Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Hygieneregeln

Правила гигиены

Andere Ausgaben dieser Rubrik (50)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Wie Sie einen zuverlässigen Passwort-Manager wählen

Gelesen: 5128 Kommentare: 0 Rating: 0

Freitag, 22. März 2024

Passwörter werden praktisch seit Beginn des Computerzeitalters zur Authentifizierung von Nutzern verwendet. Mit der Entwicklung des Internets steigen auch die Anforderungen an die digitale Sicherheit und es kommen neue Verfahren der Zugriffskontrolle zum Einsatz: Zwei-Faktor- und SMS-Authentifizierung, Tokens, Biometrie etc. Passwörter werden jedoch weiterhin genutzt und gehören auch heute noch zu den grundlegenden Schutzmitteln, die unbefugten Zugriff auf Informationen verhindern.

Das Konzept der Passwortnutzung birgt jedoch eine Schwachstelle in sich – Passwörter können gehackt werden. Viele Nutzer verwenden ähnliche oder sogar identische Passwörter für verschiedene Dienste und Plattformen. Cyberkriminelle wissen das, daher sind Datendiebstahl, Phishing und Passwort-Mining leider weit verbreitet. Ein langes, einzigartiges und regelmäßig aktualisiertes Passwort könnte in den meisten Fällen ein bedeutendes Hindernis für Hacker darstellen. Aber es ist nicht leicht, eine ganze Liste solcher Passwörter im Kopf zu behalten und regelmäßig zu aktualisieren. Daher vernachlässigen viele Nutzer die Passwortsicherheit aus scheinbarer Bequemlichkeit.

Gibt es Lösungen, die dem Nutzer helfen, komplizierte und einzigartige Passwörter sicher zu speichern? In der heutigen Ausgabe unseres Aufklärungsprojekts möchten wir das Thema Passwort-Manager anschneiden. Lohnt es sich, einen Passwort-Manager zu verwenden? Wie wählen Sie einen wirklich sicheren Passwort-Manager aus? Lesen Sie den Artikel und erfahren Sie die Antworten.

Warum sollte ein Passwort komplex sein?

Eine der goldenen Sicherheitsregeln lautet: Ein zuverlässiges Passwort sollte möglichst komplex, lang und eindeutig sein und regelmäßig aktualisiert werden. Je mehr Zeichen das Passwort enthält, desto schwieriger lässt es sich ermitteln. Lange Passwörter sind viel resistenter. Moderne Computer ermöglichen es Hackern, Kombinationen aus 5-6 Zeichen in ein paar Sekunden zu ermitteln. Die Ermittlung eines Passworts, das 12 bis 15 Ziffern, Buchstaben und Sonderzeichen enthält und nicht ein existierendes Wort, sondern eine sinnlose Zeichenfolge darstellt, könnte theoretisch mehrere Jahre in Anspruch nehmen. In diesem Fall ist es einfacher, das Passwort zu stehlen oder den Nutzer durch Betrug dazu zu bewegen, das Passwort preiszugeben. Wenn der Nutzer dasselbe Passwort für verschiedene Dienste, Websites, Apps etc. nutzt, werden beim Kompromittieren eines seiner Benutzerkonten auch alle anderen mit diesem Passwort geschützten Benutzerkonten gefährdet. Daher empfehlen wir, ein Passwort niemals mehrmals zu verwenden, sondern für jeden Dienst ein unterschiedliches Passwort zu nutzen. Leider kann auch ein kompliziertes Passwort kompromittiert werden – infolge eines Lecks, einer Infektion, eines Netzwerkangriffs oder Phishing. Aus diesem Grund ist es wichtig, auch sichere Passwörter von Zeit zu Zeit zu ändern.

Es entsteht eine logische Frage: Wie kann ich mir so viele verschiedene komplexe und regelmäßig aktualisierte Passwörter merken? Dies ist eine echte Herausforderung. Daher werden jährlich ähnliche Statistiken meist gehackter Passwörter veröffentlicht: „qwerty123“, „Passwort1“, „admin321“ etc.

Und was, wenn ich meine Passwörter lokal in einer txt-Datei speichere? Dieser Ansatz weist erhebliche Nachteile auf. Erstens werden in diesem Fall alle Passwörter an einem Ort gespeichert. Wenn sich ein Angreifer Zugriff auf diese Datei verschafft, erhält er alle Ihre Passwörter auf einmal. Außerdem kann die Datei von einem Stealer-Trojaner oder einem anderen bösartigen Programm gestohlen werden. Darüber hinaus kann jeder, der sich Zugang zu Ihrem Gerät verschafft, die Datei mit den Passwörtern öffnen und einsehen.

Und wenn ich diese Datei in eine Archivdatei packe und diese mit einem Passwort schütze, um nur dieses einzige Passwort im Kopf zu behalten? Sie haben gerade einen primitiven Passwort-Manager entwickelt, der aber bei weitem nicht der praktischste ist. Nach diesem Grundprinzip funktionieren die meisten Passwort-Manager. Aber sie sind benutzerfreundlicher und praktischer als ein verschlüsseltes Archiv.

Bevor wir verschiedene Passwort-Manager betrachten, möchten wir Sie an eine der wichtigsten Sicherheitsregeln erinnern: Verlassen Sie sich nicht nur auf Passwörter. Das Login-Passwort-Paar wird für die 1-Faktor-Authentifizierung verwendet, die heutzutage für die Datensicherheit nicht mehr ausreicht. Wir empfehlen, wenn möglich, die Zwei-Faktor-Authentifizierung zu verwenden und das Gerät, das für die zweite Sicherheitsstufe genutzt wird, ebenso sicher zu schützen.

Was ist ein Passwort-Manager und nach welchen Kriterien wähle ich ihn aus?

Bei einem Passwort-Manager handelt es sich um ein Programm zum Speichern und Schutz von Pass- und Kennwörtern. Sie können freilich verschiedene Memotechniken verwenden und Ihren eigenen Algorithmus zum Speichern komplizierter und zuverlässiger Passwörter erarbeiten – Ein Passwort-Manager ist nicht unentbehrlich. Aber solche Programme sind unbestritten nützlich und praktisch und ermöglichen eine schnelle und bequeme Autorisierung auf verschiedenen Websites und in verschiedenen Systemen.

Es gibt eine große Auswahl an Passwort-Managern: sowohl kostenlose als auch kostenpflichtige Programme. Wie wählen Sie eine passende Lösung? In diesem Artikel möchten wir Kriterien anführen, die Ihnen bei der Wahl helfen können.

Folgende Eigenschaften und Merkmale sind zu berücksichtigen:

  1. Implementierungstyp: Cloud-Dienst, lokales Programm oder Client-Server-Lösung
  2. Reputation des Entwicklers
  3. Offenheit des Quellcodes
  4. Technische Umsetzung
  5. Möglichkeit der Integration mit Browsern
  6. Kompatibilität mit verschiedenen Plattformen
  7. Möglichkeit, Passwörter zu importieren und zu exportieren sowie verschiedene Geräte zu synchronisieren
  8. Möglichkeit zur Differenzierung und Begrenzung von Zugriffsrechten
  9. Unterstützung der Zwei-Faktor-Authentifizierung und Einmalcodes
  10. Benutzerfreundliche Oberfläche

Gehen wir näher auf diese Kriterien ein. Passwort-Manager für Privatnutzer können in zwei Gruppen unterteilt werden: Cloud-Dienste und lokale Anwendungen. Cloud-Lösungen bieten dem Nutzer eine Client-Anwendung oder Browser-Erweiterung, mit deren Hilfe der Nutzer seine Passwörter verwalten kann. Dabei werden alle Passwörter verschlüsselt auf dem Server des Entwicklers gespeichert. Auf den ersten Blick scheinen Cloud-Speicher sehr praktisch zu sein. Aber der größte Nachteil solcher Lösungen besteht darin, dass der Nutzer keine Möglichkeit hat, zu prüfen, ob seine Passwörter wirklich sicher gespeichert und übertragen und nicht an Dritte oder die Mitarbeiter des Entwicklers weitergeleitet werden. Wenn Cyberkriminelle den Account eines Nutzers hacken, verschaffen sie sich Zugriff auf alle seine Passwörter auf einmal. Außerdem gab es Fälle, in denen der gesamte Cloud-Dienst kompromittiert wurde und alle Kundendaten und -Passwörter gestohlen wurden. Daher ist es wichtig, einen bewährten Anbieter zu wählen. Passwörter ermöglichen Zugriff auf verschiedene, unter anderem vertrauliche Informationen und müssen sicher geschützt werden. Erwägen Sie mögliche Risiken, wenn Sie sich für einen Cloud-Passwort-Manager entscheiden.

Lokale Passwort-Manager funktionieren anders. In der Regel wird das Programm auf dem Computer installiert. Alle Passwörter werden in verschlüsselter Form auf dem Gerät (seltener auf einem Wechselmedium) gespeichert. Dieser Ansatz ist sicherer, da Passwörter an keine Server übertragen werden. Für den Zugriff auf das Programm wird ein Master-Passwort oder eine Schlüsseldatei verwendet. Nutzen Sie ein kompliziertes Master-Passwort, da dieses alle Ihre anderen Passwörter zuverlässig schützen soll.

Ein weiteres Kriterium ist die Offenheit des Quellcodes. Wenn der Quellcode geschlossen ist, gibt es keine Möglichkeit, den Code selbstständig auf Fehler, Schwachstellen und Backdoors zu prüfen. Die Implementierungsdetails sind unbekannt – Der Nutzer muss sich also auf den Entwickler verlassen. Andererseits ist es für die meisten Nutzer nicht von Bedeutung, ob der Quellcode offen oder geschlossen ist. Sie können Tests und Untersuchungsergebnisse quelloffener Passwort-Manager im Internet finden. Open-Source-Software wird von Enthusiasten auf Bugs und Sicherheitslücken geprüft, verbessert und optimiert. Dies kann ein wichtiges Kriterium sein, wenn Sie nach einem Passwort-Manager für Ihr Unternehmen suchen.

Client-Server-Lösungen sind in erster Linie für Unternehmen gedacht. Der Server wird im Unternehmensnetzwerk konfiguriert. Die Konfiguration von Client-Anwendungen erfolgt auf den Geräten der Mitarbeiter. In diesem Fall ist die Offenheit des Quellcodes wichtig, besonders im Hinblick auf Client-Software. Solche Passwort-Manager zeichnen sich durch eine komplexere Architektur und durch die Möglichkeit aus, Zugriffsebenen flexibel zu konfigurieren und in Standard-Verzeichniszugriffsprotokolle integriert zu werden.

Die technische Umsetzung beeinflusst die Zuverlässigkeit und Sicherheit des gesamten Programms. Es gibt eine Reihe von Schwachstellen, die Cyberkriminelle zum Abfangen von Passwörtern ausnutzen können, z.B. die Möglichkeit, Passwörter aus dem RAM zu stehlen, anfällige Verschlüsselungsalgorithmen oder schwache Qualität des Passwortgenerators. Ein einfacher Nutzer ist nicht in der Lage, solche Schwachstellen zu erkennen, aber wenn der Quellcode offen zugänglich ist, könnten Spezialisten (freiwillige Tester) Probleme erkennen und Verbesserungen vorschlagen. Bevor Sie sich für einen Passwort-Manager entscheiden, lesen Sie im Internet veröffentlichte Untersuchungen und Testberichte.

Auch der Ruf des Entwicklungsunternehmens spielt eine wichtige Rolle. Möchten Sie Ihre Geheimnisse einem unbekannten Programm oder Dienst anvertrauen? Die Entwickler der meisten kostenpflichtigen Passwort-Manager versprechen den besten Schutz und absolute Vertraulichkeit der Benutzerdaten. Aber nur ein offener Quellcode und Tests unabhängiger Experte können garantieren, dass das Programm zuverlässig und sicher ist.

Gute Passwort-Manager verfügen über einen Passwortgenerator, der es ermöglicht, zufällige Passwörter zu generieren. Stellen Sie sicher, dass der Entwickler den Passwortgenerator regelmäßig aktualisiert und Patches für mögliche Schwachstellen erstellt, um das Programm vor Hackern und Ihre Passwörter vor Kompromittierung zu schützen.

Die anderen Kriterien sorgen für bessere Funktionalität und Benutzerfreundlichkeit, sind aber sinnlos, wenn die technische Implementierung schwach und unsicher ist. Cloud-Lösungen sind für die Nutzung im Internet konzipiert und sollten in allen Browsern ordnungsgemäß funktionieren. Die meisten lokalen Lösungen können in Webbrowsern mithilfe von Plug-in-Erweiterungen verwendet werden. Beachten Sie: Erweiterungen von Drittanbietern stellen eine potenzielle Sicherheitslücke dar. Die beste Lösung wäre daher, nur offizielle oder vom Entwickler des Passwort-Managers empfohlene Plug-ins zu nutzen. In der Regel sind diese auf der Website des Entwicklers verfügbar.

Einige Passwort-Manager schützen auch vor Phishing. Wenn der Nutzer eine gefälschte Website öffnet, wird das automatische Ausfüllen von Formularen deaktiviert, wenn die Seite aus technischer Sicht nicht mit der originalen Seite übereinstimmt. Dieses Feature ist nützlich, aber Sie sollten sich nicht ausschließlich darauf verlassen.

Plattformübergreifende Lösungen sind mit verschiedenen Geräten kompatibel. Wenn Sie einen Passwort-Manager sowohl auf einem Computer als auch auf einem Smartphone nutzen möchten, achten Sie darauf, dass das Programm verschiedene Gerätetypen unterstützt. Die Synchronisierung von Passwörtern auf verschiedenen Geräten ist auch praktisch, aber bedeutet die Übertragung verschlüsselter Daten über das Netz. Die Synchronisierung im lokalen Manager kann manuell konfiguriert werden, indem die verschlüsselte Datenbank in einer Cloud gespeichert wird, damit der Nutzer über verschiedene Geräte auf die Passwörter zugreifen kann. Auf die verschlüsselte Datenbank kann nur mithilfe des Master-Passworts oder der Schlüsseldatei zugegriffen werden, daher ist dies ziemlich sicher.

Einige Passwort-Manager unterstützen die Zwei-Faktor-Authentifizierung. Beispielsweise kann das Programm so konfiguriert werden, dass für den Zugriff auf verschlüsselte Daten nicht nur das Master-Passwort, sondern auch die Schlüsseldatei erforderlich ist. Die Schlüsseldatei könnte auf einem Wechselmedium gespeichert werden. Dies ermöglicht es, Ihre Passwörter zu schützen, falls das Master-Passwort kompromittiert wird. Die meisten Cloud-Lösungen unterstützen die Zwei-Faktor-Authentifizierung. Außerdem gibt es Passwort-Manager, die Einmalcodes zur Autorisierung in Systemen mit konfigurierter Zwei-Faktor-Authentifizierung generieren können. Dieses Feature kann entweder integriert sein oder mithilfe eines Plug-ins hinzugefügt werden.

Die Benutzeroberfläche ist natürlich Geschmacksache. Ein schönes Design bedeutet nicht immer praktische Funktionalität und Sicherheit. Kostenlose Lösungen mit offenem Quellcode sehen oft sehr bescheiden aus, könnten aber zuverlässig sein. Berücksichtigen Sie daher in erster Linie die oben erwähnten technischen Kriterien.

Speichern von Passwörtern in Webbrowsern

Die Möglichkeit, Passwörter in Browsern zu speichern, wird oft als integrierter Passwort-Manager angesehen. Dieses Feature vereinfacht zwar die Nutzung von Passwörtern, kann jedoch nicht als Sicherheitslösung betrachtet werden. Erstens sind solche Passwörter besonders anfällig für Malware, die Anmeldeinformationen aus Browsern stiehlt. Zweitens besteht ein potenzielles Risiko des physischen Zugangs auf die Daten, z.B. bei Verlust des Geräts. Der Zugriff auf solche Passwörter ist standardmäßig nur mit dem Passwort für den Browser-Account geschützt. Außerdem könnte auch der Account selbst gestohlen werden.

Sollte man dieses Feature überhaupt nutzen? In den meisten Fällen besser nicht. Aber Sie könnten diese Option auf Websites verwenden, auf denen Sie keine wichtigen Informationen gespeichert oder angegeben haben.

Nachteile von Passwort-Managern

Kennen Sie den Witz: „Ein Schlüsselanhänger ist ein kleines Ding, das es ermöglicht, alle Schlüssel auf einmal zu verlieren“? Dasselbe gilt für Passwort-Manager. Das Master-Passwort kann mit einem Schlüsselanhänger verglichen werden. Wenn das Master-Passwort verloren geht oder kompromittiert wird, sind auch alle mit diesem Passwort geschützten Passwörter gefährdet. Um solche Situationen zu verhindern, sollte das Master-Passwort eine lange, sinnlose und einzigartige Zeichenfolge darstellen, die Sie im Kopf behalten sollten.

Wie jede Software könnten auch Passwort-Manager von Hackern oder Malware angegriffen werden. Sicherheitslücken im Programm, Angriffe auf die Infrastruktur des Entwicklers, gefälschte Updates, Nutzung von Keyloggers – Diese Risiken sollte der Nutzer eines Passwort-Managers berücksichtigen.

Eine weitere Gefahr ist ein falsches Gefühl der Sicherheit. Wie oben erwähnt, sind Passwort-Manager kein Zaubermittel, das vor allen Bedrohungen schützt, sondern ein Tool, das Ihnen die Nutzung von Passwörtern erleichtert und Cyberkriminellen die Kompromittierung Ihrer Passwörter erschwert. Damit solche Tools effektiv sind, sollten Sie vorsichtig sein und die Grundregeln der digitalen Hygiene einhalten.

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Es liegt also bei Ihnen, ob Sie Passwort-Manager verwenden oder nicht. Analysieren Sie Ihre Passwörter und berücksichtigen Sie unsere Empfehlungen. Nutzen Sie dasselbe Passwort für alle Websites? Wie viele Passwörter müssen Sie im Kopf behalten? Könnte ein Passwort-Manager für Sie nützlich sein und die Sicherheit Ihrer Daten erhöhen?
  2. Fürs Erste könnten Sie einen kostenlosen lokalen Passwort-Manager mit offenem Quellcode versuchen. Kostenpflichtige Cloud-Lösungen mögen mehr Features anbieten, aber in diesem Fall spielt die Reputation des Dienstanbieters eine große Rolle. Bevor Sie sich für ein Produkt entscheiden, surfen Sie nach Informationen darüber im Internet.
  3. Vergessen Sie nicht: Sie sollten sich nicht nur auf Passwortschutz allein verlassen. Aktivieren Sie die Zwei-Faktor-Authentifizierung für Websites und Dienste, auf denen Sie vertrauliche Informationen angeben. Schützen Sie das Gerät, an das Einmalcodes gesendet werden.
  4. Laden Sie Programme nur über offizielle Websites herunter. Diese Empfehlung gilt für alle Anwendungen. Aber im Fall eines Passwort-Managers ist dies besonders wichtig.
  5. Legen Sie ein kompliziertes Master-Passwort fest. Konfigurieren Sie bei Bedarf die Master-Passwort-Erinnerung, sofern diese Funktion vorhanden ist. Später können Sie diese Funktion deaktivieren. Vergessen Sie nicht: Der Verlust des Master-Passworts macht die gesamte Datenbank unbrauchbar.
  6. Ändern Sie alle Passwörter, bevor Sie einen Passwort-Manager einsetzen, um sicherzustellen, dass sie nicht kompromittiert sind.
  7. Erstellen Sie regelmäßig Sicherungskopien der Passwortdatenbank.
  8. Wenn Sie mehr Features benötigen, suchen Sie nach verfügbaren Erweiterungen auf der offiziellen Website des Herstellers. Beachten Sie: Auch Erweiterungen könnten Sicherheitslücken aufweisen.
  9. Sorgen Sie für den Schutz Ihres Computers und nutzen Sie einen zuverlässigen Antivirus. Auch der beste Passwort-Manager ist nutzlos, wenn das gesamte System infiziert ist.

#Webbrowser #Hackerangriff #Zwei-Faktor-Authentisierung #Schutz_vor_Datenverlust #Cloud-Technologien #Passwort #personenbezogene_Daten #Webseitenfälschung #Sicherheitslücken

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.