Einfaches Passwortmanagement
Datenschutz und Sicherheit stehen bei vielen Verbraucherinnen und Verbrauchern im Vordergrund. Einfache Handhabung von Passwörtern ist mit Passwort-Managern durchführbar.
Die Handhabung von Passwörtern ist nicht immer leicht. Insbesondere, da für jede Anwendung im Idealfall ein starkes und einzigartiges Passwort verwendet werden sollte, führt dies zu Problemen bei der täglichen Nutzung, um mit der Vielzahl von Passwörtern in geeigneter Form umzugehen. Im Alltag ist die gesicherte Passworthandhabung deswegen oft unübersichtlich.
Vor diesem Hintergrund stellen ganz besonders hilfreiche Schutz- und Hilfsprogramme, also sowohl zur Generierung und zur Speicherung von Passwörtern mit hoher Güte, sogenannte Passwort-Manager dar. Insbesondere zur Verbesserung der komfortablen Datensicherheit tragen Passwort-Manager auf bequeme Art und Weise bei. Diese lösen eine ganze Reihe von Problemen und sind üblicherweise gleichzeitig auch komfortabel zu bedienen.
Welche Probleme beim Passwort-Management sind relevant?
Besonders starke und zufällig ausgewählte Passwörter sind leider in den meisten Fällen für Menschen schwer zu merken. Infolgedessen sind Passwörter entweder für mehrere Anwendungen (oder Systeme) im Einsatz oder aber leider auch auf Papier notiert, bzw. in unverschlüsselten Dateien abgelegt. Wird also ein Passwort – etwa durch einen bösartigen Angreifer beispielsweise von einer unzureichend geschützten Plattform – gestohlen, dann ist die Wahrscheinlichkeit sehr hoch, dass auch die anderen Anwendungsfälle – also die Plattformen für die das gleiche Passwort eingesetzt wird – kompromittiert sind.
Immer mehr unterschiedliche Passwörter sind also für immer mehr Applikationen notwendig. Gleichzeitig wird oft befürchtet, dass Sicherheit auf Kosten des Komforts geht. Bei Passwort-Managern ist das jedoch anders. Daher sind gute Passwort-Manager für eine leichte Handhabung von Passwörtern unabdingbar.
Das bedeutet, um die ausgewählten – starken – Passwörter für die jeweilige Anwendung bzw. Internet-Plattform nicht zu vergessen, ist die "geeignete" Generierung bzw. Passwort-Auswahl sowie deren Speicherung essenziell. Eine ausreichende Länge eines Passworts wird oftmals empfohlen. Doch je länger ein Passwort ist, umso unkomfortabler wird normalerweise die Handhabung (z.B.: eintippen auf einem Smartphone). Zusammengefasst sind wesentliche Eigenschaften eines zu erzeugenden - guten - Passworts:
Wie sieht eine gute Erzeugung von Passwörtern aus?
Jedes Passwort – und sei der Anwendungsfall auf den ersten Blick nicht sonderlich kritisch – sollte zumindest die folgenden Top 3 Kriterien für die Generierung erfüllen:
- Zufälliges Passwort. Zufällige und nicht zu erratende Aneinanderreihung von verschiedenen Symbolen
- 1 Passwort für 1 Anwendungsfall. Nur 1-malig verwenden d.h.: Passwörter nicht für mehrere Anwendungen wiederverwenden
- Große Passwort-Länge. Ausreichende Passwort-Länge und im Idealfall das Maximum ausschöpfen, wobei länger generell besser ist (das Maximum könnte bei einem WPA2 geschützten WLAN eines Routers beispielsweise bei 63 Zeichen liegen)
Darüber hinaus gehende Orientierung zur Sicherheit von Passwörtern sind im Bereich Konten & Passwörter sowie im Österreichischen Informationssicherheitshandbuch zu finden.
Aber selbst wenn Sie besonders starke Passwörter verwenden, dann erhöht sich das Risiko mit jeder Wiederverwendung desselben Passworts. Demzufolge ist eine gesicherte Speicherung und eine passende Verwaltung der genützten Passwörter notwendig.
Auf welche Art ist es empfehlenswert Passwörter zu speichern?
Wegen der oftmals großen Anzahl verschiedener Passwörter wird es für Anwenderinnen und Anwender zunehmend schwerer, sich diese Passwörter zu merken. Auch werden – besonders beliebt sind dabei solche für kritische Anwendungen – Passwörter immer wieder vergessen. Das führt zu einem hohen Aufwand für das Passwortmanagement. Infolgedessen sollten Passwörter in verschlüsselten, digitalen Tresoren (sog. „Vaults“) gespeichert werden.
Ein sogenanntes „Master-Passwort“ (oder alternativ der Schutzmechanismus des Smartphones z.B.: Gesichtserkennung oder Fingerabdruck) erlaubt den Zugang zum jeweiligen Passwortmanager und den darin gespeicherten Passwort-Dateien nur für autorisierte Benutzerinnen und Benutzer.
Wie können Passwort-Manager – nun zusammengefasst – helfen?
Wenn Sie Ihre Passwörter in einem geschützten Passwort-Manager verwalten, dann kann niemand ohne das eingestellte Master-Passwort (oder Ihre im Smartphone gespeicherten, biometrischen Zugangsdaten) auf Ihre darin gespeicherten Daten – also die Passwörter für die Anwendungen – zugreifen. Auch ist eine Änderung eines Passworts einfach durchführbar und gleichzeitig sind damit starke Passwörter einfach in der Handhabung.
Was sind die Top 10, wie Passwort-Manager bei der einfachen Handhabung von Passwörtern helfen?
- Erzeugen ausreichend starker, zufälliger Passwörter
- Konsolidiertes Sammeln aller Passwörter
- Speichern der Passwörter in einem verschlüsselten Vault
- Einfache Handhabung komplexer Passwörter
- Leichtes Management einer Vielzahl von Passwörtern
- Vereinfachte Änderung von Passwörtern (inklusive speichern historisch verwendeter Passwörter)
- Zugang zum Passwort-File nur mit 1 zu merkenden „Master-Passwort“ oder durch das eingestellte Authentifizierungsverfahren des Smartphones (z.B.: Fingerabdruck, Gesichtserkennung)
- Verwaltung einer Vielzahl unterschiedlicher Passwort-Files (z.B.: privat, geschäftlich)
- Einheitlicher Zugang und Synchronisierung der Passwort-Files über verschiedene – autorisierte – Endgeräte (z.B.: PC/Mac, Smartphone, Tablet) bzw. Plattformen (z.B.: Android, iOS, macOS, Windows)
- Vermeiden des Missbrauchs von Standardpasswörtern bei Endgeräten (z.B.: WLAN-Router)
Tipp: Verwenden Sie sog. verschlüsselte Container (z.B.: Veracrypt-Container), in denen Sie ihr – ebenfalls verschlüsseltes – Passwort-File übertragen bzw. synchronisieren. So erreichen Sie eine weitere – starke – Schutzschicht, wenn eine Übertragung (z.B.: auf ein Backup-Medium) nicht vermeidbar ist. Oft wird dabei AES mit einer Schlüssellänge von 256 bit verwendet. Das bedeutet, wenn Sie ihr verschlüsseltes Passwort-File (auch meistens mit AES 256) etwa aus Sicherheitsgründen nicht über einen cloud-basierten Dienst mit Ihren anderen Geräten synchronisieren bzw. übertragen, dann haben Sie die Möglichkeit das Passwortfile (auch oft als „Datenbank“ bezeichnet) vereinzelt nach Änderungen auf Ihre Geräte zu übertragen.
Leider wird der vermehrte Zwang zur Nutzung von Passwörtern oft als lästig empfunden. Darüber hinaus kommt es auch häufig vor, dass Passwörter nie gewechselt werden oder Passwörter „geteilt“ werden. Passwort-Manager helfen bei der Erhöhung des Sicherheitsniveaus und der Vereinfachung der Passwort-Handhabung. Gleichzeitig ist auch der Nutzungskomfort solcher Programme in den überwiegenden Fällen überzeugend.
Natürlich sollte trotz einfach zu verwendendem Passwort-Management keinesfalls auf die Regeln zum vergessen werden und auch der leichtfertige Umgang mit den Passwort-Files ist nicht anzuraten.
Weitere Informationen
- zur Artikel-Sammlung über Konten & Passwörter
- zum Artikel über Passwort-Auswahl
- zum Artikel über Passwort-Umgang
- zum Artikel über Passwort-Manager
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria