Kennwortverwaltung

Ein Passwort-Manager, auch Kennwort- oder Passwortverwaltung (englisch Password Manager, Password Safe) genannt, ist eine Anwendungssoftware, mit deren Hilfe ein Computer-Benutzer Zugangsdaten und Geheimcodes verschlüsselt speichern, verwalten und verwenden kann. Entsprechende Anwendungsprogramme sind plattformübergreifend für Desktop-Computer, Laptops sowie für Smartphones verfügbar.

Notwendigkeit

Passwort-Manager sind aus dem Problem entstanden, dass Anwender in ihrem eigenen System ebenso wie für zahlreiche Benutzerkonten bei Online-Diensten im Web sichere Kennwörter benötigen. Es stellt ein hohes Sicherheitsrisiko dar, für verschiedene Dienste gleiche Benutzernamen und Kennwörter zu nutzen, da ein einzelnes entwendetes Passwort den Zugriff auf alle Dienste ermöglichen würde. Daher werden viele unterschiedliche Passwörter benötigt. Sichere Passwörter sind lang und bestehen aus schwer zu merkenden Buchstaben-, Zahlen- und Sonderzeichenkombinationen (siehe dazu „Wahl sicherer Passwörter“). Passwort-Manager gestatten es dem Anwender, viele unterschiedliche und sichere Passwörter vor unberechtigtem Zugriff zu schützen und diese trotzdem bequem nutzen zu können.

Besonders Systemadministratoren brauchen viele verschiedene und sehr starke Kennwörter, da diese immer noch das schwächste Glied der Kette zum Schutz eines Netzes darstellen.

Funktionsweise

Der Anwender trägt in einem Passwort-Manager – bei der Einrichtung und später regelmäßig – für jedes seiner Benutzerkonten den verwendeten Benutzernamen, die zugehörigen Kennwörter, eine Bezeichnung für das Benutzerkonto (bzw. den Webdienst) sowie ggf. weitere Informationen wie z. B. die Webadresse in die Datenbank ein. Diese Kennwortdatenbank ist durch ein Hauptkennwort gesichert (verschlüsselt). Ganz ähnlich wie ein Telefonbuch genutzt wird, um Kontakte anzurufen, unterstützen die meisten Passwort-Manager einen automatisierten Login bei Online-Diensten und Web-Portalen. Dementsprechend sollte es sich beim Hauptkennwort um ein starkes Kennwort handeln. Gegebenenfalls lässt sich die Sicherheit durch eine zusätzliche Schlüsseldatei oder durch Zwei-Faktor-Authentisierung weiter erhöhen.

Hauptkennwort

Das Haupt- oder Master-Kennwort muss der Anwender umsichtig verwahren – stellt es doch die Zugangsberechtigung zur Kennwortdatenbank dar. Entsprechend kann er es in einem Tresor, auf einem USB-Stick oder ähnlichem und ggf. auch außer Haus sichern.

Verschlüsselung

In der Regel verschlüsseln die Programme nicht nur die Kennwörter, sondern die gesamte Datenbank. Idealerweise kommen dabei starke Verschlüsselungsalgorithmen zum Einsatz.

Kennwortgenerator

Benutzeroberfläche eines Kennwortgenerators (KeePass)

Integriert ist meist auch ein Kennwortgenerator, mit dem verschieden starke Kennwörter zufällig generiert werden können. Unter Umständen erstellt dieser auf Grundlage der zufälligen Eingabe des Benutzers mit Maus oder Tastatur Kennwörter mit beliebiger Länge und verschiedenen Zeichensätzen. Leicht lassen sich Kennwörter mit 100 und mehr Bit erstellen. Diese starken Kennwörter mit 15 und mehr Zeichen sind dann allerdings nur noch mit einer Kennwortverwaltung praktikabel verwendbar. Beispiel: D`k+oGw(^#"mPoO

Anwendungssoftware

Zu den Programmen bzw. -Web-Diensten für Passwort-Management, die in Tests aufgrund ihrer Funktionalität, Bedienfreundlichkeit und Sicherheitsaspekte wiederholt positiv abschnitten, zählen unter anderen:[1][2][3][4][5]

  • KeePass – eigenständige Software für Windows-, Linux-, Mac-Betriebssysteme (Open-Source)
  • LastPass – Cloud-Lösung via App bzw. Browser-Addon, plattformübergreifend synchronisiert via Web-Hosting
  • 1Password – Cloud-Lösung, plattformübergreifend synchronisiert via Web-Hosting
  • Bitwarden - Cloudlösung, die sich mittels Dockercontainer-Derivat auch selbst hosten lässt.[6]
  • weitere Passwort-Manager: authpass (Open-Source und plattformübergreifend)

Sicherung

Eine Kennwortverwaltung sammelt die Kennwörter zentral, d. h. die Kennwortdatenbank ist in einer einzigen Datei – in einem programmeigenen Format – gespeichert. Da diese Datei durch das Master-Passwort verschlüsselt ist, kann sie vervielfältigt und auf einem weiteren Datenträger gesichert werden. Bei Cloud-Anbietern ist die Kennwortdatenbank in der Cloud gespeichert.

Falls eine Schlüsseldatei verwendet wurde, muss auch sie auf einem gesonderten Datenträger gesichert werden.

Für Zwecke des Datenaustauschs kann die Kennwortdatenbank zudem meist als CSV-Datei exportiert werden – ein Format, welches alle gängigen Kennwortverwaltungsprogramme und Texteditoren unterstützen. Auch der flexible XML-Export oder einfaches Ausdrucken ist möglich. Nachteil bei diesen Formaten ist aber, dass sie die Kennwörter unverschlüsselt speichern.

Nachteile

Nutzer von Passwort-Managern sind von ihrer Passwort-Datenbank abhängig. Da einzelne Passwörter nicht mehr gemerkt werden, benötigt der Anwender regelmäßig und auf Dauer Zugriff auf die Passwort-Datenbank.

Die Passwort-Datenbank sollte daher regelmäßig gesichert werden, um dem Fall einer Beschädigung oder eines Verlusts vorzubeugen. Bei Lösungen, die die Passwort-Datenbank in der Cloud speichern, übernimmt der Anbieter die Datensicherung.

Mängel

Untersuchungen ergaben, dass bei verbreiteten Passwort-Managern wie ProtonPass und Bitwarden Passworte unnötig im Arbeitsspeicher blieben, sogar wenn der Passwort-Manager gesperrt wurde.[7] Obwohl eine neue Version im Fall von ProtonPass für Revisionszwecke vorgelegt wurde, gelangte diese nicht zur Auslieferung an Anwender.[8]

Ob ein konkreter Passwort-Verwalter als Browser-Erweiterung betroffen ist, lässt sich bei aufgerufenem Programm prüfen. Im Windows Task-Manager klappt man die Prozesse des Browsers auf. Bei allen Prozessen erstellt man mit der rechten Maustaste eine Abbilddatei, die man im Hexeditor ansehen kann. Man sucht Passworte oder Nutzername mit Strg + f - auch wenn der Passwortspeicher gesperrt ist.

Alternativen

Passwörter vom Browser speichern lassen

Auch Webbrowser wie Mozilla Firefox, Google Chrome und Internet Explorer bieten eine Kennwortverwaltung an, allerdings werden die Passwörter in der Regel unverschlüsselt gespeichert. Im Browser unverschlüsselt gespeicherte Passwörter können, sobald ein Dritter Zugriff auf den Computer des Anwenders hat, einfach entwendet werden und stellen eine Sicherheitslücke dar. Die Stiftung Warentest empfiehlt daher, entweder ganz darauf zu verzichten, den Browser Passwörter speichern zu lassen, oder zumindest die Kennwortverwaltung des Browsers mit einem Master-Passwort zu schützen.[9] In diesem Fall können die gespeicherten Passwörter ohne Eingabe dieses Master-Passworts nicht genutzt werden. Die Sicherung und Synchronisierung der im Browser gespeicherten Passwörter geschieht in der Regel über ein Benutzerkonto in der Cloud des Browser-Herstellers. Andernfalls muss der Benutzer selbst für die Sicherung seiner Passwörter gegen Datenverlust sorgen.

