Hilfsmittel oder Risiko: Das können Passwortmanager

17.11.2016
Ein Passwort für alle Konten im Internet: Das bieten Passwortmanager. Doch viele Sicherheitsexperten raten von diesen Hilfsmitteln ab. Denn ihre Nützlichkeit ist zugleich ihr größter Makel. Eine Übersicht zu Stärken und Schwächen.
Sichere Passwörter haben einen Nachteil: Sie sind nur selten leicht zu merken. Passwortmanager schaffen hier Abhilfe. Anwender speichern dort alle ihre Passwörter ab. Foto: Andrea Warnecke
Sichere Passwörter haben einen Nachteil: Sie sind nur selten leicht zu merken. Passwortmanager schaffen hier Abhilfe. Anwender speichern dort alle ihre Passwörter ab. Foto: Andrea Warnecke

Dresden (dpa/tmn) - Wer viele Accounts bei Plattformen im Internet hat, kennt das Problem: Für alle das gleiche Passwort zu nutzen, ist unsicher. Wird einer der Accounts gehackt, probieren die Datendiebe das gekaperte Passwort häufig auch bei anderen Plattformen aus.

Darum sollten Verbraucher für jeden Account ein eigenes Passwort vergeben - was aber eine Herausforderung fürs Gedächtnis ist. «Üblicherweise können sich Leute Passwörter schlecht merken», sagt Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der TU Dresden. Das führt dazu, dass sie dazu tendieren, schlechte Passwörter zu nutzen, die nicht besonders sicher sind.

Dieses Dilemma sollen Passwortmanager lösen. In solchen Programmen speichern Nutzer ihre Passwörter verschlüsselt ab - ohne das Risiko, sie zu vergessen. Für den Zugriff auf die Passwortliste müssen sich Nutzer nur ein einziges Passwort merken - das Masterpasswort.

Die Vorteile der Manager liegen auf der Hand: Man kann komplexere Passwörter wählen. Außerdem liegen sie alle an einer Stelle gespeichert. Genau darin liegt aber auch der große Nachteil, erklärt Ronald Eikenberg von der Fachzeitschrift «c't»: «Es gibt einen Angriffspunkt, zum Beispiel für einen Trojaner.» Sobald ein PC mit einer solchen Schadsoftware infiziert ist, könne der Trojaner unter Umständen das Masterpasswort ausspähen. Dann sind alle in der Datenbank abgespeicherten Zugangsdaten in Gefahr.

Die Manager seien ein interessantes Angriffsziel für Hacker, sagt Prof. Strufe: «Dort greifen sie auf einen Schlag viele Passwörter ab.» Andererseits können die Programme dazu beitragen, dass Nutzer für ihre Dienste schwierigere Passwörter wählen.

Ihr Masterpasswort, also den Schlüssel zum Passwort-Safe, müssen sich Anwender selbst ausdenken. Damit es als sicher gilt, sollte ein Passwort laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Und es sollte nicht im Wörterbuch zu finden sein. Leichte Merksätze helfen beim Erstellen. Etwa: Am Morgen stehe ich um Acht auf und putze mir meine Zähne. Daraus wird gekürzt: AMsiu8a&pmmZ.

Die Nutzung von Passwortdatenbanken ist weit verbreitet: Laut einer Umfrage von Bitkom Research aus dem Sommer 2016 verwendet ein Drittel (34 Prozent) der Internetnutzer in Deutschland einen Passwort-Safe.

Passwortmanager gibt es in zwei Varianten: offline und online. Bei Offline-Programmen - zum Beispiel Keepass - liegen die Daten auf dem Nutzerrechner, während Internet-Dienste - zum Beispiel Lastpass oder 1Password - die Datenbank mit den Passwörtern verschlüsselt auf einem Server speichern. Mit den Online-Managern haben Nutzer recht einfach Zugriff von allen Geräten - ob Rechner, Tablet oder Smartphone. Offline muss der Nutzer die Passwortdatei von Hand hin und her kopieren: zum Beispiel, um die Liste vom Rechner auf das Smartphone zu übertragen.

Oft lassen sich Passwortmanager über Plugins genannte Zusatzprogramme mit dem Browser verzahnen. Damit können auf vielen Anmeldeseiten die entsprechenden Passwörter automatisch übernommen werden. Dafür müssen Anwender nur einmal ihr Masterpasswort eingeben. Das erhöht den Komfort.

Auf USB-Sticks gepackt, haben Nutzer die Passwort-Datenbanken auch unterwegs dabei. Den Stick an einen beliebigen Rechner anzuschließen, hält Ronald Eikenberg aber für keine gute Idee: Auf fremden Computern könnten Trojaner verborgen sein.

Lastpass zu Sicherheitslücke

Mitteilung zur Bitkom-Umfrage

Musterpasswortkarte von sicher-im-netz.de


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Wiederholte Angriffe mit Erpressungs-Trojanern verunsichern Verbraucher. Mit einfachen Maßnahmen lässt sich das Risiko für den eigenen PC minimieren. Foto: Sebastian Kahnert/dpa So schützen sich Nutzer vor Erpressungs-Trojanern Erneut hat ein Erpressungs-Trojaner tausende Computer erfasst. Der Angriff traf zwar internationale Konzerne, aber auch Verbraucher sollten ihre Geräte schützen. Mit einfachen Maßnahmen lässt sich das Risiko deutlich senken.
Blackbox Rechner: Dass Notebook oder PC mit Schadsoftware infiziert ist, bekommt der Nutzer oft gar nicht mit. Um so wichtiger sind regelmäßige Sicherheits-Checks. Foto: Franziska Gabbert Avalanche: Betroffene müssen Rechner prüfen Wer sich Schadsoftware eingefangen hat, gibt sie oft ungewollt weiter: Sein PC ist zu einem von Kriminellen ferngesteuerten Bot geworden. Ermittler haben gerade eine riesige Steuerungsinfrastruktur für Botnetze zerstört. Nun sind Besitzer infizierter Rechner am Zug.
Automatische Aufräumprogramme sollen Bloat- und Crapware entfernen. Sicher sein, kann man aber nie. Schlimmstenfalls bringen sie selbst unnützen digitalen Ballast auf den Rechner. Foto: Andrea Warnecke/dpa-tmn Geschenkt ist noch zu teuer? - Bloat- und Crapware entfernen Hier ein Virenscanner, da ein PDF-Reader und schnell noch eine Browsererweiterung: Die meisten Computer aus dem Handel sind mit Software geradezu vollgestopft. Viele Nutzer ärgert das. Aber ist die sogenannte Bloatware nur nervig oder ein echtes Problem?
Hilfe, die keine ist: Internet-Betrüger geben sich am Telefon mit Vorliebe als Microsoft-Techniker aus. Foto: Jan-Philipp Strobel/dpa/dpa-tmn Techniker am Telefon: Wie Betrüger den Rechner kapern Telefonbetrüger geben sich mit Vorliebe als Microsoft-Techniker aus. Tatsächlich wollen sie aber Daten abgreifen und Geld erpressen. Jeder Windows-Nutzer ist ein potenzielles Opfer. Man ist den Kriminellen aber nicht schutzlos ausgeliefert.