Passwort Manager

Heutzutage gibt es kaum eine Website, die von den Nutzern nicht ein Kundenkonto verlangt, damit man sich alle Inhalte anschauen kann. Ein neuer Store zum Online-Einkauf bedeutet auch ein neues Konto und so stehen die Nutzer jedes Mal vor der gleichen Frage: Mit welchem Passwort soll man sein Online-Konto absichern? Wenn es nicht immer das gleiche Passwort sein soll, hilft ein Passwort Manager, um die Zugangsdaten sicher zu verwalten.

Die Qual der Wahl

Die Wahl eines Passworts für ein Online-Konto ist für Nutzer oft schwierig. Viele verwenden gerne das gleiche Passwort, das sich dann beispielsweise aus dem Geburtstag der Kinder oder dem Hochzeitstag ergibt. Auf diese Weise müssen sie sich nur ein einziges Passwort merken, um auf alle Online-Konten Zugriff zu haben.

Wenn allerdings ein Unbefugter, wie zum Beispiel ein Hacker, an das ausgewählte Passwort gelangt, erhält er damit einen Schlüssel, den er für jedes der Konten eines Nutzers verwenden kann. Er kann dann ungestört einkaufen, die persönlichen Daten kopieren oder sie auch verändern, sodass die Nutzer gar keinen Zugriff mehr auf das Konto haben. Ist es erst einmal so weit gekommen, wird es für die Nutzer sehr schwer, das gehackte Konto wieder zurück zu erhalten oder es zu löschen.

Die Vorgehensweise der Hacker

Damit Hacker in den Besitz der empfindlichen Passwörter kommen können, haben sie verschiedene Möglichkeiten. Eine für sie recht praktische Strategie ist der Angriff auf verschiedene Datenbanken. Nahezu jede Website, Cloud oder Social-Media-Plattform speichert die Passwörter der Nutzer mit ihren dazugehörigen Benutzernamen in eigenen Datenbanken, die auf Servern hinterlegt sind. Es sind im Prinzip riesige Tabellen, bei denen die Daten eines Nutzers genaustens aufgeschrieben sind. Durch bestimmte Schadsoftware können Hacker sich nicht nur Zugriff zu den Servern verschaffen, sondern auch die Listen mit den Passwörtern aufspüren. Mit diesen Daten haben sie Zugriff auf hunderte Konten und können damit allerlei Schaden anrichten.

Wenn die Hacker nicht an die Datenbanken selbst herankommen oder wenn die Passwörter separat von den Benutzernamen gespeichert werden, gibt es eine andere Vorgehensweise. Dazu nutzen die Hacker die Login-Funktionen, um dort Passwörter auszulesen. Sie benutzen bestimmte Programme, die verschiedene Kombinationen ausprobieren, bis sie die richtige Verbindung zwischen einem Namen und dem entsprechenden Passwort gefunden haben. Dabei gehen die Programme so vor, dass sie die kürzesten Wörter ausprobieren und sich zu den längeren Wörtern hocharbeiten.

Der Vorgang nimmt viel Zeit in Anspruch. Aber wenn die Benutzer Wörter verwenden, wie sie in Wörterbüchern vorkommen, kann so ein Programm die richtige Kombination irgendwann auch finden. Verwenden Nutzer immer das gleiche Passwort, haben die Hacker mit einem erfolgreichen Angriff auf ein Konto möglicherweise Zugriff auf eine ganze Reihe Online-Konten, ohne dass die Nutzer es verhindern können.

Damit es gar nicht erst dazu kommen kann, raten Verbraucherschützer dazu, sich für jedes Online-Konto ein eigenes Passwort zu suchen und dieses auch durch die Wahl aus Buchstaben, Zahlen und Sonderzeichen komplex zu gestalten. Dadurch wird es auch Hackern erschwert, die Zugangsdaten abzugreifen. Im Umkehrschluss muss man sich aber auch einen ganzen Berg an Passwörtern merken und kann sehr schnell durcheinanderkommen.

Gedächtnisstütze

Damit man als Nutzer die Übersicht über seine eigenen Passwörter behält und sich trotzdem für jedes Konto neue Zugangsdaten zulegen kann, hilft ein sogenannter Passwort Manager. Dabei handelt es sich um ein Programm, das die eingetragenen Passwörter speichert und sie automatisch zum Abruf anbietet, wenn die Nutzer bei verschiedenen Portalen aufgefordert werden, sich anzumelden.

Das Programm funktioniert wie eine Datenbank, in der Nutzer ihre bestehenden Konten mit den entsprechenden Passwörtern bequem eintragen können. Die Liste der Zugangsdaten wird dann – je nach Programm – lokal auf dem Computer oder auf einem Cloud-Server gespeichert und ist selbst so verschlüsselt, dass sie ohne den Passwort Manager nicht abgerufen werden kann.

Um es Hackern zusätzlich zu erschweren, sich Zugriff zu den wichtigen Daten zu verschaffen, reicht es nicht, wenn sie sich nur das Programm starten. Jeder Passwort Manager ist nämlich selbst durch ein Passwort abgesichert, dass nur die Benutzer kennen und das nicht gespeichert wird. Man spricht auch vom sogenannten “Master-Passwort”, mit dem sich der Passwort Manager starten lässt. Nur, wer das Master-Passwort kennt, kann auf die gespeicherten Kontodaten zugreifen. Alle anderen werden von dem Programm wieder vor die Tür gesetzt.

Komfort-Funktionen

Die Ersteinrichtung eines Passwort Managers kann ein wenig dauern, weil man als Nutzer alle bestehenden Konten mit ihren jeweiligen Nutzernamen und Passwörtern manuell hinzufügen muss. Wenn dieser Schritt allerdings erledigt ist, übernimmt die Software im Hintergrund den Rest der Arbeit.

Wenn die Nutzer zum Beispiel eine Website öffnen, bei der sie ein Benutzerkonto haben, durchsucht der Passwort Manager automatisch seine Datenbank und trägt die relevanten Daten zu der Website direkt in das Login-Formular ein. Die Nutzer müssen dann lediglich auf den Button zum Anmelden klicken und gelangen zu ihrem gewohnten Konto.

Legt man sich dagegen ein neues Benutzerkonto zu, wird der im Hintergrund laufende Passwort Manager selbst aktiv und speichert nach dem Abschluss der Anmeldung die Zugangsdaten automatisch in seiner Datenbank ab. Man muss als Nutzer also nicht jedes neue Konto selber in der Datenbank des Programms eintragen, sondern lediglich bestätigen, dass die Zugangsdaten gespeichert werden dürfen.

Eine andere Funktion, über die die meisten Passwort Manager verfügen, ist ein sogenannter Passwort-Generator. Sobald ein Nutzer sich einen neuen Account zulegen möchten, können sie den Generator nutzen, um sich ein zufällig erstelltes Passwort empfehlen zu lassen. Die Software sucht hierfür komplizierte Verbindungen aus Buchstaben, Sonderzeichen, Zahlen und verschiedenen Schreibweisen heraus, die nahezu unmöglich zu knacken sind.

Einige Passwort Manager sind auch so ausgelegt, dass sie überprüfen, wie alt eingetragene Passwörter sind. Wenn die Software feststellt, dass ein Passwort längere Zeit nicht geändert wurde, bekommt der Nutzer eine Benachrichtigung und kann sich bei Bedarf für ein Konto ein neues Passwort einrichten.

Zusatz-Absicherungen

Passwort Manager müssen sich nicht zwangsläufig nur um die Passwörter für Online-Konten kümmern. Weil die Programme einen hohen Sicherheitsstandard besitzen, eignen sie sich auch, um beispielsweise Adressdaten oder Bankverbindungen abzuspeichern. Das erleichtert Nutzern, die häufiger online auf verschiedenen Portalen einkaufen, den Schritt der Zahlungsabwicklung deutlich.

Auch das Hinterlegen von Dokumenten wie dem Personalausweis, einem Reisepass oder der Krankenkassenkarte ist bei einigen Programmen möglich. Wenn die Nutzer dann unterwegs sind, brauchen sie die jeweiligen Dokumente nicht extra mitnehmen. Es reicht, wenn sie die App des Passwort Managers auf dem Tablet oder dem Smartphone dabeihaben, um sich auszuweisen.

Damit man direkt erkennen kann, wie sicher die selbst ausgewählten Passwörter überhaupt sind, bieten einige Programme außerdem die Möglichkeit, die Passwörter zu bewerten. Hierbei werden die eingetragenen Daten analysiert und nach verschiedenen Kriterien eingestuft:

  • Länge des Passworts
  • Lesbarkeit bzw. Zusammenhänge
  • Kombination aus Buchstaben, Zahlen und Sonderzeichen
  • Alter des Passworts
  • Mehrfache Verwendung

Die Nutzer erhalten für jedes Passwort dann eine einfache Bewertung, die auch sichtbar erkennen lässt, wie sicher ein Passwort überhaupt ist. Bei grün markierten Passwörtern ist alles in Ordnung. Daten mit einer gelben Markierung bieten zwar Schutz, haben aber ihre Schwächen und sollten idealerweise ausgetauscht werden. Rot markierte Passwörter erkennt ein Passwort Manager dagegen als sehr unsicher an, sodass die Nutzer gerade diese Login-Daten so schnell wie möglich austauschen sollten.

Datenimportierung

Für Nutzer, die bereits einmal einen Passwort Manager verwendet haben, bieten die meisten Programme der gleichen Art einen Service zum Exportieren und Importieren von eingetragenen Kontodaten. Das hat den Vorteil, dass man nur einmal seine sämtlichen Benutzernamen und die dazugehörigen Kennwörter per Hand eintragen muss. Vor einer Neuinstallation der Software oder beim Umzug auf ein neues Gerät muss man dann lediglich die Datenbank einmal exportieren.

Alle Einträge werden in einer verschlüsselten Datei gespeichert, die nur von anderen Passwort Managern ausgelesen werden kann. Öffnet man die Datei dann mit einem neuen Programm, werden alle Einträge automatisch eingerichtet, was je nach Anzahl der verschiedenen Konten und Passwörter viel Zeit einsparen kann.

Mobile Nutzung

Immer mehr Nutzer greifen auf Online-Inhalte nicht nur mit dem eigenen Computer, sondern auch mit dem Tablet oder dem Smartphone zu. Entsprechend müssen sich Passwort Manager an den aktuellen Trend anpassen. Diverse Entwickler bieten neben ihrer PC-Suite auch Passwort-Manager als App-Variante für die verschiedenen Betriebssysteme an. Im Prinzip funktionieren die Apps genauso wie die PC-Versionen. Allerdings sind sie in der Handhabung an die kleineren Bildschirme angepasst, um eine einfache Navigation zu ermöglichen.

Eine große Änderung besteht allerdings darin, dass die Apps bestimmte Zugriffsrechte benötigen, damit sie die Passwörter beim Surfen auch automatisch in die Login-Formulare eintragen. Die nötigen Änderungen können Nutzer aber bequem in den Einstellungen ihrer Mobilgeräte vornehmen, um auch mit Smartphone und Tablet die Passwörter sichern zu können.

Doppelte Absicherung

Auch wenn Passwort Manager generell sehr hohe Sicherheitsstandards verwenden, um die Passwörter der Nutzer abzusichern, entwickeln Hacker immer neue Möglichkeiten, um an die begehrten Dateien zu kommen. Manche Hersteller der Sicherheitsprogramme sind deshalb dazu übergegangen, die Passwort-Datenbank zusätzlich abzusichern. Hierfür bieten die Programme eine sogenannte Zwei-Stufen-Authentifizierung an.

Bei diesem System müssen die Nutzer sich in mehreren Schritten beim Passwort Manager anmelden, bevor sie Zugriff auf die Kontodaten und die gespeicherten Passwörter erhalten. Im ersten Schritt geben die Nutzer wie gewohnt den eingestellten Benutzernahmen und das selbstgewählte Passwort aus. Anschließend müssen sie sich in einem zweiten Schritt mit einem Passwort anmelden, dass über ein Zusatzprogramm generiert wird und dann auch nur für wenige Minuten gültig ist. Alternativ bieten manche Programme an, dass sich Nutzer im zweiten Schritt mit einem eingespeicherten Fingerabdruck ausweisen können.

Durch die Absicherung mit zwei unterschiedlichen Passwort-Formen werden Passwort Manager noch sicher und machen es Unbefugten nahezu unmöglich, die sensiblen Daten abzugreifen.