Passwörter nach einem Algorithmus konstruieren und memorieren

Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Der Nutzer merkt sich eine für alle Passwörter geltenden Algorithmus, die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Unternehmensname. Von einer solchen Zeichenkette nimmt man bestimmte Zeichen und kombiniert sie mit nach einem festen Schema vorgegebenen Zahlen und Sonderzeichen. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Algorithmus und erhält damit individuelle und gleichzeitig sichere Passwörter.[10][11]

Ein Beispiel hierfür ist, dass sich der Nutzer folgende Teile merkt: *(, Hund, 295 Der Algorithmus definiert nun z. B. "*(" + letzte drei Buchstaben des Dienstes + "Hund" + erste zwei Buchstaben des Dienstes + "295" (Beispiel Wikipedia: "*(diaHundWi295")

Wenn allerdings dieser Algorithmus bekannt wird, sind gleichzeitig alle vom Nutzer erstellten Passwörter unsicher. Ein weiteres Manko stellen die unterschiedlichen Anforderungen an Passwörter dar, die von Diensten wie Internetforen, -shops etc. gestellt werden. Diese verhindern eventuell die Anwendung des selbst ausgedachten Algorithmus.

Zustandslose Verfahren

Stateless (oder vaultless) Passwort-Manager funktionieren nach einem ähnlichen Prinzip wie die klassische Verwaltung, benötigen aber besagte Datenbank nicht, erübrigen Synchronisierung und Backups und müssen auch sonst keine Spuren hinterlassen. Sofern ein Webinterface und Verbindung zur Verfügung stehen, wird für den Zugriff nicht mal eine spezielle Software benötigt. Passwörter werden dann mit einer gleichbleibenden Kombination aus einem Masterkennwort und Login-Daten mittels einer kryptographischen Hashfunktion jedes Mal neu berechnet und können direkt ausgegeben, oder in der Zwischenablage gespeichert werden. Lösungen, die diesen Ansatz implementieren, sind z. B. GoKey[12] und LessPass.[13]

„Anmelden mit“ (auch: Single Sign-on)

Etliche große Cloud-Anbieter wie z. B. Amazon, Apple, Facebook oder Google bieten einen Dienst „Anmelden mit“ an, vergleiche Login (Informationstechnik).

Einzelnachweise

  1. Andrew Cunningham, Thorin Klosowski: The Best Password Managers. New York Times Wirecutter, 8. Dezember 2020
  2. Joerg Geiger: Passwort-Manager Test 2020: Diese Dienste lösen Ihr Passwort-Problem. Chip.de, 8. September 2020
  3. Jan Schüßler: Schatzkästen - 15 Passwortmanager im Vergleich. c’t 15/2020, heise.de, S. 22
  4. Daniel Nawrat: Passwort-Manager 2020 Test: Testsieger und die besten Empfehlungen. GIGA.de, 13. Nov. 2020
  5. Passwort-Manager im Test. Von 14 schneiden 3 gut ab. Stiftung Warentest, 28. Januar 2020
  6. Docker Hub. Abgerufen am 9. Februar 2022.
  7. Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. In: golem.de. 21. Februar 2019, abgerufen am 14. Oktober 2019.
  8. M. Heiderich, M. Pedhapati, A. Inführ, L. Herrera: Pentest-Report Proton Pass Browser Addon, Apps & API 05.-06.2023. In: Cure53. 6. Juni 2023, abgerufen am 20. September 2023.
  9. Passwort-Manager. test 2/2020, S. 31
  10. Wie du sichere Passwörter verwendest, die du dir merken kannst. In: WordPress1x1. 3. Dezember 2015, abgerufen am 27. Juni 2023 (deutsch).
  11. So erstellt ihr sichere Passwörter, die ihr euch auch merken könnt. In: Pagemachine Blog. 13. Mai 2015, abgerufen am 27. Juni 2023 (deutsch).
  12. GoKey. A simple vaultless password manager in Go. auf GitHub
  13. LessPass, lesspass.com

Auf dieser Seite verwendete Medien

KeePass random password.png
Autor/Urheber: Dominik Reichl, Lizenz: GPL
Zufällige Passwort Erzeugung in der freien Passwortverwaltung KeePass.