Den Überblick über Passwörter behalten
Passwörter sind so etwas wie die digitalen Schlüssel in unsere virtuellen Häuser und Bruchbuden. Dabei sind sie genauso umstritten wie die Schlüssel in der "realen Welt". Ein beispiel für so eine Kritik mit Fakten ist hier zu finden. Ironischerweise setzt diese Website auf keine Verschlüsselung. Das aber nur am Rande.
Und jetzt?
Ob wir wollen oder nicht, Passwörter sind und bleiben wohl auf absehbare Zeit ein fundamentaler Bestandteil der Sicherung von Benutzerkonten. Und es werden immer mehr, am Besten für jedes Konto einzigartig, nicht zu einfach aber trotzdem leicht merkbar. Manche Dienste erfordern sogar in einem regelmäßigen Zyklus die Vergabe eines komplett neuen Passwortes, das nicht einmal ansatzweise dem Alten ähneln sollte. Und die Anzahl der Benutzerkonten und Dienste steigt täglich. Eine mögliche Lösung für dieses Problem des Spagat zwischen Sicherheit und Einfachheit will ich heute vorstellen. Sie nennt sich "Passwort-Manager".
Wie funktioniert das?
Bei Passwort-Managern handelt es sich um Tools/Programme. Das Prinzip von solchen Tools ist recht simpel. Man merkt sich ein Masterpasswort, dieses dient als Schlüssel zu seinen gesamten Passwörtern, für alle Konten. Das ganze funktioniert aber nur so gut, so sicher das Masterpasswort ist. Das Masterpasswort ist somit das einzige Passwort was man sich merken muss.
Hierbei nutzen die Passwort-Tools das Masterpasswort als Schlüssel für die Verschlüsselung der Datei. Genaue Erklärungen werden hier des Platzes wegen nicht aufgezeigt. Wen es interessiert, der kann sich aber gerne im Internet hierzu weiter informieren. Für alle anderen sei gesagt, die Verschlüsselung ist in der Regel auf dem aktuellen Stand der Zeit.
Dieses Passwort sollte mögichst stark sein und regelmäßig geändert werden. Hierbei kann man prüfen, ob das eigene Passwort schon einmal bei einem Angriff geleakt wurde. Hier empfehle ich ganz klar das Tool von Troy Hunt (haveibeenpawned.com). Wie stark das Passwort ist findet man auf Seiten wie z. B. howsecureismypassword.net heraus. An dieser Stelle eine Empfehlung für experte.de/passwort-check, eine deutsche Version des Passwort-Check, der hierbei vollständig lokal arbeitet und auch gleich haveibeenpawned abprüft. An dieser Stelle vielen Dank für den Hinweis an Janis von Bleichert.
Wo krieg ich das Zeug?
Ich hab das ganze mal in zwei Teile geteilt:
- Ich will volle Kontrolle über meine Passwörter
- Ich will die Verantwortung nicht selbst tragen
Einfach zum zutreffenden Punkt scrollen und dort weiterlesen.
Ich will volle Kontrolle über meine Passwörter
Prominentes Beispiel für einen solchen Passwort-Manager stellt KeePass da. Das Projekt wurde von Dominik Reichl ins Leben gerufen. Ein Tutorial ist auch auf der Homepage zu finden.
Das ganze kann dann so aussehen:
Die Anwendung wurde hierbei ursprünglich nur für Windows entwickelt, dank Portierungen läuft das ganze auch auf Linux & Mac.
Geht das auch schöner?
Wer nach einer kompatiblen aber optisch ansprechenderen Lösung sucht sollte KeeWeb nutzen. Das ganze kann optional im Browser laufen oder nativ auf dem PC. Es arbeitet hierbei im Hintergrund genauso wie KeePass, allerdings ist eine andere Benutzeroberfläche auf Basis von Webtechnologien im Einsatz. Eine Liste aller Funktionalitäten findet man auch auf der Homepage.
Das ganze sieht dann z. B. so aus:
Und wie gehts weiter?
Ich nehme mal an, du möchtest nicht nur von deinem Desktop aus die Passwörter nutzen, sondern auch mobil auf einem Gerät in Arbeit, Uni oder Schule? - Kein Problem! Dafür gibt es Cloud-Dienste. KeePass speichert alles relevante in einer Datei mit der Endung kdbx
. Die Datei dann einfach mit dem Cloud-Dienst seiner Wahl synchroniseren oder auf einem privaten FTP-Server ablegen. Es gibt diverse zu KeePass kompatible Clients die sind auf der Homepage unter der Downloadseite zu finden. So hast du auf so gut wie jedem gängigen Gerät deine Passwörter parat. Sowohl schreibend, als auch lesend. So bist du nicht an ein Gerät gebunden. Zur Sicherheit sollte man allerdings regelmäßig die Datei sichern. Denn falls diese Datei verloren geht und alle Passwörter weg sind, seid ihr aufgeschmissen.
Ich will die Verantwortung nicht selbst tragen
Kein Problem hierfür gibt es kostenlose und kostenpflichtige Tools. Ich persönlich nutze keinerlei solche kann aber von Empfehlungen her nur LastPass vorschlagen.
Fazit
Passwort-Manager machen es einem leicht Passwörter sicher zu verwahren, allerdings zahlt man beim Verlust der entsprechenden Dateien oder bei Cloud-Diensten Anmeldedaten den hohen Preis der Verlust von Passwörtern.
Wer sicher gehen möchte, dass dies nicht passiert, sollte das aktuelle Hauptpasswort an einem sicheren Ort hinterlegen. Das ganze dann im Besten Fall im Testament hinterlegen. Falls einem etwas zustößt, können Bekannte auf die Passwörter zugreifen. Zusätzlich noch die Datei sichern um einen Verlust der Daten auszuschliessen. Das verringert das Risiko enorm und sorgt für einen hohen Nutzen von Passwort-Managern. 2-Faktor-Authentifizierung und weitere Sicherungsmaßnahmen haben aber in keinem Fall einen Schaden. Passwort-Manager können aber dazu beitragen den Umgang mit Passwörtern zu verbessern und zu erleichtern.
Auch wenn die Handhabung so manchem Benutzer eine Einarbeitungszeit abverlangt, so nutzt sich der Einsatz doch enorm. Gerade im Blick auf die zunehmenden Digitalisierung, die immer mehr Passwörter forden wird.