Das Verwalten von Passwörtern ist ein wirklich leidiges Thema. Überall wird beschrien, dass Passwörter komplex sein müssen und schwer zu erraten sein sollen. Der geneigte Nutzer steht also stets vor dem Problem, sich wirre Zeichenketten ausdenken zu müssen, die er dann auch noch selbst gedanklich reproduzieren kann. Ich selbst hatte mir in den 90er-Jahren Passworte überlegt, die nach heutigem Maßstab zu kurz sind aber immerhin Kombinationen aus Sonderzeichen und echten Begriffen waren. Später folgten dann Passwortstrukturen, die für jeden Account individuell waren. Es handelte sich um Teile von Domains oder Providernamen, die mit verschiedenen Sonderzeichen kombiniert wurden. Eine Struktur, die „komplex“ erschien und die ich mir gut merken konnte. Genau in diesem Satz liegt aber schon ein „Doppelfehler“ hinsichtlich der Passwortbildung: „Struktur“ und „merken können“. Wer sich seine Passwörter merken kann ist entweder ein Super-Brain oder mit schwachen Passwörtern unterwegs – in den meisten Fällen vermutlich eher letzteres.
Für Angreifer sind Passwörter und Strukturen erkennbar, wenn sie einmal offenbart wurden (abfragbar z.B. über Seiten wie Have I Been Pwned: Pwned). Danach sind Passwörter – auch solche, die noch nicht offenbart wurden – nicht mehr sicher, wenn sie einer Struktur folgen.
Die Lösung kann also nur sein sich Passwörter zuzulegen, die man sich selbst nicht merken kann!?!
Passwörter, die man sich selbst nicht merken kann, scheinen erstmal nicht sinnvoll, weil praktisch kaum nutzbar. Hilfreich sind da Passwortmanager, die einem das „Merken“ abnehmen.
Nun ist es aber schon ein Unterschied, ob ich mich an einer Desktop-Software, meinem Rechner oder einer Internetseite anmelden möchte. Häufig nutze ich Apps auf dem Mobiltelefon, die das gleiche Passwort nutzen wie die zugehörige Internetseite. Wo speichere ich also nun meine Passworte?
Zunächst sollte man sich klar darüber werden, welche Passworte werden wo benötigt? Muss ich wirklich immer alle Passworte bei mir haben? Die wichtigste Erkenntnis in der IT ist:
wirkliche Sicherheit gibt es nicht.
Aus der Sicht von Hackern gibt es nur unterschiedliche Grade von Schwierig zu knacken. Deswegen ist auch die erste Überlegung, Passworte, die ich nicht unbedingt immer dabei haben muss, gar nicht erst auf dem Handy zu haben.
Wenn ich Passworte auf dem Handy speichere, gibt es mehrere Möglichkeiten dies zu tun. Gerne genutzt sind entsprechende Passwortmanager, die einen „Schutztresor“ durch Verschlüsselung erzeugen (sog. Vault) und darin die vertraulichen Daten aufbewahren. Solche Passwortmanager gibt es zu Hauf im Netz und in den App-Stores. Leider kommt es aber auch hier immer wieder zu Sicherheitsproblemen. Skeptisch macht mich eine „Sicherheitssoftware“, wenn diese ständig Werbung nachlädt und einblendet.
Ich persönlich bin großer Freund von quelloffener Software (open source). Software, die nach einem solchen Prinzip veröffentlicht wird, wird auch von einer Vielzahl von Leuten unter die Lupe genommen und puncto Sicherheit bewertet. Selbst, wenn ich selber sachlich oder zeitlich nicht dazu in der Lage bin eine solche Bewertung selbst vorzunehmen, gibt es hier eine „Gruppenkontrolle“.
Was nutzt man denn dann?
Die Frage ist so alt wie das Problem selbst. Eine „klare Empfehlung“ kann und würde ich an dieser Stelle nicht aussprechen. Dies schon deshalb nicht, weil Software ständig weiterentwickelt wird und sich damit eine Empfehlung auch ganz schnell ins Gegenteil verkehren kann.
In den letzten Jahren haben sich nach meiner Beobachtung unter Anderem die Programme KeePassXC und Cryptomator als stabil und vertrauenswürdig herausgestellt, um Passworte gesichert zu verwahren.
Und bei Websites?
Natürlich lassen sich Passworte für Internetseiten auch in den beiden genannten Passwortmanagern speichern. Wer etwas mehr Komfort möchte, kann aber auch den Browser nutzen, um seine Passworte sicher zu speichern. Ich nutze und teste derzeit Firefox in der aktuellsten Version mit angelegtem Account. Firefox hat in Kombination mit einem Account einen Passwortmanager für Websites integriert, der einem auch komplexe Passwörter vorschlägt. Diese werden laut Firefox in einem verschlüsselten Tresor gespeichert und – wenn man Firefox auch mobil nutzt – mit den verschiedenen Geräten über das angelegte Nutzerkonto „synchronisiert“. Ich habe meine Website-Logins dann automatisch geschützt dabei (Infos unter: Kostenlose Passwortverwaltung — Firefox).
Der klare Nachteil ist natürlich, man muss sich darauf verlassen, dass die Daten dort auch wirklich nach aktuellem Stand der Technik sicher verwahrt und eben nicht an Dritte weitergeleitet werden. Ob man das möchte, ist also wieder eine Abwägung zwischen Vertrauen und Bequemlichkeit.
Wer weder einem Passwortmanager noch einem Browser vertrauen möchte, kann auch die Strategie fahren, sich bei jedem Login einfach ein neues Passwort zusenden zu lassen. In den meisten Webshops ist es möglich, sich über einen link „Passwort vergessen?“ ein neues Passwort zu generieren. Wichtig ist dabei nur, die Passwörter dann auch wirklich lang und komplex zu gestalten. Dann muss man sich diese gar nicht merken. Das ist allerdings für Accounts, die man häufig nutzt, ein sehr lästiges Spiel.
Und die Apps auf meinem Handy?
Schwieriger ist die Bewertung der Sicherheitsstandards von Apps, die uns von Anbietern wie Amazon, Google, Temu usw auf die Mobilgeräte gezaubert werden. Aus meiner Sicht gilt hier: vertraue niemandem! Ob und wie stark die Passworte, die in einer solchen App gespeichert werden verschlüsselt sind, liegt allein bei den Herstellern der App, genauso wie die Frage, wofür sie verwendet werden.
Eine Überprüfung der Sicherheitsstandards bei einer App bedarf einer aufwändigen Technik und reichlich know how, weshalb ein Bekanntwerden von Sicherheitsrisiken eher selten vorkommt. Im Umkehrschluss bedeutet dies aber nicht, dass diese Apps sicher wären. Häufig ist dies wegen schlechter (kostenintensiver) Wartung nämlich genau nicht der Fall. Und schlimmer noch: es kann sogar sein, dass einzelne Apps versuchen die Passworte auszuspähen oder über Werbung und Tracking Spähsoftware mit auf die Mobilgeräte bringen, die den Sicherheits-Gau dann perfekt machen.
Wer dennoch diese Apps verwendet, weil es einfach bequemer ist, sollte sich genau überlegen, welche Apps er denn auf seinem Handy nutzt. Ich kann nur davon abraten, Apps von diversen Discountern, Baumärkten, Spielherstellern etc auf sein Handy zu laden, weil die Rabatte locken. Die Sicherheitsprobleme, die sowas mit sich bringen kann, wiegen die Rabattgutscheine einfach nicht auf. Insbesondere, wenn dann auch das Onlinebanking über das Handy abgewickelt wird und anschließend wichtige Accounts gehackt werden.