Passwörter im virtuellen Panzerschrank
Dresden · Wer für verschiedene Nutzerkonten das gleiche Passwort verwendet, geht ein Sicherheitsrisiko ein. Wer jedoch für jeden Dienst ein extra Kennwort wählt, verliert womöglich schnell den Überblick. Mit sogenannten Passwort-Tresoren müssen sich Nutzer nur noch ein Passwort für alle Internetkonten merken. Doch auch die Hilfssoftware hat ihre Schwächen.
Die meisten Internetnutzer sind heutzutage bei vielen verschiedenen Diensten angemeldet. Bei allen Anbietern das gleiche Passwort zu verwenden, ist fahrlässig. Wird eines der Konten gehackt, können sich Kriminelle mit dem gekaperten Kennwort auch bei anderen Diensten Zugriff auf private Daten verschaffen. Darum sollten Verbraucher grundsätzlich für jedes Konto einen eigenen Zugangscode wählen. Doch viele Nutzer wählten unsichere Zugangscodes, weil sie sich viele komplexe Passwörter nicht gut merken können, sagt Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der Technischen Universität Dresden . Dass sich zum Beispiel die Zahlenfolge "123456" als Kennwort ungebrochen großer Beliebtheit erfreut, bleibe auch vielen Kriminellen nicht verborgen.
Ein Passwort für alle Dienste
Das Dilemma der vielen Zugangsdaten sollen sogenannte Passwort-Tresore lösen. In solchen Programmen speichern Nutzer ihre zahlreichen Kennwörter verschlüsselt ab. Für den Zugriff auf die Liste müssen sie sich nur einen einzigen Zugangscode merken: das Masterpasswort.
Die Vorteile der Tresore liegen auf der Hand. Die Programme können dazu beitragen, dass Nutzer für ihre Dienste schwierigere Passwörter wählen. Einige der Programme erzeugen außerdem bei Bedarf direkt beim Anmelden auf einer neuen Plattform ein sicheres Passwort und speichern dieses ab. Alle Passwörter sind bei den Programmen an einer Stelle gespeichert. Genau darin liege aber auch ein Nachteil, erklärt Ronald Eikenberg von der IT-Fachzeitschrift c't. Sobald ein PC mit einem Computervirus infiziert sei, könne dieser unter Umständen das Masterpasswort ausspähen. Dann sind sofort alle in der Datenbank abgespeicherten Zugangsdaten in Gefahr. Die Manager seien damit auch ein interessantes Angriffsziel für Hacker, sagt auch Thorsten Strufe. "Dort greifen sie auf einen Schlag viele Passwörter ab."
Ihr Masterpasswort, also den Schlüssel zum Passwort-Safe, müssen sich Anwender selbst ausdenken. Damit es als sicher gilt, sollte es laut Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Und es darf nicht im Wörterbuch zu finden sein. Leichte Merksätze helfen beim Erstellen. Etwa: Am Morgen stehe ich um Acht auf und putze mir meine Zähne. Daraus wird gekürzt: AMsiu8a&pmmZ.
"Es gibt eine ganze Menge einfacher Methoden, um sich komplizierte Passwörter zu merken", sagt Strufe. Seiner Meinung nach ist das besser als die Daten einer Software anzuvertrauen.
Zwei Varianten der Tresore
Passwort-Tresore gibt es in zwei Varianten: offline und online. Bei Offline-Programmen wie zum Beispiel "Keepass" liegen die Daten auf dem Rechner des Nutzers. Onlinebasierte Dienste wie zum Beispiel Lastpass oder 1Password speichern die Kennwörter verschlüsselt auf einem Server. Der Vorteil der Online-Versionen der Tresore besteht darin, dass Nutzer von allen Geräten, egal ob Rechner, Tablet-PC oder Smartphone, einen einfachen Zugriff haben. Bei den Offline-Versionen muss der Nutzer die Passwortdatei von Hand hin und her kopieren, um die Listen beispielsweise von Computer und Smartphone auf dem gleichen Stand halten zu können.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt auf seiner Webseite bsi-fuer-buerger.de die Software Keepass. Das Programm ist englischsprachig. Auf der Herstellerseite keepass.info kann unter der Rubrik "Translations" eine Sprachdatei heruntergeladen werden, mit der Nutzer das Programm auf Deutsch verwenden können.
bsi-fuer-buerger.de
keepass.info
