Arbeitskreis Usable Security & Privacy | Beitrag vom
Passwort-Manager: Eine Einschätzung aus Usability- und Security-Sicht

In unserem Beitrag Passwörter – Usabilitydefizite und Empfehlungen haben wir erläutert, worauf Nutzer bei der Erstellung starker Passwörter achten sollten. Das Problem hierbei: Komplexe und lange Passwörter sind nicht leicht zu merken. Schon gar nicht eine Vielzahl davon, die automatisch anfällt, wenn man jeden Zugang mit einem eigenen Passwort sichert. Abhilfe versprechen Passwort-Manager, also Programme, die alle genutzten Passwörter verschlüsselt in einem digitalen Tresor ablegen.

Neben der effektiven Verwaltung helfen Passwort-Manager beim Erzeugen sicherer Passwörter und sorgen als Ausfüllhilfe für ein schnelles Einloggen (z. B. per copy & paste oder autofill). Der Nutzer muss sich nur noch ein Master-Passwort merken, mit dem sich der Passwort-Manager entsperren lässt. Dieses Master-Passwort sollte besonders sicher sein. Viele Passwort-Manager erzwingen daher starke Master-Passwörter und bieten als zusätzliche Absicherungsmöglichkeit eine Zwei-Faktor-Authentifizierung (z. B. per SMS) an.

Wie unterscheiden sich Passwort-Manager?

Je nach Wahl des Programms wird die Datenbank mit den verschlüsselten Passwörtern entweder lokal gespeichert (z. B. auf einem PC oder Smartphone) oder in der Infrastruktur eines Cloud-Anbieters abgelegt. Egal ob lokale Installation oder cloudbasiert – Funktionsumfang und Features des Passwort-Managers sollten möglichst gut zum Nutzungsverhalten und den Onlinegewohnheiten des Nutzers passen. Neben kostenpflichtigen Passwort-Managern gibt es auch eine Reihe sehr guter kostenloser Programme.

Pro & contra: Worauf sollten Sie achten?

Als Orientierungshilfe bei der Auswahl eines passenden Programms haben wir die wichtigsten Vor- und Nachteile der gängigen Passwort-Manager-Varianten aus Usability- und Security-Sicht in der folgenden Tabelle zusammengestellt:

Vorteile

Passwort-Manager allgemein

  • zentrale und strukturierte Ablage, dadurch weniger Suchaufwand
  • einfache Erstellung und Ändern von starken Passwörtern
  • mentale Entlastung, nur ein Passwort (Master-Passwort) muss gemerkt werden
  • viele Komfortfunktionen, z. B. Linkaufruf mit automatischer Kennwort- und Passwort-Eingabe
  • auch zum Speichern anderer Datenkategorien geeignet, z. B. Kundennummern, Geräte-IDs u. ä.

Cloud-Dienste

  • Passwörter können von überall aus abgerufen werden
  • Passwörter können auf unterschiedlichen Geräten (z. B. PCs, Smartphones) und Betriebssystemen synchronisiert werden
  • Browserintegration mit Autofill-Funktion
  • Schutz vor Phishing, z. B. Warnung, wenn die aufgerufene URL nicht der im Passwort-Manager gespeicherten URL entspricht
  • Warnung, wenn Konten gehackt wurden (durch Abgleich mit Listen geleakter Zugangsdaten)

lokale Software

  • Passwörter werden nicht in eine Cloud hochgeladen, die gehackt werden kann

Nachteile

Passwort-Manager allgemein

  • lediglich ein Angriffsziel: wenn das Master-Passwort geknackt wurde, hat der Angreifer Zugriff auf sämtliche Passwörter
  • Lock-in-Effekt an den Passwort-Manager (z. B. Durch Datenbankformat des gewählten Passwort-Managers)
  • erheblicher Aufwand, wenn das Master-Passwort vergessen wurde und sämtliche Passwörter wiederhergestellt bzw. neu gesetzt werden müssen

Cloud-Dienste

  • Server des Cloudanbieters können gehackt werden

lokale Software

  • keine automatische Synchronisierung; Änderungen der Datenbank müssen auf anderen bzw. neuen Geräten nachgezogen werden
  • Passwörter hinterlassen gegebenenfalls Dateireste im Zwischenspeicher, die ausgelesen werden können

In den aktuellen Versionen verwenden die Passwort-Manager durchgehend zeitgemäße Verschlüsselungsstandards. Viele Programme bieten Komfort- und Zusatzfunktionen, z. B. einen Passwort-Import oder eine Dublettenprüfung, die sicherstellt, dass ein Passwort nicht doppelt verwendet wird. Von der Nutzung der integrierten Passwort-Manager, die viele Webbrowser von Haus aus mitbringen, rät das Bundesamt für Informationstechnik eher ab. Die Zugangsdaten können hier relativ einfach von Schadsoftware extrahiert und von Angreifern missbraucht werden.

Fazit - Was ist wichtig bei der Auswahl?

Unterm Strich empfehlen wir die Nutzung eines Passwort-Managers. In jedem Falle sollten jedoch die mit der Nutzung verbundenen Risiken abgewägt werden: Möchte man dem Anbieter bzw. Softwarehersteller wirklich die kompletten beruflichen und/oder privaten Zugangsdaten anvertrauen? Dies gilt natürlich, wenn die Passwörter in eine Cloud hochgeladen werden, aber theoretisch können auch lokal installierte Programme eine versteckte Backdoor enthalten. Bei Cloud-Diensten sollte man unbedingt die AGB und die Datenschutzerklärung des Anbieters prüfen und sich über den Unternehmens- bzw. Serverstandort informieren, da dies Auskunft über das Datenschutzrecht gibt, dem die Daten unterworfen sind. Beim betrieblichen Einsatz muss der Passwort-Manager den Organisationsrichtlinien entsprechen, z. B. in Hinsicht auf Vertretungsregeln, Vergabe, Entzug und Weitergabe von Berechtigungen, gemeinsame genutzte Zugänge, Mehr-Faktor-Authentifizierung und Ähnliches.