Das Problem

Wir sind “Gewohnheitstiere”! Ein bisschen faul und nicht besonders kreativ, insbesondere wenn es “schnell gehen muss”. Deswegen nutzen die meisten Leute keinen Passwortmanager sondern verwenden identische Passwörter für alle Accounts.
Wenn man immer das gleiche Passwort nutzt, warum kann man nicht einmal viel Zeit und Kreativität investieren, um sich ein sicheres Passwort auszudenken? In einer Studie des Hasso Plattner Instituts zeigt sich folgende traurige Lage bei den Top 10 der meistgenutzten deutschen Passwörter. Reine Zahlenkombinationen wurden herausgefiltert, aber man ahnt, dass es schlaue Kombinationen, wie “12345” sind:

  1. hallo 
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort1
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1
  10. ficken

Wie schnell ein Passwort geknackt werden kann, ist auf der Seite www.grc.com/haystack.htm einsehbar. Hier wird simuliert, wie lange ein Passwort beispielsweise einer “Brute Force” Attacke maximal standhält.

Zusätzlich stehen einem Angreifer öffentliche Reinbow-Tables zur Verfügung. Diese beinhalten eine Liste schwacher Passwörter, die gerne von Nutzern verwendet werden.

Aber vielleicht machst du dir ja tatsächlich mehr Gedanken und nutzt ein individuelles und langes Passwort, welches schwer zu erraten ist? Leider hilft auch das nicht, denn Anbieter von Online Diensten scheinen es nicht so genau mit der Sicherheit zu nehmen (Kostet ja nur Geld dieser Sicherheitsquatsch. Außerdem sind die Strafen, falls dann doch was passiert, leider so gering, dass man diese sehr wahrscheinlich aus der Portokasse zahlen kann). Deswegen ist dein Passwort entweder schon längst im Klartext verfügbar oder es wird irgendwann bei dem nächsten Hack dabei sein. Ob du schon betroffen bist, kannst du sowohl beim Hasso Plattner Institut mit dem Identity Leak Checker oder bei haveibeenpwned.com überprüfen.

Ergebnis des HPI Identity Leak Checker mit 14 gefunden Datenlecks
E-Mail des HPI Identity Leak Checker

Mit einem E-Mail Account, den ich seit knapp 10 Jahren für verschiedene Dienste genutzt habe, sieht das Ergebnis ziemlich ernüchternd aus. Meine Zugangsdaten wurden gleich 14 Mal veröffentlicht! Spätestens bei einem solchen Ergebnis sollte einem dann auch bewusst werden, dass auch ein gutes System nach dem Schema: “Sup3rS1cheresPasswortFürFacebook.com1234%&”, “Sup3rS1cheresPasswortFürGmail.com1234%&” nicht von großem Nutzen ist. Ab einer gewissen Anzahl an Leaks wird ein Angreifer das Schema erkennen.

Die Lösung

Ein Passwortmanager! Dies ist eine digitale, verschlüsselte Version eines Notizbuches, in dem du alle deine Passwörter und Notizen verwahren kannst.
Zusätzlich bietet er die einfache Möglichkeit für jeden Login ein zufälliges, langes und sicheres Passwort zu generieren. Dieses kannst du dir nicht mehr merken, aber das übernimmt dann der Passwort Manager für dich. Alles was du noch behalten musst, ist ein einziges sicheres Passwort. Dabei gilt: Je länger das Master Passwort desto sicherer. Am besten nimmst du einen ganzen Satz (oder mehrere), streust ein paar Zahlen und Sonderzeichen ein und schon bist du besser geschützt als je zuvor.
Ein Beispiel: Abheutegebeich1paar€/MonatfüreinenPasswortManageraus:) (Da es hier nun öffentlich steht, ist es ab sofort leider kein gutes Passwort mehr 😛 )

Bleibt also eigentlich nur noch die Frage: “Welchen Passwortmanager sollte ich denn nehmen?” Da ist die Antwort wohl so vielfältig, wie die unterschiedlichen persönlichen Anforderungen. Deshalb beschreibe ich nur kurz , welche Passwortmanager ich bisher selbst genutzt habe und was meine aktuelle Wahl ist. Zum Glück ist dies bei den meisten auch keine Entscheidung für die Ewigkeit, denn eigentlich bieten alle eine Möglichkeit alle Daten zu exportieren und diese dann in einem anderen wieder einzulesen.

Keepass

Keepass ist eine kostenloser und quelloffener Passwortmanager. Dieser war mein erster Passwort Manager. Damals hatte ich nur einen Computer und habe dort alle meine Passwörter verwaltet. Problematisch wurde es dann aber, als ich zusätzlich einen Laptop nutzte und das erste Smartphone dazu kam. Es musste eine Lösung für alle Geräte her. Zusätzlich wollte ich gerne ein vernünftige Browser-Integration.

LastPass

LastPass war mein zweiter Passwortmanager. Dieser bot eine App für Smartphones und jedes Betriebssystem. Die Daten wurden automatisch synchronisiert und ich konnte den Passwort-Safe zusätzlich mit einem YubiKey absichern. Über die Zeit wurde der Preis aber nach und nach erhöht und ich bekam immer öfter Probleme mit dem Browser Add-On. Insbesondere das Ausfüllen der Login Felder lief immer schlechter.

1Password

Ich hatte schon von mehreren Leuten positives über 1Password gehört und somit fiel die Wahl recht leicht und da es einen einfachen Import von LastPass gab, hab ich 1Password einfach mal ausprobiert. Das Browser Add-On funktionierte auf anhieb viel besser, die Oberfläche ist funktionaler als LastPass und sieht dabei noch schöner aus und das Teilen von Zugangsdaten mit 2Faktor-Authentifizierung nutze ich regelmäßig.

Im folgenden gehe ich auf paar Funktionen ein, die meiner Meinung nach 1Password zum bisher besten Passwort Manager machen:

Passwörter Teilen

Ich habe direkt den Familien Plan gekauft, um auch die restliche Familie dazu zu bringen einen Passwort Manager zu nutzen. Nun können wir auf einfache und sichere Art Zugangsdaten teilen. Der Bruder hat den Familien Spotify Account, aber gerade keine Zeit mich hinzuzufügen. Einfach kurz seine Zugangsdaten mit mir teilen, ich füge mich selber hinzu und fertig! Ich will das Passwort für Netflix ändern. Kann ich nun einfach machen, weil wir die Zugangsdaten sowieso in einem gemeinsamen Tresor haben.

2Faktor-Authentifizierung

1Password erlaubt auch so genannte One-Time Passwörter zu hinterlegen. Diese werden dann nach dem Ausfüllen der Login Daten im Browser sofort für die nächsten Sekunden in die Zwischenablage kopiert und man muss nicht umständlich in sein Handy schauen (wo ich vorher den GoogleAuthenticator für Android bzw. OTP für iOS genutzt habe).

Watchtower

Hier zeigt einem 1Password allerlei Verbesserungsmöglichkeiten auf.

  • Passwörter die man ändern sollte, weil eine Webseite gehackt wurde
  • Passwörter die in öffentlichen Passwort Listen stehen
  • Seiten auf denen man das gleiche Login Passwort nutzt
  • Schwache Passwörter
  • Webseiten bei denen man keine https verschlüsselte Domain hinterlegt hat
  • Dienste bei denen man keine 2 Faktor-Authentifizierung aktiviert hat, obwohl diese es unterstützen

Nimmt man sich mal einmal die Zeit und geht alle seine Meldungen im Watchtower durch, wird man sehr viel besser abgesichert sein. Außerdem eine tolle Möglichkeit alte und ungenutzte Accounts einfach komplett auf der Seite des Anbieters zu löschen!

iOS App

Die 1Password iOS App funktioniert wesentlich besser als LastPass. Insbesondere in der Kombination mit FaceID (wird auf Android mit einem Fingerabdruck ähnlich sein) macht es fast schon Spaß sich mit Logins herumzuschlagen. Einfach den Eintrag auswählen, kurz weiter ins Handy schauen, fertig!

Fazit

Ein Passwort Manager ist für mich die perfekte Lösung, um das Passwort Chaos in den Griff zu bekommen. Klar gibt es noch Alternativen und falls man es schafft, seinen Rechner mit einem schlimmen Trojaner zu infizieren, kann auch ein sicheres Master-Passwort irgendwie gestohlen werden. Aber aus allen Möglichkeiten ist es, unter Abwägung aller sonstigen Angriffsszenarien, die bisher beste Lösung! Denn ein Trojaner kann auch genau so alle deine Eingaben auf der Tastatur mitlesen und die “sicher gehüteten Passwörter” aus deinem Notizbuch mitschneiden. Das Notizbuch kann man aber verlieren oder es wird beim Hausbrand zerstört. Der synchronisierte Passwort Manager jedoch nicht!

Wer Angst davor hat, das Master Passwort zu vergessen, kann auch in 1Password seinen Familien Mitgliedern die Möglichkeit geben, einen Zugriff auf das Konto wieder herzustellen. Ich bezahle jedenfalls lieber ein paar Euro im Monat und lasse ein Team aus Profis überlegen wie man die Daten sicher verwaltet, als mich selber drum zu kümmern.

Außerdem seid ihr davor geschützt, eure Daten an eine Fake-Webseite abzugeben. Euer Passwortmanager wird für euch die Daten nur an die dafür bestimmte URL eintragen. Wie ihr euch generell vor Fake-Webseiten schützen könnt, erfahrt ihr hier.

Unterstütz uns

Du kannst über den Blocktrainer Ref-Link 1Password 30 Tage kostenlos testen!

Autor

Geboren in Münster, hat er immer noch keinen überzeugenden Grund gefunden, diese tolle Stadt zu verlassen. Als Programmierer macht er technisch alles möglich, was du hier so findest. Du willst dich bei mir bedanken? Dann guck doch mal in meine Amazon Wunschliste