Tagtäglich verwenden wir Passwörter, um uns in verschiedenen Accounts anzumelden, doch nur wenige denken wirklich darüber nach, ob ihr gewähltes Passwort noch immer sicher ist. In der Regel schützt nur das Passwort...
Das Passwort
Ein Passwort ist eine essentielle Sicherheitsmaßnahme in der digitalen Welt, die dazu dient, den Zugang zu persönlichen Informationen, Online-Konten und digitalen Ressourcen zu schützen. Es handelt sich um eine Zeichenfolge, die nur autorisierten Benutzern den Zugriff gewährt und dabei verhindert, dass Unbefugte auf sensible Daten zugreifen können. Passwörter sind ein fundamental wichtiges Element im Bereich der Cybersicherheit und spielen eine entscheidende Rolle beim Schutz der Privatsphäre und der Verhinderung von unbefugtem Zugriff auf persönliche oder vertrauliche Informationen im Netz. In dieser Hinsicht ist es von großer Bedeutung, die Bedeutung starker Passwörter zu verstehen und bewusst sichere Praktiken bei ihrer Erstellung und Verwendung zu etablieren.
Der Leitfaden
Passwortgeschützte Daten sind nur dann sicher, wenn auch das Passwort, mit denen sie verschlüsselt wurden, sicher ist. Der sicherste Verschlüsselungsalgorithmus nützt wenig, wenn als Schlüssel ein einfach zu erratendes Passwort verwendet wird. Dabei meint "einfach zu erraten" nicht nur Personen, die z.B. die Namen deiner (Ex-)Partnerin, Freundin, Haustiere, Kinder oder Lieblingsbands sowie Wörter zu deinen Hobbys oder aus deinen Interessens- und Arbeitsgebieten ausprobieren, um an deine Daten zu kommen.
Gefahren für dein Passwort
Es gibt unzählige Gefahren für Passwörter. Selbst das sicherste Passwort könnte durch solche Umstände unsicher werden.
Der Keylogger
Ein Keylogger ist eine Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an einem Computer mitzuprotokollieren und dadurch zu überwachen oder zu rekonstruieren. Keylogger werden beispielsweise von Hackern verwendet, um an vertrauliche Daten - etwa Kennwörter oder PIN - zu gelangen. Ein Keylogger kann dazu sämtliche Eingaben aufzeichnen oder gezielt auf Schlüsselwörter wie z. B. Passwörter warten und dann erst aufzeichnen, um Speicherplatz zu sparen.
Die Phishing Attacke
Die zweite Möglichkeit besteht darin, das Opfer zu "Verarschen". Im großen Stil funktioniert das über Phishing. Hier werden dem Nutzer auf eine gemeine Weise die Zugangsdaten geklaut.
Ein kleines Beispiel für die Verständlichkeit:
Ich möchte mich bei Amazon einloggen. Gebe also oben in der Webadresse www.amazon.de ein. In Wirklichkeit habe ich aber ein Tippfehler begangen, und habe www.aamazon.de eingegeben. Doch mir fällt nichts auf, weil die Seite genauso aussieht, wie die echte. Logge mich also ein und werde zur richtigen Amazon Seite umgeleitet, als wäre nichts geschehen. In Wirklichkeit hat die gefälschte Seite im Hintergrund meine eBrief-Adresse und Passwort in eine Datenbank gespeichert, die dem Angreifer zur Verfügung steht.
Die Holz Hacker Methode
Kommen wir nun zu einer Methode, die gerne eingesetzt wird um einzelne Konten gezielt zu knacken. Die eingesetzte Methode heißt: Bruteforce. Sogenannte Bruteforce Programme probieren jede Möglichkeit aus, bis Sie das richtige Passwort erraten haben. Je mehr Möglichkeiten, desto länger benötigt das Programm.
Über mehr Rechenleistung bei modernen Prozessoren und Grafikkarten freuen sich nicht nur der Computer-Anwender, sondern auch die Passwort-Knacker. Je leistungsfähiger die Rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren aller möglicher Zeichenkombinationen gefunden. Forscher der Firma Electric Alchemy haben die Kosten fürs Knacken einer mit 9 Zeichen verschlüsselten ZIP-Datei per Brute-Force berechnet: Bei EC2 sind für solch ein Passwort, das nur aus Buchstaben und Zahlen besteht, weniger als 2000 Dollar und eine Stunde Zeit nötig.
Hacks
Selbst das längste Passwort schützt dich nicht, wenn Hacker es im Klartext von einem Server klauen können. Das ist in den vergangenen zwei Jahren mit Millionen Passwörtern geschehen. Etwa bei Yahoo, wo die Diebe eBrief-Adressen und Klartext-Passwörter von mehr als 450 000 Nutzern stehlen konnten. Die Daten veröffentlichten sie anschließend im Weltnetz.
Erschreckend ist alleine, wie häufig es Hacker schaffen, an die Datenbanken großer Internet-Firmen zu gelangen. Dass diese Firmen, wie im Falle von Yahoo, die Passwörter im Klartext gespeichert haben, ist eine Schande für die Firma und eine Katastrophe für die Nutzer.
Bei den Passwort-Dieben ist der Server-Einbruch ebenso beliebt, wie der Einbruch auf dem Computer des Heimnutzers. Diesen erledigen aktuelle Viren, etwa Keylogger und Browser-Passwort-Trojaner für ihn. Zumindest gegen diese Angriffe kann sich der Anwender mit einem Antiviren-Programm und gebotener Vorsicht beim Laden von Dateien halbwegs gut schützen.
Die -Passwort vergessen- Option
Sollte ein Hacker mit keiner der bisher genannten Methoden an dein Passwort gekommen sein, dann kann er die Passwort-Zurücksetzfunktion von Webdiensten nutzen. Damit die Funktion wirkt, muss man eine Sicherheitsabfrage beantworten können, etwa: "Wie lautet der Geburtsort deiner Mutter?".
Ist das geschehen, erlischt das aktuelle Passwort umgehend und man darf ein neues Passwort vergeben. Das große Problem an dieser Methode: Die nötigen Informationen sind meist nicht besonders geheim. In der Regel besitzen diese Infos schon die meisten Freunde, Bekannte, oft aber auch Kollegen oder bei Kindern die Mitschüler. Führt einer von ihnen Böses im Schilde, kann er sich so spielend in viele Internetdienste hacken. Echte Hacker kommen an die nötigen Funktionen über eine Recherche im Internet und die Suche in sozialen Netzen.
Die Zeit
Mit der Zeit werden Computer immer leistungsfähiger. Das bedeutet, dass Brute-Force-Angriffe, bei denen alle möglichen Kombinationen ausprobiert werden, schneller durchgeführt werden können. Ein Passwort, das vor einigen Jahren als sicher galt, könnte heute viel leichter zu knacken sein.
Die Frage, die sich einem stellen sollte, wenn man sich ein neues Passwort zulegen muss, sollte stets sein: Wie kann ich es lang genug machen, mir es aber trotzdem einfach merken können? Ein sicheres Passwort erkennt man an den folgenden Aspekten:
- Es beinhaltet mindestens(!) 12 Zeichen
- Es beinhaltet große und kleine Buchstaben (a-z, A-Z)
- Es beinhaltet Zahlen (0-9)
- Es beinhaltet Sonderzeichen („_“, „+“, „?“, „#“, „&“, „%“)
Befolgst du nun diese 4 Regeln entstehen z.B. Passwörter wie „j7%_P+1r&U“, „e56U_W?a0“ und so weiter. Zugegebenermaßen sind solche wirren Zeichenfolgen für den Ungeübten ziemlich schlecht zu merken. Deshalb geben wir weiterführend den Rat:
- Aus Nachbar Müllers Hund heißt Bodo wird 0NACHbar1_2MuElLeRs?hund_8_hEiSsT_8_boDO.
- Aus Susi hat lange blonde Haare wird sUSi=123=HAT_lANGe%bl0nde&H44Re.
Solche Passwörter sind sehr sicher und ebenso einfach zu merken, oder? Nach mehrmaligem Probetippen hat man sie sicher drauf. Du siehst außerdem, dass wir an der einen oder anderen Stelle Zahlen anstatt Buchstaben genutzt haben. Diese Schreibvariation (auch Leet-Speak genannt) bietet die Möglichkeit, ähnlich aussehende Zahlen und Zeichen einfach anstatt den ursprünglichen Buchstaben zu nutzen. Hier eine kleine Liste:
A = 4 |
B = 8 |
C = ( |
D = |) |
E = 3 |
G = 9 |
H = |-| |
I = 1 |
K = |< |
L = |_ |
M = |\/| |
N = |\| |
O = 0 |
R = 2 |
S = 5 |
X = >< |
Neben diesen Vorschlägen kannst du natürlich auch eigene Kreationen nutzen. Es ist alles recht, sei es noch so komisch, es dient letztendlich deiner Sicherheit.
Es gibt vage Schätzungen, wie lange ein Supercomputer für das Knacken eines solch langen Passwortes brauchen würde. Diese sind aber definitiv nicht aussagefähig, da die Technologie voranschreitet und damit die Verarbeitungsgeschwindigkeit eines Rechenprozessors stets zunimmt. Nehmen wir mal an, man hält sich an die o.g. Regeln, und nutzt alle Zeichenkategorien aus dem ASCII-Zeichensatz. Demnach gäbe es 93 verschiedene Zeichen, die man verwendet haben könnte (33:! bis 126: ~). Der Angreifer weiß nicht genau welche, und muss deswegen von allen ausgehen. Die Anzahl der möglichen Kombinationen ergibt sich aus:
- Anzahl = Zeichenanzahl ^ Passwortlänge.
- Anzahl = 93 ^ 8
- Anzahl = 5.595.818.096.650.401 Möglichkeiten
Wenn der Angreifer es schafft, 1.000.000 Passwörter pro Sekunde zu testen, was bei einem Login auf ein Forum utopisch sein dürfte, dann würde die Person immer noch 5595818096 Sekunden brauchen, was ~ 177 Jahren entspricht.
Wenn sich der Staat auch überlegt für das Knacken deines Passwortes solch einen Supercomputer für 5-6-stellige Euro-Summen zu beauftragen, steht es nicht mehr in unserer Macht dies zu verhindern, haben wir aber alles Mögliche getan, unser Passwort so sicher wie möglich zu gestalten und es der Maschine so schwer wie nur möglich zu machen.
Deine persönlichen Passwörter sind die Schlüssel zu deinen Informationen. Gehe also sehr vorsichtig mit ihnen um und notiere sie dir nirgends, deinen Haustürschlüssel würdest du in der Öffentlichkeit auch nicht überall hinlegen, oder? Ebenso wenig solltest du ungeschützte Passwortlisten auf dem Rechner erstellen oder diese im Mobiltelefon speichern.
Desweiteren legen wir dir folgenden Rat ans Herzen:
Das sicherste Passwort ist nicht mehr sicher, wenn man es jedem weitergibt, dem man vertraut. Ein Passwort sollte man immer nur für sich behalten. Auch dem Lebens- oder Ehepartner sollte man ein Passwort niemals mitteilen. Man kann jetzt sagen, dass es ein Vertrauensbruch darstellt, aber auch unbeabsichtigt kann dadurch das sicherste Passwort an die falschen Leute geraten. Zum Beispiel, wenn das Passwort leichtsinnig auf der Arbeit unter Beobachtung eingegeben oder sogar aufgeschrieben wird. Gerade aber aufschreiben oder in eine Textdatei speichern sollte man ein Passwort nicht.
Dies ist nur eine Anregung zur Zusammenstellung eines Passworts. Der Fantasie sind dabei eigentlich keine Grenzen gesetzt. Das Gegenteil ist der Fall. Wenn man sich eine eigene Methode zur Erstellung eines Passwortes einfallen lässt, ist es sogar noch individueller und damit auch sicherer.
Alle Welt redet immer von sicheren Passwörtern, aber auch das sicherste Passwort des Planeten kann noch verbessert werden - durch eine Schlüsseldatei. Eine solche Datei wird beim Login zusätzlich zum Passwort verlangt und kann jede beliebige Datei sein, einige Tools akzeptieren sogar ganze Programmsammlungen.
Schlüsseldateien sind Dateien, die zur Verschlüsselung und Entschlüsselung von Daten verwendet werden. Sie enthalten kryptografische Schlüssel, die für verschiedene Sicherheitszwecke genutzt werden können. Das heißt also, selbst wenn ein Angreifer dein "unsicheres" Passwort aufdeckt, müsste er immer noch den richtigen Datenträger mit der richtigen Datei, die du als Schlüsseldatei gewählt hast, finden. Lasse mal die Dateien auf deinem Windows-System zählen und überlege selbst, ob er wohl Erfolg hat.
Sicherheitsrelevante und von uns empfohlene Programme, bei denen du derlei Schlüsseldateien einsetzen kannst, sind etwa:
KeePass - Passwort-Manager
Um eine Schlüsseldatei mit KeePass zu erstellen und zu verwenden, gehst du wie folgt vor:
Erstellen einer neuen Datenbank mit einer Schlüsseldatei:
- Starte KeePass: Öffne die KeePass-Anwendung auf dem Computer.
- Erstellen einer neuen Datenbank:
- Klicke auf "File" (Datei) und dann auf "New" (Neu), um eine neue Datenbank anzulegen.
- Gebe einen Dateinamen für die Datenbank ein und speichere sie an einem Ort deiner Wahl.
- Füge Einträge und Gruppen hinzu:
- Nachdem du die Datenbank erstellt hast, kannst du Einträge für Passwörter, Benutzernamen und andere Informationen hinzufügen.
- Du kannst auch Gruppen erstellen, um deine Einträge zu organisieren.
- Füge eine Schlüsseldatei hinzu:
- Gehe zu "File" > "Database Settings" (Datenbankeinstellungen).
- Wähle die Registerkarte "Security" (Sicherheit).
- Aktiviere die Option "Key File" (Schlüsseldatei).
- Klicke auf "Change" (Ändern), um eine neue Schlüsseldatei auszuwählen oder zu erstellen.
- Du kannst eine vorhandene Datei verwenden oder eine neue erstellen, indem du auf "New" (Neu) klickst und den Anweisungen folgst, um eine Schlüsseldatei zu erstellen.
- Setze ein Masterpasswort:
- Neben der Schlüsseldatei wird normalerweise auch ein Masterpasswort benötigt. Stellen sicher, dass du ein starkes und sicheres Masterpasswort festlegst.
- Speichern und Schließen:
- Speicher die Einstellungen und schließe KeePass.
Verwendung der erstellten Schlüsseldatei:
- Öffne die KeePass-Datenbank:
- Starte KeePass und öffne die zuvor erstellte Datenbank.
- Du wirst zur Eingabe des Masterpassworts und gegebenenfalls zur Auswahl der Schlüsseldatei aufgefordert.
- Arbeiten mit der Datenbank:
- Nachdem du das Masterpasswort und die Schlüsseldatei eingegeben hast, hast du Zugriff auf deine gespeicherten Passwörter und Informationen in KeePass.
- Speichern und Schließen:
- Nachdem du mit der Nutzung der Passwortdatenbank fertig bist, vergesse nicht, die Datenbank zu speichern und KeePass zu schließen, um deine Daten zu schützen.
Die Schlüsseldatei ergänzt das Masterpasswort und bietet eine zusätzliche Sicherheitsebene für den Zugriff auf deine Passwortdatenbank in KeePass.
VeraCrypt - Echtzeitverschlüsselung
Um eine Schlüsseldatei mit VeraCrypt zu erstellen und zu verwenden, folgen Sie diesen Schritten:
Erstellen einer neuen VeraCrypt-Volume-Datei mit einer Schlüsseldatei:
- Starten VeraCrypt: Öffne die VeraCrypt-Anwendung auf deinem Computer.
- Volume erstellen:
- Klicke auf "Volume erstellen".
- Wähle zwischen der Erstellung einer verschlüsselten Datei- oder einer vollständigen Festplattenpartition.
- Wähle "Datei-basiertes Volume erstellen".
- Wähle den Speicherort und den Namen:
- Wählen einen Speicherort und einen Namen für deine neue VeraCrypt-Volume-Datei aus.
- Wähle den Verschlüsselungsalgorithmus und die Größe des Volumes:
- Wähle den gewünschten Verschlüsselungsalgorithmus und die Größe des Volumes.
- Wähle das Kennwort und die Schlüsseldatei:
- Gebe ein starkes Kennwort ein.
- Wähle "Schlüsseldatei verwenden" und klicke auf "Datei auswählen", um die Schlüsseldatei zu erstellen.
- Erstellen der Schlüsseldatei:
- VeraCrypt wird dich auffordern, eine Datei auszuwählen, die als Schlüsseldatei dienen soll.
- Du kannst eine beliebige Datei auf deinem Computer auswählen, die als Schlüsseldatei verwendet werden soll, z. B. ein Bild, ein Textdokument usw.
- Abschließen der Einrichtung:
- Befolge die weiteren Anweisungen von VeraCrypt, um den Vorgang abzuschließen und das Volume zu erstellen.
Verwendung der erstellten Schlüsseldatei:
- Mounten des VeraCrypt-Volumes:
- Starte VeraCrypt und wähle das zuvor erstellte Volume aus.
- Klicke auf "Volume einbinden".
- Du wirst zur Eingabe des Kennworts und zur Auswahl der Schlüsseldatei aufgefordert.
- Wähle die zuvor erstellte Schlüsseldatei aus und gebe das Kennwort ein.
- Arbeiten mit dem eingebundenen Volume:
- Das Volume wird jetzt eingebunden und kann wie eine normale Festplatte verwendet werden.
- Du kannst Dateien in das eingebundene VeraCrypt-Volume kopieren, bearbeiten und löschen.
- Dismounten des Volumes:
- Nachdem du mit dem VeraCrypt-Volume fertig bist, demounte es sicher über die VeraCrypt-Anwendung, um die Verschlüsselung zu deaktivieren.
Die Schlüsseldatei dient als eine Art zusätzliche Sicherheitsebene neben dem Kennwort (oder Masterpasswort). Ohne diese Schlüsseldatei wird selbst das korrekte Passwort nicht ausreichen, um auf die verschlüsselten Daten zuzugreifen oder die Passwortdatenbank zu öffnen. Daher ist es äußerst wichtig, die Schlüsseldatei sicher aufzubewahren und mehrere Sicherungskopien davon zu erstellen, um sicherzustellen, dass du auch im Falle einer möglichen Hausdurchsuchung oder einer Beschädigung weiterhin auf deine verschlüsselten Daten zugreifen kannst.
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die einen zusätzlichen Schutz für Online-Konten und -Dienste bietet, indem sie über zwei verschiedene Bestätigungsmethoden verlangt, dass Nutzer ihre Identität nachweisen.
Die traditionelle Authentifizierungsmethode verwendet normalerweise nur ein Element, wie zum Beispiel ein Passwort oder eine PIN, um den Zugriff auf ein Konto zu gewähren. Allerdings können diese Einzelmethoden anfällig für Phishing, Hacking oder andere Sicherheitsbedrohungen sein.
Die 2FA fügt diesem Prozess eine weitere Sicherheitsebene hinzu, indem sie zusätzlich zum Passwort oder der PIN einen zweiten Authentifizierungsfaktor verlangt. Diese zusätzlichen Faktoren könnten sein:
- Etwas, das der Nutzer weiß: Dies könnte ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage sein.
- Etwas, das der Nutzer besitzt: Zum Beispiel ein Mobiltelefon, eine Smartwatch oder ein Hardware-Token, der einen einmaligen Code generiert.
- Etwas, das der Nutzer ist: Dies bezieht sich auf biometrische Daten wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans.
Ein typisches Szenario für 2FA könnte wie folgt aussehen: Nachdem der Nutzer sein Passwort eingegeben hat, wird ein zusätzlicher Sicherheitscode an sein Smartphone gesendet. Dieser Code muss dann zusätzlich zum Passwort eingegeben werden, um Zugriff auf das Konto zu erhalten.
Durch die Kombination von zwei verschiedenen Authentifizierungsmethoden wird die Sicherheit erheblich erhöht, da es für einen potenziellen Angreifer schwieriger wird, sowohl das Passwort als auch den zweiten Faktor zu umgehen oder zu stehlen. Die Zwei-Faktor-Authentifizierung ist daher eine effektive Maßnahme, um die Sicherheit von Online-Konten zu verbessern und sie vor unbefugtem Zugriff zu schützen.
Es gibt mehrere Methoden zur Implementierung der Zwei-Faktor-Authentifizierung (2FA), und sie nutzen verschiedene Arten von Faktoren, um die Identität eines Benutzers zu bestätigen. Hier sind einige gängige Methoden:
- SMS-basierte 2FA: Bei dieser Methode wird nach der Eingabe von Benutzername und Passwort ein einmaliger Code per SMS an das registrierte Mobiltelefon des Benutzers gesendet. Der Benutzer muss dann diesen Code eingeben, um sich anzumelden.
- Authentifizierungs-Apps: Es gibt spezielle Apps wie Google Authenticator, Authy, Microsoft Authenticator und andere, die einmalige Zeit-basierte Codes (TOTP - Time-based One-Time Password) generieren. Der Benutzer scannt einen QR-Code oder gibt einen geheimen Schlüssel in die App ein, um eine Verbindung zum Konto herzustellen. Die App generiert dann fortlaufend wechselnde Codes, die der Benutzer während des Anmeldevorgangs eingibt.
- Hardware-Token: Hardware-Token sind physische Geräte, die eine Vielzahl von Authentifizierungsmethoden unterstützen können. Sie generieren in der Regel einmalige Codes, die vom Benutzer eingegeben werden müssen. USB-Token, Smartcards oder NFC-fähige Geräte sind Beispiele für Hardware-Token.
- Biometrische Authentifizierung: Diese Methode verwendet biometrische Merkmale wie Fingerabdrücke, Gesichtserkennung, Iris-Scans oder Spracherkennung, um die Identität eines Benutzers zu überprüfen.
- Backup-Codes: Benutzer erhalten im Voraus eine Liste von einmaligen Backup-Codes, die im Falle von Verlust des zweiten Faktors verwendet werden können. Diese Codes können bei Bedarf eingegeben werden, um sich anzumelden, wenn der reguläre zweite Faktor nicht verfügbar ist.
- Push-Benachrichtigungen: Diese Methode verwendet Apps auf mobilen Geräten, um Benachrichtigungen zu senden, wenn jemand versucht, sich anzumelden. Der Benutzer kann dann die Anmeldung genehmigen oder ablehnen, um die Authentifizierung zu vervollständigen.
Die Wahl der 2FA-Methode hängt oft von den Vorlieben des Dienstanbieters, der Art des Kontos und den Sicherheitsvorkehrungen ab, die der Benutzer bevorzugt oder unterstützt. Oftmals bieten Plattformen mehrere Optionen zur Auswahl an, um den Benutzern Flexibilität und Komfort bei der zusätzlichen Sicherheitsverifizierung zu bieten.
Bei solch einfallsreichen und langen Passwörtern stellt sich uns ein weiteres Problem in die Quere: Wenn man für jeden Anbieter, bei dem man ein Passwort benötigt, ein anderes, 20-Zeichen langes, Passwort mit Zahlen und Sonderzeichen nutzt, wie soll man sich diese dann bitteschön alle merken? Die Lösung für dieses Problem ist ein Passwort-Manager.
Ein Passwort-Manager besteht meist aus ein bis drei Teilen:
- Ein Hauptprogramm für deinen Computer, das die Zugangsdaten (Welche Netzseite? Welcher Nutzername? Welches Passwort?) in einer (mit Passwort verschlüsselten) Datenbank verwaltet und verschiedene Zusatzfunktionen bietet.
- Ein Plug-In für die Netzbetrachter, dass diese Zugangsdaten dann (halb)automatisch einträgt, wenn man das abruft. Das ist optional, man könnte das auch von Hand übernehmen.
- Ein (irgendwie synchronisierbares) Gegenstück auf Android, iPhone/iPad (iOS) und anderen Smartphone-/Tablet-Mobilsystemen, mit dem man mindestens die Passwortdatenbank laden, öffnen und anzeigen kann, zuweilen auch bearbeiten.
Damit die Passwörter im Passwort-Manager sicher sind, rückt er diese nur auf Anfrage heraus - und nur nach Angabe einer Art "Masterpasswort". Dieses Passwort sollte natürlich etwas sicherer sein als üblich, weil es ja alle anderen Passwörter schützt und daher nicht weniger sicher sein darf als diese.
Es gibt viele Gründe für einen Passwort-Manager:
- Keine Kennwörter mehr merken Weil alle im Passwort-Manager gespeichert sind. In der Realität sollten Sie sich einige wichtige dennoch merken und nicht im Passwort-Manager speichern.
- Bessere Passwörter Weil wir uns keine Passwörter mehr merken müssen, können wir diese wahnsinnig übertrieben kompliziert machen - ohne daran zu verzweifeln!
- Komplexere Passwörter ... denn viele Passwort-Manager enthalten auch gleich einen Passwort-Generator! Der hält uns davon ab, "katze67" zu verwenden, nur weil uns nichts besseres einfällt.
- Überall andere Passwörter Weil wir uns keine Passwörter mehr merken müssen, sind wir nicht mehr in Versuchung, bei allen Diensten nur ein gemeinsames Passwort zu haben. Du kannst und solltest bei jedem Dienst ein anderes Passwort haben, musst dir aber trotzdem nur ein Kennwort merken - nämlich das Passwort des Passwort-Managers.
- Ständig andere Passwörter Weil wir uns keine Passwörter mehr merken müssen, können wir öfter mal ein Passwort ändern, wir müssen uns ja weder das neue merken noch das alte vergessen.
- Weniger Phishing Passwort-Manager speichern ein Passwort für eine bestimmte Netzseite und geben es nur dort automatisch an. Das bedeutet, dass wenn du ein Zugangsdatenfeld vor dir hast, und der Passwort-Manager sich weigert, es auszufüllen, dann bist du vielleicht auf der falschen Seite! Andersherum: Einige Passwort-Manager rufen z.B. per Doppelklick die gewünschte Seite auf und geben dann direkt Name und Passwort ein - so ist man sicher, sich wirklich dort anzumelden, wo man sich anmelden will.
- Mehr Komfort Passwort-Manager können, je nach Ausführung, automatisch anzeigen, ob die gewählten Passwörter sicher sind; sie können nach Ablauf einstellbarer Zeit darauf hinweisen, dass ein Passwort gewechselt werden sollte; sie können Notizen zu Passwörtern speichern, teils auch Dateien; einige bieten auch spezielle Bereiche an, etwa um auch Software-Keys zu verwalten.
Arten von Passwort-Managern
Technisch gibt es zwei Ansätze - es gibt Online und Offline Passwort-Manager. Die Online-PW Manager verwalten euren Tresor in einer Cloud, der Komfort besteht in erster Linie darin, dass ihr bei geräteübergreifender Nutzung (zB Computer, Mobiltelefon, Notebook und Tablet) von überall auf euren Tresor zugreifen könnt. Der Offline Passwort-Manager verwaltet die Datei direkt auf eurem Computer, dies ist sicherer, aber etwas weniger komfortabel. Bekannte Beispiele hierfür sind Bitwarden, 1Passwort und Dashlane (Online) und KeePass (Offline).
Für welche Variante und welchen Anbieter ihr euch entscheidet, bleibt letztendlich euch und euren Anforderungen überlassen. In unserem Leitfaden empfehlen wir den Offline Passwort-Manager: Keepass
KeePass Password Safe
Der ein oder andere mag zwar ein Gedächtnisgenie sein und somit keine Probleme damit haben, der Großteil aber würde sich diese auf einem Stück Papier oder gar auf dem Rechner notieren. Um diesem erheblichen Sicherheitsrisiko entgegenzuwirken, gibt es ein Programm namens KeePass Password Safe.
Dieses Programm legt eine, mit den Algorithmen AES und Twofish, vollverschlüsselte Datenbank an, in der die verschiedenen Passwörter mit dem dazugehörigen Anbieter als Datensätze angelegt werden. Man muss sich somit nur noch das Haupt-Passwort für den Zugang zu dem Programm merken. Dieses sollte natürlich besonders sicher sein und mit viel Bedacht gewählt werden, ebenfalls regelmäßig gewechselt werden.
Für dein Android Mobiltelefon gibt es die Erweiterung (App) KeePassDroid, um deine Passwörter sicher zu Speichern. Beim ersten Start kannst du in der App eine neue Passwortdatenbank anlegen oder eine bereits bestehende Datenbank öffnen - ideal, wenn du bereits zuvor am Computer eine Passwortdatenbank erstellt hast.
Keepass installieren
Wir verwenden das Open-Source-Programm KeePass. Es gibt diesen Passwort-Manager in zwei Varianten:
- die normale Installation
- die Portable Version
Wir entscheiden uns in diesem Leitfaden für die Portable Version. In dieser Version des Programmes wird das gesamte Programm in nur einem einzigen, von dir bestimmten Ordner ausgeführt und kann somit bei Bedarf ganz leicht komplett und sicher gelöscht werden.
Hier gezeigte Programmversion: 2.42.1
Die von uns verwendete Version kannst du unter www.keepass.info runterladen.
Die Portable KeePass Version wird nicht installiert! Du öffnest die heruntergeladene .zip Datei und entpackst alle Daten in einen von dir erstellten Ordner.
Hast du jetzt alle Dateien in einen Ordner kopiert, kannst du das Programm mit einem Klick auf die KeePass.exe starten. Nach wenigen Augenblicken siehst du das KeePass Hauptfenster.
Wir erstellen uns jetzt eine Datenbank, in die wir die Passwörter ablegen können. Dazu navigieren wir im Menü auf File -> New und es öffnet sich ein Infofenster, welches wir mit einem Klick auf OK bestätigen.
Es öffnet sich ein weiteres Fenster. Hier kannst du dir einen Platz für deine Datenbank suchen. In diesem Leitfaden speichern wir die Datenbank, der Einfachheit halber, direkt in dem Ordner, in den wir die KeePass Dateien verschoben haben. Hast du deinen Speicherplatz gefunden bestätigst du ihn mit einem Klick auf Speichern.
Und wieder öffnet sich ein neues Fenster. Hier gibst du ein sicheres Passwort für deine Datenbank ein. Mit einem Häkchen bei Show expert options kannst du dem Passwort optional eine Schlüsseldatei oder einen Windows Benutzeraccount hinzufügen. Mit einem Klick auf OK bestätigen.
In einem weiteren Fenster kannst du die Datenbank konfigurieren. Dies wird jedoch nicht zwingend benötigt, deshalb reicht auch hier ein Klick auf OK und du hast deine Datenbank erstellt.
Ein weiteres Infofenster kann mit einem Klick auf Skip unbesorgt weggeklickt werden und schon wird deine neue Datenbank im KeePass Hauptfenster angezeigt. Links erscheint eine Verzeichnisstruktur, anhand welcher du deine einzelnen Passwörter kategorisiert sichern kannst.
Du kannst die linke Verzeichnisstruktur beliebig verändern. Die alten Punkte löschen und neue, eigene hinzufügen. Wir behalten sie jedoch erst einmal und klicken in der linken Verzeichnisstruktur den Punkt Internet. Jetzt können wir im Menü den Reiter Entry und klicken in dem sich öffnendem Menü auf Add Entry.
Im folgenden Fenster kannst du nun den Titel des Eintrags, den Benutzernamen sowie das dazugehörige Passwort und eventuell einen Kommentar dazu eingeben. Es ist auch definitiv empfehlenswert, dem Passwort ein Verfallsdatum zu geben, damit man automatisch regelmäßig seine Passwörter ändert. Dadurch kann man sicherstellen, dass von einem Dritten notierte Passwörter ungültig gemacht werden.
Nachdem du die Felder ausgefüllt hast, bestätige mit OK und ein neuer Eintrag erscheint jetzt in deiner Datenbank.
Der soeben erstellte Eintrag erscheint im Menüpunkt Internet. Diese Vorgehensweise wiederholst du nun mit all deinen Passwörtern, welche du in der Datenbank speichern möchtest.
Möchtest du KeePass das erste Mal Beenden erscheint wieder ein Infofenster, in dem du gefragt wirst, ob du die Datenbank abspeichern möchtest. Wir empfehlen den Haken bei Automatically save when closing/locking the database zu setzen, um dieses Fenster nicht immer wieder angezeigt zu bekommen.
Mit einem Klick auf Save wird deine Datenbank abgespeichert.
Um wieder an deine Passwörter zu kommen, öffnest du KeePass und gibst in dem sich öffnenden Fenster dein Passwort ein.
Unsere paranoiden Sicherheitstipps zu Passwort-Managern
- Superduperlanges Passwort-Manager-Zugangs-Kennwort Wenn alle Passwörter im Passwort-Manager liegen, dann sind sie darin nur so sicher wie das Passwort, mit dem du deine Passwort-Datenbank gesichert hast. Daher sollte das wirklich lang und kompliziert sein.
- Keine Cloud, kein Sync nutzen Natürlich verbietet es sich von selbst, die Datenbankdatei in Cloud-Speicher zu stellen oder über sonstige Cloud-Dienste zu nutzen. (Viele Produkte bieten das an, aber man kann die Passwort-Datenbankdatei auch manuell verschieben.
- Vorsicht vor der Zwischenablage Das Funktionsprinzip vieler Passwort-Manager ist, die Zwischenablage zu verwenden, um Passwörter zur Verfügung stellen. Das bedeutet auch: Wenn dein System kompromittiert ist, durch Virus/Malware/Trojaner/Keylogger, dann besteht die prinzipielle Gefahr, dass über das Auslesen der Zwischenablage Passwörter ausspioniert werden. Das gilt auch für Mobilgeräte. Es gilt wie stets: Auf einem unsicheren System kann keine Software sicher sein.
- System verschlüsseln Um deine Passwort-Datenbank-Datei vor unbefugtem Zugang zu schützen, sollte der Rechner, also die Systempartition verschlüsselt sein, bei Tablets und Smartphones natürlich das jeweilige Gerät (iOS ab Werk; Android: Android verschlüsseln). So könnte ein Angreifer nur schwer einen Software-Keylogger/Trojaner heimlich aufspielen, etwa in deiner Abwesenheit vom Rechner. Gegen einen Hardware-Keylogger würde dies natürlich nichts ausrichten, hierfür bieten Passwortm-Mnager aber virtuelle Keyboards.
- Sicherheitsstufen einführen Natürlich speichere um Himmels willen nicht alle deine Passwörter im Passwort-Manager! Stattdessen lädst du darin nur den ganzen unwichtigen Ballast ab, irgendwelche Foren, in denen es um nichts Wichtiges geht, das siebzehnte soziale Netzwerk, das eh keiner nutzt, etc. Eine Handvoll von Passwörtern solltest du dir weiterhin merken und sie auf keinen Fall im Passwort-Manager speichern, also zum Beispiel VeraCrypt Passwörter, PayPal oder Online-Banking Zugänge. Stelle dir sozusagen Sicherheitsbereiche und Hochsicherheitsbereiche vor: Sicherheitsbereiche haben Passwörter, die du im Passwort-Manager speicherst; Hochsicherheitsbereiche haben Passwörter, die du NIRGENDWO speicherst, außer im Kopf. Das ist unbequemer, aber sicherer.