Heartbleed-Risiko Warum wir alle einen Passwort-Manager brauchen

Alles auf Automatik: Ein Passwort-Manager kann sich für jede einzelne Website einen unaussprechlichen und wirklich sicheren Code ausdenken und merken. Bei den Details müssen Nutzer allerdings aufpassen.

Von

Passwort (Symbolbild): Software hilft bei der Herkulesaufgabe
DPA

Passwort (Symbolbild): Software hilft bei der Herkulesaufgabe


Für jeden Account brauchen wir ein extra Passwort: Diese Regel predigen Sicherheitsexperten seit Jahren. Falls doch mal eine Website oder ein Nutzerkonto gehackt wird oder eine Sicherheitslücke wie jetzt Heartbleed auftritt, sind dann nicht gleich alle Daten in Gefahr. Viele Nutzer verzichten jedoch darauf. Kein Wunder, sich Dutzende wirklich sichere Passwörter zu merken, ist eine kaum lösbare Aufgabe.

Das muss auch niemand, denn es gibt dafür spezielle Software, sogenannte Passwort-Manager. Die erstellt wirklich sichere Passwörter und füllt Login-Fenster automatisch aus. Man muss sich dann nur noch das Login für den Passwort-Manager merken. Die erste Einrichtung, bei der man allen seinen Diensten mit Hilfe der Software sichere Passwörter vergibt, kann allerdings Stunden dauern.

Es gibt diverse verschiedene Passwort-Manager. Ein kostenloses, das von Sicherheitsexperten empfohlen wird, ist Keepass. Zum Glück funktioniert das einigermaßen einfach - zumindest, wenn man nur einen einzigen Windows-Computer benutzt. Von Keepass gibt es außerdem diverse inoffizielle Versionen für andere Betriebssysteme und Telefone.

Passwörter to go

Wie sicher die im Einzelnen sind, lässt sich allerdings nur schwer beurteilen. Auch bei kommerziellen Passwort-Managern muss man darauf vertrauen, dass die Passwörter wirklich sicher sind, auch vor Behörden. Einige Programme gibt es derzeit sogar mit Heartbleed-Rabatt, darunter 1Password. Login-Daten für wirklich kritische Dienste wie Online-Banking und E-Mail-Accounts sollte man also besser immer für sich behalten. Wie man gute Passwörter erstellt, lesen Sie hier.

Oft wird bei solchen wichtigen Webdiensten für mehr Sicherheit auch noch eine sogenannte Zwei-Faktor-Authentifizierung angeboten: Man meldet sich nicht nur mit seinem Passwort an, sondern zusätzlich mit einem Code, den man zum Beispiel jedesmal per SMS aufs Handy bekommt. Das funktioniert etwa bei PayPal. Bei Google lädt man sich dazu eine App aufs Telefon, die laufend neue Nummern erstellt. Die muss man dann neben dem Login eingeben.

Komplizierter wird es, wenn man mehr als einen Rechner nutzt, auf seine Passwörter auch vom Handy oder vom Firmenrechner aus zugreifen will. Irgendwie müssen die Passwortdaten schließlich zwischen den Geräten ausgetauscht werden. Einige Passwort-Manager setzen dafür auf Cloudspeicher wie Dropbox. Die Passwörter werden dabei so verschlüsselt, dass ein Hacker mit der Passwortdatei nichts anfangen können soll.

Installationsrechte und Firmenrechner

Wer auf einem Firmenrechner keine Software installieren darf, hat es bei der Wahl einer einfachen Lösung schwer. Dropbox lässt sich dann nicht einrichten, auch der Passwort-Manager nicht installieren. Eine mögliche Lösung ist LastPass. Die Browser-Erweiterung speichert die Passwörter im Web ab. Die Entwickler versprechen, sie vorher, noch auf dem Computer des Nutzers, sicher zu verschlüsseln. Garantieren können wir für die Sicherheit dieses Programms allerdings nicht.

Die Browser-Erweiterung lässt sich auf verschiedenen Rechnern einrichten, für Smartphones gibt es spezielle Apps. Auch eine Zwei-Faktor-Anmeldung ist möglich. Um auf den LastPass-Account zuzugreifen, muss man dann nicht nur ein Passwort eingeben, sondern einen Code. Zum Beispiel über die Google-App.

Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist das allemal. Statt Dutzender verschiedener Passwörter muss man sich dann nur noch eine Handvoll merken: Für die wirklich sensiblen Dienste und für den Passwort-Manager. Eine wirklich einfache Lösung, die für alle Einsatzzwecke funktioniert, gibt es leider nicht.

Suche nach dem richtigen Programm

Eigentlich sollte der Einsatz eines Passwort-Managers so selbstverständlich sein wie das Schreiben einer E-Mail. Ständige Hackerangriffe, Datenlecks und nun die Heartbleed-Lücke sind Erinnerungen daran, wie wichtig es ist, Passwörter immer nur einmal zu verwenden. Wer sich nun auf die Suche nach einem geeigneten Programm macht, hier noch drei Tipps:

  • Achten Sie darauf, dass die Software eine sichere Verschlüsselung der Passwortdaten anbietet. Wenn Sie das Masterpasswort verlieren, sollte auch der Anbieter keine Möglichkeit haben, ihnen doch noch Zugriff auf Ihre gespeicherten Passwörter zu verschaffen.
  • Nehmen Sie einen Passwort-Manager, dessen Entwicklern Sie vertrauen. Lässt sich einfach herausfinden, wer das Programm erstellt hat? Wie offen gehen die Anbieter zum Beispiel mit der Heartbleed-Sicherheitslücke um? Sprechen sich Experten für diese Software aus?
  • Handelt es sich um ein Open-Source-Projekt, sollten Sie darauf achten, dass es von seinen Entwicklern nach wie vor gepflegt wird - und nicht nur von einer Handvoll Nutzern eingesetzt wird. Auch in Open-Source-Code können sich Fehler verstecken, das hat Heartbleed gezeigt. Je bekannter und älter das Projekt ist und je mehr Entwickler aktiv daran arbeiten, desto eher werden tendenziell Fehler gefunden.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 51 Beiträge
Alle Kommentare öffnen
Seite 1
unnglaublich 11.04.2014
1. Sorry, aber
Zitat von sysopDPAAlles auf Automatik: Ein Passwort-Manager kann sich für jede einzelne Website einen unaussprechlichen und wirklich sicheren Code ausdenken und merken. Bei den Details müssen Nutzer allerdings aufpassen. http://www.spiegel.de/netzwelt/web/heartbleed-passwort-manager-a-963953.html
der Artikel hat nichts mit Heartbleed zu tun: hier sind halt Passwörter abgefangen worden, dagegen hilft auch das komplizierteste Passwort nicht. Ein allgemeingültiges, aber für jede Webseite unterschiedliches Passwort läßt sich einfach aus Konstanten und Variablen zusammensetzen: Der Name meiner Frau sei Frauke, das Datum der Hochzeit 2001. Nehme ich die letzten drei Buchstaben der Webseite "Spiegel" an den Anfang, dann den Namen meiner Frau, ein & und dann die ersten drei Buchstaben von Spiegel und dann das Datum, habe ich mit "gelFrauke&Spi2001" ein erstklassiges, leicht merkbares Passwort, das ich individuell auf allen anderen Webseiten anwenden kann. Nix mit Cloud und kostenloser Software und so erforderlich.
jolux 11.04.2014
2. Bei Cloud-Synchronisation: Finger weg von 1Password oder Lastpass!
Finger weg von 1Password oder Lastpass! Wer heute noch einer einzigen Firma die volle Kontrolle über seine Passwörter in der Cloud gibt, muss ganz schön naiv sein. Finger weg von Anbietern, die Passwörter in der Cloud speichern und *gleichzeitig* (!) die Software dafür programmieren, ohne Open Source zu sein! Man sollte aus Sichheitsgründen wenigstens den Softwareentwickler und den Cloud-Anbieter trennen, damit nicht eine Firma Zugriff auf alles hat. Meine Lösung ist z. B.: KeePass und Dropbox. Auf Tablet und Smartphone kann man dann Keepass2Android benutzen. Das ist erstens Open Source und zweitens gibt es davon eine Offline-Version, die keine Berechtigung zum Internetzugriff hat. Die verschlüsselte Passwortdatenbank wird dann über eine andere App (Dropsync oder Foldersync) mit der Cloud und den anderen Geräten synchronisiert. Wichtig ist eben, dass die Passwort-App selber keinen Internetzugriff hat, sonst kann man Missbrauch nicht ausschließen.
marina@spiegel 11.04.2014
3. jeder Dienst kocht sein eigenes Süppchen
Was mich am meisten nervt ist, dass jeder Dienst (Shops, Banken, Mail-Accounts u.s.w.) da ihr eigenes Süppchen kocht. Mal darf ich nur diese, mal nur jene Zeichen verwenden. Mal muss dieses unbedingt enthalten sein, mal jenes, mal muss die Mindestlänge, mal die maximale Länge beachtet werden. Am schlimmsten sind Banken, mit Passwörten nur aus Ziffern. Da nutzen tolle Systeme, die man sich ausdenkt und die dann an irgend welchen Stellen auf den Dienst individuelle abgeändert werden, nicht viel, wenn es so viel Ausnahemen gibt, die man beachten muss.
postorgel 11.04.2014
4. wir brauchen keine passwortmanager. ich habe gestern mein pay-pal - konto aufgeloest,
mache kein telefonbanking und bezahle alle Einkäufe klassisch mit bankueberweisung. so einfach ist das.
kwneuhaus 11.04.2014
5. Passwort erfinden
PC: Bitte geben Sie ein Passwort ein. User: Rose PC: Das Passwort muss mindestens 8 Zeichen lang sein. User: rote rose PC: Leerschläge sind nicht erlaubt. User: roterose PC: Bitte verwenden Sie Gross- und Kleinbuchstaben. User: RoteRose PC: Bitte verwenden Sie auch eine Zahl User: 1RoteRose PC: Bitte verwenden Sie auch Sonderzeichen. User: 1RoteRose! PC: Bitte verwenden Sie mindestens 6 unterschiedliche Buchstaben. User: 1RoteRoseVerdammtOderIchSteckSieInDeinenDigitalenA***!!! PC: Tut mir leid, dieses Passwort ist bereits vergeben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.