Passwort-Manager: Das virtuelle Gedächtnis im Internet

Programme versprechen die sichere Verwahrung persönlicher Login-Daten

Von Rita Deutschbein mit Material von dpa

Passwort-Manager: Das virtuelle Gedächtnis im Internet Passwort-Manager: Das virtuelle Gedächtnis im Internet
Screenshot: teltarif.de Wer viele Geschäfte online erledigt oder sich auch sonst häufig im Internet aufhält, kommt nicht darum herum, sich bei vielen unterschiedlichen Seiten einloggen zu müssen. Ob E-Mails, soziale Netzwerke wie Facebook, Online-Banking oder virtuelle Spielwelten: Beinahe jeder Dienst erfordert den Login durch persönliche Anmeldedaten. Kaum ein Nutzer merkt sich für jede Seite ein eigens erdachtes Passwort. Vielmehr behelfen sich eine Vielzahl der User durch Einheitspasswörter oder auf Zetteln vermerkte Login-Daten. Beide Methoden sind durchaus riskant und bieten Dritten schneller die Möglichkeit, an eventuell empfindliche Daten zu kommen.

Passwort-Manager: Das virtuelle Gedächtnis im Internet Passwort-Manager: Das virtuelle Gedächtnis im Internet
Screenshot: teltarif.de Eine Lösung für das Passwort-Problem versprechen sogenannte Passwort-Manager. Bei diesen können alle Login-Daten der genutzten Dienste in einer Art virtuellem Safe abgelegt werden, wobei der Zugriff auf die Inhalte durch ein Hauptpasswort freigegeben wird. Auf dem Markt findet sich eine große Menge entsprechender Angebote, die - mal kostenlos, mal teuer - dem Nutzer die sichere Verwahrung ihrer Daten versprechen. "Welche Lösung sinnvoll ist, hängt von den eigenen Bedürfnissen ab", sagt die Datenschützerin Marit Hansen, die sich am Unabhängigen Landesdatenschutzzentrum (ULD) Schleswig-Holstein mit Identitätsmanagement befasst. Kostenlose Produkte seien nicht unbedingt schlechter. Sie empfiehlt, sich vor der Installation mit Tests in Zeitschriften oder im Internet schlauzumachen.

Passwort-Manager für unterschiedliche Bedürfnisse

So sehr sich die Programme im Preis unterscheiden können, so unterschiedlich sind auch ihre Anwendungsgebiete. Es gibt Manager, die auf einem Rechner installiert werden müssen und auch nur auf diesem laufen. Andere Programme lassen sich auch auf einem USB-Stick spielen und sind somit mobil einsetzbar. Zudem ist es mit einigen Passwort-Managern möglich, gleich mehrere verschiedene Identitäten zu verwalten und so die Trennung zwischen Job und Privatleben zu erleichtern. Einige Software-Varianten bieten auch ein spezielles Programm, das die Erstellung möglichst sicherer Passwörter erleichtert.

Auch die Browser Firefox, Internet Explorer, Chrome, Safari und Opera bieten ähnliche Funktionen wie die Passwort-Manager, die als virtuelle Gedächtnisstütze dienen sollen. Jeder Internet-Nutzer hat bei einem Login sicherlich schon einmal das Pop-Up gesehen, das fragt, ob die eingegebenen Daten gespeichert werden sollen. Diese Dienste bieten allerdings auch Risiken, da viele Nutzer vergessen, ein Master-Passwort anzulegen. Somit sind die Daten für alle, die über den gleichen Rechner surfen, einsehbar. Gerade beim beliebten Firefox ist das Master-Passwort wichtig: Ohne dieses speichert der Browser die Daten unverschlüsselt.

Passwörter in der Cloud

Ebenfalls risikobehaftet ist die Speicherung der Daten in der Cloud. Viele User nutzen diese Möglichkeit, da sie so von jedem Ort und Rechner aus Zugriff auf ihre Login-Daten haben. Datenschützer haben aber Sicherheitsbedenken: In jüngster Zeit habe sich gezeigt, dass viele Cloud-Dienste noch nicht ausreichend gegen Angreifer gesichert seien, warnt Marit Hansen. Negativ-Schlagzeilen machte etwa der bekannte Dienst LastPass. Die Datenschützerin rät daher: "Passwörter sollte man im eigenen Sicherheitsbereich speichern" - nicht in der Wolke.

Für welches Verfahren sich der Nutzer auch immer entscheidet, wichtig ist immer die ordnungsgemäße Verschlüsselung. Es müsse ein aktuelles Verfahren zum Einsatz kommen, rät Ruben Wolf vom Fraunhofer-Institut SIT in Darmstadt. Weit verbreitet seien etwa AES 128 oder AES 256. Beide ermöglichen theoretisch so viele verschiedene Schlüsselkombinationen, dass ein Angreifer Jahre bräuchte, um sie mit schierer Rechengewalt durchzuprobieren - Experten bezeichnen dieses verbreitete Vorgehen als "Brute Force"-Angriff.

Sicheres Master-Passwort ist das A und O

Haben sich Nutzer für einen Passwort-Manager entschieden und ihre Daten in diesem hinterlegt, sollte der Zugriff durch ein sogenanntes Master-Passwort geschützt werden. Für dieses sollten einige Punkte beachtet werden: Mindestens acht, besser noch zwölf Zeichen lang, mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Gängige Wörter oder Namen sind tabu, da die Hacker ihre Programme so programmieren, dass sie bekannte Begriffe durchprobieren - man spricht von Wörterbuch-Angriffen.

Eine Schwäche der meisten gängigen Passwort-Manager liegt darin, dass sie dem Angreifer anzeigen, wenn er mit einem Master-Passwort falsch liegt. Hacker können ihre Angriffssoftware dann andere Kombinationen ausprobieren lassen. Abhilfe soll ein neues Verfahren des Fraunhofer-Institut SIT in Darmstadt schaffen. Der sogenannte "MobileSitter" für Handys simuliert dem Angreifer einen erfolgreichen Hack, obwohl dass Master-Passwort eigentlich gar nicht geknackt wurde. "Bei unserem Verfahren kommt man mit jedem beliebigen Master-Passwort rein und findet auch Passwörter", erklärt der Informatiker Ruben Wolf. "Man weiß aber nicht, ob es die echten oder falsche Passwörter sind."

Welches System auch immer helfen soll, das Passwort-Chaos in den Griff zu bekommen: Datenschützerin Hansen rät zu einer Grundvorsicht. Nutzer sollten Fachmedien im Blick behalten, um auf Sicherheitspannen oder Updates aufmerksam zu werden. Und sie empfiehlt, ein Backup der verschlüsselten Passwörter-Datei des Passwort-Managers auf einem externen Medium wie einem USB-Stick zu machen und an einem sicheren Ort zu deponieren. "Dadurch, dass man sich auf den Passwort-Manager verlässt, begibt man sich in eine Abhängigkeit."

Viele User setzen aufs Gedächtnis

Laut einer Einschätzung des IT-Branchenverband Bitkom aus dem Jahr 2007, muss sich ein Nutzer im Schnitt 15 bis 20 Passwörter und Zahlencodes merken. Heute dürften es deutlich mehr sein. Dabei verzichten viele immer noch auf Hilfsmittel, wie der Verband 2010 bei einer Umfrage unter 1 000 Bürgern herausfand: 74 Prozent lernen demnach die Zugangsdaten auswendig, 16 Prozent notieren sie auf einem Blatt Papier, das irgendwo zu Hause liegt. Je sechs Prozent schreiben ihre Passwörter ins Adressbuch oder auf einen Zettel, der im Portemonnaie immer dabei ist.

Tipps für einen sicheren Umgang mit dem Internet finden Sie auf unserer Ratgeber-Seite.

Weitere Meldungen zum Thema Passwörter im Internet

13.04.24 - Identitätsdiebstahl: So können Sie sich schützen
12.04.24 - Netflix, DHL & Co.: So erkennen sie falsche SMS
11.04.24 - Neue E-Perso-PIN darf nicht digital übermittelt werden
07.04.24 - Spyware, Cookies, Internetspuren: So schützen Sie Ihre Daten
05.04.24 - Disney+ verschärft Gangart beim Teilen von Passwörtern
24.03.24 - "Credential Stuffing": Wie Hacker an Passwörter kommen
05.03.24 - Störung bei Meta: Facebook, Instagram und Threads betroffen
01.02.24 - Kaum jemand ändert WLAN-Passwort
28.01.24 - Ältere Smartphones: Mit Umsicht weiternutzen?
26.01.24 - Passkeys für WhatsApp iOS machen Fortschritte
26.12.23 - Hitliste unsicherer Passwörter: Das ist der erste Platz
22.12.23 - Apple-Phishing: Warnung vor gefälschten iCloud-Mails
19.12.23 - Urteil: Sky-Kündigung muss ohne Login möglich sein
17.12.23 - So wenige Menschen nutzen Passwortmanager
17.12.23 - Identitätsdiebstahl: Legen Sie Betrügern Steine in den Weg
14.11.23 - Google löscht inaktive Konten: Meld dich mal wieder an
13.11.23 - Netflix-Streaming-Abo legal teilen - so gehts
01.11.23 - E-Perso: Das kann der elektronische Ausweis
01.11.23 - Digitale ID: Durchbruch im Gesundheitswesen
31.10.23 - Bestätigt: Technik-Probleme im klarmobil-Kundencenter
23.10.23 - Kaum jemand kümmert sich um digitalen Nachlass
17.10.23 - Statt Passwort: WhatsApp für Android jetzt mit Passkeys
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
13.10.23 - E-Perso: Digitale Identifikation macht kaum Fortschritte
23.09.23 - Angehöriger verstorben: So löschen Sie Social-Media-Profile
03.09.23 - WhatsApp: E-Mail-Verifizierung in Vorbereitung
03.09.23 - Phishing mit gefälschten Vermisstenanzeigen bei Facebook
27.08.23 - Starkes Passwort & Co.: Tipps für sicheres Onlinebanking
13.08.23 - Windows und macOS: So lesen Sie das WLAN-Passwort aus
30.07.23 - Diese Betrugsmaschen lauern auf Amazon
20.07.23 - Netflix gegen Trittbrettfahrer: Strategie bringt mehr Abos
27.06.23 - PayPal: "Passkeys" bald auch für Nutzer in Deutschland
24.06.23 - Smart-Home-Sicherheit: Bei Geräten auf Zertifikat achten
17.06.23 - Daten leben ewig: Rechtzeitig um Accounts & Co. kümmern
30.05.23 - Gmail, Twitter & Co.: Konto-Anmeldehinweise ernst nehmen
26.05.23 - Prime Video befürwortet Passwort-Teilen und rudert zurück
17.05.23 - Inaktive Google-Konten werden nach zwei Jahren gelöscht
04.05.23 - Google-Konten unterstützen ab sofort Passkeys
21.04.23 - Telekom sichert Datapass-Seite mit PIN ab
20.02.23 - Facebook und Instagram: Abo für Account-Verifikation
mehr…