Sichere Passwörter mit Passwortmanager

Folgende allgemeinen Kriterien gelten für die Passwörter:

• Möglichst lang
• Möglichst komplex (Klein- und Grossbuchstaben, Zahlen, Sonderzeichen)
• Einmalig (nicht für mehrere Programme oder Online-Plattformen genutzt)
• Möglichst häufige (erzwungene) Änderung

Selbst unter Fachkreisen herrscht jedoch keine Einigkeit, welche Kriterien im Kompromissfall wichtiger sind als andere. Bekannt ist aber, dass die meisten Benutzer ein umso schwächeres Passwort wählen, je häufiger sie es ändern müssen. Ein schwer merkbares Passwort wird ausserdem eher auf einem Notizzettel oder Post-It aufgeschrieben als ein leicht merkbares.

Ich vertrete die Meinung, dass auf eine regelmässige, erzwungene Änderung möglichst verzichtet werden sollte. Hilfreich aus Nutzersicht finde ich jedoch, wenn in gewissen Abständen darauf hingewiesen wird, wann das Passwort letztmals geändert worden ist. Als verstärkte Massnahme kann einem Benutzer nach mehreren nicht beachteten Hinweisen eine explizite Bitte/Aufforderung gegeben werden, dass er sein Passwort doch ändern soll. Als letzten Schritt kann, mit einer letzten Mahnung, eine Frist gesetzt werden, nach der eine Passwortänderung erzwungen oder das Konto gesperrt wird. In Windows Server Umgebungen wird ein solches Vorgehen leider nicht standardmässig angeboten, weshalb auf Produkte von Drittanbietern oder Eigenentwicklungen zurückgegriffen werden muss.

Eine Hilfe für die Nutzung sicherer Passwörter bieten Passwortmanager. In den gängigen Browsern Edge, Chrome, Firefox und Safari und weiteren gibt es die Möglichkeit, Passwörter direkt zu speichern. Diese Möglichkeit wird aber von manchen Experten als nicht sehr sicher erachtet, unabhängig davon ob die Passwörter via Account zwischen mehreren Geräten synchronisiert werden oder ob sie nur lokal auf dem betreffenden Gerät gespeichert sind. Bei der Speicherung in der Cloud besteht insofern ein Zusatzrisiko, als dass der betreffende Server gehackt und die Daten davon ausgelesen werden können. Meines Erachtens ist dieses Risiko aber bedeutend geringer, als dass eine vom Benutzer heruntergeladene Software schädlich ist und die Passwörter unbemerkt aus dem Profil ausliest.

Als Alternative gibt es eigenständige Passwortmanager wie Keepass, 1Password, Keeper und LastPass. Während die Grundfunktionalität bei allen in etwa vergleichbar sind, bieten die Tools abweichende Zusatzfeatures. Abhängig vom Bedarf eines Nutzers ist nicht jedes gleich gut geeignet. Auf die Unterschiede gehe ich an dieser Stelle nicht ein. Viele der Tools bieten via Erweiterung eine Integration in den genutzten Browser an, deren Einrichtung aber nicht bei allen leicht verständlich ist. Insbesondere bei den gratis nutzbaren Tools muss man dabei Abstriche in Kauf nehmen.

Persönlich habe ich über die letzten Jahre hinweg Keepass genutzt, mit dem ich bis heute recht zufrieden bin. Mit der Integration in den Browser habe ich mich aber erst vor Kurzem begonnen auseinanderzusetzen.

Vor einiger Zeit habe ich meine Passwörter aus der Datenbank exportiert und bei Chrome importiert und so in meinem Google Konto gespeichert. Dies insbesondere, weil ich vom online verfügbaren Passwortcheck Kenntnis erhalten habe. Damit wird unter anderem abgefragt, ob man gehackt wurde. Tatsächlich ergab sich zu einem meiner früher oft genutzten Passwörter ein Treffer. Das hatte ich zwar schon zuvor herausgefunden bei einer Abfrage auf https://haveibeenpwned.com, woraufhin ich das Passwort bei mehreren Webseiten änderte. Es war aber gut zu wissen, dass Google mich ebenfalls darauf hinwies.

Aus Chrome konnte ich die Passwortdaten mit einem Klick im von mir am meisten genutzten Firefox übernehmen. Ich muss zugeben, dass die Nutzung der im Browser direkt gespeicherten Logindaten sehr einfach und unkompliziert ist. Demgegenüber gibt es bei der Integration mit einer eigenständigen Software zum Teil Zusatzschritte, um den Benutzernamen bzw. das Passwort zu übernehmen oder der betreffende Eintrag wird gar nicht erkannt. Ich bin mir noch unschlüssig, welche Variante ich zukünftig primär nutze. Auf beides verzichten möchte ich zukünftig aber nicht mehr.