Wer seine persönlichen Daten im Internet sichern will, dem empfehlen Datenschützer gerne, für jeden Dienst ein eigenes Passwort zu benutzen. Dieses sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen und mindestens acht Zeichen lang sein.
"Wer sich mithilfe eines Merksatzes ein sicheres Passwort erschaffen hat, kann seine Daten damit sehr gut schützen", betont Florian Glatzner, Referent im Team Digitales und Medien beim Verbraucherzentrale Bundesverband. Denn individuelle Merksätze, die mindestens eine Zahl und ein Sonderzeichen enthalten und von denen man nur den ersten Buchstaben jedes Wortes verwendet, gelten als nahezu unknackbar. So wird beispielsweise aus dem Satz "Ich bin am 15. September in Köln am Rhein geboren" das Passwort "Iba15.$iK@Rg".
Weil viele Menschen aber mehrere E-Mail-Adressen besitzen, diverse soziale Netzwerke nutzen, im Netz shoppen und eventuell noch Mitglied auf Spiele-Plattformen oder in Foren sind, kommen schnell 20 oder mehr Passwörter zusammen. Wie soll man sich die alle merken? Sogenannte Passwort-Manager versprechen hier eine sichere Lösung.
Verschlüsselte Daten
Die Programme speichern die Passwörter mit der Zuordnung zum jeweiligen Dienst in einer verschlüsselten Datei ab. Auf diese kann man mit einem Master-Kennwort zugreifen. Somit muss man sich nur ein Passwort merken, hat aber dennoch unterschiedliche Zugänge zu verschiedenen Online-Diensten. Je nach Anbieter wird die verschlüsselte Datei anschließend lokal auf dem Computer oder dem Handy abgelegt oder, um die Synchronisierung zu erleichtern, in der Cloud gespeichert. Da die meisten Passwort-Manager einen Schutzmechanismus gegen Hacker-Methoden, wie Brute-Force-Angriffe, integriert haben, ist es besonders schwer, die verschlüsselte Datei zu knacken.
"Eine 100-prozentige Sicherheit kann es nicht geben", betont Glatzner. "Grundsätzlich können Passwort-Manager aber sehr sinnvoll sein. Wir beim Verbraucherzentrale Bundesverband haben daher ein paar grundsätzliche Kriterien für einen guten Passwort-Manager aufgestellt." So sollte das Programm auf möglichst vielen Geräten und Systemen funktionieren. "Denn was nützt mir ein Passwort-Manager, der nur auf dem PC funktioniert, aber nicht auf dem Android-Handy oder dem iPhone?"
Außerdem sei es sinnvoll, wenn das Programm die Passwort-Datei wahlweise nur lokal oder auch in der Cloud abspeichert, so der Datenschützer. Auf diese Weise lasse sich die Nutzung nach den eigenen Bedürfnissen gestalten. "Zu guter Letzt ist es immer gut, wenn eine Software auf dem Open-Source-Konzept basiert", erklärt Glatzner. "Dann kann die Programmierung jederzeit kontrolliert werden und das Manipulieren durch Hacker oder Schadsoftware ist somit deutlich erschwert."
Diese Kriterien erfüllt beispielsweise das Programm "KeePass". Es ist bei Nutzern und Datenschützern äußerst beliebt, da es kostenlos für PC, Mac, Linux, Android, iPhone, Blackberry und WindowsPhone erhältlich ist. Zusätzlich zur Speicherung lassen sich mit "KeePass" auch sichere Kennwörter generieren. Das AddOn "LastPass" erlaubt die Integrierung eines Passwort-Managers in Firefox, Google Chrome oder den Internet Explorer. Die Basis-Version ist kostenlos und erlaubt neben dem verschlüsselten Abspeichern von Kennwörtern auch das Einrichten persönlicher Profile zum vereinfachten Ausfüllen von Web-Formularen.
Kostenpflichtige Programme, die zum Teil noch weitere Funktionen bieten, gibt es etwa von Avira, McAfee oder Kaspersky. Diese sind für ihre Anti-Viren-Programme bekannt. Ein weiterer beliebter und umfangreicher Manager ist "1Password". Neben einer Kennwort-Generierung bietet das Programm auch eine automatische Anmeldung auf bestimmten Webseiten an, die sich individuell freischalten lassen. Nach einer Probezeit von einem Monat wird "1Password" kostenpflichtig.
Diese Sicherheitsstufen gibt es
"Egal, ob kostenfrei oder kostenpflichtig: Ein Passwort-Manager ist immer nur so sicher wie sein Besitzer", macht Florian Glatzner deutlich. Drei Dinge sollten Nutzer von Passwort-Managern deshalb bedenken: "Erstens muss das Master-Passwort wirklich gut sein. Zweitens sollte man die Datei nicht in einem Café oder in der Uni mit freiem Wlan entschlüsseln. Und drittens sollte man sich gut überlegen, ob und welche Daten man in die Cloud hochladen will."
Generell kann man bei der Nutzung von Passwort-Managern von vier Sicherheitsstufen sprechen.
Stufe 1: Irgendein Passwort-Manager
Mehrere Passwörter für verschiedene Dienste, die in einem beliebigen Passwort-Manager abgespeichert werden, sind in jedem Fall sicherer, als ein einziges Passwort für alles zu benutzen. Insbesondere wenn dieses eine zu den am häufigsten verwendeten Passwörtern gehört.
Stufe 2: Passwort-Manager, der verschlüsselt in der Cloud lagert
Deutlich sicherer ist es, sich einen Passwort-Manager auszuwählen, der die Passwort-Datei lokal sicher verschlüsselt und diese weder beim Hoch- und Runterladen noch in der Cloud automatisch entschlüsselt. Das ist nicht selbstverständlich. Manche Cloud-Anbieter speichern eine Klartext-Datei der angelegten Passwörter auf ihren Servern. Werden diese gehackt, sind die Passwörter - hübsch gesammelt - verloren.
Stufe 3: Passwort-Manager, der verschlüsselt lokal lagert
Besonders sicher ist ein Passwort-Manager, den man nur lokal benutzt. Gute Software ermöglicht es, die verschlüsselte Passwort-Datei auf mehrere Geräte zu übertragen. Auf diese Weise hat man die Passwörter immer griffbereit und gleichzeitig mehrere Sicherheitskopien erstellt. Das ist ohne Sicherung in der Cloud besonders wichtig, falls der PC mal abstürzt und sich nicht mehr reparieren lässt.
Stufe 4: Passwort-Manager, der nur manches verschlüsselt lokal lagert
Am sichersten ist es, den lokalen Passwort-Manager nur für manche Passwörter zu benutzen. Gerade das Kennwort für's Online-Banking oder für die Mail-Adressen sind sehr sensibel, da deren Missbrauch besonders großen Schaden anrichten kann. Wer also auf Nummer Sehr-Sicher gehen will, merkt sich diese Passwörter am besten nach wie vor im Kopf und speichert nur den Rest im Passwort-Manager.
