Aufbewahrung von Passwörtern

Ein Passwortmanager besteht meist aus ein bis drei Teilen:

  1. Ein Hauptprogramm für deinen Computer, das die Zugangsdaten (Welche Weltnetzseite? Welcher Nutzername? Welches Passwort?) in einer (mit Passwort verschlüsselten) Datenbank verwaltet und verschiedene Zusatzfunktionen bietet.
  2. Ein Plug-In für die Netzbetrachter, dass diese Zugangsdaten dann (halb)automatisch einträgt, wenn man das abruft. Das ist optional, man könnte das auch von Hand übernehmen.
  3. Ein (irgendwie synchronisierbares) Gegenstück auf Android, iPhone/iPad (iOS) und anderen Smartphone-/Tablet-Mobilsystemen, mit dem man mindestens die Passwortdatenbank laden, öffnen und anzeigen kann, zuweilen auch bearbeiten.

Damit die Passwörter im Passwortmanager sicher sind, rückt er diese nur auf Anfrage heraus - und nur nach Angabe einer Art "Masterpasswort". Dieses Passwort sollte natürlich etwas sicherer sein als üblich, weil es ja alle anderen Passwörter schützt und daher nicht weniger sicher sein darf als diese.

Es gibt viele Gründe für einen Passwortmanager:

  • Keine Kennwörter mehr merken
    Weil alle im Passwortmanager gespeichert sind. In der Realität sollten Sie sich einige wichtige dennoch merken und nicht im Passwortmanager speichern.
  • Bessere Passwörter
    Weil wir uns keine Passwörter mehr merken müssen, können wir diese wahnsinnig übertrieben kompliziert machen - ohne daran zu verzweifeln!
  • Komplexere Passwörter
    ...denn viele Passwortmanager enthalten auch gleich einen Passwort-Generator! Der hält uns davon ab, "katze67" zu verwenden, nur weil uns nichts besseres einfällt.
  • Überall andere Passwörter
    Weil wir uns keine Passwörter mehr merken müssen, sind wir nicht mehr in Versuchung, bei allen Diensten nur ein gemeinsames Passwort zu haben. Du kannst bei jedem Dienst ein anderes Passwörter haben, musst dir aber trotzdem nur ein Kennwort merken - nämlich das Passwort des Passwort-Managers.
  • Ständig andere Passwörter
    Weil wir uns keine Passwörter mehr merken müssen, können wir öfter mal ein Passwort ändern, wir müssen uns ja weder das neue merken noch das alte vergessen.
  • Weniger Phishing
    Passwortmanager speichern ein Passwort für eine bestimmte Weltnetzseite und geben es nur dort automatisch an. Das bedeutet, dass wenn du ein Zugangsdatenfeld vor dir hast, und der Passwortmanager sich weigert, es auszufüllen, dann bist du vielleicht auf der falschen Seite! Andersherum: Einige Passwortmanager rufen z.B. per Doppelklick die gewünschte Seite auf und geben dann direkt Name und Passwort ein - so ist man sicher, sich wirklich dort anzumelden, wo man sich anmelden will.
  • Mehr Komfort
    Passwortmanager können, je nach Ausführung, automatisch anzeigen, ob die gewählten Passwörter sicher sind; sie können nach Ablauf einstellbarer Zeit darauf hinweisen, dass ein Passwort gewechselt werden sollte; sie können Notizen zu Passwörtern speichern, teils auch Dateien; einige bieten auch spezielle Bereiche an, etwa um auch Software-Keys zu verwalten.
Mit einem Passwortmanager ist es leichter, sicherer mit Passwörtern im Weltnetz umzugehen.

Unsere paranoiden Sicherheitstipps zu Passwort-Managern

  • Superduperlanges Passwort-Manager-Zugangs-Kennwort
    Wenn alle Passwörter im Passwortmanager liegen, dann sind sie darin nur so sicher wie das Passwort, mit dem du deine Passwortdatenbank gesichert hast. Daher sollte das wirklich lang und kompliziert sein.
  • Keine Cloud, kein Sync nutzen
    Natürlich verbietet es sich von selbst, die Datenbankdatei in Cloud-Speicher zu stellen oder über sonstige Cloud-Dienste zu nutzen. (Viele Produkte bieten das an, aber man kann die Passwort-Datenbankdatei auch manuell verschieben.
  • Vorsicht vor der Zwischenablage
    Das Funktionsprinzip vieler Passwortmanager ist, die Zwischenablage zu verwenden, um Passwörter zur Verfügung stellen. Das bedeutet auch: Wenn dein System kompromittiert ist, durch Virus/Malware/Trojaner/Keylogger, dann besteht die prinzipielle Gefahr, dass über das Auslesen der Zwischenablage Passwörter ausspioniert werden. Das gilt auch für Mobilgeräte. Es gilt wie stets: Auf einem unsicheren System kann keine Software sicher sein.
  • System verschlüsseln
    Um deine Passwort-Datenbank-Datei vor unbefugtem Zugang zu schützen, sollte der Rechner, also die Systempartition verschlüsselt sein, bei Tablets und Smartphones natürlich das jeweilige Gerät (iOS ab Werk; Android: Android verschlüsseln). So könnte ein Angreifer nur schwer einen Software-Keylogger/Trojaner heimlich aufspielen, etwa in deiner Abwesenheit vom Rechner. Gegen einen Hardware-Keylogger würde dies natürlich nichts ausrichten, hierfür bieten Passwortmanager aber virtuelle Keyboards.
  • Sicherheitsstufen einführen
    Natürlich speichere um Himmels willen nicht alle deine Passwörter im Passwortmanager! Statt dessen lädst du darin nur den ganzen unwichtigen Ballast ab, irgendwelche Foren, in denen es um nichts wichtiges geht, das siebzehnte soziale Netzwerk, das eh keiner nutzt, etc.
    Eine Handvoll von Passwörtern solltest du dur weiterhin merken und sie auf keinen Fall im Passwortmanager speichern, also zum Beispiel TrueCrypt Passwörter, PayPal, Online-Banking. Stelle dir sozusagen Sicherheitsbereiche und Hochsicherheitsbereiche vor: Sicherheitsbereiche haben Passwörter, die du im Passwortmanager speicherst; Hochsicherheitsbereiche haben Passwörter, die du NIRGENDWO speicherst, außer im Kopf. Das ist unbequemer, aber sicherer.