Passwort

Passwort-Manager: Das virtuelle Gedächtnis im Internet

Programme versprechen die sichere Verwahrung persönlicher Login-Daten
Von Rita Deutschbein mit Material von dpa
AAA
Teilen

Wer viele Geschäfte online erledigt oder sich auch sonst häufig im Internet aufhält, kommt nicht darum herum, sich bei vielen unterschiedlichen Seiten einloggen zu müssen. Ob E-Mails, soziale Netzwerke wie Facebook, Online-Banking oder virtuelle Spielwelten: Beinahe jeder Dienst erfordert den Login durch persönliche Anmeldedaten. Kaum ein Nutzer merkt sich für jede Seite ein eigens erdachtes Passwort. Vielmehr behelfen sich eine Vielzahl der User durch Einheitspasswörter oder auf Zetteln vermerkte Login-Daten. Beide Methoden sind durchaus riskant und bieten Dritten schneller die Möglichkeit, an eventuell empfindliche Daten zu kommen.

Passwort-Manager: Das virtuelle Gedächtnis im InternetPasswort-Manager: Das virtuelle Gedächtnis im Internet Eine Lösung für das Passwort-Problem versprechen sogenannte Passwort-Manager. Bei diesen können alle Login-Daten der genutzten Dienste in einer Art virtuellem Safe abgelegt werden, wobei der Zugriff auf die Inhalte durch ein Hauptpasswort freigegeben wird. Auf dem Markt findet sich eine große Menge entsprechender Angebote, die - mal kostenlos, mal teuer - dem Nutzer die sichere Verwahrung ihrer Daten versprechen. "Welche Lösung sinnvoll ist, hängt von den eigenen Bedürfnissen ab", sagt die Datenschützerin Marit Hansen, die sich am Unabhängigen Landesdatenschutzzentrum (ULD) Schleswig-Holstein mit Identitätsmanagement befasst. Kostenlose Produkte seien nicht unbedingt schlechter. Sie empfiehlt, sich vor der Installation mit Tests in Zeitschriften oder im Internet schlauzumachen.

Passwort-Manager für unterschiedliche Bedürfnisse

So sehr sich die Programme im Preis unterscheiden können, so unterschiedlich sind auch ihre Anwendungsgebiete. Es gibt Manager, die auf einem Rechner installiert werden müssen und auch nur auf diesem laufen. Andere Programme lassen sich auch auf einem USB-Stick spielen und sind somit mobil einsetzbar. Zudem ist es mit einigen Passwort-Managern möglich, gleich mehrere verschiedene Identitäten zu verwalten und so die Trennung zwischen Job und Privatleben zu erleichtern. Einige Software-Varianten bieten auch ein spezielles Programm, das die Erstellung möglichst sicherer Passwörter erleichtert.

Auch die Browser Firefox, Internet Explorer, Chrome, Safari und Opera bieten ähnliche Funktionen wie die Passwort-Manager, die als virtuelle Gedächtnisstütze dienen sollen. Jeder Internet-Nutzer hat bei einem Login sicherlich schon einmal das Pop-Up gesehen, das fragt, ob die eingegebenen Daten gespeichert werden sollen. Diese Dienste bieten allerdings auch Risiken, da viele Nutzer vergessen, ein Master-Passwort anzulegen. Somit sind die Daten für alle, die über den gleichen Rechner surfen, einsehbar. Gerade beim beliebten Firefox ist das Master-Passwort wichtig: Ohne dieses speichert der Browser die Daten unverschlüsselt.

Passwörter in der Cloud

Ebenfalls risikobehaftet ist die Speicherung der Daten in der Cloud. Viele User nutzen diese Möglichkeit, da sie so von jedem Ort und Rechner aus Zugriff auf ihre Login-Daten haben. Datenschützer haben aber Sicherheitsbedenken: In jüngster Zeit habe sich gezeigt, dass viele Cloud-Dienste noch nicht ausreichend gegen Angreifer gesichert seien, warnt Marit Hansen. Negativ-Schlagzeilen machte etwa der bekannte Dienst LastPass. Die Datenschützerin rät daher: "Passwörter sollte man im eigenen Sicherheitsbereich speichern" - nicht in der Wolke.

Für welches Verfahren sich der Nutzer auch immer entscheidet, wichtig ist immer die ordnungsgemäße Verschlüsselung. Es müsse ein aktuelles Verfahren zum Einsatz kommen, rät Ruben Wolf vom Fraunhofer-Institut SIT in Darmstadt. Weit verbreitet seien etwa AES 128 oder AES 256. Beide ermöglichen theoretisch so viele verschiedene Schlüsselkombinationen, dass ein Angreifer Jahre bräuchte, um sie mit schierer Rechengewalt durchzuprobieren - Experten bezeichnen dieses verbreitete Vorgehen als "Brute Force"-Angriff.

Sicheres Master-Passwort ist das A und O

Haben sich Nutzer für einen Passwort-Manager entschieden und ihre Daten in diesem hinterlegt, sollte der Zugriff durch ein sogenanntes Master-Passwort geschützt werden. Für dieses sollten einige Punkte beachtet werden: Mindestens acht, besser noch zwölf Zeichen lang, mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Gängige Wörter oder Namen sind tabu, da die Hacker ihre Programme so programmieren, dass sie bekannte Begriffe durchprobieren - man spricht von Wörterbuch-Angriffen.

Eine Schwäche der meisten gängigen Passwort-Manager liegt darin, dass sie dem Angreifer anzeigen, wenn er mit einem Master-Passwort falsch liegt. Hacker können ihre Angriffssoftware dann andere Kombinationen ausprobieren lassen. Abhilfe soll ein neues Verfahren des Fraunhofer-Institut SIT in Darmstadt schaffen. Der sogenannte "MobileSitter" für Handys simuliert dem Angreifer einen erfolgreichen Hack, obwohl dass Master-Passwort eigentlich gar nicht geknackt wurde. "Bei unserem Verfahren kommt man mit jedem beliebigen Master-Passwort rein und findet auch Passwörter", erklärt der Informatiker Ruben Wolf. "Man weiß aber nicht, ob es die echten oder falsche Passwörter sind."

Welches System auch immer helfen soll, das Passwort-Chaos in den Griff zu bekommen: Datenschützerin Hansen rät zu einer Grundvorsicht. Nutzer sollten Fachmedien im Blick behalten, um auf Sicherheitspannen oder Updates aufmerksam zu werden. Und sie empfiehlt, ein Backup der verschlüsselten Passwörter-Datei des Passwort-Managers auf einem externen Medium wie einem USB-Stick zu machen und an einem sicheren Ort zu deponieren. "Dadurch, dass man sich auf den Passwort-Manager verlässt, begibt man sich in eine Abhängigkeit."

Viele User setzen aufs Gedächtnis

Laut einer Einschätzung des IT-Branchenverband Bitkom aus dem Jahr 2007, muss sich ein Nutzer im Schnitt 15 bis 20 Passwörter und Zahlencodes merken. Heute dürften es deutlich mehr sein. Dabei verzichten viele immer noch auf Hilfsmittel, wie der Verband 2010 bei einer Umfrage unter 1 000 Bürgern herausfand: 74 Prozent lernen demnach die Zugangsdaten auswendig, 16 Prozent notieren sie auf einem Blatt Papier, das irgendwo zu Hause liegt. Je sechs Prozent schreiben ihre Passwörter ins Adressbuch oder auf einen Zettel, der im Portemonnaie immer dabei ist.

Tipps für einen sicheren Umgang mit dem Internet finden Sie auf unserer Ratgeber-Seite.

Teilen

Weitere Meldungen zum Thema Passwörter im Internet