Log-in-Daten sicher und individuell gestalten

Viele Browser wollen es den Nutzern leicht machen. Sie speichern auf Wunsch Benutzernamen und Passwörter für Internetseiten und -dienste ab. Grundsätzlich sei das kein Problem, sagt Ronald Eikenberg von der "c't". Allerdings dürfe man dann nicht vergessen, regelmäßig Updates zu installieren und den Virenschutz aktuell zu halten. "Wenn man da ein bisschen nachlässig ist, kann es passieren, dass sich ein Trojaner installiert und die Benutzerdaten abgreift", warnt der Experte.

Skeptisch sollte man sein, wenn Log-in-Daten nicht auf der Festplatte, sondern auf Servern abgelegt werden. "Das mag sicher sein, ist aber nicht wirklich zu überprüfen", sagt Linus Neumann vom Chaos Computer Club (CCC). "Die Verwaltung unterschiedlicher komplexer Passwörter durch den Browser ist aber immer noch deutlich sicherer, als wenn man immer das gleiche Passwort verwendet."

Passwörter einfach notieren

Ronald Eikenberg empfiehlt ganz grundsätzlich auch Papier und Stift. "Der einfachste Weg ist, sich die Passwörter ganz klassisch aufzuschreiben", sagt der Experte. "Da kann kein Trojaner drauf zugreifen." Den Zettel darf man dann natürlich nicht verlieren.

Und Nutzer können die Sicherheit weiter erhöhen: "Grundsätzlich gilt, dass ein Log-in-Token, also die Kombination aus User-Name und Passwort, umso schwerer zu erraten ist, je weniger Informationen über den Nutzer sie enthalten", sagt Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Idealerweise entspricht der Benutzername also nicht dem Klarnamen.

E-Mail-Passwort besonders sichern

Unabdingbar sind sichere Passwörter, insbesondere beim zentralen E-Mail-Konto. Denn bei fast jedem Internet-Dienst lässt sich das Passwort per E-Mail zurücksetzen, erklärt Neumann: "Der erste wichtige Schritt ist daher, das E-Mail-Passwort besonders lang und kompliziert zu machen und es an keiner anderen Stelle zu verwenden."

Mit sogenannten Single-Sign-on-Diensten versuchen inzwischen auch viele Internetkonzerne, das Jonglieren mit Benutzerdaten überflüssig zu machen. Ein Beispiel: Man kann sich etwa mit seinem Facebook-Account auch beim Mail-Provider, beim Streaming-Anbieter und vielen weiteren Diensten anmelden.

Experten raten zu Passwortspeichern

Doch Experten warnen: "Das Problem bei Single-Sign-on-Diensten ist, dass man diesen Diensten sowie dem dort verwendeten Passwort auch den Zugang zu den verknüpften Accounts ermöglicht - also das eigene Risiko erhöht", sagt etwa Neumann. "Ich sehe darin nur einen geringen Bequemlichkeitsvorteil für den Nutzer, aber ein erhöhtes Risiko im Fall des Passwortverlustes" Neumann rät eher zu Software-Lösungen: "Eine gute Kombination aus Sicherheit und Komfort bieten sogenannte Passwortspeicher", sagt Neumann. Die legen alle Log-ins verschlüsselt ab - und der Nutzer muss sich nur ein Masterpasswort merken.

Ein relativ hohes Sicherheitsniveau bietet die sogenannte Zwei-Faktor-Authentifizierung. Bei diesem Verfahren muss der Nutzer seine Identität neben dem Log-in noch über ein zweites Merkmal nachweisen - etwa per Einweg-Code, den er aufs Handy geschickt bekomt. Viele kennen das Prinzip vom Online-Banking.

Damit es dort sicher angewendet werden kann, ist aber Voraussetzung, dass er sich nicht mit dem gleichen Smartphone auf der Bankseite einloggt, mit dem er auch den TAN-Code empfängt. "Hat nämlich ein Angreifer den PC des Nutzers mit einer Spähsoftware infiziert, so kann er auf diesem gleichzeitig Login-Daten und TAN abgreifen, die reguläre Transaktion des Nutzers abbrechen und mit den erbeuteten Daten eine eigene Transaktion in die Wege leiten", erläutert Kohzer.

Zwei Faktoren zum Einloggen bieten inzwischen zumindest auch die großen Online-Dienste wie Apple, Google, Facebook oder Dropbox an. Das ständige Eintippen der Codes ist einigen Nutzern aber auf Dauer zu lästig. Deshalb lässt sich die Authentifizierung meist so einstellen, dass man den Zusatzcode nicht jedes Mal eingeben muss, sondern nur dann, wenn man sich von einem anderen Rechner einloggt, erklärt Eikenberg. "Ich glaube, das ist ein ganz guter Mittelweg."

Zudem gibt es ein Verfahren, bei man sich mit einem kleinen USB-Stick zusätzlich legitimiert. Die Entwicklung wird von der FIDO-Allianz vorangetrieben, in der sich viele Anbieter zusammengeschlossen haben. Seit kurzem akzeptiert Google USB-Sticks, die den offenen Standard FIDO Universal 2nd Factor (U2F) unterstützen, als zweites Identifikationsmerkmal. So ein Stick kostet nur wenig Euro, funktioniert bei Google aber vorerst nur in Desktop-Chrome-Browsern.

