Nahaufnahme von Haftnotizen mit unsicheren Passwörtern, die auf einer Laptop-Tastatur kleben
Wissen

Passwort-Manager: Sicher genug für Online Banking & Co.?

Tanja Viebrock
von Tanja Viebrock, 15.10.2021

„Fehler: Passwort oder Nutzername ungültig!” Grrr, mal wieder! Wie soll man sich auch all diese ganzen Log-ins merken? Sonderzeichen hier, Zahlen und Großbuchstaben dort und “1234567” ist bekanntermaßen auch keine Lösung. Passwort-Manager-Apps versprechen komfortable und gleichzeitig sichere Abhilfe. Aber sind sie wirklich sicherer genug, um dort so sensible Daten wie das Kennwort fürs Online Banking zu hinterlegen? Das hängt zum Teil auch von Ihnen selbst ab. Worauf es ankommt und was Sie beachten müssen, erklären die KlarMacher hier.

Themen in diesem Artikel

Auf den Punkt

Auf den Punkt

  • Passwort-Manager sind separate Tools, mit denen sich Kennwörter erstellen, verschlüsselt speichern und verwalten lassen.
  • Der Vorteil der Tools liegt darin, dass sich Nutzer*innen nur noch ein Passwort merken müssen, um sich überall einloggen zu können – nämlich das für den Passwort-Manager.
  • Aus technischer Sicht sind Kennwörter in einem Passwort-Manager sicher aufbewahrt. Die Sicherheit hängt aber auch vom Verhalten der Nutzer*innen ab.
  • Zugangsdaten im Webbrowser zu verwalten, ist deutlich unsicherer als die Nutzung einer Passwort-App.

Das ewige Passwort-Dilemma: Sicherheit oder Bequemlichkeit?

Klar: Sichere Passwörter sind wichtig, wenn man im Internet unterwegs ist. Aber angesichts der vielen Log-ins, die sich im Laufe der Zeit ansammeln, nerven sie auch ungemein. Ein Standardpasswort für alle Onlinekonten zu verwenden, ist ausgesprochen unsicher. Theoretisch weiß das inzwischen wohl jede*r Internetnutzer*in. Aber in der Praxis benutzen viele häufig dasselbe Passwort für verschiedene Zugänge. Zumindest so lange das möglich ist. Denn die Passwort-Vorgaben der Anbieter fallen unterschiedlich aus.

Bei der einen Website müssen Sie zwingend Sonderzeichen verwenden, auf der anderen sind die nicht zulässig. Dafür werden dort mindestens eine Ziffer und ein Großbuchstabe gefordert. Und dann soll das Kennwort am besten auch noch mindestens 15 Zeichen lang sein. Im Kopf behalten lassen sich all diese unterschiedlichen Zugangsdaten kaum.

Aber ganz altmodisch auf Papier aufschreiben ist auch keine Lösung. Ein Notizzettel mit den gesammelten Kennwörtern ist ein echtes Sicherheitsrisiko, wenn er in die falschen Hände gerät. Außerdem müssen Sie die ellenlangen kryptischen Zeichenketten dann immer mühselig auf jeder Website eintippen. Vertipper sind dabei fast vorprogrammiert. Anders ist es bei einem digitalen Notizzettel in Form einer Excel-Tabelle, in der Sie all Ihre Online-Zugänge abspeichern. Die ermöglicht es Ihnen zumindest, die Passwörter zu kopieren und einzufügen. Wenn Sie diese Tabelle mit einem Passwort versehen und einen unverfänglichen Dateinamen vergeben, ist diese Lösung ein wenig sicherer als der Papierzettel.

Allerdings ist Excel nicht speziell auf die Verwaltung sensibler Daten ausgerichtet. Beim älteren xls-Format lässt sich das Tabellen-Passwort relativ einfach umgehen. Außerdem bleiben bei der Nutzung Datenspuren auf Ihrem Rechner zurück, die Cyberkriminelle für ihre Zwecke nutzen können.

Deutlich sicherer und komfortabler lassen sich Online-Zugangsdaten mit einem Passwort-Manager verwalten.

Was ist ein Passwort-Manager?

Passwort-Manager sind Programme, in denen Sie Ihre Log-ins für sämtliche Onlinekonten, sei es in sozialen Netzwerken, bei Onlineshops oder fürs Online Banking, sicher verwahren können. Diese Anwendungen lassen sich auf Computern, Smartphones und Tablets installieren. Sie können sich das Ganze als eine Art Passwort-Tresor vorstellen: Sie legen alle Ihre wertvollen Daten darin ab und nur Sie haben den Schlüssel. Denn um an Ihre Zugangsdaten heranzukommen, muss – Sie ahnen es – ein Passwort eingegeben werden.

Ihre Daten werden in dem Passwort-Safe verschlüsselt abgelegt. Je nach Software und den gewählten Einstellungen entweder lokal auf Ihrem Gerät oder in einer Cloud des Anbieters. Daher wird bei den Programmen zwischen Offline- und Online-Passwort-Managern unterschieden. Beide Varianten haben ihre Vor- und Nachteile.

Offline oder cloudbasiert: Was ist besser?

Offline oder cloudbasiert: Was ist besser?

Welche Art von Passwort-Manager die bessere Wahl ist, hängt vor allem von Ihrem Nutzungsverhalten ab. Eine cloudbasierte Lösung bietet den Vorteil, dass Sie mit allen Geräten übers Internet an die gespeicherten Passwörter kommen. Dafür vertrauen Sie dem Anbieter allerdings sensible Daten an und müssen sich darauf verlassen, dass dieser sorgsam damit umgeht. Zudem besteht bei einer Cloud immer das Risiko, dass sie gehackt wird.

Bei Offline-Passwort-Managern bleiben die verschlüsselten Daten vollständig in Ihrer Hand, da sie im Gerätespeicher abgelegt werden. Das bedeutet aber auch, dass Sie den Passwortspeicher auf jedem Ihrer Geräte einzeln anlegen und aktualisieren müssen, wenn sich Kennwörter ändern. Wenn Sie nicht nur mit einem Rechner, sondern mehreren und womöglich auch noch per Smartphone und Tablet im Internet unterwegs sind, kostet das einiges an Zeit.

Wie funktioniert ein Passwort-Manager?

Wenn Sie einen Passwort-Manager verwenden möchten, müssen Sie zunächst die Zugangsdaten für Ihre Onlinekonten in das Programm übertragen. Das kann mitunter einige Zeit dauern. Und für jeden neuen Account, den Sie künftig anlegen, müssen die Daten ebenfalls in dem Programm hinterlegt werden. Zusätzlich müssen Sie ein Kennwort für den Passwort-Manager festlegen. Beim Programmstart wird dieses sogenannte Master-Passwort abgefragt, dann haben Sie Zugriff auf Ihre Zugangsdaten.

Bei den meisten dieser Passwort-Programme gibt es ein sogenanntes Browser-Plugin. Wenn Sie sich auf einer Website einloggen wollen, füllt diese Erweiterung die Anmeldefelder automatisch aus – vorausgesetzt, Sie haben den Passwort-Manager geöffnet. Erstellen Sie auf einer Website oder in einer App ein neues Log-in, schlägt Ihnen der Passwort-Manager ein sicheres Kennwort vor und speichert es direkt im Tresor ab. Das Tool macht also grob gesagt das, was auch die Passwort-Funktion der gängigen Internetbrowser macht. Das ist allerdings in den meisten Fällen um einiges sicherer als in Google Chrome, Firefox, Edge und Co. Mehr dazu erfahren Sie weiter unten.

Tür eines älteren Banktresors mit mehreren Schlössern und Schließvorrichtungen
© istock/Bill-Livingstone/2016  Sofern Sie gut auf den Schlüssel achten, sind sensible Daten in einem Passwort-Manager so sicher aufbewahrt wie in einem Tresor.

Wie sicher sind Passwort-Manager?

Ziemlich sicher – vorausgesetzt, Sie beachten ein paar grundlegende Dinge. Ein häufiger Einwand ist, dass es doch eigentlich ziemlich unsicher sei, alle Passwörter an einem Ort zu speichern. Denn wenn jemand Zugriff auf das Passwort-Tool hat, werden ihm*ihr gleich alle Log-ins von Online Banking bis Instagram gesammelt auf dem Silbertablett serviert. Damit genau das nicht passiert, sind in erster Linie Sie als Nutzer*in gefragt:

  • Legen Sie ein langes, komplexes Master-Passwort fest, das niemand erraten kann und das auch bei automatisierten Angriffen schwer zu knacken ist. Also keine Begriffe, die beispielsweise in Wörterbüchern vorkommen. Worauf es bei einem sicheren Passwort ankommt, lesen Sie in diesem KlarMacher-Artikel.
  • Verraten Sie das Master-Passwort niemandem. Wenn Sie sich das Kennwort notieren, bewahren Sie den Zettel nicht in der Nähe ihres Rechners auf. Ein Post-it am Laptop ist geradezu eine Einladung für Kriminelle. In etwa so, als würden Sie die PIN für Ihre Kreditkarte direkt im Geldbeutel aufbewahren.
  • Lassen Sie ein Gerät mit geöffnetem Passwort-Tresor nie unbeaufsichtigt und melden Sie sich immer ab – auch aus eventuell installierten Browser-Plugins. Ansonsten können Personen, die das Gerät nach Ihnen verwenden, womöglich auf all Ihre Passwörter zugreifen. Meist gibt es in den Programmeinstellungen die Möglichkeit, eine automatische Abmeldung zu aktivieren. Nutzen Sie Passwort-Manager möglichst nur auf Geräten, auf die allein Sie Zugriff haben oder die Sie nur mit vertrauten Personen teilen. Auf dem Firmenrechner ist ein privater Passwort-Manager zum Beispiel keine gute Idee.

Wenn Sie diese Regeln berücksichtigen, sind Passwort-Manager-Apps ziemlich sicher, sodass Sie auch sehr sensible Daten wie Ihren Zugang zum Online Banking dort speichern können. Das gilt selbst für kostenlose Programme, wie Stiftung Warentest 2020 bei einem Vergleich verschiedener Passwort-Tools feststellte. Viele der Tools können mit einem zweiten Faktor zusätzlich gesichert werden, etwa per Fingerabdruck oder einem Freischaltcode per SMS. Bei der Auswahl eines Tools sollten Sie außerdem auf diese Merkmale achten:

  • Sichere Datenverschlüsselung: Viele Tools verwenden das sogenannte AES-256-Verfahren zum Verschlüsseln der gespeicherten Daten. Dieser Verschlüsselungsstandard gilt als sehr sicher. Setzen Sie deshalb auf einen Passwortspeicher, der diese Technologie nutzt.
  • Zero-Knowledge-Policy: Übersetzt heißt das so viel wie Null-Kenntnis-Richtlinie und ist ein wichtiger Sicherheitsfaktor bei Online-Passwort-Managern, bei denen die Daten in einer Cloud gespeichert werden. Es bedeutet, dass selbst der Anbieter die Daten in seiner Cloud nicht entschlüsseln kann. Auch wenn die Cloud gehackt wird, können Cyberkriminelle nichts mit den Daten anfangen, da nur die Anwender*innen selbst den Schlüssel zu ihren Daten haben.
Rückansicht einer Person an einem Schreibtisch, die sich vor einem Bildschirm verzweifelt die Haare rauft
© istock/kazuma seki/2020  Wie war bloß das Kennwort? Ohne Master-Passwort sind Sie aufgeschmissen.

Welche Nachteile haben Passwort-Manager?

Passwort-Manager sind ohne Frage praktisch und sorgen durch die Verwendung komplexer Kennwörter prinzipiell für mehr Sicherheit im Netz. Doch es gibt auch Nachteile:

  • Abhängigkeit vom Passwort-Manager: Die Sicherheit durch die komplexen, im Passwort-Tool gespeicherten Daten hat eine Kehrseite: Die komplizierten Zeichenketten kann niemand im Kopf behalten. Ohne Passwort-Manager sind Sie aufgeschmissen – etwa wenn Sie sich auf einem fremden Gerät in einen Ihrer Online-Accounts einloggen wollen. Außerdem funktioniert das automatische Einfügen von Passwörtern über Chrome, Firefox und andere Webbrowser nicht mehr. Denn wenn Sie ein Passwort-Tool verwenden, müssen Sie die automatische Speicherung von Log-ins im Browser deaktivieren.
  • Aufwendige Wiederherstellung bei Verlust des Master-Passworts: Wenn Sie Ihr Master-Passwort vergessen, kommen Sie an keines Ihrer Passwörter. Im schlechtesten Fall müssen Sie alle Zugänge einzeln wiederherstellen. Denn manche Passwort-Manager-Tools bieten aus Sicherheitsgründen keine Möglichkeit, das Master-Passwort zurückzusetzen.
  • Totalschaden bei Datenklau: Gerät das Master-Passwort in falsche Hände, haben Kriminelle nicht nur Zugang zu einem Account, sondern zu all Ihren Onlinekonten. Dieses Risiko lässt sich jedoch durch Umsicht und einem möglichst komplexen Passwort weitgehend minimieren.
Junge Frau an einem Macbook mit iPhone in der Hand
© istock/skynesher/2018  Wer mit Safari im Internet surft, kann Passwörter relativ sicher im Browser verwalten. Bei anderen Browser ist die Funktion mit Vorsicht zu genießen.

Warum Passwörter nicht einfach im Browser speichern?

„Aber das geht doch auch alles ohne Extra-Tool”, denken Sie jetzt vielleicht. Die Möglichkeit, ein langes komplexes Passwort zu generieren und zu speichern, bieten schließlich auch Webbrowser. Und das deutlich bequemer. Mit einem Klick haben Sie ein sicheres Passwort, um das Sie sich nie wieder kümmern müssen, weil es fortan automatisch eingefügt wird.

IT-Experten raten davon aber ab. Denn im Vergleich zu echten Passwort-Manager-Apps ist die Passwortverwaltung im Browser relativ unsicher. Die Daten können vergleichsweise leicht ausgelesen werden. Nicht nur von Schadsoftware, sondern auch von anderen Personen, die Zugriff auf Ihren Rechner haben. Dazu braucht es noch nicht einmal Hacker-Fähigkeiten. Teilweise klappt das ganz einfach über die Export-Funktion des Browsers.

Eine Ausnahme gilt jedoch für den Safari-Browser von Apple. Denn iOS und MacOS, die Betriebssysteme auf Mac-Rechnern, iPhones und iPads, haben mit der sogenannten Schlüsselbundverwaltung einen guten Passwort-Manager integriert, der Passwörter aus Safari sicher verwaltet.

Wie hat Ihnen der Artikel gefallen?

2

Das könnte Sie auch interessieren: