Sicherheit: Worauf man beim Passwort-Manager achten sollte

Eine ganze Reihe von Produkten will dem Gedächtnis auf die Sprünge helfen: von gratis bis teuer, von der einfachen Datenbank bis zum komplexen Manager mehrerer Identitäten. "Welche Lösung sinnvoll ist, hängt von den eigenen Bedürfnissen ab", sagt die Datenschützerin Marit Hansen, die sich am Unabhängigen Landesdatenschutzzentrum
(ULD) Schleswig-Holstein mit Identitätsmanagement befasst. Kostenlose Produkte seien nicht unbedingt schlechter. Sie empfiehlt, sich vor der Installation mit Tests in Zeitschriften oder im Internet schlauzumachen.

Einige Programme laufen ausschließlich auf dem lokalen Rechner. Andere gibt es als Version für den USB-Stick, so dass Nutzer die Zugangsdaten in der Hosentasche mitnehmen können, etwa ins Büro. Wenn die Software mehrere Identitäten managen kann, erleichtert sie die Trennung von Job und Privatleben. Und mancher Passwort-Manager dient nicht nur als Safe, sondern hilft zusätzlich bei der Erstellung komplizierter und somit sicherer Passwörter.

Lösungen für den Browser

Eine naheliegende Lösung sind die Gedächtnisstützen der Browser - allein schon, weil sie immer fragen, ob sie die eingetippten Daten speichern sollen. Firefox, Internet Explorer, Chrome, Safari und Opera haben einen Passwort-Manager an Bord. Dieser Komfort birgt aber Risiken. "Es ist nicht Standard, dass der Nutzer ein Master-Passwort setzt", sagt Ruben Wolf vom Fraunhofer-Institut SIT in Darmstadt. Wer Zugang zum Rechner hat, kommt so auch in die Mails oder den Facebook-Account. Gerade beim beliebten Firefox ist das Master-Passwort wichtig: Ohne dieses speichert der Browser die Daten unverschlüsselt.

Einige Anbieter legen die Schlüssel zum digitalen Leben in der "Cloud" ab, also auf ihren Servern. Das ist sehr komfortabel, weil von jedem Internetrechner aus erreichbar. Datenschützer haben aber Sicherheitsbedenken: In jüngster Zeit habe sich gezeigt, dass viele Cloud-Dienste noch nicht ausreichend gegen Angreifer gesichert seien, warnt Marit Hansen. Negativ-Schlagzeilen machte etwa der bekannte Dienst LastPass. Die Datenschützerin rät daher: "Passwörter sollte man im eigenen Sicherheitsbereich speichern" - nicht in der Wolke.

Passwort sollte mindestens acht, besser zwölf Zeichen lang sein

Welches Verfahren auch immer zum Einsatz kommt: Wichtig ist die Verschlüsselung. Es müsse ein aktuelles Verfahren zum Einsatz kommen, rät Fraunhofer-Experte Wolf. Weit verbreitet seien etwa AES 128 oder AES 256. Beide ermöglichen theoretisch so viele verschiedene Schlüsselkombinationen, dass ein Angreifer Jahre bräuchte, um sie mit schierer Rechengewalt durchzuprobieren - Experten bezeichnen dieses verbreitete Vorgehen als "Brute Force"-Angriff.

Alle Verschlüsselung bringt nichts, wenn Diebe den Zugangscode erraten oder mit Prozessor-Power errechnen können. Wer die Schlüssel zu seinem gesamten digitalen Leben an einem Ort speichert, muss sich daher unbedingt ein sicheres Passwort ausdenken. Dafür gibt es einige Faustregeln: mindestens acht, besser noch zwölf Zeichen lang, mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Tabu sind gängige Wörter. Denn Hacker lassen ihre Programme bekannte Begriffe durchprobieren - man spricht von Wörterbuch-Angriffen. Selbst eine komplexe Kombination dürfte dem Nutzer aber keine Probleme bereiten: "Wir verwenden das Master-Passwort ja oft und können es uns daher merken", sagt Wolf.

"MobileSitter" des Fraunhofer-Instituts

Eine Schwäche haben die allermeisten Manager: Sie zeigen einem Angreifer, wenn er mit einem Master-Passwort falsch liegt, weil sie ihm dann den Zugang zu den geheimen Daten verweigern. So kann er seine Angriffssoftware andere Kombinationen ausprobieren lassen. An dieser Stelle setzt das Fraunhofer-Institut SIT in Darmstadt mit dem "MobileSitter" für Handys an. "Bei unserem Verfahren kommt man mit jedem beliebigen Master-Passwort rein und findet auch Passwörter", erklärt der Informatiker Ruben Wolf. "Man weiß aber nicht, ob es die echten oder falsche Passwörter sind."

Was für einen Effekt das hat, macht Wolf mit einem Vergleich deutlich: "Der Angreifer kommt mit jedem beliebigen Master-Passwort in den Tresor und sieht darin Juwelen liegen, aber er weiß nicht, ob es die echten oder gefälschte sind." Brute-Force- und Wörterbuch-Attacken liefen so ins Leere.

Welches System auch immer helfen soll, das Passwort-Chaos in den Griff zu bekommen: Datenschützerin Hansen rät zu einer Grundvorsicht. Nutzer sollten Fachmedien im Blick behalten, um auf Sicherheitspannen oder Updates aufmerksam zu werden. Und sie empfiehlt, ein Backup der verschlüsselten Passwörter-Datei des Passwort-Managers auf einem externen Medium wie einem USB-Stick zu machen und an einem sicheren Ort zu deponieren. "Dadurch, dass man sich auf den Passwort-Manager verlässt, begibt man sich in eine Abhängigkeit."

Die meisten setzen aufs Gedächtnis

15 bis 20 Passwörter und Zahlencodes müssen sich Nutzer im Schnitt merken, schätzte der IT-Branchenverband Bitkom im Jahr 2007 - heute dürften es noch mehr sein. Auf Hilfsmittel verzichten die meisten aber, wie der Verband 2010 bei einer Umfrage herausfand: 74 Prozent lernen demnach die Zugangsdaten auswendig, 16 Prozent notieren sie auf einem Blatt Papier, das irgendwo zu Hause liegt. Je 6 Prozent schreiben ihre Passwörter ins Adressbuch oder auf einen Zettel, der im Portemonnaie immer dabei ist. Das Meinungsforschungsinstitut Forsa hatte im Auftrag des Bitkom 1000 Bürger befragt.