Einfach gut: Sichere Passwörter dank Passwort-Manager

← zurück zum Blog

Die Schweizer Bevölkerung fühlt sich im Internet sicher. Das ist das Ergebnis einer repräsentativen Umfrage von ICTSwitzerland, die vergangene Woche vorgestellt wurde. Alles also super, sicher und paletti in diesem Internet? Leider nicht.

Einfach gut: Sichere Passwörter dank Passwort-Manager

Denn auf den zweiten Blick geben die Umfrageergebnisse zu denken. Zum Beispiel deshalb, weil ziemlich genau 50 Prozent der Befragten angaben, «immer» oder «manchmal» dasselbe Passwort für verschiedene Dienste zu nutzen. Selbst unter denjenigen Personen, die sich als «eher oder sehr gut informiert» in Sachen Cyberrisiken bezeichneten, gaben 12 Prozent an, nur ein einziges Passwort für alle ihre Anwendungen zu verwenden. Ein klares No-Go. Denn haben Angreifer erst einmal das eine Passwort erbeutet, können sie so ohne Aufwand auf weitere Konten zugreifen. Immer wieder tauchen zudem grosse Sammlungen aus sogenannten «Breaches» (also Einbrüchen bei einem Anbieter) mit E-Mail-Passwort-Kombinationen im Netz auf und werden von Angreifern knallhart ausgenutzt.

Passwortverwaltung leicht gemacht

Klar ist aber auch: Sich für jede Website ein anderes Passwort zu merken, ist unmöglich. Aber auch gar nicht nötig. Entweder, man hat eine schlaue Passwort-Technik – in unserem Supportartikel «Sicheres Passwort» erfahren Sie mehr dazu, was ein sicheres Passwort ausmacht – oder man vertraut auf einen der zahlreichen Passwort-Manager, die einem die Denkarbeit komplett abnehmen.

Zum Beispiel auf die (kostenpflichtige) Safer-Code-App aus der Schweiz, bei der man sich nur ein einziges Icon merken muss. Noch bequemer sind Passwort-Manager, die wie ein Tresor funktionieren. An den (verschlüsselten) Inhalt, in diesem Falle die eigenen Benutzernamen und Passwörter für Websites, kommt man nur, wenn man das Master-Passwort kennt. Das hat den Vorteil, dass man sich nur ein einziges Passwort wirklich merken muss und dieses so dann auch entsprechend kompliziert gestalten kann. Hat man die Daten im «Passwort-Tresor» damit erst mal freigegeben, kann man die hinterlegten Logins und Passwörter dank entsprechender Browser-Plugins intuitiv per Mausklick nutzen und sich einloggen.

Passwortmanager gibt es sowohl als Offline- als auch als Online-Variante. So liegen die Daten zum Beispiel bei LastPass oder 1Password auf einem Server oder in der Cloud, beim «Offliner» und Open-Source-Vertreter KeePass hingegen auf dem eigenen Computer. Allerdings kann der «Tresor» dort beispielsweise mit Dropbox wie bei den «Onlinern» ebenfalls mit anderen Geräten synchronisiert werden. Denn nur, wenn ein Passwort-Manager auf allen genutzten Geräten auf die aktuellen Login-Daten zugreifen und diese auch aktualisieren können, macht deren Einsatz Sinn.

Vorteile überwiegen Nachteile

Natürlich ist es nicht von der Hand zu weisen, dass eine Software, die alle persönlichen Login-Daten einer Person verwaltet, potentiell eine Gefahr darstellt. Wird das «Master-Passwort» geknackt oder gibt die Software die Logins anderweitig preis, können theoretisch gleich alle Login-Daten abgegriffen werden. Wichtig ist deshalb, dass die Software stets auf dem aktuellen Stand gehalten wird und das «Master-Passwort» ein nur schwer zu knackendes Passwort ist.

Am Ende ist der Einsatz von Passwort-Managern aber doch eine sinnvolle Sache, insbesondere wenn deren Einsatz die Nutzer davor bewahrt, massenhaft schwache, mehrfach verwendete oder generische Passwörter einzusetzen. Für welches Programm man sich am Ende entscheidet, ist vor allem auch Geschmackssache.

9 Kommentare

  1. Sinnvolle Vorschläge.

    A propos Passwörter: Kann man bei den SSH-Verbindungen auf eure Server die Passwörter abschalten? Ich benutze seit Jahren nur noch Public/Private-Schlüssel dafür.

    • Hi Christian. Die Funktion, Passwörter für SSH abzuschalten, steht bei uns zurzeit noch nicht zur Verfügung. Das liegt vor allem an unserem Setup, das auf einem Server nur das Abschalten von Passwörtern für alle Webhosting-Accounts erlaubt. Sobald wir da aber eine sinnvolle Lösung gefunden haben, möchten wir die Funktion anbieten. Einen Zeithorizont kann ich Dir da aktuell noch nicht nennen.

  2. Ich bevorzuge Pass: https://www.passwordstore.org/
    Ein simples CLI, das auf GPG und Git aufbaut. Das lässt sich perfekt mit automatisierten Skripts kombinieren.

  3. Einer der besten bzgl. Usability für den privaten Gebrauch fehlt hier noch: https://safe-in-cloud.com
    Gratis für Desktop und ein vertretbarer und einmaliger Betrag für mobile.

  4. Ebenfalls zu erwähnen wäre die kommende elektronische Identität SwissID – im Moment noch limitiert verfügbar, wird sich in diesem Jahr wohl stark ändern. Kann im Endausbau auch für elektronische Unterschriften genutzt werden. Zukünftige Ausbauschritte zielen auf internationale Interoperabilität nach eIDAS.

  5. Was haltet ihr von KeeperSecurity? Ich nutze ihn schon seit Jahren. Aber wie schon erwähnt; die absolute Sicherheit gibt es nicht. So habe ich auch SecureSafe, so dass nicht alles an einem einzigen Ort gespeichert ist. Aber eben, es alles auf Servern gespeichert.
    Danke für eure Meinung.

  6. Wie ist denn sowas wie der beim Mac integrierte Passwort Manager welcher z.B. im Safari zur Verfügung steht, zu beurteilen? Ist das sicher oder sollte doch ehere auf einen externen Passwort Manager umgestiegen werden?

    • Die Verwendung von eingebauten Passwort-Managern wie Apples «Keychain Access» ist auf jeden Fall ein guter Startpunkt. Sicherer als die Verwendung des gleichen Passworts für mehrere Dienste sind die eingebauten Passwort-Manager allemal. Die im Artikel erwähnten Lösungen bieten noch einige weitere praktische Funktionen, die in den eingebauten Lösungen in der Regel aber nicht vorhanden sind.

  7. Ergänzend empfehle ich https://www.securesafe.com/de/, eine Schweizer Firma welche auch Banken und Versicherungen zu ihren Kunden zählt. Die Server stehen in der Schweiz, was für mich ein wichtiges Kriterium ist. Das kostenlose Angebot reicht für die Passwörter, des weiteren gibt es auch Cloudspeicher und viele Optionen z.B. Rollenverteilung, Datenvererbung, 2-Faktor Authentifizierung etc. ….

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog