Passwortverwaltung: Wie man Passwörter online besser schützt und geheim hält

 

Ein einziges, unkompliziertes Passwort für alle Ihre Online-Konten – das klingt verlockend. Doch Ihre Passwörter tragen dazu bei, diese Konten vor den Angriffen skrupelloser Cyberkrimineller zu schützen.

Stellt man sich zu jedem Ihrer Online-Konten eine verschlossene Tür vor, so ist das entsprechende Passwort sozusagen der Schlüssel zu dieser Tür. Und ein Generalschlüssel, mit dem man alle Türen öffnen kann, birgt erhebliche Risiken.

Ein gutes Passwort gehört zu den wichtigsten Schutzmaßnahmen im Internet. Darum ist es wichtig, dass Sie für jedes Ihrer Konten ein sicheres Passwort wählen. "Wie sicher ist mein Passwort?", mögen Sie sich nun fragen. Wenn es "123456" oder "PASSWORT" lautet, muss man kein Genie sein, um es zu knacken.

Im Grunde wissen wir alle, wie wichtig Passwörter sind, doch aus Bequemlichkeit machen wir es uns oft zu leicht, wenn wir ein neues wählen sollen. Schließlich ist es schwer, sich die komplexen Passwörter zu merken, die Experten empfehlen, und wir alle haben heutzutage eine Vielzahl von Online-Konten, die geschützt werden müssen.

Leider warten Cyberkriminelle nur darauf, dass Sie ihnen ein Schlupfloch bieten. Einer aktuellen Studie des britischen National Cyber Security Centre (NCSC) zufolge lautet das häufigste Passwort kompromittierter Konten "123456". Wenn Sie Ihre Haustür ständig unverschlossen lassen, ist es wahrscheinlich nur eine Frage der Zeit, bis ein Fremder eindringt und Ihre Sachen stiehlt.

Was ist ein Passwort-Manager und warum ist er nützlich?

Sie haben Passwörter für Ihr E-Mail-Postfach, Ihre sozialen Medien, Ihr Bankkonto und eine Vielzahl weiterer Konten – da verliert man schnell den Überblick. Hinzu kommt oft ein weiteres Dutzend Firmenkonten. Wer soll sich all das merken? Hier kann ein Passwort-Manager hilfreich sein.

Er speichert alle Ihre Passwörter in einem verschlüsselten Online-Speicher und füllt Ihre Login-Daten automatisch aus, wenn Sie eine Website aufrufen. Außerdem kann er Ihnen helfen, sicherere, komplexere Passwörter für Ihre Online-Konten zu erstellen, und Sie warnen, falls Ihre aktuellen Passwörter nicht sicher sind.

Ist ein Passwort-Manager sinnvoll? Kurz gesagt: ja. Er merkt sich nicht nur sämtliche Passwörter für Sie, sodass Sie den Kopf frei haben, sondern erleichtert Ihnen auch das Einloggen bei Ihren Lieblingswebsites.

Doch bevor wir die Vorteile von Passwort-Managern näher beleuchten und uns ansehen, welches Modell am besten für Sie geeignet ist, wollen wir darauf eingehen, wie Sie Ihre Konten im Internet besser absichern können, indem Sie einige Grundsätze für einen verantwortungsvollen Umgang mit Passwörtern befolgen.

Wie Sie Ihre Passwörter online besser schützen können

Passwörter sind für den Schutz Ihrer Daten unerlässlich, doch noch immer verzichtet so mancher Gerätebesitzer aus Bequemlichkeit darauf, ein Passwort für sein Handy oder seinen Computer einzurichten.

Unsere Smartphones enthalten heutzutage eine Fülle wertvoller Daten und Apps. Die Passwörter, die diese Apps schützen sollen, sind nutzlos, wenn Sie Ihre Hardware nicht schützen.

Cyberkriminelle könnten einfach Ihre Apps öffnen, Ihre sensiblen Daten abgreifen und sogar die Passwörter für Ihre Konten zurücksetzen.

Alle Ihre Geräte sollten passwortgeschützt sein, um Angreifern kein Einfallstor zu bieten.

Außerdem sollten Sie Ihre Passwörter für sich behalten. Das mag selbstverständlich klingen, doch einige Leute geben ihre Passwörter bereitwillig weiter.

Dabei sollte klar sein, dass diese nur dann wirklich sicher sind, wenn Sie sie konsequent unter Verschluss halten.

Überaus wichtig ist außerdem auch die Passwortstärke. 2013 wurden die Konten von über 38 Millionen Adobe-Kunden gehackt. Über zwei Millionen von ihnen hatten "123456" als Passwort. Unter den Top 5 der häufigsten Passwörter fanden sich außerdem "123456789", "Password", "adobe123" und "12345678". Da liegt die Vermutung nahe, dass sich viele Leute nicht besonders viel Mühe mit ihren Passwörter geben.

Was genau ist also ein sicheres Passwort? Empfohlen wird eine Folge aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, die mindestens acht Zeichen lang ist.

Dies hilft, Brute-Force-Angriffe zu verhindern, bei denen Hacker eine spezielle Technologie zum Knacken von Passwörtern anwenden, um wahllos Passwörter auszuprobieren, bis sie das richtige gefunden haben.

Die neue Grafikkarte Nvidia RTX 3090 kann laut Testergebnissen eingesetzt werden, um 669 Millionen Passwörter pro Sekunde zu generieren. Darum sollten Sie niemals nur ein einzelnes Wort als Passwort verwenden.

Zwei-Faktor-Authentifizierung ist eine weitere Methode, mit der Sie die Passwortsicherheit erhöhen können, um eine zusätzliche Schutzebene für Ihre Konten zu erhalten. Dabei loggen Sie sich ganz normal ein. Anschließend werden Sie gebeten, eine zusätzliche Information anzugeben – z. B. eine PIN, die an Ihr Smartphone gesendet wurde. Selbst wenn Ihr Passwort geknackt werden sollte, können Sie ungebetene Zugriffe auf Ihre Konten so verhindern.

Was leistet ein Passwort-Manager?

Ein Passwort-Manager ist eine Softwareanwendung, die alle Ihre Passwörter gut geschützt und zentral in einem verschlüsselten Speicher ablegen kann. Das Tool erleichtert Ihnen das Einloggen bei Ihren verschiedenen Konten, indem es Ihre Zugangsdaten automatisch ausfüllt, wenn Sie eine Website besuchen.

Als das Internet noch recht neu war, brauchten Sie wahrscheinlich nur eine Handvoll Passwörter. Doch heutzutage nutzen wir alle eine Fülle von Online-Services. Darum benötigen wir auch mehr Passwörter. Diese Zahl wird wahrscheinlich noch steigen, da immer mehr Websites eine Registrierung erfordern, um sie zu nutzen.

Natürlich können Sie sich nicht unendlich viele komplexe Passwörter merken, aber genau hier kommt ein Passwort-Manager ins Spiel. Ein einziges Master-Passwort reicht, um sich bei dem Tool einzuloggen, und alles andere erledigt es für sie. Einige Passwort-Manager bieten zusätzliche Sicherheit durch Authentifizierungsoptionen auf Basis biometrischer Daten, wie beispielsweise Face ID.

So können Sie komplexe, schwer zu erratende Passwörter für alle Ihrer Websites oder Apps verwenden und unbesorgt online gehen, ohne dass Ihnen der Kopf schwirrt.

Ein guter Passwort-Manager kann außerdem neue Passwörter für Sie erstellen, indem er eine zufällige Folge aus alphanumerischen Zeichen generiert, die fast unmöglich zu erraten ist. Er kann Sie sogar auf schwache Passwörter hinweisen, die Sie derzeit verwenden, um Ihr Risiko zu verringern.

Nun könnten Sie einwenden, dass Ihr Browser ja bereits alle Passwörter speichert. Leider sind die meisten browserbasierten Passwort-Manager nicht sehr sicher. Auch speichern sie Ihre Passwörter nicht in verschlüsselter Form. Daher könnte sich ein Hacker leicht Zugang zu Ihren Passwortdateien verschaffen und auf Ihre verschiedenen Logins zugreifen.

Ein Passwort-Manager bietet nicht nur mehr Schutz, sondern auch mehr Komfort. Er füllt Ihre Anmeldedaten automatisch aus, wenn Sie eine verifizierte Seite oder App aufrufen, sodass Sie sich nicht die Logins jeder einzelnen besuchten Website oder App merken müssen.

Lästige Tippfehler beim Einloggen gehören damit der Vergangenheit an. Auch müssen Sie nie wieder ein Passwort zurücksetzen, wenn Ihre Erinnerung Sie im Stich lässt.

Diese Funktion kann auch Ihren Schutz vor Phishing-Angriffen erhöhen. Phishing-E-Mails, die einen Link zu einer gefälschten Website enthalten, die der echten täuschend ähnlich sieht, sind unter Hackern sehr beliebt. Das Ziel solcher Angriffe ist es, Ihren Benutzernamen und Ihr Passwort in Erfahrung zu bringen, wenn Sie versuchen, sich einzuloggen. Da der Passwort-Manager gefälschte Seiten leicht erkennen kann, gibt er Ihre Daten nicht automatisch ein, sodass Sie sofort auf das Problem aufmerksam werden.

Sie müssen dasselbe Passwort nicht mehr für mehrere Konten verwenden und sich somit auch keine Sorgen mehr machen, dass ein Konto nach dem anderen gehackt werden könnte, falls ein Hacker eines Ihrer Passwörter in die Finger bekommen sollte. Leider kommt es gelegentlich zu Datenpannen und mit den Passwörtern, die dabei geleakt werden, können Hacker viel Unheil anrichten.

Wie gefährlich es sein kann, ein geleaktes Passwort weiterzuverwenden, zeigt die Dropbox-Datenpanne von 2012. Ein Dropbox-Mitarbeiter nutzte ein altes privates Passwort für eines seiner Firmenkonten. Leider war dieses Passwort zuvor im Rahmen einer Datenpanne bei LinkedIn geleakt worden. Mithilfe des Passworts und der Identität des Mitarbeiters gelang es Hackern, unbefugt in das Unternehmensnetzwerk von Dropbox einzudringen, was dazu führte, dass 68 Millionen Dropbox-Nutzerkonten kompromittiert wurden.

Ein Passwort-Manager installiert im Wesentlichen eine virtuelle Firewall zwischen jedem Ihrer Konten und stellt auf diese Weise sicher, dass ein einziger Datenschutzverstoß höchstens ein Konto betreffen kann. Außerdem gibt es mit einem solchen Tool keinen Grund mehr, ein altes Passwort wiederzuverwenden, das Sie irgendwann in Schwierigkeiten bringen könnte.

Mit einem guten Passwort-Manager können Sie Ihre Logins geräteübergreifend synchronisieren und so den Schutz auf all Ihren Geräten verbessern.

Welcher Passwort-Manager am besten für Sie geeignet ist, hängt natürlich von Ihrer Situation ab.

Es gibt cloudbasierte Passwort-Manager, bei denen der verschlüsselte Speicher mit all Ihren Passwörtern auf dem Server des Service-Providers gespeichert wird. Alternativ können Sie ein Modell wählen, bei dem sie lokal auf Ihrem Gerät gespeichert werden.

Bei einer cloudbasierten App können Sie alle Passwörter wiederherstellen, sollte das Gerät verloren gehen. Die Passwörter werden automatisch aktualisiert und müssen nicht auf verschiedenen Geräten synchronisiert werden.

Wenn Sie aber Bedenken haben, Ihre Passwörter auf dem Server eines Drittanbieters zu speichern, der von Cyberkriminellen angegriffen werden könnte, sollten Sie die Download-Variante wählen. Bedenken Sie jedoch, dass es schwieriger ist, den Passwort-Manager auf mehreren Geräten zu verwenden, wenn Sie die Daten manuell hin- und herschieben müssen.

Wie sicher sind Passwort-Manager?

Die Nützlichkeit eines Passwort-Managers mag außer Frage stehen, doch vielleicht behagt Ihnen der Gedanke nicht, dass alle Ihre Passwörter zentral an einem Ort gespeichert und über ein einziges Passwort zugänglich sind. "Wer bewacht die Wächter", wie es so schön heißt.

