Passwort-Manager erhöhen die Sicherheit
Berlin (dpa/tmn) - Passwort-Manager entlasten das Gedächtnis und sorgen - richtig eingesetzt - für mehr Sicherheit. Nutzer sollten sich aber genau überlegen, welcher Lösung sie den Schlüssel zu ihrem gesamten digitalen Leben anvertrauen.
Surfen im Internet ist ein Gedächtnissport. Ob E-Mails oder Facebook-Freunde, die Umsätze auf dem Girokonto oder der prügelwütige Orc in „World of Warcraft“: Für jeden Dienst müssen sich Nutzer die Anmeldedaten merken. Viele behelfen sich mit einem Zettel im Portemonnaie oder einem Einheitspasswort. Das eine ist nicht sehr komfortabel, das andere nicht besonders sicher. Abhilfe versprechen Passwort-Manager: Sie legen die Zugangsdaten in einer Art virtuellem Safe ab, den Nutzer mit einem einzigen Passwort öffnen können.
Eine ganze Reihe von Produkten will dem Gedächtnis auf die Sprünge helfen: von gratis bis teuer, von der einfachen Datenbank bis zum komplexen Manager mehrerer Identitäten. „Welche Lösung sinnvoll ist, hängt von den eigenen Bedürfnissen ab“, sagt die Datenschützerin Marit Hansen, die sich am Unabhängigen Landesdatenschutzzentrum (ULD) Schleswig-Holstein mit Identitätsmanagement befasst. Kostenlose Produkte seien nicht unbedingt schlechter. Sie empfiehlt, sich vor der Installation mit Tests in Zeitschriften oder im Internet schlau zu machen.
Einige Programme laufen ausschließlich auf dem lokalen Rechner. Andere gibt es als Version für den USB-Stick, so dass Nutzer die Zugangsdaten in der Hosentasche mitnehmen können, etwa ins Büro. Wenn die Software mehrere Identitäten managen kann, erleichtert sie die Trennung von Job und Privatleben. Und mancher Passwort-Manager dient nicht nur als Safe, sondern hilft zusätzlich bei der Erstellung komplizierter und somit sicherer Passwörter.
Eine naheliegende Lösung sind die Gedächtnisstützen der Browser - allein schon, weil sie immer fragen, ob sie die eingetippten Daten speichern sollen. Firefox, Internet Explorer, Chrome, Safari und Opera haben einen Passwort-Manager an Bord. Dieser Komfort birgt aber Risiken. „Es ist nicht Standard, dass der Nutzer ein Master-Passwort setzt“, sagt Ruben Wolf vom Fraunhofer-Institut SIT in Darmstadt. Wer Zugang zum Rechner hat, kommt so auch in die Mails oder den Facebook-Account. Gerade beim beliebten Firefox ist das Master-Passwort wichtig: Ohne dieses speichert der Browser die Daten unverschlüsselt.
Einige Anbieter legen die Schlüssel zum digitalen Leben in der „Cloud“ ab, also auf ihren Servern. Das ist sehr komfortabel, weil von jedem Internetrechner aus erreichbar. Datenschützer haben aber Sicherheitsbedenken: In jüngster Zeit habe sich gezeigt, dass viele Cloud-Dienste noch nicht ausreichend gegen Angreifer gesichert seien, warnt Marit Hansen. Negativ-Schlagzeilen machte etwa der bekannte Dienst LastPass. Die Datenschützerin rät daher: „Passwörter sollte man im eigenen Sicherheitsbereich speichern“ - nicht in der Wolke.
Welches Verfahren auch immer zum Einsatz kommt: Wichtig ist die Verschlüsselung. Es müsse ein aktuelles Verfahren zum Einsatz kommen, rät Fraunhofer-Experte Wolf. Weit verbreitet seien etwa AES 128 oder AES 256. Beide ermöglichen theoretisch so viele verschiedene Schlüsselkombinationen, dass ein Angreifer Jahre bräuchte, um sie mit schierer Rechengewalt durchzuprobieren - Experten bezeichnen dieses verbreitete Vorgehen als „Brute Force“-Angriff.
Alle Verschlüsselung bringt nichts, wenn Diebe den Zugangscode erraten oder mit Prozessor-Power errechnen können. Wer die Schlüssel zu seinem gesamten digitalen Leben an einem Ort speichert, muss sich daher unbedingt ein sicheres Passwort ausdenken. Dafür gibt es einige Faustregeln: mindestens acht, besser noch zwölf Zeichen lang, mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Tabu sind gängige Wörter. Denn Hacker lassen ihre Programme bekannte Begriffe durchprobieren - man spricht von Wörterbuch-Angriffen. Selbst eine komplexe Kombination dürfte dem Nutzer aber keine Probleme bereiten: „Wir verwenden das Master-Passwort ja oft und können es uns daher merken“, sagt Wolf.
Eine Schwäche haben die allermeisten Manager: Sie zeigen einem Angreifer, wenn er mit einem Master-Passwort falsch liegt, weil sie ihm dann den Zugang zu den geheimen Daten verweigern. So kann er seine Angriffssoftware andere Kombinationen ausprobieren lassen. An dieser Stelle setzt das Fraunhofer-Institut SIT in Darmstadt mit dem „MobileSitter“ für Handys an. „Bei unserem Verfahren kommt man mit jedem beliebigen Master-Passwort rein und findet auch Passwörter“, erklärt der Informatiker Ruben Wolf. „Man weiß aber nicht, ob es die echten oder falsche Passwörter sind.“
Was für einen Effekt das hat, macht Wolf mit einem Vergleich deutlich: „Der Angreifer kommt mit jedem beliebigen Master-Passwort in den Tresor und sieht darin Juwelen liegen, aber er weiß nicht, ob es die echten oder gefälschte sind.“ Brute-Force- und Wörterbuch-Attacken liefen so ins Leere.
Welches System auch immer helfen soll, das Passwort-Chaos in den Griff zu bekommen: Datenschützerin Hansen rät zu einer Grundvorsicht. Nutzer sollten Fachmedien im Blick behalten, um auf Sicherheitspannen oder Updates aufmerksam zu werden. Und sie empfiehlt, ein Backup der verschlüsselten Passwörter-Datei des Passwort-Managers auf einem externen Medium wie einem USB-Stick zu machen und an einem sicheren Ort zu deponieren. „Dadurch, dass man sich auf den Passwort-Manager verlässt, begibt man sich in eine Abhängigkeit.“