Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Heartbleed-Sicherheitslücke: So funktionieren Passwort-Manager im Browser

Von

Sichere Passwörter sind umständlich. Deshalb haben die meisten Browser eine Funktion, die sich um die lästigen Codes kümmert. Wie das mit Firefox und Chrome funktioniert - und was die Nachteile dabei sind -, zeigen wir Ihnen hier.

So geht das: Passwörter dem Browser überlassen - aber sicher Fotos

Ein Passwort, um sich überall anzumelden: Was bei vielen Nutzern aus Bequemlichkeit üblich ist, verbietet sich: Wenn nur einer der genutzten Dienste eine Sicherheitslücke hat oder gehackt wird wie gerade die 18 Millionen Login-Daten, dann können Angreifer gleich das ganze Online-Leben übernehmen: Nachrichten verschicken, die Kreditkarte missbrauchen, Fotos ansehen und löschen. Und wenn eine Riesen-Sicherheitslücke wie Heartbleed es nötig macht, die Passwörter zu ändern, merkt man erst so richtig, wie quälend der Umgang mit den Zugangsdaten eigentlich ist.

Weil sich natürlich kaum jemand für jeden Dienst ein eigenes supersicheres Passwort merken kann, wird seit Jahren an technischen Lösungen gearbeitet. Zusätzliche Programme, sogenannte Passwort-Manager, können sich um die Verwaltung der Login-Datenmassen kümmern. In vielen Browsern sind solche Passwort-Manager schon eingebaut.

Safari, Firefox, Chrome und Opera bieten außerdem an, Passwörter nicht nur auf dem eigenen Rechner zu speichern, sondern zentral im Netz. So kann man mehr als nur einen Computer nutzen - und die Passwörter sind schon da. Wenn die Browser diese Daten auf dem Computer sicher verschlüsseln, bevor sie in die Datenwolke wandern, kann dabei nicht viel nicht passieren.

Dazu muss man ein sogenanntes Master-Passwort einrichten, einen Schlüssel, der den automatisch verwalteten Schlüsselbund freischaltet. Einziges Problem: Verliert man diesen Generalschlüssel, können einem auch die Browser-Hersteller nicht mehr helfen. Sie geben an, keinen Zugriff auf die gespeicherten Passwörter zu haben. Wie das mit Firefox und Chrome funktioniert - und was es dabei zu beachten gibt -, erklären wir in dieser Fotostrecke.

Synchronisierung mit Hindernissen

Passwort-Management im Browser klingt komfortabel, hat jedoch Nachteile: Die Synchronisierung der Passwörter funktioniert nur, wenn man überall denselben Browser nutzen kann. Gerade auf Firmenrechnern und Smartphones kann man sich das aber oft nicht aussuchen. Auf dem iPhone fehlt der Firefox, im Büro aus Datenschutzgründen der Google-Browser.

Dann helfen nur echte Passwort-Manager wie zum Beispiel KeePass oder Password Safe weiter - oder ein Stift und ein Stück Papier. Wie auch immer man seine diversen Passwörter dann verwaltet, ob mit dem Browser, Extra-Software oder Notizen, man bekämpft nur die Symptome und nicht das eigentliche Problem: viele verschiedene Dienste, viele verschiedene Login-Daten.

Wirklich wichtige Passwörter für E-Mail oder Online-Banking sollte man dem Passwort-Manager sowieso nicht anvertrauen. Dort nutzt man außerdem am besten eine Zwei-Faktor-Authentifizierung. Für alle anderen Passwörter gilt: Auch das Passwort-Management im Browser ist nicht zu 100 Prozent sicher. Aber es ist immer noch sicherer, den eingebauten Passwort-Manager zu benutzen - als für alle Dienste dasselbe Passwort.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Analog
willi2007 16.04.2014
Die Botschaft lautet im Kern also: Zurück zur analogen Passwortverwaltung. Ich gehe sogar so weit, zurück aus der virtuellen Banken- und Einkaufswelt in die reale Bankfilialen und Geschäfte. Der Diebstahl von 18 Millionen E-Mail-Adressen samt dazugehöriger Passwörter ist doch nicht bei uns Nutzern erfolgt. Nein er ist entweder durch profitgierige und rücksichtslose Adressenhändler und/oder ungesicherte Datenbanken bei E-Mai-Providern oder Online-Shops erfolgt. Und genau hier gilt es von Datenschützern und Politik anzusetzen. Der Adresshandel ist zu verbieten. Datenbanken mit persönlichen Kundendaten sind nach dem neuesten Sicherheitsstandard zu sichern. Dazu gehört auch, dass einfache und sehr kurze Passwörter von den Systemen nicht akzeptiert werden. Die Speicherung inländischer Kundendaten hat ausschließlich auf Servern und Rechnern in Deutschland zu erfolgen. Und dann wird es gerade in Deutschland langsam Zeit, dass Hacker vor Gericht gestellt und zu Haftstrafen verurteilt werden. Das ist ja lachhaft, dass angeblich die Hacker nicht zu greifen sind. Dann sollen die deutschen Behörden mal einen Lehrgang bei der NSA besuchen. Wozu zahlen wir denn eigentlich Steuern meine Herren Politiker! Anstatt meine Telekommunikationsdaten Monate lang auf Vorrat zu speichern, holen sie sich Gerichtsbeschlüsse gegen die Hacker! Da haben Sie, verehrte Politiker, Jahre lang genug zu lauschen. Ich will aber endlich einmal einen Erfolg gegen Hacker in Deutschland, ist das endlich klar?
2. Ist es denn so schwierig,
Jay's 16.04.2014
Passwoerter zu machen und irgendwo zu Hause zB zu verstecken? 1. Auf dem Computer auf der Arbeit sollte man erst garnicht private Angelegenheiten erledigen. Denn da koennen leicht andere an den Computer und man muss Passwoerter mit sich rumschleppen. 2. Traue keinem Dienst (Passwort-Manager), ueber den du keine Kontrolle hast. 3. Was Passwoerter angehen, sollte man paranoid sein und selbst auf dem Homecomputer bei sensiblen Diensten wie Bank, Website etc das Passwort nicht auf dem Computer speichern. 4. Von Zeit zu Zeit sollte man Passwoerter aendern. Ist es denn wirklich soviel Arbeit, das zu tun? 5. Wenn man Bankdinge lokal erledigen kann, sollte man die Bank direkt aufsuchen und nicht ueber den Computer. Ich lebe in den USA und erledige Sparkassenangelegenheiten in Deutschland ueber den Briefverkehr und nichtden Computer (Ueberweisung zB). Schwieriger oder unmoeglich wird es bei Paypal oder bei Kreditkarten. Bei letzteren empfehle ich, von Zeit zu Zeit die Aktivitaeten online zu ueberpruefen, um eventuellen Missbrauch zu erkennen und zu unterbinden.
3. Etwas Knapp
5b- 16.04.2014
Der Bericht ist etwas knapp, aber gut. Endlich einmal wird auch Password Safe erwähnt. Dieser Open Source Passwort Manager hat einen guten Funktionsumfang und ist sehr günstig. Die Windows Variante ist sogar für umsonst. Ich selbst nutze Passwort Safe auf meinem Ubuntu System über Wine und auf iOS. Das Ganze wird bei mir über Dropbox synchronisiert. Nun ist es natürlich fraglich wie sicher das ganze ist, aber ich gehe davon aus dass die Hürden für einen Angreifer zu hoch sind um das Ganze für gefährlich zu erachten. Wenn ein Hacker auf meinem System einen Keylogger installiert hätte hat dieser sowieso Zugang zu meinen Passwörtern. Da ich für meinen Dropbox Account die Zwei-Faktor-Authentifizierung verwende ist sogar die Kenntnis meines Passworts nicht genug falls mein System nicht vorher schon kompromittiert wurde.
4. Keypass
hangul 16.04.2014
ist eine gute Hilfe und gibt es für Smartphones und Computer; die Daten kann man sogar ausdrucken. Niemals online Paßwörter speichern. Das ist gefährlich.
5. ...
Mindbender 16.04.2014
Was bitte hat der Heartbleed Bug mit einem Passwort-Manager zu tun wie es der Titel suggeriert?! Nur das er es "einfacher" macht Passwörter zu ändern?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: