Verwenden Sie keine schlechten Passwörter, sondern einen Passwort-Manager.
Stephen Shankland/CNET
Anmerkung der Redaktion: Anlässlich des Welt-Passwort-Tages veröffentlicht CNET eine Auswahl unserer Artikel über die Verbesserung und den Austausch von Passwörtern.
Wenn Sie zu den zahllosen Menschen gehören, die unklugerweise leicht zu erratende Passwörter verwenden oder ein Passwort für mehrere Konten wiederverwenden, haben Cybersecurity-Experten eine Botschaft für Sie: Es ist nicht Ihre Schuld. Es ist unmöglich, sich für jedes Konto ein eindeutiges, komplexes Kennwort zu merken.
Aber das ist genau die Aufgabe, in der Computer gut sind. Deshalb empfehlen viele Cybersicherheitsexperten die Verwendung eines Passwortmanagers. Dabei handelt es sich um eine Software, die Passwörter sicher speichert und sie automatisch in Anmeldeseiten einträgt. Sie helfen Ihnen, jedes einzelne Ihrer Online-Konten mit einem sicheren Passwort zu schützen.
„Ich empfehle jedem, sie zu benutzen“, sagt Matias Woloski, Chief Technology Officer des Authentifizierungsunternehmens Auth0 und Experte für Passwortsicherheit. „Passwortmanager sind heute die beste Alternative.“
Sie würden wahrscheinlich von der Hilfe eines Passwortmanagers profitieren. Laut Daten des Cybersecurity-Unternehmens SplashData ist das am häufigsten verwendete Passwort bei Datenschutzverletzungen immer noch „123456“, und das zweithäufigste Passwort ist natürlich „password“. Laut einer Umfrage des Antivirensoftware-Unternehmens McAfee aus dem Jahr 2018 verwendet die durchschnittliche Person nur 13 eindeutige Passwörter, und fast ein Drittel gab an, dass sie nur zwei oder drei Passwörter für alle ihre Konten verwenden.
Für einen umfassenderen Blick, lesen Sie die CNET-Berichterstattung dieser Woche über Passwort-Probleme und -Lösungen wie Hardware-Sicherheitsschlüssel, Gründe, warum einige alte Regeln für die Auswahl von Passwörtern jetzt veraltet sind und eine warnende Geschichte darüber, was mit einem Passwort-Manager schiefgehen kann.
Es gibt mehrere Möglichkeiten für Passwortmanager. Es gibt spezielle Tools wie LastPass, BitWarden, Dashlane, Keeper und 1Password. Webbrowser wie Safari, Chrome und Firefox verfügen ebenfalls über eingebaute Kennwortkontrollen, die zwar begrenzter sind, insbesondere wenn Sie mehrere Browser verwenden, aber sie werden immer ausgefeilter.
Leider können Passwortmanager komplex sein und funktionieren nicht immer reibungslos mit Websites und Anwendungen. Das könnte der Grund sein, warum sich nur 3 % der Internetnutzer hauptsächlich auf Passwortmanager verlassen, so das Pew Research Institute. Woloski schlägt vor, für den Anfang die Hilfe einer technisch versierten Person in Anspruch zu nehmen.
Passwortmanager können Ihnen dabei helfen, sich im Internet mit viel weniger Risiko zu bewegen. Auch wenn die Technikindustrie endlich echte Alternativen zu Passwörtern entwickelt und Möglichkeiten, sie ganz abzuschaffen, werden Sie noch jahrelang mit Dutzenden oder Hunderten von Passwörtern rechnen müssen. Passwortmanager können helfen, auch wenn sie nicht perfekt sind
Was ist ein Passwortmanager?
Passwortmanager erzeugen eindeutige, komplexe Passwörter für jede Website, speichern sie sicher und geben sie in verschiedenen Browsern und auf verschiedenen Geräten ein. Sie können als Browsererweiterungen oder mobile Apps verwendet werden, die Anmeldeseiten mit Ihrem Benutzernamen und Passwort für Sie ausfüllen.
Die Vorteile sind vielfältig. Erstens müssen Sie sich keine Passwörter merken (außer dem Passwort für Ihren Passwortmanager). Das bedeutet, dass Sie unangenehme, aber nützliche Sicherheitsratschläge befolgen können, wie z. B. niemals ein Passwort wiederzuverwenden und immer lange, komplexe Passwörter wie $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X zu verwenden.
Zudem schützen Passwort-Manager vor Phishing-Angriffen, die Sie auf betrügerische Websites leiten und versuchen, Sie zur Eingabe Ihres Passworts zu verleiten. Passwort-Manager bieten Ihre Anmeldedaten nur an, wenn Sie sich auf der richtigen Website befinden.
Schließlich verfügen viele Passwort-Manager über Funktionen, die Sie darüber informieren, wenn auf einer Website eine Datenschutzverletzung stattgefunden hat. Sie können Ihnen auch mitteilen, ob das von Ihnen verwendete Passwort in einer Sammlung gestohlener Benutzerdaten gefunden wurde, wie dies bei mindestens 555 Millionen Passwörtern der Fall war. Das sind Anzeichen dafür, dass Sie Ihr Passwort sofort ändern müssen. Passwort-Manager können Ihnen auch helfen, schwache oder wiederverwendete Passwörter zu finden.
Sollten Sie alle Ihre Kennwörter an einem Ort speichern?
Seit Jahrzehnten wird empfohlen, Passwörter auswendig zu lernen, so dass es sich als falsch erweist, sie nur an einem Ort zu speichern. Und natürlich wäre es schrecklich, wenn Hacker in Ihren Passwortmanager eindringen und auf alle Ihre Konten zugreifen könnten.
Doch die Sicherheit von Passwortmanagern hat sich als robust erwiesen. Hacker haben nur begrenzte Fortschritte beim Diebstahl von Benutzerinformationen aus Passwortmanagern gemacht – ein Einbruch ging beispielsweise so weit, dass sie die Hinweise für die Sicherheitsfragen von LastPass kompromittierten -, aber keine bekannten Angriffe griffen auf die Zwischenspeicher der tatsächlichen Passwörter zu.
Natürlich könnten Hacker diese Sicherheit irgendwann knacken, aber es ist viel wahrscheinlicher, dass sie Sie mit einem Phishing-Angriff angreifen, um Ihre Passwörter zu stehlen, so Mark Risher, Leiter der Abteilung Kontosicherheit bei Google. Außerdem verringert die Verwendung eines Passwort-Managers die Wahrscheinlichkeit, dass Sie auf einen Phishing-Angriff hereinfallen.
Video: In einer Welt der schlechten Passwörter könnte ein Sicherheitsschlüssel Ihr neuer bester Freund sein
Natürlich müssen Sie vorsichtig sein. Wenn Sie alle Ihre Kennwörter in einem einzigen Korb des Kennwortmanagers aufbewahren wollen, müssen Sie einen Weg finden, sich Ihr Hauptkennwort oder Ihren geheimen Schlüssel zu merken. Es ist in Ordnung, sie aufzuschreiben, solange Sie sie an einem sicheren Ort aufbewahren. Sie können Ihre Passwörter auch von Zeit zu Zeit in eine Tabellenkalkulation exportieren, solange Sie diese verschlüsselt aufbewahren (oder eine ausgedruckte Kopie in ein verschlossenes Aktenfach legen).
Wenn Sie den Zugang zu Ihrem Konto verlieren, müssen Sie das Kennwort für alle anderen Konten zurücksetzen, was sehr viel Kopfzerbrechen bereiten würde.
Nachteile von Passwortmanagern
Bei der Verwendung von Passwortmanagern muss man leider mit Unwegsamkeiten rechnen. Allein das Hinzufügen der Daten all Ihrer bestehenden Konten zum Dienst ist mühsam, obwohl die meisten Passwortmanager Tools zum Importieren der Daten aus Ihrem Browser oder anderen Passwortmanagern anbieten. Und es sind zusätzliche Schritte erforderlich, um den Passwortmanager auf dem Telefon zu aktivieren.
Das größte Problem besteht vielleicht darin, dass einige Websites nicht mit Passwortmanagern zusammenarbeiten und so Probleme verursachen, dass man seinen Computer am liebsten aus dem Fenster werfen würde.
Zum Beispiel bemerken Passwort-Manager manchmal keine Anmeldefelder. Oder sie fummeln, wenn Websites nach zusätzlichen Informationen wie einem PIN-Code oder Ihrem Lieblingsfilm fragen.
Manchmal spielen Webseiten nicht mit Passwortmanagern zusammen.
Brett Pearce/CNET
Schlimmer noch, manche Webseiten blockieren die Autofill-Funktion und hindern Passwortmanager daran, Ihre Anmeldedaten einzugeben. Eine australische Bank, die CommBank, rät ihren Kunden, die Zugangsdaten für ihr Bankkonto nicht in einem Passwort-Manager zu speichern. In einer Erklärung sagte die CommBank, dass sie den Wert von Passwortmanagern sieht, aber glaubt, dass Hacker Wege finden werden, ihre Kunden mit ausgeklügelten Phishing-Schemata auszutricksen, wenn sie Passwortmanager verwenden.
„Für Online-Banking-Passwörter empfehlen wir unseren Kunden, ein starkes Passwort zu erstellen, das für jedes Konto einzigartig ist, und dieses nicht aufzuschreiben“, sagte ein Sprecher des Unternehmens. Dennoch sagen Sicherheitsexperten, dass dies die Wahrscheinlichkeit erhöht, dass die Kunden schwache oder wiederverwendete Passwörter verwenden.
1Password arbeitet mit den Herstellern von Webbrowsern zusammen, die diese Funktion auf ihren Websites zulassen wollen, so Matt Davey, Chief Operations Officer des Unternehmens.
„Was sie versuchen, ist, sie auf der Ebene der Website außer Kraft zu setzen und sie trotzdem automatisch auszufüllen“, sagte Davey über die Browserhersteller. 1Password wird sich auch direkt mit Websites in Verbindung setzen und ihnen sagen, dass sie mit dem Programm mitziehen und ihre Benutzer sich mit einem Passwortmanager anmelden lassen sollen.
Selbst technisch versierte Menschen haben mit den Schwierigkeiten von Passwortmanagern zu kämpfen. Kimber Dowsett, eine Cybersicherheitsexpertin, die früher an der Sicherung von NASA-Systemen mitgewirkt hat und jetzt als Direktorin für Sicherheitstechnik bei der Software-Infrastrukturfirma Truss arbeitet, war kürzlich frustriert, als sie versuchte, sich bei einer Bank-Website anzumelden. Sie musste ihre Anmeldedaten manuell eingeben, weil die Website ihren Passwortmanager blockierte.
Es gab noch ein letztes Problem: Sie konnte nicht erkennen, ob ein Zeichen-Passwort die Zahl Null oder der Buchstabe O war, also musste sie raten.
„Ein großer Teil der Reibung würde durch App-Entwickler gemildert werden, die das automatische Ausfüllen und Einfügen erlauben, so dass wir Passwort-Manager tatsächlich wie vorgesehen verwenden können“, sagte Dowsett. „Einen Schraubenschlüssel hineinzuwerfen, hilft keinem von uns.“
Weniger Passwörter verwenden
Es gibt gute Nachrichten an zwei Fronten. Die erste ist, dass die Hersteller von Chrome, Safari und Firefox ihre eigenen Passwort-Manager ausbauen. Apple hat einen in iOS eingebaut und aktiviert ihn standardmäßig. Es ist in Ordnung, diese Funktionen auf Geräten zu verwenden, die Sie mit einem Passwort oder einer biometrischen Anmeldung kontrollieren. Außerdem dürften sie die digitale Speicherung von Kennwörtern verbreiteter machen und möglicherweise die Entwickler von Websites dazu zwingen, mit Funktionen wie dem automatischen Ausfüllen und Einfügen zu kooperieren.
Zweitens können Sie dank der neuen Technologien weniger Passwörter verwenden. Dank biometrischer Merkmale wie Fingerabdrücke und Gesicht müssen Sie nicht mehr bei jedem Zugriff auf einen Dienst Ihr Passwort angeben. Mit Single-Sign-On-Diensten können Sie sich bei einer Website mit einem anderen Konto anmelden, etwa bei Google, Apple oder Facebook. Allerdings müssen Sie damit einverstanden sein, mehr Informationen über die von Ihnen genutzten Dienste mit einem dieser Tech-Titanen zu teilen.
Drittens tragen Multifaktor-Authentifizierung, Sicherheitsschlüssel und andere Authentifizierungstechnologien dazu bei, die Sicherheitsmängel von Passwörtern zu verbessern. Irgendwann wird man vielleicht gar keine Passwörter mehr verwenden müssen.
Diese Innovationen werden die Passwörter nicht so bald ersetzen, so Dimitri Sirota, CEO von BigID, dessen Unternehmen Unternehmen beim Schutz persönlicher Daten hilft. Aber sie beginnt, die Vorrangstellung von Passwörtern bei der Sicherung von Konten zu untergraben. Und das ist eine gute Sache, sagte er.
„Passwörter sind seit langem der Standard“, sagte Sirota. „Und einer, über den niemand besonders glücklich ist.“
Erstmals veröffentlicht am 10. März 2020 um 5:00 Uhr PT.