IT-Sicherheit: Die besten Passwortmanager

Zugehörige Themenseiten:
IT-Sicherheit

Kein Mensch kann sich all die Passwörter, Zugangscodes und PINs merken, die zum sicheren Zugriff auf E-Mails, Bankkonten, Webshops und Online-Dienste notwendig sind. Passwortmanager sammeln diese Informationen in einem sicheren Safe und stellen sie komfortabel zur Verfügung.

Sicherer Login: Passwortmanager helfen beim Verwalten von Zugängen. - © yellowj/Fotolia

Die Online-Welt ist nach wie vor meilenweit von einem Single-Sign-On (SSO), also einem einheitlichen Passwort für alle Dienste entfernt. Zwar gibt es Initiativen wie OpenID, und auch die Social-Media-Plattformen bieten mit „Facebook Connect“ und „Sign in with Twitter“ dem Anwender die Möglichkeit, sich über seine Facebook- beziehungsweise Twitter-Anmeldedaten bei weiteren Diensten zu registrieren, statt einen weiteren Account mit eigenem Nutzernamen und Passwort anlegen zu müssen.

OpenID (englisch für offene Identifikation) ist allerdings kein Passwortmanager, sondern nur ein dezentrales Authentifizierungssystem für webbasierte Dienste. Und die Anmeldung über Facebook beziehungsweise Twitter bedeutet, den ohnehin schon über Gebühr neugierigen sozialen Medien auch noch weitere persönliche Daten offenzulegen.

Den meisten Nutzern sind SSO-Systeme wie OpenID und Facebook Connect zu umständlich oder zu unsicher. Sie legen nach wie vor für jeden Dienst einen eigenen Zugang an. Mit der Zeit sammeln sich so zahlreiche Online-Accounts, die verwaltet werden müssen. Viele Anwender kapitulieren vor der Komplexität und nutzen für alle ihre Online-Aktivitäten dieselben Zugangsdaten.

Wesentlich komfortabler und sicherer geht die Passwortverwaltung aber mit einem Passwortmanager, oft auch Passwort-Safe genannt. Diese Programme speichern die Zugangsdaten verschlüsselt und ermöglichen ein Einloggen in den entsprechenden Accounts. handwerk magazin hat in einer Marktübersicht (Seite 38) die wichtigsten Passwortmanager verglichen.

Für jeden Dienst ein Passwort

Noch ein Programm – werden sich nun viele denken. Aber wer keine Lust auf viele Passwörter hat und für alle Accounts dieselben Zugangsdaten verwendet, wählt eine äußerst gefährliche Strategie. Kommen Kriminelle in den Besitz der Benutzerdaten von einem Konto, haben sie Zugang zu allen anderen. Experten empfehlen deshalb für jeden Dienst ein eigenes langes und komplexes Passwort zu verwenden.

Nach einer Studie des Potsdamer Hasso-Plattner-Instituts werden Passwortmanager bisher nur von rund einem Viertel der Nutzer verwendet. Die gebetsmühlenartig wiederholten Sicherheitstipps aller Experten scheinen weiterhin bei vielen auf taube Ohren zu stoßen. Dabei ist ein Passwortmanager-Programm preiswert und technisch nicht kompliziert.

Passwort vergessen ist beliebt

Ohne entsprechende Software kann sich schließlich niemand die vielen Zugangsdaten merken. Kein Wunder also, dass 38 Prozent der deutschen Internetnutzer in den vergangenen zwölf Monaten die Funktion „Passwort vergessen“ anklicken mussten, um wieder Zugang zu einem Online-Dienst zu bekommen. Das ergab eine Umfrage des Branchenverbands Bitkom. Diese Funktion ist aber nicht nur bei den Anwendern sehr beliebt, sondern auch bei den Cyberkriminellen. Gelingt es ihnen, einen E-Mail-Account zu kapern, sei es indem sie den Nutzer direkt angreifen oder indem sie in großem Stil Account-Daten von den Providern stehlen, wie im vergangenen Jahr bei AOL und Yahoo geschehen, dann lassen sich alle Online-Konten übernehmen, deren „Passwort-vergessen-Funktion“ mit dem betroffenen E-Mail-Account verknüpft ist. Der Hacker lässt sich einfach über die gekaperte E-Mail-Adresse ein neues Passwort zusenden.

Wer hingegen einen Passwortmanager nutzt, erspart sich sogar das Eintippen, das bei komplexen Passwörtern mit vielen Sonderzeichen fehleranfällig ist. Viele Lösungen erlauben eine Synchronisation über mehrere Geräte und Betriebssysteme, sodass die Account-Daten auf PCs, Notebooks, Smartphones und Tablets zur Verfügung stehen. Passwortmanager speichern aber Kennwörter nicht nur, sie generieren auch auf Wunsch neue, deren Länge und Komplexität der Nutzer vorgeben kann, überprüfen vorhandene auf Sicherheit oder erinnern regelmäßig daran, Passwörter zu verändern.

Das Angebot an Passwortmanagern reicht von kostenlosen Einsteigerversionen bis zu Unternehmens-Varianten, die eine Synchronisierung über eigene Server oder eine mehrstufige Rechteverwaltung ermöglichen. Einige bieten zusätzliche Funktionen wie die Verwaltung von Kreditkartennummern oder TAN-Listen, und in manchen lassen sich neben Passwörtern auch Lesezeichen, Adressen, To-do-Listen, Notizen oder Dokumente sicher ablegen.

Zusätzliche Sicherheit

Doch auch die Speicherung aller Kennwörter in einem Passwortmanager birgt ein Risiko: Sollte jemand das Kennwort für den Datensafe knacken, hat er Zugriff auf sämtliche dort verwahrte Informationen. Der Zugang zum Passwortmanager muss deshalb mit einem besonders starken, möglichst langen Kennwort gesichert sein. Natürlich sollte der Safe selbst auch gegen das Knacken gehärtet sein und eine starke Verschlüsselung beinhalten. Einige bieten auch eine Zwei-Faktoren-Authentifizierung, zum Beispiel über eine zusätzliche Schlüsseldatei (Keyfile). In der Marktübersicht von handwerk magazin (Seite 38) sind das: 1Password, KeePass, LastPass, ManageEngine Password, RoboForm und Sticky Password. Ein Einbrecher müsste hier sowohl in den Besitz des Kennworts als auch der Datei kommen.