Immer noch nutzen viele Internetnutzer nur eine Handvoll Passwörtern oder sogar nur ein Einzelnes zur Identifikation im Internet. Ohne beschönigende Worte: Dies grenzt an Harakiri. Nur unwesentlich besser machen es solche User, die zwar mehrere Passwörter verwenden, diese aber in einer Text-Datei abspeichern (die schlimmstenfalls auch noch “passwoerter.doc” genannt wird).
Passwörter sind nur gut, solange diese geheim sind und nicht leicht erraten werden können. Die beiden beschriebenen Verhaltensweisen sind weit verbreitet, sie sind aber auch sehr gefährlich, denn sie unterlaufen die Schutzfunktion von Passwörtern.
In diesem Artikel erläutern wir Ihnen, warum gutes Passwortmanagement wichtig ist, wie Sie Ihr Passwortmanagement verbessern können und welche Methoden von moderner Software unterstützt werden.
Passwörter sind nicht sicher
Angesichts der vielen Online-Dienste, die man heutzutage benutzt, summieren sich selbst bei wenig ambitionierten Surfern die Login-Daten schnell auf zwei Dutzend Nutzername-Passwort-Kombinationen. Dafür ist unser Hirn nicht gemacht und so siegt am Ende dann häufig die Bequemlichkeit über unser Sicherheitsbedürfnis und man fällt auf zwei/drei Passwörter zurück oder unterscheidet in ein wichtiges und ein unwichtiges Passwort. Kommt Ihnen das bekannt vor? Wenn ja, tun Sie dies bitte nicht!
- Januar 2014: Yahoo gibt zu, dass Hacker Zugangsdaten und Passwörter seiner Nutzer gestohlen haben. Wie viele Kunden betroffen sind, wird nicht veröffentlicht. (Quelle: Stern)
- April 2014: Das BSI veröffentlicht eine Liste mit 18 Millionen kompromittierten E-Mail Konten (Quelle: BSI)
- Mai 2014: Ebay meldet, dass 145 Millionen Kundendaten gestohlen wurden (Quelle: eBay)
- August 2014: eine Russische Hackergruppe veröffentlicht eine Liste mit 1,2 Millionen Zugangsdaten (Quelle: t3n)
Dies ist nur ein Auszug der Meldungen über den Diebstahl von Passwörtern und Kundendaten aus dem letzten Jahr. Die Liste ließe sich nahezu beliebig verlängern. Schlimmer noch: Cyber-Kriminalität nimmt seit Jahren zu und die Methoden der Hacker werden immer ausgefallener. Schlimmer noch, das Katz- und Maus-Spiel von Cyber-Dieben und Cyber-Wächtern scheint zunehmend zu Gunsten der Diebe aus zu gehen. Leider, so muss man mit einem nüchternen Blick auf die Realität eingestehen, fällt früher oder später auch eines Ihrer Passwörter in die Hände der Datenmafia.
Die einzige und effektive Maßnahme zur Minimierung der Folgen eines Passwortdiebstahls ist es, für jeden Dienst und jede Webseite ein eigenes Passwort zu verwenden. Nur so kompromittiert ein verlorenes Passwort nicht die gesamte digitale Identität des Nutzers. Stellen Sie sich vor, ein Gauner nutzt eine bekannte Sicherheitslücke von irgendeiner unbedeutenden, nicht aktualisierten Forumswebseite und erbeutet Ihr Passwort. Der Schaden ist minimal, aber der Gauner wird dann versuchen, mit diesem oder systematischen Abwandlungen davon auch bei Shopping-Portalen, PayPal oder anderen Diensten einzusteigen. Dies kann teuer werden.
Tools zum Verwalten Ihrer Passwörter
Im Folgenden möchten wir Ihnen verschiedenste Möglichkeiten aufzeigen, wie man mit der Flut an Passwörtern umgehen kann.
1) Passwortmanager
Es gibt eine schier unzählige Menge an Passwortmanagern auf dem Markt. Alle arbeiten nach dem Prinzip, dass der Passwortmanager neue Passwörter per Zufallsgenerator erzeugt und alle genutzten Passwörter sicher verwaltet. Um an die gespeicherten Passwörter zu kommen, genügt ein zentrales Masterpasswort. Ein bekannter Vertreter aus dem Open Source Bereich ist z.B. Keepass oder KeepassX. Die bekannten Internet Security-Suiten bieten in aller Regel ebenfalls einen integrierten Passwort Manager.
Der unbestreitbare Vorteil von Passwortmanager ist deren Komfort, da diese die Last des Passwort-Merkens abnehmen und die Eingabe des kryptischen, zufällig erzeugten Passworts übernehmen. Mit den guten Open Source-Passwortmanagern erhalten Sie auch sehr gute Programme ohne Zahlungsverpflichtung.
Das Problem bei Passwortmanagern ist jedoch, dass mit dem Verlust des Masterpassworts auch alle abgespeicherten Nutzernamen-Passwort-Kombinationen verloren gehen. Wenn das Masterpasswort geklaut wird, dann bedeutet dies ebenso, dass der Dieb mit Hilfe des Masterpassworts den uneingeschränkten Zugang zu allen Ihren Diensten und Webseiten hat. In diesem Fall ist ein Passwortmanager nicht viel sicherer als die oben beschriebene Text-Datei passwoerter.doc.
Ein weiteres Problem kommt bei der Nutzung mehrerer internetfähiger Geräte hinzu: Wenn Sie Ihre Passwörter auf Ihren unterschiedlichen Geräten synchron halten wollen und Sie verwenden dafür irgendwelche Cloud-Dienste, dann speichern Sie Ihre wichtigsten und schützenswertesten Informationen eventuell in einem unsicheren Medium.
2) Passwort-Wolke
Alternativ kann man all seine Passwörter einem Cloud-Dienstleiser anvertrauen. So entfällt die lästige Synchronisation, jedoch muss man den Angaben des Anbieters vertrauen. Bekannte Vertreter der Passwort-Wolke sind Lastpass und Mitro.
Niemand kann jedoch wirklich nachprüfen, ob der Anbieter tatsächlich die Passwörter so speichert, dass er selbst nicht darauf zugreifen bzw. dass ein Einbrecher nicht auf die Passwörter im Klartext Zugriff erlangen kann. Es liegt nahe, dass die Passwort-Wolken Anbieter ihr Möglichstes tun, um dies zu vermeiden. Andererseits stellen Sie aber auch attraktive Ziele für Hacker dar.
3) Passwörter im Browser speichern
Mittlerweile bieten alle bekannten Browser die Möglichkeit, Benutzernamen und Passwörter für Logins auf Webseiten zu speichern. Chrome und Firefox bieten darüber hinaus die Möglichkeit, diese geräte- und plattformunabhängig abzugleichen.
Auf den ersten Blick erscheint diese Option sehr attraktiv. Firefox und/oder Chrome verwendet nahezu jeder und gerade bei Firefox als Open Source Projekt kann man hohes Vertrauen haben, dass es keine Hintertürchen gibt. Auf den zweiten Blick zeigen sich dann aber doch die Nachteile: Abgesehen von der fehlenden Backupmöglichkeit seiner Passwörter hat die Texas Tech Security Group bereits gezeigt, dass es für einen Trojaner oder einen versierten Computernutzer durchaus möglich ist, an die gespeicherten Passwörter zu kommen. (Quelle: raidersec) Auch in diesem Fall gilt: Ihre gesamte digitale Identität ist bedroht.
4) Ein Basispasswort mit Ergänzungen
Viele Experten empfehlen, dass man sich ein ausreichend sicheres Basispasswort merkt und dieses in Abhängigkeit des genutzten Dienstes erweitert. Hier ein Beispiel: Man merkt sich z.B. die Anfangsbuchstaben von “Zurück in die Zukunft mit Michael J. Fox 1985” als Basispasswort. ZidZmMJ.F1985 wäre somit das Basispasswort. Dieses Passwort wird dann für jeden Dienst individualisiert, indem man z.B. den ersten und letzten Buchstaben des Dienstes sowie der Anzahl der Stellen ergänzt. So erhält man ZidZmMJ.F1985Ey4 für Ebay und ZidZmMJ.F1985An6 für Amazon.
Diese Art des Passwortmanagement ist auf jeden Fall der Word-Datei oder der Handvoll Passwörter vorzuziehen. Trotzdem besteht eine Restgefahr, dass ein findiger Krimineller oder eine Software anhand von zwei Passwörtern Ihre Regel ableiten kann.
5) Zwei-Faktor Identifikation
Diese Art der Identifizierung ergänzt die übliche Passworteingabe um eine weitere Komponente. So bieten mittlerweile Google, Facebook, Twitter, Evernote, Dropbox, Github und Outlook.com an, dass dem Nutzer ein zusätzlicher Zahlencode per SMS auf ein Handy geschickt werden kann. Nur durch die kombinierte Eingabe des Standardpassworts und des temporär gültigen Codes ist der Zugriff auf den Dienst möglich. Online-Banking Nutzer mit TAN-Generator nutzen ein ganz ähnliches Prinzip.
Die Zwei-Faktor Identifikation erhöht die Sicherheit signifikant. Aus Sicherheitsaspekten ist sie sehr empfehlenswert. Trotzdem wird sich dieser Prozess wohl nicht zum Standard entwickeln, da der Login-Prozess verzögert wird und die Kosten für die SMS und somit jeden Login am Ende zu groß sind. Auch scheuen viele Nutzer die Komplexität: Hat man sein Handy nicht zur Hand oder den TAN-Generator nicht dabei, bleibt der Dienst verschlossen – auch für den eigentlichen Nutzer.
6) Passwortkarte
Die Passwortkarte ist eine zweidimensionale Matrix (z.B. 10 Spalten, 10 Zeilen), in deren einzelnen Feldern unterschiedliche Zeichen enthalten sind. 
Die Idee hinter der Passwortkarte ist, dass es für uns Menschen einfacher ist, uns eine Logik auf dieser „Karte“, denn eine kryptische Nummern-Zeichenfolge zu merken. So könnte z.B. Ihr eBay-Passwort die vier Kombinationsfelder aus Buchstabe und Position des Anbieters sein. Dies wäre natürlich eine sehr einfache Logik, verdeutlicht aber das Prinzip.
In der c’t 18/2014 wurde die Passwortkarte empfohlen. Mit dieser kann man sich auf einfache Weise individuelle Passwörter für beliebige Dienste erzeugen, welche deutlich sicherer als das Basispasswort mit Ergänzungen sind. Da die Passwörter nirgends gespeichert werden, ist die Gefahr des Diebstahls von der eigenen Festplatte oder der Cloud gebannt. Der Nachteil ist jedoch, dass man immer die Passwortkarte dabei haben muss, die Logik nicht vergessen darf und dass man die Passwörter jedes Mal manuell eintippen muss.
Wie merke ich mir ein Passwort – Fazit
Jeder Ansatz hat seine Vor- und Nachteile. Bei einer Abstimmung unter den ionas-Mitarbeitern gab es keinen klaren Gewinner. Die einen schwören auf einen Passwortsafe, ein anderer Teil merkt sich lieber ein Basispasswort und unzählige damit verbundene Ausprägungen und ein paar unverbesserliche verwenden für unwichtige Seiten ein Standardpasswort und machen Sich nur für wichtige Seiten die Mühe mit dem jeweils eigenen Passwort.
Aus diesem Grund geben wir auch keine Empfehlung ab. Überlegen Sie sich anhand dieser Übersicht, wie Sie Ihre Passwörter verwalten und wo Sie den Schnitt aus Komfort und Sicherheit ziehen wollen. Es kann auch nicht schaden, die Passwörter regelmäßig zu ändern. Dies soll nicht bedeuten, dass Sie alle 14 Tage neue Passwörter setzen müssen, aber spätestens nach 12 Monaten oder einem konkreten Anlass sollten Sie eine Neudefinition der Passwörter ins Auge fassen. Unsere klare negative Empfehlung vom Beginn des Artikels wollen wir hier aber auf jeden Fall nochmal wiederholen: Jede der oben genannten Lösungen ist besser als ein oder zwei Standardpasswörter.