Das Leid mit den Passwörtern

An allen Ecken und Enden werden Passwörter benötigt und es werden immer mehr! Wie soll man sich die alle merken? Eine einfache Lösung scheint zu sein, einen Passwort Manager zu verwenden. Dieser verwahrt alle Passwörter sicher verschlüsselt auf, so dass man sich nur noch ein einziges gutes Passwort merken muss.

Aber was ist, wenn man sich einen Trojaner einfängt der das Master-Passwort ausspioniert? Dann hat der Hacker alle Passwörter, die darin gespeichert sind.

In diesem Artikel erläutere ich, dass alle Methoden der Passwortverwaltung ihre Vor- und Nachteile haben und dass ich deshalb eine Misch-Strategie einsetze.

Ein elektronischer Passwort Manager

Anzeige

Ich sehe es immer wieder, dass Passwörter in Excel oder Outlook unverschlüsselt abgespeichert werden. Das ist ganz kritisch und sollte schnellstens abgestellt werden! Viel besser ist es einen Passwort Manager einzusetzen. Dieser speichert die Passwörter verschlüsselt ab und man muss sich nur noch ein Master-Passwort merken. Da dieses Passwort dann eine zentrale Rolle spielt, sollte es sehr gut sein. Deshalb wird dieses Passwort oft auch als Passphrase bezeichnet, was ausdrücken soll, dass es ruhig ein ganzer Satz sein darf und eben nicht zu kurz sein sollte.

Es gibt einige Passwort Manager, zum Beispiel das kostenlose KeePass, zu dem Sie im Blog infoblog.li ein paar Hinweise finden, wie man das Programm sicher konfiguriert. Weitere kostenlose Programme finden sich zuhauf im Internet, zum Beispiel im Techfacts Software Forum.

Das kostenpflichtige Programm Password Depot 6 bietet zum einen etwas mehr Komfort, zum Beispiel das automatische Einloggen in Web-Anwendungen. Zum anderen gibt es gemäß den Herstellerangaben Sicherheit vor Keyloggern und Spyware sowie als weitere Schutzmaßnahme eine virtuelle Tastatur gegen Keylogger.

Risiko: Trojaner und Keylogger

Die größte Gefahr bei der Verwendung eines Passwort Verwaltungsprogramm liegt darin, dass man sich einen Trojaner einfangen könnte, der das Master Passwort ausspioniert und dieses samt der Passwort Datei zum Datendieb überträgt. Alle Zugangsdaten weg! Wenn man konsequent alles dem Programm anvertraut hat, sind nun Bankzugangsdaten, E-Mail Postfächer und Online-Shops in kriminellen Händen. Das wäre wahrhaftig ein GAU.

Der zuvor genannte Schutz vor Keyloggern in Password Depot 6 bietet Schutz vor bekannten Keyloggern. Einen hundertprozentigen Schutz gegen neue Keylogger kann allerdings niemand geben. Aus diesem Grund gibt es in Password Depot zusätzlich noch eine virtuelle Tastatur, bei der auch ein neuer Keylogger definitiv nichts mitschneiden kann. Allerdings ist die Eingabe dann unkomfortabler, so dass sie in der Praxis wohl eher selten eingesetzt werden wird.

Passwörter im Kopf

Ich selbst habe bestimmt über hundert Passwörter. Die alle zu merken ist unrealistisch. Außer wenn ich das selbe Passwort häufig nutzen wurde. Das ist das erste Risiko bei dieser Methode.

1. Risiko: Ein Passwort für viele Dienste

Auch das Passwort, das im Kopf gespeichert wird kann in die falschen Hände geraten. Über einen Keylogger wenn ich es zum Anmelden eintippe. Oder auch weil es beim Dienstanbieter nicht sicher gespeichert ist und von dort ausspioniert wird.

Wenn man nun dieses eine Passwort für diverse Web-Shops genutzt hat, kann es nun überall dort zu Missbrauch kommen.

2. Risiko: Das Passwort Schema wird erkannt

Es gibt auch den Tipp, Passwörter nach einem bestimmten Schema aufzubauen. Erst eine kryptische Kombination und dann einen Teil, der einen Bezug zu dem Web-Angebot hat, um den es geht.

Allerdings kann es auch hier passieren, dass jemand an ein oder zwei Passwörter rankommt und das Schema erkennt.

3. Risiko: Passwort vergessen

Auch das kann passieren. Das Passwort fällt einem entweder gerade nicht ein wenn man es braucht, oder man vergisst es komplett.

Also ist auch diese Methode nicht die perfekte Lösung.

Passwörter auf Papier

Auch wenn diese Methode von manchen belächelt wird und ganz und gar nicht modern klingt ist sie nicht schlecht. Zumindest wenn das Passwort nicht am Monitor oder unter der Tastatur klebt. Wenn der Passwort-Zettel in ein Buch im Bücherregal verstaut wird, dann ist es dort relativ sicher aufgehoben.

Zumindest der digitale Angriff über einen Trojaner läuft dann ins Leere.

Nachteil

Dennoch, auch diese Methode bietet keinen hundertprozentigen Schutz und zudem weniger Komfort.

Wenn man den Passwort-Zettel im Bücherregal hat, dann ist dieses Passwort nicht verfügbar, wenn man es unterwegs mal braucht. Nimmt man den Zettel mit, könnte er verloren gehen oder nass und unlesbar werden.

Mein Rezept: Mischkonzept

Nach diesen Ausführungen sollte klar sein: Hundertprozentige Sicherheit gibt es nicht und alle Methoden haben ihre Vorzüge, aber auch Schwächen! Deswegen heißt dieser Artikel auch “Das Leid mit den Passwörtern”.

Ich selbst nutze ein Mischkonzept, das wie folgt aussieht:

Der Großteil meiner Passwörter ist im Password Depot gespeichert. Hier ist der Vorteil, dass ich meist ein zufällig generiertes Passwort verwende, dass zum einen kaum gehackt werden kann und zum anderen nur Zugang zu dem einen Dienst bietet.

Nur die Passwörter, die ich auch unterwegs brauche, lasse ich nicht automatisch generieren. Einen Tipp zum Erfinden von Passwörtern finden Sie im Artikel 10 Tipps wie Sie Ihre Daten sichern, Tipp 3.

Um auch die Gefahr zu berücksichtigen, dass ein neuartiger Keylogger mein System befällt und somit alle Passwörter in kriminelle Hände geraten, gibt es kritische Dienste, die ich nicht im Password Depot gespeichert habe. Dazu zählen Online-Banking und E-Mail Postfächer. Warum E-Mail Postfächer? Wenn jemand Zugang zu den Mails hat, kann er sich über die Funktion Passwort vergessen ein neues Passwort schicken lassen.

Übrigens: Wenn man in Anmeldebestätigung das eigene Passwort aufgeführt ist, sollte man es gleich in ein zufällig generiertes abändern. E-Mails gelten ja sicherheitstechnisch wie eine Postkarte.

Nutzen Sie einen Passwort Manager? Haben Sie Fragen zum Artikel? Ich freue mich über Feedback in den Kommentaren.