Wie sichere ich Passwörter?

Was machen wir in diesem Fall? Die einfachste Lösung besteht darin, für mehrere Websites denselben Benutzernamen und dasselbe Passwort zu verwenden. Ein Benutzername ist oft eine Variation eines persönlichen Namens oder Spitznamens mit zusätzlichen Zahlen, zufälliger Großschreibung und Ähnlichem. Obwohl wir bei jedem Schritt gewarnt werden, dass Passwörter auf jeder Website lang, komplex und unterschiedlich sein müssen, verwenden wir immer noch zu oft einfache Passwörter wie Passwort, Passwort12!, Passwort1 und dergleichen. Jeder etwas erfahrenere Angreifer kann Ihre Passwörter brutal erzwingen, aber dann ist es zu spät.

Selbst auf Telefonen verwenden die meisten Menschen einfache PIN-Codes (123456, 2222, 0000 ...) und Muster (nach rechts und unten wischen ...). Das biometrische Entsperren, das auf fast jedem neueren Telefon verfügbar ist, erscheint in den Händen eines unerfahrenen Benutzers nicht einmal auf der Liste möglicher Lösungen. Ganz zu schweigen von der Möglichkeit, dass der PIN-Code derselbe ist wie der, der für den Zugriff auf mobile Banking- oder Handelsdienste verwendet wird.

Wir sind selbstgefällig geworden. Wir verlassen uns darauf, dass Unternehmen unsere Daten schützen, auch wenn wir vieles selbst tun können. Sie werden sich nicht mehr als hundert Passwörter merken, wenn Sie nicht über ein fotografisches Gedächtnis verfügen. Sie werden sie auch nicht auf ein Blatt Papier schreiben.

Eine Lösung sind dedizierte Passwort-Manager

Einige von Ihnen verwenden bereits Passwort-Manager in den Browsern Chrome, Firefox, Safari ... Mit ihnen können Sie komplexe Passwörter erstellen, diese in einem „Tresor“ speichern und sie vom Browser bei Bedarf automatisch ausfüllen lassen.

Ist der Passwort-Manager von Google sicher?

Der Passwort-Manager von Google ist eine viel sicherere Lösung im Vergleich zur ständigen Verwendung derselben Passwörter – aber immer noch nicht die beste. Der Passwort-Manager von Google ist nicht Open Source, daher können wir nicht genau wissen, wie er funktioniert, wie er Passwörter speichert usw. Ansonsten bedeutet selbst die Bezeichnung „Open Source“ nicht zwangsläufig, dass es sich um eine sichere Lösung handelt. Es besteht aber zumindest die Möglichkeit, dass der Quellcode von unabhängigen Experten überprüft werden kann.

Wir wissen jedoch, dass Google keinen wissensfreien Verschlüsselungsansatz verwendet, was bedeutet, dass Google alles über die Daten weiß, die Sie auf seinen Servern speichern. Es besteht die Möglichkeit, die lokale Verschlüsselung von Passwörtern zu aktivieren, bevor diese in Ihrem Google-Konto gespeichert werden. Wir haben keine Daten darüber, wie viele Benutzer es aktiviert haben, wir können jedoch davon ausgehen, dass es nicht die Mehrheit ist. Es gibt auch keine Möglichkeit, ein Master-Passwort festzulegen, um auf den Passwort-Manager zuzugreifen. Der Nachteil besteht neben der Transparenz darin, dass es außerhalb des Chrome-Browsers nicht funktioniert.

Sollten Sie es also verwenden? Obwohl es nicht das Beste ist und nicht alle Funktionen bietet, die einige andere Passwort-Manager bieten, ist es dennoch sicher und vor allem praktisch.

Wie speichert Apple Passwörter?

Ähnlich wie die Lösung von Google ist auch die von Apple in erster Linie für Nutzer sehr komfortabel, da sie standardmäßig auf allen Apple-Geräten verfügbar ist. Mit dem iCloud-Schlüsselbund-Passwort-Manager können Sie zufällige Passwörter generieren, diese speichern, Kreditkartennummern speichern und der Manager füllt die Informationen für Sie aus, kurz gesagt, sehr ähnlich zu dem, was alle anderen Passwort-Manager tun. Zur Verschlüsselung wird eine 256-Bit-AES-Verschlüsselung verwendet, Passwörter werden mit anderen Apple-Geräten synchronisiert, eine Multi-Faktor-Verifizierung ist verfügbar und kürzlich wurde die Option zur Verwendung von „Passkeys“ hinzugefügt.

Es funktioniert sehr ähnlich wie der Passwort-Manager von Google und hat auch die gleichen Nachteile: Transparenz, Inkompatibilität außerhalb des Apple-Ökosystems, fehlende erweiterte Funktionen ...

iCloud-Schlüsselbund ist ein sicherer Passwort-Manager und eine Lösung, die die meisten Menschen auf Apple-Geräten verwenden – vor allem aus Bequemlichkeitsgründen.

5 %-Benutzer, die tiefer in die Sicherheit eintauchen möchten, bevorzugen einen dedizierten Passwort-Manager. Es gibt mehrere davon und sie funktionieren sehr ähnlich, daher ist es schwierig zu bestimmen, welches das beste ist.

Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper … Es gibt eine ganze Reihe von Optionen und die aufgeführten gelten als die beliebtesten. Sie müssen sich nicht auf nur eines beschränken. Einer ist einfacher zu verwalten, aber es gibt keine weiteren Gründe, warum Sie nicht zwei Passwort-Manager verwenden sollten. Die meisten dieser Manager bieten eine kostenlose Version an, die für die meisten ausreicht. Sie können jedoch optional eine der kostenpflichtigen Versionen leasen, um zusätzliche Funktionen wie die Multi-Faktor-Authentifizierung mit Geräten wie dem YubiKey zu erhalten.

Da Sie wahrscheinlich bereits Passwörter in einem Passwort-Manager von Google oder Apple gespeichert haben, müssen Sie diese zunächst exportieren, um andere Passwort-Manager verwenden zu können.

Gehen Sie in Chrome zu „Einstellungen“, wählen Sie „AutoFill & Passwörter“ und dann „Google Password Manager“. Anschließend sehen Sie links einen weiteren Abschnitt „Einstellungen“, in dem Sie „Passwörter im CSV-Format exportieren“ auswählen. Bei Bedarf können Sie mit diesen Einstellungen auch die Verschlüsselung aktivieren und Passwörter aus anderen Browsern oder Passwort-Managern importieren.

Für Apple-Benutzer ist der Export von Passwörtern in den iCloud-Schlüsselbund am einfachsten auf einem Mac-Computer. Gehen Sie zu den Systemeinstellungen oder Einstellungen, wählen Sie in den Abschnitten „Passwörter“ aus. Sie werden höchstwahrscheinlich aufgefordert, Ihr Passwort einzugeben oder Touch ID zu verwenden. Anschließend können Sie aus mehreren Optionen zum Exportieren aller Passwörter wählen. Nach unserem Kenntnisstand ist es derzeit nicht möglich, Passwörter auf iPhones zu exportieren, ohne Lösungen von Drittanbietern zu verwenden. Stellen Sie daher sicher, dass die Passwortsynchronisierung auf allen Apple-Geräten aktiviert ist.

Anschließend können Sie die exportierte CSV-Datei einfach in den ausgewählten Passwort-Manager importieren.

Was bieten dedizierte Passwort-Manager?

Nehmen Sie zum Beispiel Bitwarden.

Bitwarden ist ein sicherer und quelloffener Passwort-Manager. Es ist extrem einfach zu bedienen, die Funktionen sind ausgefeilt, was ihm seine Beliebtheit bei den Nutzern verdankt. Seine Integrität wurde zuletzt im Jahr 2022 von externen Experten überprüft. Sie können den Dienst auch auf Ihrem eigenen Server installieren, wenn Sie Ihre eigene Cloud verwalten möchten.

Sein Vorteil besteht auch darin, dass es auf allen Betriebssystemen (Android, iOS, MacOS, Windows und auch Linux) in Form einer Anwendung oder eines Webinterfaces verfügbar ist. Es kann als Erweiterung in fast jedem Browser installiert werden und ist auch mit Windows Hello und Touch ID kompatibel.

Bitwarden unterstützt die passwortlose Authentifizierung, d. h. Sie können sich mit einem Einmalcode, einer biometrischen Verifizierung oder einem Sicherheitsschlüssel anmelden. Bitwarden bietet außerdem hervorragende Unterstützung für Passkeys, einschließlich der Möglichkeit, sich mit einem Passkey bei Bitwarden anzumelden, was bedeutet, dass Sie nicht einmal einen Benutzernamen oder ein Passwort verwenden müssen, um den Tresor zu öffnen. Es gibt auch einige Extras, wie eine sichere Dateifreigabefunktion (Bitwarden Send), eine Authentifizierungs-App (leider kostenpflichtig) und Sie können sich immer auf eine äußerst aktive Benutzergemeinschaft verlassen.

Was sind Passkeys oder Zugriffsschlüssel?

Passkeys sind eine neue Art von Anmeldeinformationen, die es Ihnen ermöglichen, sich bei Websites und Diensten anzumelden, ohne ein Passwort eingeben zu müssen. Sie müssen sie sich nicht merken, können sie aber mit Geräten verwenden, die Sie bereits haben, beispielsweise einem Smartphone oder Laptop. Passkeys basieren auf WebAuthentication- oder WebAuthn-Standards. Beide verwenden Public-Key-Kryptographie.

Neben dem Hacken in Datensysteme können auch bei Phishing-Angriffen Zugangsschlüssel nicht gestohlen werden. Cyberkriminelle nutzen häufig Phishing oder Social Engineering, um sich Zugriff auf den Benutzernamen und das Passwort eines Benutzers zu verschaffen und sich damit Zugriff auf wertvolle Daten zu verschaffen. Der Passkey besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel. Der öffentliche Schlüssel verbleibt auf den Servern des Unternehmens, der private Schlüssel bleibt auf Ihrem Gerät und kann nicht leicht gestohlen werden.

Für welche Lösung Sie sich auch entscheiden – oder Sie bleiben bei einem Passwort-Manager von Google oder Apple – machen Sie es sich zur täglichen Praxis, unterschiedliche Passwörter und Benutzernamen zu verwenden. Sie speichern Passwörter auch nicht in Word-Dokumenten, Google Drive oder Ähnlichem. Passwörter sollten lang sein und sowohl Zeichen als auch Zahlen enthalten. Und vertrauen Sie auf keinen Fall Passwörter anderen an.

Titelbild: Bild von starline auf Freepik