Eine Alternative zum Zettelwust
Passwort-Manager stellen einen modernen Umgang mit Zugangsdaten dar
Existierende Passwörter fügt man entweder hinzu, oder man pflegt sie während der Benutzung von Diensten ein, wie folgender Fall zeigt. Man kann zwar das Passwort auf klassische Weise aus dem Tresor kopieren und bei der Anmeldung einfügen, aber auch die Möglichkeit nutzen, einen PM in den Browser zu integrieren. Mit einer Erweiterung – einem Addon – lässt sich dann ein eingegebenes Passwort während der Nutzung jeder einzelnen Website in den PM einpflegen. Genauso schlägt das Programm bei Bedarf einen sicheren Code vor. Über ein solches Plugin ließe sich zudem eine Auswahl von Passwörtern und Benutzern anzeigen, sollte es mehrere Nutzer geben. In dieser Hinsicht kann man aber auch für jedes Benutzerkonto des Computers Passwörter getrennt für sich speichern.
Der Schlüssel zum Tresor
Um auf den PM zuzugreifen, braucht es bei jedem Zugriff ein Masterpasswort, das Mindestanforderungen unterliegt und auch den Inhalt verschlüsselt. Wassermann empfiehlt, es sich zum einen zu merken, aber auch auf einem Zettel an einem sicheren Ort zu verwahren. Das kann ein Tresor oder ein Bankschließfach sein. Auch einer Vertrauensperson könne man es anvertrauen. Selbst wenn jemand die Datenbank als solche abgreift, ist der Zugriff ohne das Kennwort nicht möglich. „Die Entschlüsselung dauert Jahrzehnte.“ Das bedeutet zeitgleich, dass auch Eigentümer ohne ihr Kennwort keinen Zugriff mehr haben.
Eine weitere Sicherheitsvorkehrung, die Wassermann empfiehlt, ist die anpassbare, automatische Beendung des Programms. Nach einer gesetzten Zeit, wenn das Programm nicht mehr benötigt wird, schließt das Programm automatisch. Das minimiert das Risiko eines Fremdzugriffs noch weiter – wenn dem Angreifer denn das Masterpasswort fehlt. Das Worst-Case-Szenario wäre also nur noch möglich, wenn der PM geöffnet ist und jemand genau in diesem Moment das Steuer übernimmt. Eine eher unwahrscheinliche Situation, aber dennoch Abwägungssache, wie Wassermann sagt. Und sollte der Grad der Verschlüsselung wählbar sein: „Möglichst hoch einstellen.“
Vorteile gegenüber Zetteln
Das Problem mit Zetteln ist, sie können schnell verloren gehen oder bei Hausbränden und Wasserschäden zerstört werden. Die Vorteile bei einem PM sind daher zum einen eine komfortable Bedienung sowie eine geordnete und sichere Sammlung aller hinterlegten Daten. Die Hilfe bei der Erstellung und das abschließende Speichern sicherer, unpersönlicher Kennwörter sollte man ebenfalls nicht unterschätzen: Viele nutzen aus Gründen des Komforts und der Nützlichkeit nur ein oder wenige Passwörter für alle Dienste, die nicht selten sehr einfach sind. Oft beziehen sie sich auf ein Geburtsdatum, den Namen des Haustiers oder Ähnliches. Über soziale Medien, wo ebenfalls oft viele persönliche Informationen preisgegeben werden, können diese schneller gehackt werden, als man vermuten würde. Und ist das Passwort erst gehackt, steht im schlimmsten Fall alles offen.
Hinterlegen kann man übrigens auch die Antworten auf Geheimfragen, etwa nach der ersten Schule. Hier bietet sich an, direkt eine unwahre Antwort zu wählen. Sollte jemand die erste eigene Schule über soziale Medien herausfinden, hat man im Vorfeld eine falsche Fährte gelegt.
Das bedeutet aber nicht, dass man bei PM keine Vorkehrungen treffen sollte. Da wären zum einen Backup-Dateien für eine umfassende Absicherung: am besten mehrfach über Geräte wie einen USB-Stick, die externe Festplatte und die Cloud erstellen. Hat man diese nicht und der PC geht kaputt, sind auch die Passwörter verloren. Eine zusätzliche Sicherheit bieten sogenannte Exporte, die die Passwörter in Form eines lesbaren und passwortgeschützten Dokuments bereitstellen.
Weitere Tipps von Wassermann: keine Bank- oder Kreditkartendaten im PM hinterlegen. Das ist zwar möglich, aber nicht unbedingt ratsam. „Ich würde mit solchen Daten sensibel umgehen.“ Aber das müsse letztlich jeder selbst entscheiden. Für derartige Datenverluste, betont er, hafte jeder selbst.
Vorsicht sei auch geboten, wenn es um die Cloud gehe. Speichere ein Programm die Daten dort, bestehe in manchen Situationen die Gefahr, den Zugriff zu verlieren. „Was passiert, wenn ich mal meine Rechnung nicht zahlen kann? Oder derjenige den Dienst einstellt?“ Wassermann empfiehlt, das Programm dahin zu überprüfen, ob es lokal funktioniert, also ohne Zugriff auf Cloud und Internet.
Bezahlt oder kostenfrei?
Wie so oft bleibt noch die Frage: kostenfreie oder Bezahlprogramme? Wassermann empfiehlt letzteres. Diese würden weiterentwickelt und seien daher meist sicherer. Aber es komme auch auf die eigenen Anforderungen an. Besonders Unternehmen sollten daher auf Testmöglichkeiten achten.
Das bekannte und kostenlose „Kee-Pass“ etwa sei die „ganz schnelle Lösung“: in Ordnung, aber wegen mangelnder Funktionen nichts Besonderes. Möglich sei hier nur das Ablegen von Passwörtern. Gut sei „Password Depot“, „1Password“ sei ein anderer, großer Dienst. Selbst Google habe einen eigenen PM, dem Wassermann aber wegen Googles Dasein als Datenkrake skeptisch gegenübersteht. „Ich finde unabhängige Dienste besser.“
Da bei diesem Thema Datenhoheit und Privatsphäre eine wichtige Rolle spielen, spricht Wassermann noch eine Warnung vor Diensten aus Gegenden wie den USA, Russland, China, den Arabischen Emiraten oder Nord- und Südafrika aus. So könnte es sein, dass etwa Geheimdienste in den USA gesetzlich über eine Hintertür Zugriff auf solche Programme hätten. Der cloud-basierte Dienst „Last-Pass“ etwa sei ein US-Unternehmen, „Password-Safe“ komme hingegen aus Deutschland. Thomas Langer
Volker Wassermann. Foto: privat Foto: privat
Passwort-Manager, hier „Password-Depot“, können auch sichere Passwörter generieren. Zeit zum Knacken in diesem Beispiel: 36 Billiarden Jahre. Foto: privat