Ein immer größerer Teil unseres Alltags spielt sich online ab, von der Kommunikation mit Familie, Freunden und Bekannten über Einkaufen bis hin zum Banking. Ob Facebook oder GMX, Amazon oder Sparkasse: Wer seine Zugänge zu diesen Angeboten nicht ausreichend schützt, setzt nicht nur seine digitale Identität aufs Spiel. Immer noch verwenden viele Nutzer zu einfache Passwörter. Dabei ist es mit Tools wie einem Passwortmanager einfach, sich besser gegen Angriffe abzusichern.
Gleich vorweg: Selbst wer bei der Wahl eines Passworts alles richtig macht, ist nicht davor gefeit, dass sich ein Angreifer Zugang zu einem Konto verschafft. Jeder Anbieter muss die Zugangsdaten seiner Kunden irgendwo speichern, und viel zu oft scheitern Unternehmen daran, diese gespeicherten Daten vor fremden Zugriff zu schützen. Allein seit Anfang 2019 sorgten drei große Passwort-Leaks für Schlagzeilen: Erst stellten die „Collection 1“ und wenig später die Folge-Sammlungen die Zugangsdaten für rund 2,2 Milliarden Nutzerkonten weltweit für jeden abrufbar ins Netz, dann musste Facebook zugeben, über Jahre hinweg mehrere hundert Millionen Passwörter unverschlüsselt abgelegt zu haben.
Bei solchen Größenordnungen ist es sehr wahrscheinlich, dass man als Nutzer irgendwann selbst betroffen ist. Dann ist es wichtig, schon vorher alles getan zu haben, damit der Schaden so gering wie möglich ausfällt.
Wer nach einem bekannt gewordenen Leak prüfen will, ob eines seiner Konten betroffen ist, sollte sich nicht alleine auf die Informationen eines Anbieters verlassen: Zuweilen bestimmt hier Schadensbegrenzung in der Öffentlichkeit die Informationspolitik. Vertrauenswürdige und aktuelle Online-Tools sind der Identity Leak Checker des Hasso-Plattner-Instituts und der Service ';--have i been pwned? des Sicherheitsexperten Troy Hunt.
Grundsätzlich ist es gerade nach einem größeren Passwort-Leak eine gute Idee, alle seine eigenen Nutzerkonten und Passwörter unter die Lupe zu nehmen und gerade schon lange bestehende Passwörter zu ändern.
Sicherheit ist schwer und unbequem, und der Mensch neigt dazu, sich alles so einfach wie möglich zu machen. Deshalb benutzen zu viele Anwender nicht nur leicht zu merkende – und damit meist sehr unsichere Passwörter. Sie benutzen auch noch das gleiche Passwort für unterschiedlichste Dienste.
Die wichtigste Regel lautet deshalb: Nutzen Sie für jede Website ein eigenes Passwort.
Das größte Risiko sind sogenannte transitive Exploits. Ein Angreifer, der eine gültige Login- und Passwort-Kombination erbeutet hat, versucht sich damit auch auf anderen Plattformen einzuloggen. Wenn ein Opfer das gleiche Passwort für Facebook, YouTube, Ebay, Amazon, seinen Mail-Account bei Web.de und womöglich weiteren Shops benutzt, hat es dem Angreifer alle diese Konten auf dem Silbertablett überreicht – und dazu alle damit verknüpften Informationen für den vollständigen Identitätsdiebstahl: Name und Adresse, Bankverbindung und Kreditkartendaten, Bestellhistorie, soziale Kontakte … Darüber hinaus können Angreifer die Logins natürlich auch nutzen, um Waren direkt auf Kosten ihrer Opfer zu bestellen.
Übrigens: Bei unterschiedlichen Passwörtern für jede Website gilt das Gleiche wie grundsätzlich bei Passwörtern – sie sollten nicht zu leicht zu erraten bzw. maschinell zu knacken sein. „mausi123Amazon“ ist zwar ein anderes Passwort als „mausi123Zalando“, das Erschließen verwandter Passwörter stellt einen Angreifer hier jedoch nicht vor unüberwindliche Hindernisse.
Der Klebezettel mit Login und Passwort an der Büropinnwand ist ein Klischee – aber eines, das in der Realität durchaus anzutreffen ist. Ungefähr ebenso unsicher ist die Variante, eine Word- oder Excel-Liste mit allen Konten und zugehörigen Passwörtern auf dem Rechner oder einem USB-Stick abzulegen. Hier reicht ein Zugriff auf das Gerät, um an die Zugangsdaten heranzukommen – und das kann per Spyware von außen oder nach dem Anstecken des USB-Sticks z. B. an einen kompromittierten Rechner im Internet-Café unbemerkt erfolgen. Die Möglichkeit, Office- oder PDF-Dateien mit einem Passwort zu versehen, verringert das Risiko nur unwesentlich, da dieser Schutz i. d. R. nicht sehr stark ist. Auch das Telefonbuch des Smartphones ist kein sicherer Aufbewahrungsort für Passwörter und PINs.
