Kennwortverwaltung

Ein Passwort-Manager, auch Kennwort- oder Passwortverwaltung (englisch Password Manager, Password Safe) genannt, ist eine Anwendungssoftware, mit deren Hilfe ein Computer-Benutzer Zugangsdaten und Geheimcodes verschlüsselt speichern, verwalten und verwenden kann. Entsprechende Anwendungsprogramme sind plattformübergreifend für Desktop-Computer und Laptops wie für Smartphones verfügbar.

Notwendigkeit

Passwort-Manager sind aus dem Problem entstanden, dass Anwender in ihrem eigenen System ebenso wie für zahlreiche Benutzerkonten bei Online-Diensten im Web sichere Kennwörter benötigen. Es stellt ein hohes Sicherheitsrisiko dar, für verschiedene Dienste gleiche Benutzernamen und Kennwörter zu nutzen, da ein einzelnes entwendetes Passwort den Zugriff auf alle Dienste ermöglichen würde. Daher werden viele unterschiedliche Passwörter benötigt. Sichere Passwörter sind lang und bestehen aus schwer zu merkenden Buchstaben-, Zahlen- und Sonderzeichenkombinationen (siehe dazu „Wahl sicherer Passwörter“). Passwort-Manager gestatten es dem Anwender, viele unterschiedliche und sichere Passwörter vor unberechtigtem Zugriff zu schützen und diese trotzdem bequem nutzen zu können.

Besonders Systemadministratoren brauchen viele verschiedene und sehr starke Kennwörter, da diese immer noch das schwächste Glied der Kette zum Schutz eines Netzes darstellen.

Funktionsweise

Der Anwender trägt in einem Passwort-Manager – bei der Einrichtung und später regelmäßig – für jedes seiner Benutzerkonten den verwendeten Benutzernamen, die zugehörigen Kennwörter, eine Bezeichnung für das Benutzerkonto (bzw. den Webdienst) sowie ggf. weitere Informationen wie z. B. die Webadresse in die Datenbank ein. Diese Kenntwortdatenbank ist durch ein Hauptkennwort gesichert (verschlüsselt). Ganz ähnlich wie ein Telefonbuch genutzt wird, um Kontakte anzurufen, unterstützen die meisten Passwort-Manager einen automatisierten Login bei Online-Diensten und Web-Portalen. Dementsprechend sollte es sich beim Hauptkennwort um ein starkes Kennwort handeln. Gegebenenfalls lässt sich die Sicherheit durch eine zusätzliche Schlüsseldatei oder durch Zwei-Faktor-Authentisierung weiter erhöhen.

Hauptkennwort

Das Haupt- oder Master-Kennwort muss der Anwender umsichtig verwahren – stellt es doch die Zugangsberechtigung zur Kennwortdatenbank dar. Entsprechend kann er es in einem Tresor, auf einem USB-Stick oder ähnlichem und ggf. auch außer Haus sichern.

Verschlüsselung

In der Regel verschlüsseln die Programme nicht nur die Kennwörter, sondern die gesamte Datenbank. Idealerweise kommen dabei starke Verschlüsselungsalgorithmen zum Einsatz.

Kennwortgenerator

Benutzeroberfläche eines Kennwortgenerators (KeePass)

Integriert ist meist auch ein Kennwortgenerator, mit dem verschieden starke Kennwörter zufällig generiert werden können. Unter Umständen erstellt dieser auf Grundlage der zufälligen Eingabe des Benutzers mit Maus oder Tastatur Kennwörter mit beliebiger Länge und verschiedenen Zeichensätzen. Leicht lassen sich Kennwörter mit 100 und mehr Bit erstellen. Diese starken Kennwörter mit 15 und mehr Zeichen sind dann allerdings nur noch mit einer Kennwortverwaltung praktikabel verwendbar. Beispiel: D`k+oGw(^#"mPoO

Anwendungssoftware

Zu den Programmen bzw. -Web-Diensten für Passwort-Management, die in Tests aufgrund ihrer Funktionalität, Bedienfreundlichkeit und Sicherheitsaspekte wiederholt positiv abschnitten, zählen unter anderem:^[1]^[2]^[3]^[4]^[5]

KeePass – eigenständige Software für Windows-, Linux-, Mac-Betriebssysteme (Open-Source)
LastPass – Cloud-Lösung via App bzw. Browser-Addon, plattformübergreifend synchronisiert via Web-Hosting
1Password – Cloud-Lösung, plattformübergreifend synchronisiert via Web-Hosting
Bitwarden - Cloud lösung, die sich mittels Dockercontainer-Derivat auch selbst hosten lässt.^[6]
weitere Passwort-Manager: authpass (Open-Source und plattformübergreifend)

Sicherung

Eine Kennwortverwaltung sammelt die Kennwörter zentral, d. h. die Kennwortdatenbank ist in einer einzigen Datei – in einem programmeigenen Format – gespeichert. Da diese Datei durch das Master-Passwort verschlüsselt ist, kann sie vervielfältigt und auf einem weiteren Datenträger gesichert werden. Bei Cloud-Anbietern ist die Kennwortdatenbank in der Cloud gespeichert.

Falls eine Schlüsseldatei verwendet wurde, muss auch sie auf einem gesonderten Datenträger gesichert werden.

Für Zwecke des Datenaustauschs kann die Kennwortdatenbank zudem meist als CSV-Datei exportiert werden – ein Format, welches alle gängigen Kennwortverwaltungsprogramme und Texteditoren unterstützen. Auch der flexible XML-Export oder einfaches Ausdrucken ist möglich. Nachteil bei diesen Formaten ist aber, dass sie die Kennwörter unverschlüsselt speichern.

Nachteile

Nutzer von Passwort-Managern sind von ihrer Passwort-Datenbank abhängig. Da einzelne Passwörter nicht mehr gemerkt werden, benötigt der Anwender regelmäßig und auf Dauer Zugriff auf die Passwort-Datenbank. Die Passwort-Datenbank sollte daher regelmäßig gesichert werden, um dem Fall einer Beschädigung vorzubeugen. Bei Lösungen, die die Passwort-Datenbank in der Cloud speichern, übernimmt der Anbieter die Datensicherung.

Mängel

2019 ergaben Untersuchungen, dass bei verbreiteten Passwort-Managern die Passwörter unnötig lange im Arbeitsspeicher verblieben, sogar dann noch, wenn der Passwort-Manager gesperrt wurde.^[7]

Alternativen

Passwörter vom Browser speichern lassen

Auch Webbrowser wie Mozilla Firefox, Google Chrome und Internet Explorer bieten eine Kennwortverwaltung an, allerdings werden die Passwörter in der Regel unverschlüsselt gespeichert. Im Browser unverschlüsselt gespeicherte Passwörter können, sobald ein Dritter Zugriff auf den Computer des Anwenders hat, einfach entwendet werden und stellen eine Sicherheitslücke dar. Die Stiftung Warentest empfiehlt daher, entweder ganz darauf zu verzichten, den Browser Passwörter speichern zu lassen, oder zumindest die Kennwortverwaltung des Browsers mit einem Master-Passwort zu schützen.^[8] In diesem Fall können die gespeicherten Passwörter ohne Eingabe dieses Master-Passworts nicht genutzt werden. Die Sicherung und Synchronisierung der im Browser gespeicherten Passwörter geschieht in der Regel über ein Benutzerkonto in der Cloud des Browser-Herstellers. Andernfalls muss der Benutzer selbst für die Sicherung seiner Passwörter gegen Datenverlust sorgen.

Passwörter nach einem Schema konstruieren und memorieren

Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Der Nutzer merkt sich eine für alle Passwörter geltende Formel, die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Unternehmensname. Von einer solchen Zeichenkette nimmt man bestimmte Zeichen und kombiniert sie mit nach einem festen Schema vorgegebenen Zahlen und Sonderzeichen. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Chiffriercode und erhält damit individuelle und gleichzeitig sichere Passwörter. Wenn allerdings dieser Chiffriercode bekannt wird, sind gleichzeitig alle vom Nutzer erstellten Passwörter unsicher. Ein weiteres Manko stellen die unterschiedlichen Anforderungen an Passwörter dar, die von Diensten wie Internetforen, -shops etc. gestellt werden. Diese verhindern eventuell die Anwendung des selbst ausgedachten Algorithmus.

Die bisher aufgeführten Nachteile sind durch eine Zweiteilung des Passwortes möglich. Dazu wird ein weiteres Tool (sog. Passcoder) notwendig, welches den zweiten Teil des Passwortes („Salt“) anhängt und ggf., um die Regeln der Seite zu erfüllen, noch Sonderzeichen oder ähnliches anfügt. Damit der zweite Teil des Passwortes beim Ausspähen einer Seite nicht offenbart wird, ist das Ergebnis selbst noch zu verschlüsseln (Passwort aus Passwortmanager + „Salt“ + Verschlüsselung = Passwort zum Login).

Allerdings macht sich der Anwender bei diesem System davon abhängig, den Passcoder nicht zu vergessen. Und je nach Güte des Passcoders müssen, falls ein Passwort kompromittiert wird, ggf. gleich alle Passwörter geändert werden.

„Anmelden mit“ (auch: Single Sign-on)

Etliche große Cloud-Anbieter wie z. B. Amazon, Apple, Facebook oder Google bieten einen Dienst „Anmelden mit“ an, vergleiche Login (Informationstechnik).

Einzelnachweise

↑ Andrew Cunningham, Thorin Klosowski: The Best Password Managers. New York Times Wirecutter, 8. Dezember 2020
↑ Joerg Geiger: Passwort-Manager Test 2020: Diese Dienste lösen Ihr Passwort-Problem. Chip.de, 8. September 2020
↑ Jan Schüßler: Schatzkästen - 15 Passwortmanager im Vergleich. c't 15/2020, heise.de, S. 22
↑ Daniel Nawrat: Passwort-Manager 2020 Test: Testsieger und die besten Empfehlungen. GIGA.de, 13. Nov. 2020
↑ Passwort-Manager im Test. Von 14 schneiden 3 gut ab. Stiftung Warentest, 28. Januar 2020
↑ Docker Hub. Abgerufen am 9. Februar 2022.
↑ Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. In: golem.de. 21. Februar 2019, abgerufen am 14. Oktober 2019.
↑ Passwort-Manager. test 2/2020, S. 31

[NY_Times-1] Andrew Cunningham, Thorin Klosowski: The Best Password Managers. New York Times Wirecutter, 8. Dezember 2020

[2] Joerg Geiger: Passwort-Manager Test 2020: Diese Dienste lösen Ihr Passwort-Problem. Chip.de, 8. September 2020

[3] Jan Schüßler: Schatzkästen - 15 Passwortmanager im Vergleich. c't 15/2020, heise.de, S. 22

[GIGA-4] Daniel Nawrat: Passwort-Manager 2020 Test: Testsieger und die besten Empfehlungen. GIGA.de, 13. Nov. 2020

[test.de-5] Passwort-Manager im Test. Von 14 schneiden 3 gut ab. Stiftung Warentest, 28. Januar 2020

[6] Docker Hub. Abgerufen am 9. Februar 2022.

[7] Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. In: golem.de. 21. Februar 2019, abgerufen am 14. Oktober 2019.

[8] Passwort-Manager. test 2/2020, S. 31

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Navigation