«Password», «12345» und «hallo» – das waren im vergangenen Jahr die beliebtesten Passwörter der Deutschen. Ein eklatantes Sicherheitsproblem, welches jeder Nutzer, der einfache Passwörter verwendet, erzeugt. Den nicht auszudenken, was passieren würde, wenn unser gesamtes digitales Leben plötzlich in die Hände Krimineller gerät. Solche Attacken finden in diesem Moment millionenfach im Netz statt und es wäre naiv zu glauben, das nicht jeder einmal davon Opfer wird. Doch es gibt eine sehr einfache und komfortable Lösung für diese Unzulänglichkeit: Die Verwendung eines Passwortmanagers
Wie gehen Angreifer vor?
Um die Bedeutung eines Passwortmanagers für die eigenen digitale Sicherheit zu verdeutlichen, ist es zunächst hilfreich, den Blickwinkel des Angreifers einzunehmen. Allgemein versuchen Kriminelle sekündlich automatisiert Konten diverser Internetdienste zu knacken. Um das richtige Passwort in Erfahrung zu bringen, stehen ihnen grundsätzlich zwei Wege offen:
- Wörterbuch-Attacke: Bei dieser Angriffsart werden Wörtbuchlisten verwendet, die alle gängigen Passwörter (wie oben genannt) oder sogar alle Wörter, die eine Sprache bietet, enthalten. Um dem entgegenzutreten können Passwörter verwendet werden, die kein wirkliches Wort implizieren (z.B. «sgnpyodukp»).
- Brute-Force-Attacke: Bei dieser Angriffsart wird «rohe Gewalt» eingesetzt, um alle möglichen Buchstabenkombinationen auszuprobieren. Früher oder später kann dadurch jedes Passwort geknackt werden. Die dafür benötigte Zeit, geht jedoch bei einer Passwortlänge ab 15-20 Stellen und einer Verwendung von Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen in ein nicht tragbares Ausmaß (mehrere Jahre bis Jahrmillionen).
Wie sieht ein gutes Passwort aus?
Ein gutes Passwort bedeutet, dass es zum einen kein «richtiges» Wort ist, welches in einem Wörterbuch vorkommen kann (um einer «Wörterbuchattacke» vorzubeugen) und zum anderen mindestens 15, besser 20 Stellen mit Klein-, Groß- und Sonderbuchstaben sowie Zahlen (um einer «Brute-Force-Attacke» vorzubeugen) besitzt. Nur so ist sichergestellt, dass diese Passwort nicht jetzt oder in naher Zukunft von Cyberkriminellen geknackt werden kann. Du solltest es außerdem noch nie verwendet haben, da eine Kompromittierung eines Accounts Weitere zur Folge haben könnte. Eine Nichtbeachtung dieser Passwortregeln ist grob fahrlässig. So dauert beispielsweise das Knacken eines Passworts, welches nur 5 Kleinbuchstaben besitzt, selbst mit einem handelsüblichen Computer nur wenige Sekunden.
Muss ich mir jetzt jedes Passwort merken?
Nein! Wenn du die obigen Regeln erfüllst, dann kann das Erstellen und Merken dieser Passwörter sehr aufwendig bis unmöglich sein. Besonders wenn man hunderte Benutzerkonten besitzt, was nicht selten der Fall ist. Aber ist gibt eine sehr einfache Lösung für dieses Problem: Ein Passwortmanager.
Was ist ein Passwortmanager überhaupt?
Ein Passwortmanager ist ein Programm oder eine Browseranwendung, welches Passwörter eines Nutzers entweder lokal auf der Festplatte oder in der Cloud in einer Datenbank abspeichert. Der Nutzer muss sich deswegen keine Gedanken mehr über seine Passwörter machen, sondern kann sie einfach in dieser sammeln und bei Bedarf abrufen.
Ist es nicht auch zu empfehlen, die Passwortspeicherungsfunktion des Browsers selbst zu nutzen?
Ja und Nein. Die meisten Browser bieten das automatische Ausfüllen von Passwörtern und Speicherung dieser an. Häufig sind auch Funktionen wie Passwortgenerierung oder -synchronisation verfügbar. Ähnliches bieten beispielsweise die Dienste von Google und Apple (Schlüsselbund). Wenn damit der Nutzer dazu angehalten wird, kompliziertere Passwörter zu erstellen, ist dem zunächst nichts einzuwenden. Jedoch werden diese meist unverschlüsselt gespeichert und stellen dadurch ein Sicherheitsrisiko dar. Auch die Funktionen sind eingeschränkter als bei «richtigen» Passwortmanagern und bei den großen Tec-Riesen kommt die Datenschutzproblematik hinzu. Deswegen rate ich in der Bilanz zur Nutzung eines Passwortmanagers, um Zugangsdaten sicher und komfortabel zu speichern.
Ist es nicht unsicher, alle Passwörter an einem Ort zu speichern?
In diesem Fall nicht. Zum einen hat die Verwendung eines Passwortmanagers einen enormen Sicherheitsgewinn zur Folge, da der Nutzer eher gewillt ist, ausreichend sichere Passwörter zu verwenden. Er muss sich diese ja nicht mehr selbst merken. Die intuitive Bedienung vieler Anwendungen senkt die Hemmschwelle zusätzlich. Zum anderen sind die Passwörter meistens ausreichend sicher mit einem Passwort oder Ähnlichem sowie einem Verschlüsselungsalgorithmus geschützt. Wer Bauchschmerzen dabei hat, seine Passwörter in der «fernen» Cloud zu speichern, kann lokale Lösungen verwenden. Auch aufgrund des Sicherheitsgewinns durch den OpenSource-Gedanken, werde ich im Folgenden den Passwortmanager «KeePassXC» für Windows, MacOS und Linux genauer vorstellen.
Wie richte ich KeePassXC ein?
Installationsdateien der unterstützten Plattformen lassen sich auf der Projektseite des Passwortmanagers herunterladen. An dieser Stelle wird vorausgesetzt, dass Anwender mit der Installation von EXE-, AppImage bzw. DMG-Dateien für ihr Betriebssystem vertraut sind.
Nach dieser sollte den Nutzer beim Start folgende Seite begrüßen (Hinweis: Im Folgenden werden Screenshots und Ausführugen der derzeit aktuellen Version 2.7.8 gezeigt. Diese können in zukünftigen Versionen leicht abweichen.). Nach einem Klick auf «Create Database» kann ein Name und eine Beschreibung für die neue Passwortdatenbank angegeben werden. Die nächste Seite kann mit den Standardeingaben mit «Continue» quittiert werden. Nun muss zwingend ein sicheres Passwort nach den obigen Regeln erstellt werden, da darauf die Sicherheit der gesamten gespeicherten Passwörter fußt. Zuletzt muss nach «Done» noch ein Speicherort der Passwortdatei gewählt werden. Anschließend sollte die primäre Benutzeroberfläche von KeePassXC erscheinen:
Es würde an dieser Stelle den Rahmen des Artikels sprengen, alle Funktionen und Buttons des Programms vorzustellen, zumal die Bedienung zumeist selbsterklärend ist. Einzig die Erstellung eines neuen Passworteintrags soll hier genauer erläutert werden. Für weiterführende Informationen ist die (englischsprachige) Dokumentation zu empfehlen.
Wie speichere ich das Passwort meines Kontos in KeePassXC ab?
Hierzu wählt man den obigen Plus-Button (vierter Rundbutton von links).
In der obigen Eingabemaske wählt man nach dem Titel des Eintrags, den Benutzernamen (meistens die Email) des Kontos und trägt (wenn vorhanden) ein Passwort ein. An dieser Stelle ist es auch möglich, sich ein sicheres Passwort von KeePassXC generieren zu lassen. Hierzu wählt man den würfelartigen Button innerhalb der Zelle «Password» rechts. Mit einem Schieberegler lässt sich nun die Länge (zur Erinnerung mindestens 15 Stellen) und das Vorhandensein der gewünschten Zeichentypen einstellen. «Apply» setzt das Passwort in die Zeile. Unter «URL» sollte die Webadresse (inklusive https://) des Dienstes eingetippt oder eingefügt werden. Dies ist optional, jedoch bei der Verwendung der Browsererweiterung unverzichtbar. Dieses komfortable Zusatzfeature von KeePassXCwird in einem weiteren Artikel vorgestellt werden. «OK» speichert den Eintrag entgültig ab.
Wie synchronisiere ich meine Passwörter unter KeePassXC mit weiteren Geräten?
Da KeePassXC alle Daten in einer einzigen Datei speichert, genügt der Austausch dieser Datei mit weiteren Geräten. Hierzu kann diese beispielsweise sehr einfach unter einem eingebundenen Cloud-Dienst im Dateimanager (wie z.B. OneDrive unter Windows) abgespeichert werden. Dies ist auch für ein Backup anzuraten. Bei einem starken Passwort der Datenbank ist dies auch ausreichend sicher. Bei neuen Geräten kann eine vorhandene Passwortdatenbank einfach über den Button «Open Database» der Startseite eingebunden werden.
Gibt es KeePass auch für mein Mobilgerät?
Ja, für Mobilgeräte existieren mehrere freie Ableger wie KeePassDX für Android oder KeePassium für iOS. Eine Nutzung dieser ist auch für ein sicheres und komfortables Nutzererlebnis zu empfehlen. Die Bedienoberfläche der Mobilversionen entsprichend weitestgehend (zumindest prinzipiell) derer der Desktopversion. Auch hier können also beispielweise auf dem Desktop erstellte Datenbankdateien mithilfe von Cloud-Diensten auf das Mobilgerät importiert werden.
Fazit
Um sehr einfach die diversen Benutzerkonten eines jeden Nutzers mit guten Passwörtern sicher zu gestalten, bieten sich Passwortmanager wie KeePass geradezu an. Nach dem Lesen dieses Artikels bist du mit den grundsätzlichen Bedienkonzepten dieses Passwortmanagers vertraut. Mit dieser einfachen und auch für Einsteiger praktikablen Lösung ist jedem Internetnutzer gedient. Teile deshalb diesen Artikel mit weiteren Nutzern, damit sie ihre Onlinekonten schützen können. Ich freue mich außerdem über deinen Kommentar!
Schreibe einen Kommentar