Der beste Kompromiss zwischen Sicherheit und Bequemlichkeit ist ein Passwortmanager. Er erlaubt es, für jedes Nutzerkonto spezifische, komplexe und damit sichere Passwörter anzulegen und diese an einer Stelle abzuspeichern, die vor fremden Zugriff geschützt ist. Gleichzeitig kann er dem berechtigten Nutzer möglichst schnell und komfortabel das jeweils benötigte Passwort zur Verfügung stellen.
Einen Passwortmanager hat jeder, der sich im WWW bewegt, schon an Bord – denn jeder moderne Browser besitzt eine integrierte Passwortverwaltung. Aus einer Reihe von Gründen ist diese allerdings höchstens die zweitbeste Lösung. So stellt sich hier die Frage der tatsächlichen Sicherheit bei Verschlüsselung und Speicherung der Zugangsdaten. Schließlich ist die Sicherung von Passwörtern nicht die Hauptfunktion des Browsers, weshalb hier die Hersteller weniger Aufwand betreiben. Außerdem helfen diese Verwaltungen nicht beim Erstellen eines sicheren Passworts für ein neues Benutzerkonto.
Natürlich ist es zunächst sehr bequem, das Angebot „Passwort für diese Seite speichern“ des Browsers anzunehmen. Doch wer diese Funktion nutzt, ohne die gespeicherten Passwörter mit einem Masterpasswort zu sichern, gibt jedem Zugriff auf alle seine Logins, der Zugriff auf den Browser hat. Und noch nicht alle Browser stellen hohe Ansprüche an Sicherheit und Komplexität dieses Masterpassworts.
Außerdem sind die Passwörter an das Benutzerprofil des jeweiligen Browsers gebunden. Wer für unterschiedliche Zwecke mit unterschiedlichen Browsern im Netz unterwegs ist, muss also seine Passwörter an mehreren Stellen verwalten. Wer mit mehreren Geräten im Netz unterwegs ist – Smartphone, Tablet und Desktop-PC – muss seine Passwörter parallel aktuell halten. Wer überall die gleichen Programme einsetzt, kann Daten zwischen den Geräten synchronisieren. Dabei muss er aber meist in Kauf nehmen, dass auch die sicherheitsrelevanten Passwortdateien auf fremden Servern landen.
All diese Probleme lassen sich mit einem Stand-alone-Passwortmanager umgehen.
Der größte Vorteil eines Passwortmanagers ist, dass alle Passwörter an einer einzigen Stelle abgelegt sind und einheitlich verwaltet werden können. Ein guter Passwortmanager verschlüsselt diese Daten zudem so, dass sie nach dem aktuellen Stand der Technik auch künftig nicht mit vertretbarem Aufwand geknackt werden können. Der Zugriff auf die Passwörter ist nur nach Eingabe einer sicheren Passphrase möglich – dies ist das einzige Passwort, das man sich dann noch merken muss.
Darüber hinaus hilft ein Passwortmanager, sichere Passworte zu erstellen, und besitzt im Normalfall einen Generator, um sehr lange Zufallspassworte zu erzeugen. Passwortmanager speichern auch, wann ein Passwort angelegt bzw. zuletzt geändert worden ist. Einige Passwortmanager erhalten Updates, wenn eine Website angegriffen worden ist, und warnen dann Nutzer, ihre Zugangsdaten zu ändern.
Wer sich für einen Passwortmanager entscheidet, hat die Wahl zwischen lokal laufenden Anwendungen wie KeePass und Online-Managern wie LastPass, 1Password oder Dashlane. Lokale Anwendungen geben Anwendern volle Kontrolle darüber, wo sie ihre Passwortdateien ablegen. Das Open-Source-Programm KeePass ist dazu nicht nur kostenlos. Durch die offengelegten Quellen können unabhängige Experten die Sicherheit der Software auch einfacher prüfen als bei proprietären Lösungen, bei denen man den Angaben der Hersteller vertrauen muss. Dafür ist die Bedienung etwas komplizierter.
Online-Passwortmanager integrieren sich als Add-on bruchlos in den Browser und lassen sich direkt im Kontextmenü aufrufen, wenn man sie braucht. Dass die Passwörter online gespeichert sind, macht die Nutzung von verschiedenen Geräten und von überall auf der Welt einfacher – bedeutet aber auch, dass man von Sicherheitsmaßnahmen und Server-Verfügbarkeit des Anbieters abhängig ist. In der Regel stehen alle Funktionen des Dienstes nur zahlenden Kunden offen, während Gratisversionen nur die Ablage einer begrenzten Zahl von Passwörtern erlauben oder Komfortfunktionen vermissen lassen.
Update Oktober 2022/März 2023: Im August 2022 wurden durch eine Sicherheitslücke bei LastPass auch Kundendaten kompromittiert. Dabei hatten Hacker über Monate hinweg Zugriff auf Systeme des Anbieters und mittelbar auf zumindest teilweise unverschlüsselte Logindaten von LastPass-Nutzern. Dieser Vorfall und seine Aufarbeitung zeigen das grundsätzliche Risiko beim Vertrauen auf Dienste außerhalb der eigenen Kontrolle.
Die „Autofill”-Funktion eines Passwortmanagers ist schnell und bequem, erhöht aber das Risiko, dass Daten an den falschen Empfänger gehen. Die Passworteingabe sollte deshalb immer von einer direkten Nutzeraktion abhängen.
Ein Problem sind die auf Websites immer noch verbreiteten Sicherheitsfragen, wenn man einmal sein Passwort vergessen hat. Die Antworten auf Fragen wie „Was war der Mädchenname deiner Mutter“ oder „Wie hieß dein erstes Haustier?“ lassen sich in Zeiten von Facebook recht einfach herausfinden. Hier ist es sinnvoll, bewusst falsche Antworten oder – besser noch – weitere sichere Passworte einzutragen und diese dann in seinem Passwortmanager zu dokumentieren.
Um sich nicht von allen seinen Konten auszusperren, etwa wenn der eigene Rechner kaputt geht oder der Anbieter des Online-Passwortmanagers Daten verliert, sollte man immer ein aktuelles Backup der Passwort-Datenbank haben. Dieses Backup gehört natürlich nicht auf die Festplatte des Rechners, sondern wie jedes Sicherheitsbackup an einen Ort, an dem es vor äußeren Einflüssen sicher ist, vom Hackerangriff ebenso wie vor Blitzschlag oder Hochwasser.
Zwei-Faktor-Authentifizierung (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit eines Nutzerkontos erheblich. Hier ergänzt mindestens ein weiteres Element die herkömmliche Login-Passwort-Kombination. Das kann ein Fingerabdruck oder ein anderes biometrisches Merkmal sein, eine SMS, aber auch ein Sicherheitsfaktor wie ein nur kurzzeitig gültiger Zifferncode.
Als Standard für das Erzeugen solcher Codes existiert seit einiger Zeit der Time-based One-time Password Algorithmus (TOTP), der alle 30 Sekunden ein jeweils 30 Sekunden lang gültiges Einmalkennwort erzeugt. Für alle gängigen Betriebssysteme existieren Apps, die diesen Standard nutzen. Zu den vertrauenswürdigen Apps zählen hier Google Authenticator, Duo Mobile, Microsoft Authenticator, FreeOTP und Authy.
Wer ganz sicher gehen will, koppelt die zusätzliche Authentifizierung von dem Gerät ab, mit der er sich einloggt. Dies ist durch den Einsatz eines Security-Tokens möglich, der die für den Login relevanten Credentials enthält – das können neben TOTP-Schlüsseln weitere Informationen wie Mitarbeiterkonten und Zugangsberechtigungen in Unternehmen sein. Das erhöht nicht nur die Sicherheit, sondern vereinfacht auch den Einsatz der Multi-Faktor-Authentifizierung: Moderne Tokens wie der YubiKey haben nicht nur einen USB-Anschluss, sondern können ihre Daten per Nahfeld-Kommunikation (NFC) auch an Smartphones oder Lesegeräte z. B. zur Eingangskontrolle an Türen übertragen. Zusätzlicher Vorteil eines Hardware-Tokens: Er ist geräteunabhängig. Wer sein Smartphone oder seinen Laptop wechselt, muss nicht jedes Mal die TOTP-App mit einem Backup der ursprünglichen Konfiguration einspielen.
Ein Problem der Zwei-Faktor-Authentifizierung ist, dass nicht alle Varianten gleich sicher sind – und einige Anbieter nur ausgewählte Möglichkeiten anbieten. So ist die verbreitete Authentifizierung per SMS die am wenigsten sichere Variante, während biometrische Prüfungen oft trivial zu umgehen sind. Manche Gesichtserkennungssoftware lässt sich etwa mit einem ausgedruckten Foto austricksen.
Das Hasso-Plattner-Institut empfiehlt für das Erstellen von Passwörtern:
Infografik „So erstellen die Deutschen ihre Passwörter“: Trotz des Risikos setzen einer aktuellen Umfrage von Web.de immer noch 59 Prozent der deutschen Internetnutzer dasselbe Passwort für mehrere Dienste ein. Zudem nutzen sie immer noch häufig unsichere, weil zu einfache Passwörter. Quelle: Statista