ein. Aber ist es eine gute Idee einer App oder gar einem Server all deine Logins anzuvertrauen? Wie sicher ist ein Passwort-Manager wirklich?
Ich empfehle grundsätzlich jedem, einen Passwort-Manager zu verwenden. Damit behältst du den Überblick über alle Logins und vergisst nie wieder ein Passwort. Aber grundsätzlich ist ein Passwort-Manager die deutlich bessere Alternative als kein Passwort-Manager zu verwenden. Das hat folgende Gründe.
Passwort-Manager sind sicherer als die Alternative
Ein Passwort-Manager speichert deine Passwörter in einem sicheren Tresor. Für diesen Tresor benötigst du ein Master-Passwort. Sobald du den Tresor mit dem Master-Passwort entsperrt hast, füllt der Passwort-Manager den benötigten Login auf einer Webseite oder in einer App aus.
Noch sicherer wird der Passwort-Manager mit der Zwei-Faktor-Authentifizierung.
Ein Passwort-Manager ermöglicht dir, auf jeder Webseite und in jeder App ein eindeutiges und nur einmal verwendetes Passwort zu verwenden. Diese Menge an einmaligen Passwörtern können sich die meisten Menschen nicht merken. Zudem generiert ein Passwort-Manager auf Wunsch ein zufälliges und schwer zu erratendes Passwort: Beispielsweise ha@Gea3#2k*H^s
Wenn du keinen Passwort-Manager verwendest, wirst du dir sehr wahrscheinlich so komplexe und sichere Passwörter nicht merken können. Deshalb verwenden die meisten Menschen das gleiche Passwort für viele Webseiten und Online-Dienste. Gleichzeitig wird aber auch immer die gleiche E-Mail Adresse verwendet.
Errät ein Hacke nur einmal diese E-Mail-Passwort-Kombination, sind alle deine Dienste und Logins in Gefahr. Teilweise muss das Passwort nicht erraten werden, sondern eine Webseite „verliert“ ihre Datenbank mit allen Logins. Deshalb ist eine wiederkehrende E-Mail-Passwort-Kombination ein absolutes Risiko für deine private Sicherheit im Internet.
Grundsätzlich gibt es auch den Tipp, einzigartige Passwörter auf Basis eines Musters zu erstellen. Zum Beispiel ist dein Ausgangspasswort vielleicht p@ssw0rd. Du kannst das Passwort basierend auf der Webseite ändern.
Wenn du ein Passwort für Facebook benötigst, könnte das Passwort durch ein „f“ und „a“ ergänzt werden. Dann sieht das Passwort so aus: fp@ssw0rda
Dann besitzt jede Webseite und jedes Konto ein einzigartiges Passwort. Allerdings ein einzigartiges Passwort, dass sich durch ein Muster leicht erraten lässt. Und wenn eine Webseite keine Sonderzeichen erlaubt oder dich auf eine bestimmte Anzahl von Ziffern beschränkt, funktioniert diese Methode nicht mehr.
Mit einem Passwort-Manager musst du nur ein einziges starkes Passwort erstellen und dich daran erinnern. Das Master-Passwort.
Du musst zwar dem gewählten Passwort-Manager vertrauen, aber die Verwendung eines Passwort-Managers ist sicherer als die Alternative. Wiederkehrende Passwörter sind absolut fahrlässig.
Die hier empfohlene Passwort-Manager haben die gespeicherten Passwörter noch nie verloren. Aber schon Millionen Menschen sind in Schwierigkeiten geraten, weil ein Passwort auf mehr als einer Webseite verwendet wurde. Das Ausnutzen dieser wiederverwendeten Passwörter ist heutzutage oft der Grund, warum Hacker Konten „hacken“.
Wie Passwort-Manager deine Passwörter schützen
Ich empfehle 1Passwort und LastPass. Beide schützen deinen Passwort-Tresor mit starker Verschlüsselung (speziell AES-256), auch wenn er in der Cloud gespeichert ist.
Während sich die Passwörter auf deinem Computer, Handy oder Tablet befinden, sind sie mit einem „Master-Passwort“ verschlüsselt. Dadurch werden die Passwörter für andere unlesbar. Auf vielen aktuellen Smartphones lässt sich der Passwort-Manager auch über die biometrischer Authentifizierung wie Face-ID oder Touch-ID auf iPhones entsperren.
Alle Dienste geben an, dass das Master-Passwort niemals dein Gerät verlässt und der Anbieter nicht auf deine Passwörter zugreifen kann.
1Password und LastPass haben von einem Drittanbieter ein Audit erstellen lassen. Beide Anbieter wurde noch nicht durch einen Hack oder eine schwere Sicherheitslücke auffällig und sind sehr transparent, was die Verarbeitung der Daten angeht.
Passwort-Manager: Open-Source und kostenlos
Willst du es lieber selbst machen? Es gibt auch Open-Source-Passwortmanager wie Bitwarden und KeePass. Mit diesen Open-Source-Anwendungen können Nutzer das Passwort auf den eigenen Geräten oder Servern speichern.
Damit kannst du beispielsweise einen eigenen Sync-Server für Bitwarden einrichten oder eine KeePass-Datenbank manuell zwischen deinen Geräten synchronisieren. Das ist zwar komplexer und arbeitsintensiver – und die Apps sind nicht so benutzerfreundlich – aber wenn du Open-Source-Software bevorzugst, sind das deine Optionen.
Kann man dem Unternehmen eines Passwort-Managers vertrauen?
Wer einen Passwort-Manager verwendet, vertraut alle Login-Daten einem fremden Unternehmen an. Natürlich versprechen alle Unternehmen, dass die Passwörter sich sind. Aber ein Update könnte versehentlich eine massive Sicherheitslücke öffnen. Zwar lassen sich die Unternehmen auf Sicherheit prüfen, doch was ist, wenn ein Fehler nicht entdeckt wird?
Das Risiko besteht. Aber bei einem Passwort-Manager ist es wie mit jeder anderen Anwendung. Als Nutzer muss mein einen gewissen Vertrauensvorschuss mitbringen. Egal ob Computer-Programm oder Browser-Erweiterung. Alles könnte ein Fehler besitzen und dazu führen, dass Daten verloren gehen.
Die genannten Passwort-Manager bringen eine langjährige Erfahrung im Bereich Sicherheit mit. Mit einem Open-Source Passwort-Manager musst du nicht einmal den Servern einer fremden Firma vertrauen, sondern nur auf die Sicherheit der eigentlichen Anwendung.
Ich verwende einen Passwort Manager und empfehle dir das Gleiche
Ich folge meinem eigenen Rat und verwende seit knapp zwei Jahren einen Passwort-Manager. Aber auch Browser wie Google Chrome und Apple Safari werden immer besser. Beispielsweise kann Google Chrome sichere Passwörter erstellen. Alles ist besser und sicherer als das gleiche Passwort über mehrere Webseiten zu verwenden.
Neben der Sicherheit bieten Passwort-Manager auch Vorteile beim Komfort. Beispielsweise lassen sich Passwörter ganz einfach mit einem Freund, Familienmitglied oder Mitarbeiter teilen.
Du kannst deine Passwörter automatisch auf dem Android Handy verwenden, ohne das Passwort auch auf einem iPhone oder iPad eingeben zu müssen. Passwort-Manager wie 1Password und LastPass geben Warnmeldungen, wenn eines der von dir verwendeten Passwörter bei einem Hack verloren ging und empfehlen Passwörter, die du ändern solltest.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.