Wenn Ihr Passwort-Manager gehackt wird, sind dann alle Ihre Passwörter gefährdet? Schauen wir uns also an, wie sicher Passwort-Manager sind und ob es berechtigte Bedenken gibt.

Welche Nachteile hat ein Passwort-Manager?

In der Praxis bietet keine Technologie hundertprozentigen Schutz. Doch ist das wirklich ein Grund, auf diese Art von Anwendung zu verzichten? Oder handelt es sich vielmehr um eine der besten Formen des Passwortschutzes? Es gab tatsächlich Fälle, in denen Passwort-Manager von einem Cyberangriff betroffen waren.

Einige Passwort-Manager sind über einen Master-PIN-Code zugänglich statt über ein komplexes Master-Passwort, was das Risiko eines Cyberangriffs natürlich erhöhen kann. PIN-Codes sind wesentlich anfälliger für Brute-Force-Attacken – aus demselben Grund, aus dem komplexe alphanumerische Passwörter ein höheres Maß an Schutz bieten.

Einige Passwort-Manager jedoch begrenzen die Anzahl der Login-Versuche mit dem Master-PIN bzw. -Passwort, was dieser Art von Cyberangriff unter Umständen Einhalt gebieten kann. Da Sie sich jedoch nur ein einziges Passwort merken müssen, gibt es eigentlich keinen Grund, auf eine komplexe, nicht zu knackende Kombination aus Buchstaben, Ziffern und Zeichen zu verzichten.

Bei einer Studie der University of York zeigte sich, dass sich einige Passwort-Manager von einer Schadanwendung täuschen ließen, die einer legitimen Google-App nachempfunden war. Zwei der fünf getesteten Passwort-Manager erkannten die App nicht als Fälschung und füllten den Benutzernamen und das Passwort automatisch aus.

Damit so etwas geschieht, müssten Sie allerdings Malware herunterladen, über die die Schadanwendung installiert werden kann – am wahrscheinlichsten über einen Phishing-Angriff. Wie bei so vielen Online-Datenpannen ist dies einer der Fälle, in denen menschliches Versagen für technisches Versagen verantwortlich ist.

Im Rahmen einer anderen Studie, bei der die Passwort-Manager von Dashlane, 1Password, LastPass und KeePass unter Windows 10 getestet wurden, hatte man eine Sicherheitslücke entdeckt, die es Hackern theoretisch ermöglicht, Ihr Master-Passwort aus dem Arbeitsspeicher Ihres Laptops oder Desktop-PCs abzurufen. Dieser spezielle Bug betraf nur Passwort-Manager, die auf ein Gerät heruntergeladen wurden, aber er zeigt, dass die Technologie nicht unschlagbar ist.

Daraufhin riet eine Sicherheitsexpertin, dass man einen Passwort-Manager niemals im Hintergrund laufen lassen solle – auch nicht im gesperrten Zustand. Zudem wies sie darauf hin, dass zur Einrichtung von Passwort-Managern auf neuen Geräten in der Regel eine Zwei-Faktor-Authentifizierung erforderlich ist. Es reicht also nicht unbedingt aus, Zugriff auf Ihr Master-Passwort zu erlangen.

Wie das obige Beispiel zeigt, ist es generell ratsam, Zwei-Faktor-Authentifizierung zu aktivieren, da Ihnen diese Technologie im Ernstfall zusätzlichen Schutz bietet.

Auch sollte man bedenken, dass ein Passwort-Manager keine Patentlösung ist. Ein verantwortungsvoller Umgang mit Passwörtern ist trotzdem wichtig. Wenn Ihr Master-Passwort "12345678" lautet, bieten Sie Ihren anderen Passwörtern nicht viel Schutz. Auch mit einem Passwort-Manager ist es immer wichtig, bewährte Verfahren zu befolgen.

Was passiert, wenn mein Passwort-Manager gehackt wird?

Einer der größten Vorteile eines Passwort-Managers ist, dass er auf einem "kenntnisfreien" Modell basiert. Das bedeutet, dass zwar der Passwort-Manager Ihr Master-Passwort kennt, Ihr Provider aber nicht.

Bei einem Cyberangriff auf den Provider könnten also höchstens Ihre verschlüsselten Daten abgegriffen werden, nicht aber Ihr Master-Passwort. Und ohne dieses Passwort sind die verschlüsselten Daten nicht zugänglich. Würde der Server gehackt, der Ihren cloudbasierten Passwort-Manager hostet, wären die abgerufenen Daten also nichts als Kauderwelsch, und es gäbe keine Möglichkeit, sie zu entschlüsseln.

Leistungsstarke Passwort-Manager machen es also unglaublich schwer, sich Zugriff auf Ihre Passwörter zu verschaffen – selbst im Falle eines Hackerangriffs. Bugs oder Exploits, die Hacker für ihre Zwecke ausnutzen, wird es immer geben. Doch diese Technologie legt Cyberkriminellen, die sich Zugriff auf Ihre Passwörter verschaffen wollen, sehr viele Steine in den Weg.

Sollten Sie also einen Passwort-Manager verwenden?

Tatsächlich geht es bei Cybersicherheit nicht darum, zu 100 % sicher zu sein, da dies in einer Welt, in der Hacker ständig neue Sicherheitslücken oder Programmfehler finden, die sie ausnutzen können, praktisch unmöglich ist.

Gute Cybersicherheit bedeutet, alle verfügbaren Vorsichtsmaßnahmen zu ergreifen, um es Cyberkriminellen nicht zu leicht zu machen. Es bedeutet, zu wissen, was Sie tun sollten, und Ihr Risiko zu verringern, wann immer Sie online sind.

Viele der oben genannten Fälle zeigen, dass es beim Thema Online-Sicherheit nicht darum geht, wie sicher eine bestimmte Technologie ist – entscheidend ist, dass Sie umsichtig handeln, mögliche Zugänge durch die Hintertür blockieren, die ausgenutzt werden könnten, und sich an bewährte Sicherheitspraktiken halten.

Zwar kann man Cyberangriffe auf Passwort-Manager nicht völlig ausschließen, doch der Vorteil, komplexe Passwörter zu erstellen und in einem verschlüsselten Speicher aufzubewahren, überwiegt die Risiken, die mit überholten Methoden einhergehen, bei denen Sie sich auf Ihre Erinnerung, Notizen oder Word-Dokumente auf Ihrem Computer verlassen müssen.

Außerdem sollten Sie bedenken, dass Sie in der Regel nur das bekommen, wofür Sie bezahlen. Open-Source-Passwort-Manager können Ihnen unter Umständen einen relativ guten Service bieten. Doch zusätzliche Sicherheitsoptionen erhalten Sie in der Regel nur bei einem kostenpflichtigen Service. Eine kurze Recherche kann helfen, die beste Lösung für Ihre Anforderungen zu ermitteln.

Obwohl die Autoren der bereits erwähnten Studie der University of York einige Sicherheitslücken in den ausgiebig getesteten Passwort-Managern gefunden haben, empfehlen sie dennoch, dass Privatpersonen und Unternehmen solche Programme verwenden sollten. Diese seien eine "sicherere und benutzerfreundlichere Option" als die Alternativen.

"Es ist zwar nicht unmöglich, dass Hacker Zugriff auf die darin gespeicherten Informationen erlangen, doch dafür ist ein ziemlich komplexer Angriff nötig", so Michael Carr, Hauptautor der Studie.

Bei einer klugen Anwendung sind Sie mit dem Tool zweifellos besser aufgestellt als ohne. Außerdem bietet es einen unbestreitbaren Vorteil: bessere Passwörter für all Ihre Konten. Ein Passwort-Manager fördert den verantwortungsvollen Umgang mit Passwörtern – und das ist auf jeden Fall eine gute Sache.

Tipps zur Passwortsicherheit

Ein Passwort-Manager ist eines jener nützlichen Sicherheitstools, die Ihr Risiko verringern und Ihnen das Leben ein wenig leichter machen können. Cyberkriminelle suchen ständig nach Möglichkeiten, ihre Daten zu stehlen, doch mit Tools dieser Art können Sie sich in diesem ewigen Kampf einen Vorteil verschaffen.

Oft versuchen Hacker, Ihnen Ihr Passwort mithilfe von Phishing-Angriffen zu entlocken. Solche Manipulationsversuche stellen möglicherweise die größte Bedrohung für Ihre Passwortsicherheit dar. Zum Glück kann eine gesunde Portion Vorsicht helfen, solche Online-Fallen zu umgehen.

Mit ein wenig gesundem Menschenverstand ist es leichter als gedacht, umsichtig zu handeln und sich online zu schützen – ob mit Passwort-Manager oder ohne.

Passwort-Manager sind unter anderem deshalb so effektiv, weil sie zu den Grundlagen zurückkehren. Verschlüsselung ist vielleicht ihr größtes Verkaufsargument. Vor allem aber sorgen sie dafür, dass wir uns darauf besinnen, wie wichtig ein verantwortungsvoller Umgang mit Passwörtern ist.

Hier sind acht einfache Tipps zur Passwortsicherheit, die viel bewirken können.

1. Verwenden Sie keine personenbezogenen Daten: Vermeiden Sie Familiennamen, Adressen oder sonstige Informationen, die ein gewiefter Hacker aus Ihren öffentlichen Profilen schlussfolgern könnte.
2. Verwenden Sie keine gängigen Begriffe: Denn damit öffnen Sie Brute-Force-Angriffen Tür und Tor. Denken Sie sich stattdessen eine alphanumerische Zeichenfolge mit Groß- und Kleinbuchstaben und verschiedenen Sonderzeichen aus, z. B. "%" oder "&".
   
3. Erstellen Sie lange Passwörter: Je länger ein Passwort ist, desto schwerer ist es zu erraten. Acht Zeichen sollte es mindestens haben. Doch es dürfen gern mehr sein, solange Sie es sich noch merken können.
   
4. Schreiben Sie sich keine Passwörter auf: Wir haben es alle schon einmal getan. Dennoch: Widerstehen Sie der Versuchung, Passwörter auf Zetteln oder in Textdateien auf Ihrem Computer zu notieren. Wenn sich auf einem beliebigen Gerät ein Dokument mit dem Namen "Passwörter" findet, ist der Ärger schon vorprogrammiert.
   
5. Ändern Sie Passwörter regelmäßig: Sicher, es ist schon schwer genug, sich die aktuellen Passwörter zu merken. Trotzdem sollten Sie diese unbedingt jeden Monat oder jeden zweiten ändern, um sich noch besser zu schützen. Hier kann Ihnen ein Passwort-Manager definitiv die Arbeit erleichtern.
   
6. Verwenden Sie Passwörter nicht mehrmals: Nutzen Sie niemals dasselbe Passwort für mehrere Konten. Sonst kann es Ihnen passieren, dass sie alle die Konten angegriffen werden, wenn eines davon erfolgreich gehackt wird.
   
7. Loggen Sie sich in einem offenen Netzwerk nicht bei Websites ein: Geben Sie an öffentlich zugänglichen WLAN-Hotspots niemals Ihr Passwort für eine App oder Website ein. Offene Netze sind bekanntermaßen unsicher und jeder Nutzer, der im selben Netzwerk unterwegs ist wie Sie, könnte Ihre Aktivitäten ausspähen.
8. Verwenden Sie Zwei-Faktor-Authentifizierung: Diese Methode macht es Hackern sehr schwer, auf Ihre Konten zuzugreifen – selbst wenn sie Ihr Passwort haben. Dieser zusätzliche Schutzebene kann den entscheidenden Unterschied ausmachen.
   

Mit einem Passwort-Manager wird die sichere Aufbewahrung Ihrer Passwörter zum Kinderspiel. Und mit Norton 360 erhalten Sie neben einem Passwort-Manager* außerdem noch ein VPN und Antivirus-Schutz, um Ihre Cybersicherheit und Ihre Online-Privatsphäre zu stärken. Die Lösung hilft Ihnen also, Ihre Online-Konten gut abzuriegeln und vor neugierigen Blicken zu schützen.

* Norton Password Manager ist keine exklusive Funktionalität von Norton 360, sondern ist ebenfalls unabhängig von diesen Produkten kostenlos online verfügbar.