Heartbleed-Risiko Warum wir alle einen Passwort-Manager brauchen

Alles auf Automatik: Ein Passwort-Manager kann sich für jede einzelne Website einen unaussprechlichen und wirklich sicheren Code ausdenken und merken. Bei den Details müssen Nutzer allerdings aufpassen.
Von Ole Reißmann
Passwort (Symbolbild): Software hilft bei der Herkulesaufgabe

Passwort (Symbolbild): Software hilft bei der Herkulesaufgabe

Foto: Oliver Berg/ dpa

Für jeden Account brauchen wir ein extra Passwort: Diese Regel predigen Sicherheitsexperten seit Jahren. Falls doch mal eine Website oder ein Nutzerkonto gehackt wird oder eine Sicherheitslücke wie jetzt Heartbleed auftritt, sind dann nicht gleich alle Daten in Gefahr. Viele Nutzer verzichten jedoch darauf. Kein Wunder, sich Dutzende wirklich sichere Passwörter zu merken, ist eine kaum lösbare Aufgabe.

Das muss auch niemand, denn es gibt dafür spezielle Software, sogenannte Passwort-Manager. Die erstellt wirklich sichere Passwörter und füllt Login-Fenster automatisch aus. Man muss sich dann nur noch das Login für den Passwort-Manager merken. Die erste Einrichtung, bei der man allen seinen Diensten mit Hilfe der Software sichere Passwörter vergibt, kann allerdings Stunden dauern.

Es gibt diverse verschiedene Passwort-Manager. Ein kostenloses, das von Sicherheitsexperten empfohlen wird, ist Keepass . Zum Glück funktioniert das einigermaßen einfach - zumindest, wenn man nur einen einzigen Windows-Computer benutzt. Von Keepass gibt es außerdem diverse inoffizielle Versionen für andere Betriebssysteme und Telefone.

Passwörter to go

Wie sicher die im Einzelnen sind, lässt sich allerdings nur schwer beurteilen. Auch bei kommerziellen Passwort-Managern muss man darauf vertrauen, dass die Passwörter wirklich sicher sind, auch vor Behörden. Einige Programme gibt es derzeit sogar mit Heartbleed-Rabatt, darunter 1Password . Login-Daten für wirklich kritische Dienste wie Online-Banking und E-Mail-Accounts sollte man also besser immer für sich behalten. Wie man gute Passwörter erstellt, lesen Sie hier.

Oft wird bei solchen wichtigen Webdiensten für mehr Sicherheit auch noch eine sogenannte Zwei-Faktor-Authentifizierung angeboten: Man meldet sich nicht nur mit seinem Passwort an, sondern zusätzlich mit einem Code, den man zum Beispiel jedesmal per SMS aufs Handy bekommt. Das funktioniert etwa bei PayPal. Bei Google lädt man sich dazu eine App aufs Telefon, die laufend neue Nummern erstellt. Die muss man dann neben dem Login eingeben.

Komplizierter wird es, wenn man mehr als einen Rechner nutzt, auf seine Passwörter auch vom Handy oder vom Firmenrechner aus zugreifen will. Irgendwie müssen die Passwortdaten schließlich zwischen den Geräten ausgetauscht werden. Einige Passwort-Manager setzen dafür auf Cloudspeicher wie Dropbox. Die Passwörter werden dabei so verschlüsselt, dass ein Hacker mit der Passwortdatei nichts anfangen können soll.

Installationsrechte und Firmenrechner

Wer auf einem Firmenrechner keine Software installieren darf, hat es bei der Wahl einer einfachen Lösung schwer. Dropbox lässt sich dann nicht einrichten, auch der Passwort-Manager nicht installieren. Eine mögliche Lösung ist LastPass . Die Browser-Erweiterung speichert die Passwörter im Web ab. Die Entwickler versprechen, sie vorher, noch auf dem Computer des Nutzers, sicher zu verschlüsseln. Garantieren können wir für die Sicherheit dieses Programms allerdings nicht.

Die Browser-Erweiterung lässt sich auf verschiedenen Rechnern einrichten, für Smartphones gibt es spezielle Apps. Auch eine Zwei-Faktor-Anmeldung ist möglich. Um auf den LastPass-Account zuzugreifen, muss man dann nicht nur ein Passwort eingeben, sondern einen Code. Zum Beispiel über die Google-App.

Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist das allemal. Statt Dutzender verschiedener Passwörter muss man sich dann nur noch eine Handvoll merken: Für die wirklich sensiblen Dienste und für den Passwort-Manager. Eine wirklich einfache Lösung, die für alle Einsatzzwecke funktioniert, gibt es leider nicht.

Suche nach dem richtigen Programm

Eigentlich sollte der Einsatz eines Passwort-Managers so selbstverständlich sein wie das Schreiben einer E-Mail. Ständige Hackerangriffe, Datenlecks und nun die Heartbleed-Lücke sind Erinnerungen daran, wie wichtig es ist, Passwörter immer nur einmal zu verwenden. Wer sich nun auf die Suche nach einem geeigneten Programm macht, hier noch drei Tipps:

  • Achten Sie darauf, dass die Software eine sichere Verschlüsselung der Passwortdaten anbietet. Wenn Sie das Masterpasswort verlieren, sollte auch der Anbieter keine Möglichkeit haben, ihnen doch noch Zugriff auf Ihre gespeicherten Passwörter zu verschaffen.
  • Nehmen Sie einen Passwort-Manager, dessen Entwicklern Sie vertrauen. Lässt sich einfach herausfinden, wer das Programm erstellt hat? Wie offen gehen die Anbieter zum Beispiel mit der Heartbleed-Sicherheitslücke um? Sprechen sich Experten für diese Software aus?
  • Handelt es sich um ein Open-Source-Projekt, sollten Sie darauf achten, dass es von seinen Entwicklern nach wie vor gepflegt wird - und nicht nur von einer Handvoll Nutzern eingesetzt wird. Auch in Open-Source-Code können sich Fehler verstecken, das hat Heartbleed gezeigt. Je bekannter und älter das Projekt ist und je mehr Entwickler aktiv daran arbeiten, desto eher werden tendenziell Fehler gefunden.

Mehr lesen über

Heartbleed-Sicherheitslücke Computersicherheit

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten