Passwort-Manager

Passwort vergessen war gestern! | 17.08.2018

Passwörter vergessen war gestern

© golero - istock.com

Ob Shopping oder Social-Media-Account: Mittlerweile müssen Sie für fast jeden Online-Dienst ein Passwort vergeben. Gerade wenn Sie sich nicht endlos viele Passwörter merken können oder wollen, lohnt sich der Blick auf einen Passwort-Manager.

Viele Nutzer neigen dazu, Ihre Passwörter mehrfach zu verwenden oder zu einfach zu halten – unter den beliebtesten Varianten befinden sich nach wie vor Kombinationen wie "password" oder "123456". Beides macht es potenziellen Angreifern sehr leicht:
Da der Nutzername bei den meisten Diensten Ihre E-Mail Adresse ist, haben Betrüger gleich Zugriff auf mehrere Dienste, wenn Sie ein Passwort mehrfach verwenden. Und ein zu leichtes Passwort ist in Sekunden geknackt.

Was sind Passwort-Manager?

Ein Passwort-Manager nimmt Ihnen zwei lästige Aufgaben ab: Er denkt sich für jeden Dienst ein eigenes, sicheres Passwort aus und merkt es sich für Sie. Beim Aufruf einer Website können Sie – je nach Dienst – die Daten entweder automatisch ausfüllen lassen oder aus Ihrem Passwortspeicher kopieren.
 
Ab jetzt müssen Sie sich nur noch eins merken – das Masterpasswort für den Passwort-Manager.
Passwort-Manager können Sie für nahezu alle Online-Plattformen verwenden – vom Konto Ihres Mobilfunkanbieters bis zu jedem beliebigen Shopping-Account oder Ihrem Zugang zum Internetbanking.

Wie funktionieren Passwort-Manager?

Einen Passwort-Manager können Sie sich wie einen Tresor vorstellen – nur eben für Ihre Nutzernamen und Passwörter. Sie kommen nur an den Inhalt heran, wenn Sie die richtige Kombination (Ihr Masterpasswort) kennen.
 
Grundsätzlich gibt es 2 Arten von Passwort-Managern:

  • Bei Offline-Passwort-Managern werden die Passwörter lokal auf Ihrem Rechner in einer Datenbank gespeichert, die durch Ihr Masterpasswort gesichert ist.
  • Online-Passwort-Manager können Sie auch mit mehreren Geräten nutzen. Die Passwortdatenbank liegt nicht nur auf Ihrem PC oder Smartphone, sondern zusätzlich – natürlich verschlüsselt – in einer Cloud oder auf einem Server im Internet.

Angebote für beide Varianten gibt es viele: Open-Source-Software, die meist eine eher schlichte Oberfläche hat und die Sie durch das Herunterladen weiterer Elemente (z.B. ein Browser Plug-in) erweitern können, ist kostenfrei, hat aber keinen individuellen Support.
Herstellerspezifische Software bietet Ihnen bereits ein vollständiges Paket und in der Regel einen guten Support, kann aber auch mit einmaligen oder regelmäßig anfallenden Kosten verbunden sein.

Ein starkes Masterpasswort - und weitere Alternativen

Sich nur noch ein einziges Passwort merken zu müssen, klingt toll. Ihr Passwortsafe ist aber nur so sicher wie Ihr Masterpasswort. Hier sollten Sie also ein starkes Kennwort verwenden: Am besten ist dieses sehr lang, enthält Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und lässt sich nicht im Wörterbuch finden.
Dieses Masterpasswort müssen Sie sich auf jeden Fall merken. Denn ohne kommen Sie nicht mehr an Ihre gespeicherten Daten. Und die Wiederherstellung ist je nach Anbieter teilweise sehr schwer bis unmöglich.
 
Komplexe Passwörter sind nicht Ihr Ding? Keine Sorge, auch ohne ein ewig langes Passwort haben Sie Möglichkeiten, Ihre Daten sicher zu speichern: Viele Hersteller bieten die Möglichkeit der Absicherung durch einen zweiten Faktor, z.B. einen Einmalcode, den Sie per SMS oder E-Mail bekommen, oder einen USB-Stick mit einer externen Schlüsseldatei.
 
Einem Betrüger würde Ihr Masterpasswort in diesem Fall also gar nichts nützen, er bräuchte zusätzlich noch Zugriff auf Ihren zweiten Faktor.
 
Als Internetbanking-Nutzer kennen Sie das grundsätzliche Prinzip übrigens schon: Um eine Transaktion zu tätigen, brauchen Sie nicht nur Ihr Passwort, sondern auch einen zweiten Faktor in Form einer TAN-, SMS- oder App-Freigabe.

Was ist bei der Wahl eines Passwort-Managers wichtig?

  • Ganz wichtig sind aktuelle Sicherheitsstandards. Die meisten Tools arbeiten mit AES-256-Bit-Verschlüsselung oder Twofish- bzw. Chacha20-Algorithmus.
  • Achten Sie auch auf regelmäßige Aktualisierungen der Software. Ein Passwort-Manager ist nur gut, wenn er bekannte Sicherheitslücken schnell schließt.
  • Vergleichen Sie verschiedene Lösungen im Netz. Für die meisten Passwort-Manager gibt es gute Tutorials, die einem Funktionsumfang und Einrichtung genau erklären. So können Sie erst einmal gucken, welche Lösung für Sie am besten passt.

Passwort-Manager sind eine großartige Hilfe und verwahren Ihre Zugangsdaten sicher. Sie schützen Sie allerdings nicht vor Phishing-Angriffen. Bitte achten Sie also immer darauf, dass Sie Nutzernamen, Kennwörter und andere vertrauliche Daten nur auf den Original-Websites eingeben – und reagieren Sie nicht auf Mails, die Sie auffordern, vertrauliche Daten über einen E-Mail-Link einzugeben.

Autor: Kerstin Strube


Ihre Meinung

Kommentare (17)


Kommentare

ING

19.07.2019

Hallo shiker, unter Nummer 9.1. Abs. 2 (a) heißt es auch: "sie
dürfen insbesondere [...] nicht ungesichert elektronisch gespeichert (z. B. Speicherung der PIN im Klartext im Computer oder mobilen Endgerät) werden..." Die Nutzung eines Passwort Managers ist selbstverständlich möglich, erlaubt und sinnvoll. Absatz 5 bezieht sich auf die Nutzung von Drittanbietern für Zahlungsdienstleister (z.B. Haushaltsbuch Apps). Viele Grüße, Ihr Social Media Team


shiker

18.07.2019

Ich finde es ja sehr löblich, dass die ING ihren Kunden die Nutzung eines Passwortmanagers nahelegt. Allerdings sind die AGBs der ING hinsichtlich der Nutzung von Passwortmanagern zum Speichern von Kontozugangsdaten m.E. unklar.

In den Vereinbarungen zum Internetbanking inklusive Postbox (gültig ab 14.9.2019 heißt es in Nummer 9.1 Abs. 2 (a) "Wissenselemente, wie z. B. die PIN oder die mobilePIN, sind geheim zu halten; sie dürfen insbesondere [...] nicht auf einem Gerät notiert oder als Abschrift zusammen mit einem Gerät aufbewahrt werden, das als Besitzelement (z. B. TAN-Generator, mobiles Endgerät) oder zur Prüfung des Seinselements (z. B. mobiles Endgerät mit Banking to go App und Fingerabdrucksensor) dient."

Allerdings räumt die ING dann in Nummer 9.1 Abs. 5 ihren Kunden ein: "Ungeachtet der Schutzpflichten nach den Absätzen 1 bis 4 darf der Kunde seine Authentifizierungselemente gegenüber einem von ihm ausgewählten Zahlungsauslösedienst und Kontoinformationsdienst sowie einem sonstigen Drittdienst verwenden (siehe Nummer 2 Absatz 1 Satz 3 und 4 dieser Vereinbarungen). Sonstige Drittdienste hat der Kunde mit der im Verkehr erforderlichen Sorgfalt auszuwählen."

Es stellt sich also die Frage, ob ein handelsüblicher Passwortmanager wie z.B. 1Password einen "sonstigen Drittdienst" darstellt und ob die Kontozugangsdaten dort verschlüsselt hinterlegt werden dürfen - auch und gerade wenn der Passwortmanager und BankingToGo auf dem selben Mobilgerät genutzt werden.

Ich würde mir diesbezüglich von der ING eine klare Aussage wünschen. Ggf. bitte auch eine Konkretisierung der Sorgfaltspflichten, wie z.B. Mindestpasswortlänge/-komplexität für das Masterpasswort.


ING

27.02.2019

Hallo Winni, gut, dass Sie sich über die Sicherheit Gedanken machen. Mit unserer Banking to go können Sie ganz beruhigt sein, denn bei der PIN ist noch lange nicht Schluss:
- Die App ist an Ihr Gerät gebunden und kann nicht kopiert werden. Für eine Freigabe braucht es also immer die PIN und Ihr Gerät.
- Nach drei Fehleingaben der PIN löschen wir das entsprechende Gerät bei uns im System. So können damit keine Transaktionen mehr ausgeführt werden.
- Sollten Sie Ihr Gerät verlieren, sperren Sie die App ganz einfach im Internetbanking oder telefonisch.
- Die App verwendet weitere Sicherheitstechniken wie z.B. den Schutz durch Keylogger oder durch die app-eigene Tastatur.
Viele Grüße, Ihr Social Media Team


Winni

26.02.2019

Wie passt dieser Passwort Artikel in seiner warnenden Ausführlichkeit zum Vorgehen der ING in der to go App einen mobilen PIN mit nur 5 Zahlenwerten zu definieren. Sonderzeichen, Buchstaben..nichts ist möglich? Es gruselt mich..Sicherheit duch high-tec?.


ING

25.02.2019

Hallo Mimmi, Sie können Ihren Internetbanking PIN / DiBa Key direkt im Internetbanking ändern. Sie finden die Funktion unter Service - Sicherheit. Viele Grüße, Ihr Social Media Team


Mimmi

24.02.2019

Wie ändere ich mein password.


ING

24.01.2019

Hallo Nerd, danke für den Kommentar! Die Länge des Passworts ist natürlich immer in gewisser Weise eine Abwägung zwischen Sicherheit und Bequemlichkeit. Neben dem Internetbanking PIN benötigt man zum Log-in aber ja auch noch zwei Stellen des DiBa-Keys. Und für die Bestätigung aller relevanten Aktionen eine TAN bzw. die Freigabe per Banking to go App. Viele Grüße, Ihr Social Media Team


Nerd

24.01.2019

Guter Artikel. Trotzdem würde ich von euch gerne wissen, warum die maximale Passwort Länge bei der ING Diba im Jahre 2019 immer noch bei 10 Zeichen liegt? Das ist hochgradig unsicher und kann in wenigen Stunden per Brute Force geknackt werden, wenn mal jemand den Passwort Hash in die Hand bekommt.

Was ist der Grund für diese Begrenzung? Und wann wird sie endlich erhöht? Ich bin grundsätzlich sehr zufrieden mit der Ing Diba, aber dieses gravierende Sicherheitsproblem macht mir Sorgen. Andere Banken sind leider ähnlich schlecht oder sogar noch schlechter. Aber das machts ja nicht besser.


bernd

25.08.2018

ein altes handy mit passwörtern im sms archiv und ein guter handy -pin.wer will kann probieren


Alexander

22.08.2018

Die sicherste Lösung ist sicherlich sich alles zu merken. Bei der Vielzahl an Accounts und damit Passwörtern ist dies aber kaum möglich.
Ich nutze beispielsweise eine Passwortkarte für das Masterkennwort meines Passwortmanagers. Das sind eine Vielzahl Zeichen in Reihen und Spalten mit Koordinaten. Man merkt sich die Koordinaten und die Länge und hat so ein beliebiges Kennwort.
Vielleicht noch ganz interessant, das Hacken durch maschinelles ausprobieren im Falle eines realen Wortes mit 8 Zeichen, dauert wenige Sekunden.
@Martin:
Passwörter im Klartext aufzuschreiben halte ich für keine gute Idee. Was passiert wenn das Buch verloren geht? Bist Du Dir sicher, dass kein Dritter an das Buch kommt? Besucher, Putzfrau, Kinder? Wie änderst Du die Passwörter wenn Du Dich nicht an alle Accounts erinnerst?


Martin

21.08.2018

Was machen sich Leute Gedanken und wägen ab.
Fakt ist > Daten, die auf Reisen gehen oder vom externen Datenträger abgegriffen werden können, SIND NICHT SICHER!!! PUNKT.
Welchen Märchen sitzen Berater auf, wenn sie hilfreich und überzeugt ihre Meinung öffentlich einbringen.
Altmodisch hilft: kl. Büchlein, da stehen sie drin. Und nichts anderes.


Jonas

20.08.2018

@Oliver
Na klar Passwörter auf Stick für daheim und zum mitnehmen.
Da kommt keiner ran, bis man den Stick in den PC / Laptop steckt.
Aber auch das ist kein Problem was Trojaner und Viren angeht, wenn man McAfee nutzt. Die bieten nicht nur dagegen Schutz, sondern haben auch einige nützliche Tools onboard.

Und klar! Passwortmanager können geknackt werden egal wie gut das Masterpasswort ist.
Sonst würde es nicht so viele unterschiedliche geben und jeder würde behaupten er wäre sicher.
Denn wäre wirklich einer sicher, dann würden die Leute nur noch den einen kaufen.
Dann gäbe es da keine Konkurrenz mehr.

Also träum mal schön weiter mit deinem sicheren Passwortmanager.


Nick

17.08.2018

Am besten nach altmodischer Sitte auf einen oder mehrere Zettel notieren und dann im Haus verstecken...


Oliver

17.08.2018

Genau, Passwordmanager sind auch nur Programme, Dateien, Files.
Aber eine Exceldatei auf einem USB-Stick mit den Passwörtern ist da eine total gute Idee.

Wenn der Passwordmanager (closed Source) als sicher bekannte Verschlüsselung nutzt sehe ich kein Problem ein solches Programm zu nutzen wenn die Dateien auf einem Server liegen. Hauptsache das Masterpassword ist ausreichend stark, da kann man gut ein solches Password wie vorgeschlagen nutzen.

Open Source Passwordmanager werden von uns dienstlich genutzt. Die kann man bei eigener Cloud auch gut auf verschiedenen Systemen nutzen. Und auch diese Programme verschlüsseln die Datenbank in der Regel mit guten Algortihmen.


Frank

17.08.2018

@Stefan
Was ist da kompliziert?`
Dein Vor- Nachname getrennt mit Punkt ein Sonderzeichen, dein Wohnort, ein anderes Sonderzeichen und wann du geboren bist, das weißt doch alles oder nicht?
Kannst ja auch was anderes machen...nur gut mischen...
Kannst deine Passwörter aber auch auf einen USB Stick in einer Excel Tabelle anlegen und dann immer rüber kopieren, aber wenn du unterwegs bist oder woanders rein möchtest....hmmm...

Nur ich traue keinem Passwortmanager....wie gesagt, sind auch nur Programme, Dateien, Files.....


Stefan

17.08.2018

sehr kompliziert


Frank

17.08.2018

Wenn das Masterpasswort bzw. die Passwörter in einer Datei gespeichert sind, sind es Dateien und Dateien können früher oder später immer gehackt / geknackt werden.
Also Passwörter lieber verschieden und daheim wo sicher ablegen.
Oder aber man schreibt sich seine Passwörter auf und decodiert sie im Kopf noch mal....
Zum Beispiel Hannes@kauftBROT435
und man hat im Kopf, bei der Zahl gibt man einfach +1 oder +2 oder +3.
Also richtiges Passwort bei +1 wäre dann Hannes@kauftBROT 546
bei +2 Hannes@kauftBROT657 usw.

Eingeschränkt ist man immer nur im Rahmen der Anbieter...in der länge der Zeichen, Ziffern und oder Sonderzeichen wenn unbedingt gefordert werden.

Allgemein sollte man bei Passwortabfragen alles eingeben können oder auch nicht, mit oder ohne Einschränkung und maximale Eingabelänge 50 Stellen.
Dann kann sich jeder aussuchen, was er eingeben möchte...wer nur eine Stelle eingeben möchte kann es tun, denke aber, dass Passwortknacker das schnell raus haben.
Und überall sollte man das selbe Passwort eingeben können.
Denke nicht das ein Passwort Manager knacken könnte:
Hans.Peter@Grundmemmingen$WURDEAM01.06.1945GEBOREN
HA - genau 50 Stellen und alles drin: Groß, Klein, Sonderzeichen und Ziffern.
Und ist doch einfach zu merken oder nicht?????