Virenschutz im Auge behalten

Viele Browser wollen es den Nutzern leicht machen. Sie speichern auf Wunsch Benutzernamen und Passwörter für Internetseiten und -dienste ab. Grundsätzlich sei das kein Problem, sagt Ronald Eikenberg von der "c't". Allerdings dürfe man dann nicht vergessen, regelmäßig Updates zu installieren und den Virenschutz aktuell zu halten. "Wenn man da ein bisschen nachlässig ist, kann es passieren, dass sich ein Trojaner installiert und die Benutzerdaten abgreift", warnt der Experte.

Skeptisch sollte man sein, wenn Log-in-Daten nicht auf der Festplatte, sondern auf Servern abgelegt werden. "Das mag sicher sein, ist aber nicht wirklich zu überprüfen", sagt Linus Neumann vom Chaos Computer Club (CCC). "Die Verwaltung unterschiedlicher komplexer Passwörter durch den Browser ist aber immer noch deutlich sicherer, als wenn man immer das gleiche Passwort verwendet."

Ronald Eikenberg empfiehlt ganz grundsätzlich auch Papier und Stift. "Der einfachste Weg ist, sich die Passwörter ganz klassisch aufzuschreiben", sagt der Experte. "Da kann kein Trojaner drauf zugreifen." Den Zettel darf man dann natürlich nicht verlieren.

Und Nutzer können die Sicherheit weiter erhöhen: "Grundsätzlich gilt, dass ein Log-in-Token, also die Kombination aus User-Name und Passwort, umso schwerer zu erraten ist, je weniger Informationen über den Nutzer sie enthalten", sagt Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Idealerweise entspricht der Benutzername also nicht dem Klarnamen.

Unabdingbar sind sichere Passwörter, insbesondere beim zentralen E-Mail-Konto. Denn bei fast jedem Internet-Dienst lässt sich das Passwort per E-Mail zurücksetzen, erklärt Neumann: "Der erste wichtige Schritt ist daher, das E-Mail-Passwort besonders lang und kompliziert zu machen und es an keiner anderen Stelle zu verwenden."

Mit sogenannten Single-Sign-on-Diensten versuchen inzwischen auch viele Internetkonzerne, das Jonglieren mit Benutzerdaten überflüssig zu machen. Ein Beispiel: Man kann sich etwa mit seinem Facebook-Account auch beim Mail-Provider, beim Streaming-Anbieter und vielen weiteren Diensten anmelden.

Doch Experten warnen: "Das Problem bei Single-Sign-on-Diensten ist, dass man diesen Diensten sowie dem dort verwendeten Passwort auch den Zugang zu den verknüpften Accounts ermöglicht - also das eigene Risiko erhöht", sagt etwa Neumann. "Ich sehe darin nur einen geringen Bequemlichkeitsvorteil für den Nutzer, aber ein erhöhtes Risiko im Fall des Passwortverlustes" Neumann rät eher zu Software-Lösungen:

"Eine gute Kombination aus Sicherheit und Komfort bieten sogenannte Passwortspeicher", sagt Neumann. Die legen alle Log-ins verschlüsselt ab - und der Nutzer muss sich nur ein Masterpasswort merken.

Ein relativ hohes Sicherheitsniveau bietet die sogenannte Zwei-Faktor-Authentifizierung. Bei diesem Verfahren muss der Nutzer seine Identität neben dem Log-in noch über ein zweites Merkmal nachweisen - etwa per Einweg-Code, den er aufs Handy geschickt bekomt. Viele kennen das Prinzip vom Online-Banking.

Damit es dort sicher angewendet werden kann, ist aber Voraussetzung, dass er sich nicht mit dem gleichen Smartphone auf der Bankseite einloggt, mit dem er auch den TAN-Code empfängt. "Hat nämlich ein Angreifer den PC des Nutzers mit einer Spähsoftware infiziert, so kann er auf diesem gleichzeitig Login-Daten und TAN abgreifen, die reguläre Transaktion des Nutzers abbrechen und mit den erbeuteten Daten eine eigene Transaktion in die Wege leiten", erläutert Kohzer.

Zwei Faktoren zum Einloggen bieten inzwischen zumindest auch die großen Online-Dienste wie Apple, Google, Facebook oder Dropbox an.

Authentifizierung nur vom Fremdrechner

Das ständige Eintippen der Codes ist einigen Nutzern aber auf Dauer zu lästig. Deshalb lässt sich die Authentifizierung meist so einstellen, dass man den Zusatzcode nicht jedes Mal eingeben muss, sondern nur dann, wenn man sich von einem anderen Rechner einloggt, erklärt Eikenberg. "Ich glaube, das ist ein ganz guter Mittelweg."

Zudem gibt es ein Verfahren, bei man sich mit einem kleinen USB-Stick zusätzlich legitimiert. Die Entwicklung wird von der FIDO-Allianz vorangetrieben, in der sich viele Anbieter zusammengeschlossen haben.

Seit kurzem akzeptiert Google USB-Sticks, die den offenen Standard FIDO Universal 2nd Factor (U2F) unterstützen, als zweites Identifikationsmerkmal. So ein Stick kostet nur wenig Euro, funktioniert bei Google aber vorerst nur in Desktop-Chrome-Browsern.