Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Passwortmanager sind gut und nicht schlecht
Geschrieben: 2015
Letzte Überarbeitung: 15.06.2024
Stichwörter: Sicherheit
Die Sicherheit eines Kennwort-Schutzes hängt entscheidend von der Stärke des Kennwortes ab. Angreifende Botnets probieren mit einer Vielzahl verschiedener Rechner Login-Kombinationen durch und können so einfache Wörter durch Ausprobieren erraten.
Komplizierte Kennwörter können sich Menschen schlecht merken. Zettel gehen leicht verloren oder man verliert die Übersicht. Verwenden Sie nur wenige Kennwörter, diese aber für mehrere Logins, wächst das Risiko. Denn ist auch nur ein Internet-Shop schlecht gesichert, so ist es nur eine Frage der Zeit, dass Online-Kriminelle in diesen eindringen und Kund*innendaten abgreifen. Und dann auch ausprobieren, ob die Benutzer auch ein Konto bei Banken und großen Internet-Versandhäusern mit dem gleichen Benutzer*innennamen und dem gleichen Kennwort haben.
Sie sind also bei wenigen, wiederverwendeten Kennwörtern vom schwächsten Glied in der Reihe ihrer Internet-Kontakte abhängig.
Deshalb sollten alle Internet-Konten mit ausreichend starken Kennwörtern abgesichert werden, die jeweils nur für ein einzelnes Konto gelten. Wie können Sie sich die merken? Nur indem Sie auch dafür Rechenleistung nutzen:
Verwenden Sie z. B. den Passwortmanager des Firefox®1 Browsers, den Schlüsselbund des Mac OS1 Betriebssystems oder den Android™1 Keystore! Sie sollten sich jedoch vergewissern, dass solche Kennwortlisten durch ein Hauptpasswort oder Anmeldekennwort verschlüsselt sind, das nur Sie kennen.
Sie halten das für gefährlich? Gut, Sie sind damit von der Sicherheit der Browser-Hersteller abhängig (dass diesen in die Programmquellen keine Malware geschmuggelt wurde, die nun Ihre Kennwörter munter an deren Urheber*innen versendet). Aber es ist eben nur die Abhängigkeit von dem Qualitätsmanagement weniger Organisationen, nicht vom schwächsten Glied aller ihrer Internet-Kontakte.
Und: Die Browser bekommen ohnehin alle Kennworte mit. Die Benutzung anderer Passwortmanager (für die Begleitdaten wichtig) lässt sich aber durchaus so organisieren, dass deren Restrisiken weitaus geringer sind, als die Risken, die aus deren Nichtbenutzung entstehen. Siehe den Blog-Artikel "Vorsorge gegen den Super-GAU".
Was ich hier sage ist überigens nicht nur meine persönliche Meinung, lesen Sie z. B. den Artikel von Joerg Geiger in chip.de: "Passwortmanager-Test: Sichere Passwörterauf allen Geräten".2
*) Hinweise zu Marken Dritter:
"Mac OS" ist eine Marke der Apple Inc., eingetragen in den USA und anderen Ländern und Regionen.
"Android" ist eine Marke der Google LLC.
"LastPass" ist eine Marke oder registrierte Marke von LastPass US LP in den U. S. und anderen Ländern.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.
1) Dass key.matiq in dem Test nicht aufgeführt sind, hat den einfachen Grund, dass wir viel zögerlicher damit sind, in größerem Umfang in den Markt einzusteigen ,als dies andere gemacht haben. Wir denken, dass z. B. die Sicherheitsbresche bei LastPass 1 (es war ja nicht die erste) wohl mit einem überstürzten Markteintritt zu tun hat. Man kommt dann schnell in Probleme, von denen man irgendwann nur noch getrieben wird und den Grund unter den Füßen verliert. (Wenn die Investor*innen maulen, dass nicht schnell genug der Return of Invest kommt, liegt dann schnell der Fokus nicht mehr bei der Sicherheit, sondern bei der Akquise und – schlimmer noch – bei Sparmaßnahmen auf Kosten der Weiterentwicklung von Sicherheitsstrukturen.) LastPass wurde von Chip dann auch gar nicht mehr getestet, obwohl dieser früher (jedenfalls nach eigenen Angaben) mal der größte Online-Passwortmanager war.
D. h. die Verwendung von Passwortmanagern ist nicht absolut risikolos, aber generell doch in der Risikoabwägung besser als die die Nichtbenutzung von Passwortmanagern. Man kommt aber nicht umhin, sich über die verschiedenen Produkte zu informieren und sich dann für eine gute Qualität zu entscheiden.