Heartbleed-Sicherheitslücke So funktionieren Passwort-Manager im Browser

Sichere Passwörter sind umständlich. Deshalb haben die meisten Browser eine Funktion, die sich um die lästigen Codes kümmert. Wie das mit Firefox und Chrome funktioniert - und was die Nachteile dabei sind -, zeigen wir Ihnen hier.

Von


Ein Passwort, um sich überall anzumelden: Was bei vielen Nutzern aus Bequemlichkeit üblich ist, verbietet sich: Wenn nur einer der genutzten Dienste eine Sicherheitslücke hat oder gehackt wird wie gerade die 18 Millionen Login-Daten, dann können Angreifer gleich das ganze Online-Leben übernehmen: Nachrichten verschicken, die Kreditkarte missbrauchen, Fotos ansehen und löschen. Und wenn eine Riesen-Sicherheitslücke wie Heartbleed es nötig macht, die Passwörter zu ändern, merkt man erst so richtig, wie quälend der Umgang mit den Zugangsdaten eigentlich ist.

Weil sich natürlich kaum jemand für jeden Dienst ein eigenes supersicheres Passwort merken kann, wird seit Jahren an technischen Lösungen gearbeitet. Zusätzliche Programme, sogenannte Passwort-Manager, können sich um die Verwaltung der Login-Datenmassen kümmern. In vielen Browsern sind solche Passwort-Manager schon eingebaut.

Safari, Firefox, Chrome und Opera bieten außerdem an, Passwörter nicht nur auf dem eigenen Rechner zu speichern, sondern zentral im Netz. So kann man mehr als nur einen Computer nutzen - und die Passwörter sind schon da. Wenn die Browser diese Daten auf dem Computer sicher verschlüsseln, bevor sie in die Datenwolke wandern, kann dabei nicht viel nicht passieren.

Dazu muss man ein sogenanntes Master-Passwort einrichten, einen Schlüssel, der den automatisch verwalteten Schlüsselbund freischaltet. Einziges Problem: Verliert man diesen Generalschlüssel, können einem auch die Browser-Hersteller nicht mehr helfen. Sie geben an, keinen Zugriff auf die gespeicherten Passwörter zu haben. Wie das mit Firefox und Chrome funktioniert - und was es dabei zu beachten gibt -, erklären wir in dieser Fotostrecke.

Synchronisierung mit Hindernissen

Passwort-Management im Browser klingt komfortabel, hat jedoch Nachteile: Die Synchronisierung der Passwörter funktioniert nur, wenn man überall denselben Browser nutzen kann. Gerade auf Firmenrechnern und Smartphones kann man sich das aber oft nicht aussuchen. Auf dem iPhone fehlt der Firefox, im Büro aus Datenschutzgründen der Google-Browser.

Dann helfen nur echte Passwort-Manager wie zum Beispiel KeePass oder Password Safe weiter - oder ein Stift und ein Stück Papier. Wie auch immer man seine diversen Passwörter dann verwaltet, ob mit dem Browser, Extra-Software oder Notizen, man bekämpft nur die Symptome und nicht das eigentliche Problem: viele verschiedene Dienste, viele verschiedene Login-Daten.

Wirklich wichtige Passwörter für E-Mail oder Online-Banking sollte man dem Passwort-Manager sowieso nicht anvertrauen. Dort nutzt man außerdem am besten eine Zwei-Faktor-Authentifizierung. Für alle anderen Passwörter gilt: Auch das Passwort-Management im Browser ist nicht zu 100 Prozent sicher. Aber es ist immer noch sicherer, den eingebauten Passwort-Manager zu benutzen - als für alle Dienste dasselbe Passwort.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
willi2007 16.04.2014
1. Analog
Die Botschaft lautet im Kern also: Zurück zur analogen Passwortverwaltung. Ich gehe sogar so weit, zurück aus der virtuellen Banken- und Einkaufswelt in die reale Bankfilialen und Geschäfte. Der Diebstahl von 18 Millionen E-Mail-Adressen samt dazugehöriger Passwörter ist doch nicht bei uns Nutzern erfolgt. Nein er ist entweder durch profitgierige und rücksichtslose Adressenhändler und/oder ungesicherte Datenbanken bei E-Mai-Providern oder Online-Shops erfolgt. Und genau hier gilt es von Datenschützern und Politik anzusetzen. Der Adresshandel ist zu verbieten. Datenbanken mit persönlichen Kundendaten sind nach dem neuesten Sicherheitsstandard zu sichern. Dazu gehört auch, dass einfache und sehr kurze Passwörter von den Systemen nicht akzeptiert werden. Die Speicherung inländischer Kundendaten hat ausschließlich auf Servern und Rechnern in Deutschland zu erfolgen. Und dann wird es gerade in Deutschland langsam Zeit, dass Hacker vor Gericht gestellt und zu Haftstrafen verurteilt werden. Das ist ja lachhaft, dass angeblich die Hacker nicht zu greifen sind. Dann sollen die deutschen Behörden mal einen Lehrgang bei der NSA besuchen. Wozu zahlen wir denn eigentlich Steuern meine Herren Politiker! Anstatt meine Telekommunikationsdaten Monate lang auf Vorrat zu speichern, holen sie sich Gerichtsbeschlüsse gegen die Hacker! Da haben Sie, verehrte Politiker, Jahre lang genug zu lauschen. Ich will aber endlich einmal einen Erfolg gegen Hacker in Deutschland, ist das endlich klar?
Jay's 16.04.2014
2. Ist es denn so schwierig,
Passwoerter zu machen und irgendwo zu Hause zB zu verstecken? 1. Auf dem Computer auf der Arbeit sollte man erst garnicht private Angelegenheiten erledigen. Denn da koennen leicht andere an den Computer und man muss Passwoerter mit sich rumschleppen. 2. Traue keinem Dienst (Passwort-Manager), ueber den du keine Kontrolle hast. 3. Was Passwoerter angehen, sollte man paranoid sein und selbst auf dem Homecomputer bei sensiblen Diensten wie Bank, Website etc das Passwort nicht auf dem Computer speichern. 4. Von Zeit zu Zeit sollte man Passwoerter aendern. Ist es denn wirklich soviel Arbeit, das zu tun? 5. Wenn man Bankdinge lokal erledigen kann, sollte man die Bank direkt aufsuchen und nicht ueber den Computer. Ich lebe in den USA und erledige Sparkassenangelegenheiten in Deutschland ueber den Briefverkehr und nichtden Computer (Ueberweisung zB). Schwieriger oder unmoeglich wird es bei Paypal oder bei Kreditkarten. Bei letzteren empfehle ich, von Zeit zu Zeit die Aktivitaeten online zu ueberpruefen, um eventuellen Missbrauch zu erkennen und zu unterbinden.
5b- 16.04.2014
3. Etwas Knapp
Der Bericht ist etwas knapp, aber gut. Endlich einmal wird auch Password Safe erwähnt. Dieser Open Source Passwort Manager hat einen guten Funktionsumfang und ist sehr günstig. Die Windows Variante ist sogar für umsonst. Ich selbst nutze Passwort Safe auf meinem Ubuntu System über Wine und auf iOS. Das Ganze wird bei mir über Dropbox synchronisiert. Nun ist es natürlich fraglich wie sicher das ganze ist, aber ich gehe davon aus dass die Hürden für einen Angreifer zu hoch sind um das Ganze für gefährlich zu erachten. Wenn ein Hacker auf meinem System einen Keylogger installiert hätte hat dieser sowieso Zugang zu meinen Passwörtern. Da ich für meinen Dropbox Account die Zwei-Faktor-Authentifizierung verwende ist sogar die Kenntnis meines Passworts nicht genug falls mein System nicht vorher schon kompromittiert wurde.
hangul 16.04.2014
4. Keypass
ist eine gute Hilfe und gibt es für Smartphones und Computer; die Daten kann man sogar ausdrucken. Niemals online Paßwörter speichern. Das ist gefährlich.
Mindbender 16.04.2014
5. ...
Was bitte hat der Heartbleed Bug mit einem Passwort-Manager zu tun wie es der Titel suggeriert?! Nur das er es "einfacher" macht Passwörter zu ändern?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.