1 Passwort – 0 Probleme
Ein Passwort, null Probleme. Das behaupten zumindest die Hersteller von Passwortmanagern. Tatsächlich löst ein Passwortmanager ein großes Problem, schafft aber mehrere kleine. Wir zeigen, wie Sie wirklich alle Probleme in den Griff bekommen.
Die besten Tipps für Passwort-manager: Optimal einrichten und absichern.
Das Jahr 2020 brachte eine gute Nachricht für alle Computer-nutzer: Die Vorgabe, seine Passwörter regelmäßig zu wechseln, ist nun endgültig vom Tisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner diesjährigen Ausgabe des Bsi-grundschutz-kompendiums die entsprechende Empfehlung gestrichen. In den USA hatte die zuständige Behörde NIST (www.nist.gov) die Vorgabe bereits 2017 zurückgenommen. Großbritannien war sogar schon 2015 soweit (www.pcwelt.de/qihm2c). Begründet wird der Schritt damit, dass regelmäßiges Passwortwechseln zur Nutzung einfacher und damit tendenziell unsicherer Passwörter verleitet.
Doch auch, wenn uns die Sicherheitsbehörden von der Passwortänderungspflicht befreit haben, gibt es noch eine ganze Reihe anderer Pflichten und Aufgaben. Beispielweise gilt es nach wie vor, dass Sie für jeden Log-in ein eigenes, langes und kompliziertes Passwort nutzen sollten. Die komfortabelste und sicherste Methode, um dieses Ziel zu erreichen, funktioniert mit einem Passwortmanager.
Das leisten Passwortmanager
Passwortmanager sind Schlüsseltresore, die Ihnen mehrere wichtige Aufgaben abnehmen: Sie erstellen automatisch lange und komplizierte und damit sichere Passwörter. Sie füllen Ihre Log-in-daten automatisch in die Anmeldefelder von Websites und Apps. Und sie machen Ihre Log-ins auf allen Ihren Geräten verfügbar. Dazu bieten sie Browser-erweiterungen für Windows und Apps für Android und IOS.
Der Anwender verschlüsselt den Passworttresor mit nur einem Masterpasswort. Nur dieses Passwort müssen Sie sich merken, um alle anderen Passwörter nutzen zu können. Dieses Masterpasswort allerdings müssen Sie sich wirklich gut merken. Wer es vergisst, kommen in vielen Fällen nicht mehr an seinen Kennworttresor heran.
Tipps zur Einrichtung
Online- oder Offline-tools: Wenn Sie ein ausreichend langes Passwort als Masterpasswort gewählt haben, ist Ihr Tresor so gut verschlüsselt, dass ihn niemand knacken kann. Sie können Ihre Tresordatei somit ohne Sicherheitsverlust im Internet speichern. Die meisten Passwortmanager machen das ohnehin automatisch und speichern den Tresor auf einem zentralen Server. Durch die zentrale Speicherung stehen Ihnen Ihre Log-in-daten auch auf Handys und Tablets sowie weiteren PCS zur Verfügung.
Wer seinen Tresor trotz Verschlüsselung nicht im Internet speichern möchte, muss ein Offline-tool einsetzen. Bei diesem können Sie die Tresordatei ausschließlich auf Ihrem PC oder Smartphone verwalten. Das geht etwa bei dem Open-source-tool Keepass oder beim Programm Dashlane.
„Wer gute Sicherheit und hohen Komfort möchte, kommt um einen Passwortmanager nicht herum.“
Registrieren und Software starten: Bei den meisten Passwortmanagern gehören die ersten beiden Schritte zusammen. Sie melden sich bei einem Passwortmanagerdienst an, und Sie installieren die Passwortmanager-software auf dem PC. Da alle erwähnten Dienste auch eine kostenlose Nutzung erlauben, können Sie den Dienst erst testen, bevor Sie zahlen.
Bei einigen Tools gibt es zusätzlich zum Passwortmanager-programm noch eine Browser-erweiterung. Bei anderen Passwortmanagern ist die Browser-erweiterung alles, was Sie installieren müssen. Außerdem benötigen Sie für Ihre Mobilgeräte die App des Passwortmanager-herstellers, damit Sie auch dort an Ihre Passwörter kommen. Schützen Sie den Zugang zur Passwortmanager-app
unbedingt per Masterpasswort des Passwortmanagers oder über den biometrischen Zugangsschutz. Konfigurieren: Die Grundeinstellungen der Tools können Sie in zwei Punkten verbessern. Aktivieren Sie erstens die Zweifaktor-authentifizierung für Ihren Passworttresor, und legen Sie zweitens einen Notfallkontakt fest oder konfigurieren Sie die Wiederherstellungsoption. Zwei-faktor-authentifizierung: Ihre Login-daten sind ein kostbares Gut, das Sie zuverlässig schützen sollten. Deshalb empfehlen wir für Ihren Passwortmanager eine Zwei-faktor-authentifizierung (2FA) einzuschalten. Dadurch lässt sich der Datentresor nur dann öffnen, wenn Sie zusätzlich zum Masterpasswort einen zweiten Code
senden können, etwa aus einer Authenticator-app heraus oder per Sicherheits-usbschlüssel. Wenn Sie mit dem Konzept von 2FA noch nicht vertraut sind, hilft der Ratgeber unter www.pcwelt.de/1935646. Sie müssen den zweiten Code allerdings nicht jedes Mal eingeben. Sie können festlegen, dass der zweite Code nur bei einer Anmeldung mit einem neuen Gerät fällig wird. Notfallkontakt oder Wiederherstellungsoption: Alle guten Passwortmanagerdienste setzen das Zero-knowledge-prinzip ein. Das bedeutet, dass die Dienste weder Ihr Masterpasswort kennen noch einen Zweitschlüssel zu Ihrem Tresor besitzen. Das hat allerdings zur Folge, dass ein vergessenes Masterpasswort Ihren Tresor für immer unzugänglich macht.
Damit aber die vergesslichen Nutzer nicht hilflos im Regen stehen, gibt es zwei Auswege: Wer eine Notfallkontaktperson in den Einstellungen des Passwortmanagers angegeben hat, kann diesen Menschen bitten, sich einzuloggen und die Passwörter zu retten. Natürlich müssen Sie diesem Notfallkontakt vertrauen, denn er hat Zugriff auf Ihre Log-in-daten. Außerdem muss auch er ein Konto bei dem Passwortmanagerdienst
anlegen. Unter Umständen sind dann schon zwei Bezahlzugänge nötig.
Der zweite Ausweg sind Wiederherstellungsoptionen, die manche Hersteller bieten. Je zuverlässiger diese funktionieren, desto schlechter ist der Tresor geschützt. So erstellt etwa Keeper einen Zweitschlüssel zu Ihrem Tresor, den Sie nutzen können, wenn Sie die Antwort auf eine selbst gewählte Sicherheitsfrage wissen. Die Antworten
auf solche Fragen, etwa „Name des ersten Haustiers“, lassen sich aber oft auch von Angreifern recherchieren.
Am besten gefällt uns das System von Lastpass. Der Passwortmanager erstellt einen Zweitschlüssel nur auf Ihrem PC. Dieser kann nur genutzt werden, wenn Sie einen Code von Lastpass auf eine Handynummer erhalten, die Sie beim Hersteller hinterlegt haben. Das geht über www.lastpass.com und „Kontoeinstellungen –› Allgemein –› Smskontowiederherstellung“.
Daten importieren: Wenn Sie bisher noch keinen Passwortmanager benutzt haben, dann füllen Sie den neuen Tresor nach und nach mit jedem Log-in in einen Onlinedienst. Denn das Browser-plug-in des Passwortmanagers speichert diese dann in Ihrem Tresor. So müssen Sie jeden Log-in nur noch einmal per Hand eingeben, danach übernimmt das Ausfüllen der Passwortmanager. Wenn Sie bereits einen Passwortmanager benutzen, etwa den Ihres Browsers, können Sie die dort gespeicherten Passwörter in das neue Tool importieren. Infos zur Importfunktion bieten die Passwortmanager in ihren Hilfen.
Probleme mit Passwortmanagern
Die meiste Zeit laufen die getesteten Passwortmanager ohne Probleme. Wenn es Schwierigkeiten gibt, dann geht es meist um das Ausfüllen von Benutzernamen und Passwort in Websites und Apps. Die Passwortmanager erkennen aus oft nicht ersichtlichen Gründen die Formularfelder einiger Sites nicht und bleiben deshalb passiv. Am PC lässt sich das Problem einfach beheben. Klicken Sie auf das Browser-plugin des Passwortmanagers und stoßen Sie das Ausfüllen über einen Menübefehl an. Klappt auch das nicht, suchen und kopieren Sie die Log-in-daten manuell aus dem Passwortmanager in die Formularfelder.
Unter Android gibt es je nach Android-version und gewählter Ausfüllmethode häufiger mal Probleme beim Erkennen von Login-feldern. Auch hier hilft das manuelle Kopieren der Passwörter in die Apps, was allerdings systembedingt mühsamer ist als unter Windows.
Außerdem müssen Sie nun darauf achten, Ihren Passwortmanager immer dabei zu haben, wenn Sie sich auch von unterwegs aus in Online-dienste einloggen müssen. Die meisten Anwender lösen das Problem mit der Passwortmanager-app auf ihrem Smartphone. Nutzer von Keepass können das Programm und den Tresor aber auch auf einem Usb-stick mit sich führen. Wichtig: Wer einen Passwortmanager nutzt, sollte das jeweilige Gerät gut gegen fremde Zugriffe schützen. Ein Smartphone ohne Displaysperre, aber mit aktiviertem Passwortmanager ist ein Kardinalfehler. Preise: Grundsätzlich lassen sich alle erwähnten Bezahltools auch kostenlos verwenden. Die meisten sind in der Funktion dann allerdings so eingeschränkt, dass sich eine ernsthafte Nutzung nicht empfiehlt. Eine Ausnahme bildete zum Testzeitpunkt nur Lastpass Free. Bis auf den Notfallkontakt zu einer Vertrauensperson fehlen in der Version kaum wichtige Funktionen. Wer sich nicht für die Free-version oder das kostenlose Keepass entscheidet, muss einen Abopreis zahlen. Die vier empfehlenswertesten Tools stellen wir ab Seite 36 vor.
Die besten Tipps zu Keepass
Das sehr empfehlenswerte Open-sourcetool Keepass gibt es nur für Windows. Wer den Funktionsumfang von Keepass erweitern möchte, muss Plug-ins und Zusatzapps von anderen Programmierern nutzen (https://keepass.info/plugins.html). Die folgenden Erweiterungen und Apps für Keepass können wir empfehlen:
1. Browser-erweiterung installieren: Damit das Ausfüllen von Log-in-daten im Browser automatisch erfolgt, benötigen Sie eine Browser-erweiterung, die auf den Keepass-tresor zugreifen kann. Empfehlenswert ist dafür Keepass Tusk. Nach der Installation über Chrome oder Firefox klicken Sie auf das Tusk-symbol im Browser und wählen darüber den Speicherort Ihres Tresors aus. Die Erweiterung unterstützt dabei auch Cloudspeicher wie etwa Nextcloud oder Dropbox. Nach Eingabe Ihres Passworts stehen Ihnen alle Log-in-daten im Browser bereit.
2. Passworttresor in die Cloud speichern oder synchronisieren: Wenn Sie Ihre Login-daten
auch auf dem Smartphone oder einem zweiten PC nutzen möchten, können Sie den Keepass-tresor entweder auf die Geräte kopieren oder in die Cloud speichern. Beim einfachen Kopieren gibt es allerdings keinen Austausch von neu angelegten Log-in-daten. Empfehlenswert ist das Ablegen der Tresordatei in einen Cloudspeicher. Dann können Sie sowohl unter Windows also auch unter Android und IOS darauf zugreifen.
3. Keepass auf dem Smartphone nutzen: Unter Android empfiehlt sich die App Keepass 2 Android. Mit der App können Sie Ihren Keepass-passworttresor öffnen, den Sie zuvor etwa in Ihrem Dropbox- oder Google-drive-speicher abgelegt haben. Wer ein ios-gerät nutzt, kann für denselben Zweck die App Keepassium Free einsetzen.