noch 2 Tage öffentlich
Redaktion Druckversion

Schützen Passwort-Manager vor Datenklau?

Passwort-Manager im Vergleich

Wie gut schützen Passwort-Manager wirklich vor Datenklau und Identitätsdiebstahl? Was sollte man unbedingt vermeiden, um sich sicher im Netz zu bewegen? Datenschutzexpertin Christina Czeschik skizziert beliebte Hacker-Methoden und zeigt, wie man verbreitete Sicherheitsfehler vermeidet. Der Beitrag schließt mit einem Vergleich kostenpflichtiger und kostenloser (Open Source) Passwort-Manager ab. So können Sie selber entscheiden, welcher Passwort-Manager für Sie der richtige ist.

Täglich loggen wir uns in etliche Online-Dienste ein, z.B. E-Mail, Banking, ebay, PayPal, das Firmen-Intranet, Facebook, Twitter, LinkedIn, Apple-Cloud, Dropbox oder Evernote. Es hat sich (hoffentlich) herumgesprochen, dass man möglichst sichere Passwörter benutzt. Und fast wichtiger noch: Nie sollte man das gleiche Passwort für mehrere Dienste verwenden.

Was macht ein sicheres Passwort aus?

  • Ein Passwort sollte nicht zu kurz sein – denn dann muss der Angreifer viel Rechenpower für das Knacken aufwenden.

  • Ein Passwort sollte schwer zu erraten sein: Das geht am besten mit zufälligen Zeichenketten.

Das bedeutet leider auch: Ein sicheres Passwort ist eines, das schwer zu merken ist. Beispielsweise: VD=EL$`}``VX/KagyA+nb@7A. Weil man sich so viele Passwörter merken müsste, ist die Versuchung groß, dasselbe Passwort für verschiedene Dienste zu nutzen.

Warum nicht das gleiche Passwort für mehrere Accounts verwenden?

Das sicherste Passwort nützt einem nichts, wenn es gestohlen wird. Gerade große Dienste sind beliebte Ziele für Datenklau: Adobe, Sony, LinkedIn, Google, Apple-Cloud, Facebook, Dropbox – alle sind schon gehackt und Passwörter im großen Stil gestohlen worden. Das ist aber nur dann eine Katastrophe, wenn Sie für mehrere Accounts das gleiche Passwort verwenden, insbesondere wenn ein Dieb das Passwort zu Ihrem Haupt-E-Mail-Account erfährt und dadurch weitere Accounts übernehmen kann. In der Regel kann man alle anderen Passwörter über das Mail-Konto (nämlich über angeforderte neue Passwörter bzw. das Zurücksetzen) ändern. Dann kommen Sie nicht mehr ran. Hat der Dieb noch zusätzlich Ihre Bankverbindung in seinem Besitz, kann einem ein wirtschaftliches Desaster bevorstehen.

Weitere Sicherheitslücke: Die „Sicherheitsfragen“

Häufig werden Sie bei der Einrichtung Ihres Passworts darum gebeten, sogenannte Sicherheitsfragen zu beantworten. Das soll dazu dienen, das Passwort zurückzusetzen, falls man es vergisst. Beliebte Fragen sind „Wie war der Name Ihres ersten Haustiers?“ oder „Wie lautet der Mädchenname Ihrer Mutter?“ Fragen von diesem Kaliber sind für jemanden, der Sie oder Ihr Umfeld kennt, leicht zu erraten. Und wenn schon erraten, dann kann gleich in mehrere Dienste eingebrochen werden, da fast immer die gleichen Sicherheitsfragen gestellt werden. Es ist daher empfehlenswert, beim Anlegen eines neuen Accounts auf solche Sicherheitsfragen zu verzichten.

Passwörter niemals im Klartext

Passwörter sollten nicht als Klartext per E-Mail geschickt werden. Sollten Sie beim Anlegen eines Benutzerkontos gebeten werden, ein geheimes Passwort zu wählen, und sollte Ihnen dieses Passwort daraufhin im Klartext per E-Mail zugeschickt werden, dann empfehle ich Ihnen: Löschen Sie Ihren Account dort wieder.

Dies gilt wohlgemerkt nur, wenn tatsächlich Ihr persönlich gewähltes, geheimes Passwort so fahrlässig offengelegt wird. Viele vertrauenswürdige Anbieter vergeben zunächst ein vom System erzeugtes Passwort, das Ihnen per Mail zugeschickt wird, zusammen mit der Aufforderung, es sofort in ein nur Ihnen bekanntes Passwort zu ändern. Dies sollten Sie dann auch so bald wie möglich tun.

Passwort nur als Hashwert

Alle seriösen Anbieter speichern Ihr Passwort nicht im Klartext, sondern als sogenannten Hash. Einen Hash können Sie sich vorstellen wie die Quersumme einer Zahl: Diese hat beispielsweise bei der Zahl 5223 den Wert 12 (also 5 + 2 + 2 + 3). Wenn Sie also „5223“ als geheimes Passwort wählen würden, dann könnte der Serviceanbieter einfach „12“ statt „5223“ abspeichern. Das hätte zwei Vorteile:

  • - Wenn jemand die Datenbank stiehlt, hat er nicht sofort Ihr geheimes Passwort in den Händen, sondern sieht nur, dass die Quersumme Ihres Passwortes 12 beträgt. Daraus lässt sich das Passwort nicht eindeutig wiederherstellen.

  • - Und es wird weniger Speicherplatz benötigt.

Als Hash-Funktion wird in der Praxis natürlich nicht wirklich die Quersumme verwendet. Sie lässt sich aus Buchstabenkombinationen nicht berechnen, und es gibt zu viele verschiedene Zahlen, die die gleiche Quersumme haben. So könnte etwa ein Einbrecher sich einfach mit dem Passwort „3225“ statt „5223“ in Ihren Account einloggen.

Wenn eine ordentliche Hash-Funktion verwendet wird, dann gilt: Ein Datendieb, der eine Datenbank mit Hash-Werten von Passwörtern erbeutet, kann wenig damit anfangen. Eine reine Rückberechnung geht nicht, denn der Hash-Algorithmus ist ein Verfahren, das nur in eine Richtung zu berechnen ist.

Stattdessen lässt der Cracker seine Computer eine riesige Anzahl von möglichen Passwörtern durchprobieren: Im Prinzip von 00000, 00001 über aaaaa, aaaab bis hin zu zzzzz – und das in allen möglichen Passwortlängen und mit Sonderzeichen. Das lohnt sich vom Aufwand her kaum. Diese Art der Attacke nennt man Brute Force. Sie ist aus der Mode gekommen, weil es mittlerweile effizientere Angriffsarten gibt.

Wörterbuchangriff

Heute versucht man, mithilfe von Listen schon häufiger verwendete Passwörter zu erraten. Obwohl der Nutzer die Begriffe z.B. durch Sonderzeichen oder Rückwärtsschreiben verfremdet, sind solche Passwörter in Wörterbuchangriffen relativ leicht zu knacken. So bilden Passwörter wie passw0rt, log1n, trowssap oder 7wirtschaftsmin1ster keinen ausreichenden Schutz vor Wörterbuchangriffen.

Fazit: Auch wenn Sie Zahlen und Sonderzeichen in Ihr Passwort eingestreut haben und/oder mehrere Wörter kombinieren, ist die Wahrscheinlichkeit hoch, dass es in einem Passwort-Wörterbuch auftaucht oder leicht aus diesem kombiniert werden kann.

Nummerngenie oder Passwort-Manager

Sie sehen: Ein Passwort muss schwer zu erraten und nicht zu kurz sein – und darf niemals für mehrere Accounts gleichzeitig verwendet werden. Wenn Sie eine überschaubare Anzahl von Accounts und ein gutes Langzeitgedächtnis haben, dann können Sie sich solche Passwörter möglicherweise merken. Aber trifft das auf Sie zu?

Sie können Passwörter mit Stift und Papier notieren und an einem sicheren Ort aufbewahren. Das ist natürlich etwas umständlich, was Sie dazu verleiten kann, die Zettel dann doch wieder unter die Tastatur zu kleben oder dasselbe Passwort immer wieder zu verwenden.

Passwort durch den Browser ausfüllen lassen?

Auch die im Browser bereits eingebaute Funktion zum automatischen Ausfüllen von Formularen, die Sie beim Surfen gelegentlich fragt „Möchten Sie dieses Passwort speichern?“, ist kein guter Aufbewahrungsort für Ihre Passwörter. Die Verschlüsselung ist oft mangelhaft oder zumindest schlecht dokumentiert, und der Zugriff auf Ihre Passwörter ist nicht durch eine zusätzliche Sicherheitsmaßnahme geschützt.

Anmeldung über Social Media?

Einige Webanwendungen bieten auch die Möglichkeit, sich mit dem eigenen Social-Media-Account anzumelden (z.B. Facebook oder Twitter). Dies hat den Vorteil, dass man sich insgesamt weniger Passwörter merken muss, hat aber auch seinen Preis: Wenn ein Angreifer den Social-Media-Account hackt (beispielsweise bei Facebook), hat er damit auch Zugriff auf die damit verbundenen Accounts. Außerdem bekommt sowohl das Social-Media-Unternehmen als auch die Anwendung, die den Social-Media-Account zum Login nutzt, Zugriff auf Informationen über sogenannte Freunde, Gewohnheiten und Vorlieben des Anwenders. Dies kann dann zu Marketing-Zwecken verwendet werden.

Sicherer ist es, einen verschlüsselnden Passwortmanager zu verwenden. Sie haben drei zentrale Funktionen:

  • Sie speichern Passwörter in einer verschlüsselten Datenbank.

  • Sie geben Ihnen bei Bedarf Zugriff darauf oder fügen sie automatisch in Anwendungen ein.

  • Sie helfen Ihnen, lange und sichere Passwörter zu erstellen

Einige bewährte Passwortmanager sind die kostenpflichtigen 1Password von AgileBits, Dashlane der gleichnamigen Firma sowie die kostenlosen Open-Source-Programme KeePass, KeePassX und Password Safe.

Kostenpflichtig, aber einfach zu benutzen: 1Password

An dieser Stelle werden wir die Benutzung von 1Password – einem der am weitesten verbreiteten Passwort-Manager – am Beispiel von Windows erklären.

1Password einrichten

So starten Sie: Auf der Webseite www.1password.com legen Sie einen Account an. Sie werden (für den kostenpflichtigen Account nach Ablauf der Testphase) nach Ihrer Kreditkartennummer gefragt, können dies aber überspringen.

Nach der Anmeldung haben Sie einen geheimen Schlüssel (Secret Key) und ein Master Password. Der geheime Schlüssel ist eine lange Zeichenkette, die 1Password für Sie festlegt. Das Master Password ist ebenfalls ein langes, aber gut zu merkendes Passwort, das Ihnen – basierend auf der englischen Sprache – von 1Password vorgeschlagen wird. Diesen Vorschlag für das Master Password können Sie ändern, nicht jedoch den geheimen Schlüssel.

Master Password und Secret Key nicht verlieren!

Wichtig: Sie dürfen weder Ihr Master Password noch Ihren Secret Key verlieren! Ohne das Master Password können Sie sich nicht mehr einloggen – es kann nicht zurückgesetzt werden. Ohne den Secret Key können Sie 1Password nicht mehr auf zusätzlichen Geräten für Ihren Account installieren. 1Password empfiehlt, beides auszudrucken (Sie können sich dafür ein PDF-Formular herunterladen) und es an einem sicheren Ort aufzubewahren. Eine weitere Alternative ist es, die Family- oder Team-Version zu verwenden – dann kann im Fall des Falles ein anderes Mitglied, das auch über Admin-Rechte verfügt, einen Recovery-Prozess einleiten, bei dem Sie einen neuen Secret Key erhalten und ein neues Passwort wählen können.

Nun steht 1Password Ihnen zunächst als Webanwendung zur Verfügung, in der Sie Passwörter speichern und wieder abrufen können (siehe Abbildung).

1password-Vaults

Browser-Erweiterung fügt Passwörter automatisch ein

Um beim Login, beispielsweise in Ihrem Amazon-Account, automatisch das Passwort einfügen zu lassen, installieren Sie die für Ihren Browser passende Erweiterung. Statt neue Logins und Passwörter in der oben erwähnten Webanwendung per Hand einzugeben, können Sie sie nun über die Browser-Erweiterung auch automatisch speichern lassen. Die Erweiterung schlägt Ihnen außerdem auf Wunsch sichere Passwörter vor.

Passwörter auf dem Smartphone verwalten

Zudem stehen für 1Password mobile Apps für Android und iOS zur Verfügung. Sie benötigen Ihren Secret Key, um ein neues Gerät zu Ihrem Account hinzuzufügen. Wenn Sie den Secret Key eingegeben haben, erhalten Sie Zugriff auf Ihren Passwortspeicher. Er ist auf den Servern von 1Password verschlüsselt gespeichert und wird erst bei Ihrem Zugriff entschlüsselt.

Auch andere persönliche Informationen verschlüsselt speichern

1Password sichert nicht nur Passwörter. Man kann auf Wunsch auch alle möglichen weiteren sensiblen Informationen speichern, wie etwa Bankverbindungen, Kreditkartennummern, Sozialversicherungsnummern, Fotos von Ausweis oder Pass oder auch einfach vertrauliche Notizen (siehe Abbildung).

Daten können für den Export in andere Anwendungen auch in einem offenen CSV-Format gespeichert werden. Aber Vorsicht: Hier handelt es sich dann um eine nicht verschlüsselte Datei, die viele vertrauliche Informationen enthält – sie sollte keinesfalls in falsche Hände geraten!

1Password steht für Windows und macOS zur Verfügung. Unter Linux bekommt man es nur mit einigem Gebastel zum Laufen, sodass Linux-Nutzer sich an andere der hier vorgestellten Alternativen halten sollten.

Nach Ablauf der 30-tägigen Testphase kostet der Dienst, je nach Lizenz, zwischen 2,99 und 4,99 USD pro Nutzer pro Monat.

Passwortverwaltung auch im Team

In der Team-Version steht eine personalisierte URL nach dem Schema https://ihrteamname.1password.com zur Verfügung, unter der die Teammitglieder sich ins Webinterface einloggen können. Jedes Teammitglied kann private Passwortspeicher haben, die für die anderen nicht sichtbar sind, und auf geteilte Speicher im Team zugreifen (siehe Abbildung).

1password TeamBild vergrößern

Aufgrund der gemeinsam genutzten Speicher im Team ist es hier wenig sinnvoll, nur mit lokalen Kopien zu arbeiten – die Aktualität der gemeinsamen Speicher hängt wesentlich von der regelmäßigen Online-Synchronisation ab. Wenn keine Internetverbindung zur Verfügung steht, arbeitet man trotzdem vorübergehend mit nur lokal gespeicherten Daten; AgileBits bezeichnet dies als Offline-Cache. Sobald wieder Internetzugang besteht, werden die Änderungen erneut synchronisiert.

Wenn ein Teammitglied das Team verlässt, verliert es den Zugang sowohl zu seinen privaten Speichern als auch zum Teamspeicher. Da das Team keinen Zugang zu den privaten Speichern anderer Nutzer erhält, sind die privaten Speicher damit verloren. Der einzige Ausweg: Daten des privaten Tresors exportieren. Allerdings muss hier der Team-Admin diese Möglichkeit für das jeweilige Teammitglied freigeben.

In letzter Zeit hat der 1Password-Anbieter AgileBits Kritik eingesteckt, weil er es Nutzern zunehmend schwer macht, eine lokale Version von 1Password zu benutzen. Stattdessen steht die Cloud-Version im Vordergrund. Noch im Juli 2017 bestätigte die Firma aber, dass es auch in der kommenden Version 7 weiterhin die Möglichkeit geben wird, lokale Speicher anzulegen. Beschwerden von Usern zeigten aber, dass dies zumindest in Teams unter Windows 10 nicht möglich zu sein scheint.

Alternative zu 1Password: Dashlane

Ganz ähnlich in Funktionsweise und Preisstruktur wie 1Password ist Dashlane: Oberfläche und Installation sind sehr benutzerfreundlich und gut ins Deutsche übersetzt. Zudem kann die kostenlose Version, bei der Passwörter lokal auf einem Gerät gespeichert werden, zeitlich unbegrenzt genutzt werden.

Als nettes Extra gibt es ein Dashboard, in dem angezeigt wird, wie es um die Sicherheit der aktuell verwendeten Passwörter bestellt ist (siehe Abbildung).

Dashlane

Auch Dashlane geizt leider mit Informationen darüber, wo der lokale Passwortspeicher abgelegt wird, und möchte stattdessen den User zum Umstieg auf die Cloud-Version bewegen. Wie bei 1Password ist der Speicher in der Cloud verschlüsselt und ermöglicht die Synchronisation zwischen verschiedenen Devices.

Andere cloudbasierte Passwort-Manager funktionieren ähnlich, etwa RoboForm und LastPass. Beide liegen auch in einer deutschen Übersetzung vor und ähneln in ihren Features und den Preismodellen 1Password und Dashlane. LastPass ist allerdings kürzlich durch Sicherheitslücken negativ aufgefallen. Diese wurden zunächst unvollständig, mittlerweile aber wohl vollständig geschlossen.

Lokale Speicherung mit KeePass, KeePassX oder Password Safe

Eine Alternative zu den oben vorgestellten cloudbasierten Passwort-Managern sind Passwort-Manager, die die Daten nur lokal in einer verschlüsselten Datei speichern. Für die Synchronisation zwischen verschiedenen Geräten, falls dies gewünscht ist, ist der Nutzer selbst verantwortlich. Das bringt mehr Sicherheit mit sich, da man sich nicht auf die Versprechen der Anbieter bezüglich sicherer Verschlüsselung verlassen muss, aber weniger Komfort, da die Synchronisation nicht automatisiert abläuft.

Alle hier genannten Passwort-Manager mit lokaler Speicherung – KeePass, KeePassX und Password Safe – sind Open Source (quelloffen, d.h., jeder kann den zugrunde liegenden Quellcode einsehen) und damit kostenlos.

KeePassX wurde für Windows, Linux und macOS entwickelt, KeePass und Password Safe dagegen nur für Windows. Da es sich um Open-Source-Software handelt, haben freie Entwickler jedoch auch Versionen für Linux und macOS zur Verfügung gestellt. Von KeePass und Password Safe gibt es dementsprechend auch App-Versionen für iOS und Android. KeePass bietet für Bastler außerdem eine große Anzahl von Erweiterungen und Integrationen, mit denen beispielsweise Passwortdateien aus anderen Managern in einer Vielzahl von Formaten importiert werden, die Qualität der Passwörter geprüft oder eine Synchronisation mittels externer Cloudservices von Hand eingerichtet werden kann.

Die Benutzeroberflächen dieser drei quelloffenen Passwort-Manager sind weniger komfortabel und wirken grafisch altbacken. Für den Einsatz im Team sind sie kaum geeignet. Selbst die Synchronisation zwischen verschiedenen persönlichen Geräten ist nicht einfach umzusetzen. Diese Passwort-Manager sind also für IT-kundige Nutzer zu empfehlen, die damit ihre persönlichen Zugangsdaten verwalten wollen und Sicherheit über Anwendungskomfort stellen.

Fazit: Komfortabel cloudbasiert oder sicher lokal?

Die Nutzung von 1Password oder Dashlane als Cloud-Lösungen ist eine Vertrauensfrage. Wenn die Ende-zu-Ende-Verschlüsselung so funktioniert, wie auf den Support-Seiten von 1Password beschrieben, dann sind die Daten auch in der Cloud sicher. Dies ist für Nutzer aber nicht zu kontrollieren. Wenn man die Sicherheit der eigenen Zugangsdaten definitiv selbst in der Hand haben möchte, ist man mit einem Open-Source-Passwort-Manager, der lokal verschlüsselt speichert, besser bedient – dies ist jedoch keine praktische Alternative für die Verwaltung von Zugangsdaten im Team.

Und alle Zweifel in Ehren: Man sollte eine ehrliche Bilanz ziehen, wie es um die Sicherheit ohne die Nutzung eines bequemen – und damit wahrscheinlich cloudbasierten – Passwort-Managers bestellt ist. Besser Sie benutzen sichere und einzigartige Passwörter für jeden Account und einen cloudbasierten Passwordmanager als Gedächtnisstütze als überhaupt kein verschlüsseltes Hilfsmittel. Dies gilt zumindest so lange, wie passwortlose Authentifizierungsverfahren wie z.B. Gesichtserkennung sich noch nicht durchgesetzt haben.

Beitrag bewerten

Ihre Wertung:

 

Mitglied werden, Vorteile nutzen!

  • Sie können alles lesen und herunterladen: Beiträge, PDF-Dateien und Zusatzdateien (Checklisten, Vorlagen, Musterbriefe, Excel-Rechner u.v.a.m.)
  • Unsere Autoren beantworten Ihre Fragen

Downloads zu diesem Beitrag

Über die Autorin:

bild143330

Dr. Christina Czeschik (Serapion.de) ist Ärztin für Medizinische Informatik. Sie arbeitet als Beraterin und Fachautorin für E-Health, Datenschutz und IT-Sicherheit. Dabei unterstützt sie Startups und ...

Newsletter abonnieren