Sale % Sale Holiday sale Sale Sale % Sale Sale Holiday sale Sale Sale % Sale Sale Holiday sale

Sind Passwort-Manager sicher?

Kamile Viezelyte
Werbetexter für Cybersicherheit
Are password managers safe

Die Aktivitäten von Cyberkriminellen lassen nicht nach und Passwörter gehören noch immer zu ihrer liebsten Beute. Die Kurve der Jahresstatistik zu erkannten Datenpannen zeigt weiter nach oben – schauen Sie sich als Beispiel nur das Datenleck bei AT&T an, von dem über 70 Millionen ehemalige und aktuelle Kunden betroffen waren. Doch selbst wenn Sie zusätzliche Maßnahmen ergreifen, um Ihre Anmeldedaten zu schützen, bleibt vielleicht eine quälende Frage im Kopf – sind Passwort-Manager sicher genug?

Räumen wir also mit einigen Missverständnissen und Bedenken auf. Heute beschäftigen wir uns mit den verschiedenen Arten von Passwort-Managern, mit der Technologie, die diese zum Schutz Ihrer Daten verwenden, und damit, was Sie bei der Auswahl des passenden Managers beachten sollten.

Was ist ein Passwort-Manager?

Einfach gesagt, ist ein Passwort-Manager ein digitaler Speicher für Passwörter und andere Anmeldedaten. Er bietet eine sichere Möglichkeit, sensible Informationen zu speichern, denn Passwort-Manager werden auf der Basis von Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Architektur entwickelt. Damit wird sichergestellt, dass allein der Kontoinhaber auf seine Passwörter zugreifen und diese verwenden kann – normalerweise mithilfe eines benutzerdefinierten Master-Passworts oder durch biometrische Identifikation.

Typen von Passwort-Managern

In technischer Hinsicht werden Passwort-Manager unterschieden in browserbasiert, cloudbasiert oder lokal. Auch wenn sie alle demselben Zweck dienen – der sicheren Speicherung von Anmeldedaten –, unterscheiden Sie sich doch im Umfang der gebotenen Leistungen und der Art des Zugangs.

Browserbasiert

Browserbasierte Passwort-Manager gelten als am einfachsten zugänglich. Wahrscheinlich sind Sie sogar bereits einem browserbasierten Passwort-Manager begegnet, selbst wenn Sie vielleicht denken, noch nie einen verwendet zu haben. Denn jedes Mal, wenn Sie sich bei einer Website anmelden und der Browser – zum Beispiel Chrome, Firefoxoder Edge— Sie fragt, ob er sich Ihre Anmeldedaten für die Zukunft merken soll, werden die Daten in einem solchen Passwort-Manager gespeichert.

Die integrierten Passwort-Manager der Browser sind normalerweise kostenlos. Wie andere Arten von Software zur Speicherung von Passwörtern verwenden sie eine Form von Verschlüsselung, um Ihre sensiblen Daten vor unbefugtem Zugriff zu schützen. Sie sind sowohl für Browser auf Desktops als auch auf Mobilgeräten verfügbar, das heißt, wenn Sie sich für einen Browser entschieden haben, müssen Sie auf jeder Plattform bei diesem bleiben.

Cloudbasiert

Cloudbasierte Passwort-Manager sind die beliebtesten der drei Typen. Hierbei handelt es sich um Multiplattform-Software, d. h. diese Manager können sowohl auf Desktop- als auch auf Mobilgeräten installiert werden. Ihr zentraler technischer Aspekt ist, dass sie verschlüsselte Cloud-Speicher verwenden, um die sensiblen Daten zu schützen. NordPass fällt in diese Cloud-Kategorie.

Cloudbasierte Passwort-Manager werden für ihre Effizienz und ihren hohen Komfort gelobt. Die Synchronisierung ist eine Kernfunktion und erlaubt auch unterwegs den Zugriff auf sensible Daten. Doch obwohl der Web-Tresor auch ohne Internetverbindung zugänglich sein kann, sind andere Sicherheitsfunktionen möglicherweise inaktiv, während Sie offline sind.

Lokal

Lokale oder Offline-Passwort-Manager sind auch ohne Internetverbindung zugänglich. Sie sind das genaue Gegenteil von cloudbasierten Managern – alle sensiblen Daten werden auf dem Gerät selbst gespeichert. Benutzer können sich wegen der besseren Erreichbarkeit für lokale Passwort-Manager entscheiden, wenn sie über keine stabile Internetverbindung verfügen. Die Betriebssysteme von Desktop-Computern bieten sowohl lokale als auch cloudbasierte Speichermöglichkeiten, je nachdem, ob Sie die Synchronisierung verwenden oder nicht.

Die lokale Passwort-Speicherung wird für ihre relativ hohe Hardware-Sicherheit gelobt – wenn alle Anmeldedaten auf einem statischen Desktop-Computer gespeichert werden, der den Schreibtisch nie verlässt, werden diese mit einer geringeren Wahrscheinlichkeit gestohlen als ein Telefon oder Laptop mit einem synchronisierten Passwort-Manager. Dies bedeutet jedoch auch, dass Sie jederzeit Zugriff auf dieses Gerät haben müssen, wenn Sie sich bei einem Account anmelden müssen, was eine ziemliche Einschränkung bedeuten kann.

Wie sichern Passwort-Manager Ihre Daten?

Verschlüsselung ist das Zauberwort, wenn es um eine Bewertung der Sicherheit von Passwort-Managern geht. Sie schützt die sensiblen Daten des Benutzers vor unbefugtem Zugriff. Anders als Passwörter, die in ein lesbares Format geschrieben werden, beispielsweise in Tabellenblätter oder Textdokumente, werden alle in den verschlüsselten Tresoren gespeicherten Daten verschlüsselt und können ohne einen bestimmten Schlüssel nicht gelesen werden – normalerweise ein Zugangscode, Master-Passwort oder biometrischer Schutz. Aus Sicherheitsgründen wird dieser Schlüssel nicht in den gleichen Datenbanken wie die verschlüsselten Daten gespeichert.

Passwort-Manager verwenden entweder eine AES- oder eine XChaCha20-Verschlüsselung. AES-256 ist der gängigste Verschlüsselungsalgorithmus, der von Passwort-Managern verwendet wird, aber es sind hier auch andere Zahlen wie 128 oder 192 zu sehen. Die Zahl gibt an, in wie viele Blöcke Ihre Daten während der Verschlüsselung unterteilt werden; je höher die Zahl, desto stärker die Verschlüsselung. XChaCha20 ist ebenfalls eine 256-bit-Verschlüsselungsmethode. Diese läuft jedoch schneller als AES-256 und ist einfacher zu implementieren.

Ein weiterer entscheidender Begriff im Zusammenhang mit der Datensicherheit von Passwort-Managern ist Zero-Knowledge-Architektur. Jedes Mal, wenn Sie sich in Ihren Tresor einloggen möchten, müssen Sie nachweisen, dass Sie über den genannten Verifizierungsschlüssel verfügen. Damit jedoch unautorisierte Personen daran gehindert werden, Ihren Zugangsschlüssel zu imitieren, ermöglicht Ihnen die Zero-Knowledge-Architektur, diesen nachzuweisen, ohne ihn dabei preiszugeben.

Durch die Kombination von Zero-Knowledge-Architektur und Verschlüsselungstechnologie ermöglichen Passwort-Manager den sicheren Zugriff auf Ihre Anmeldedaten und verringern die Chancen böswilliger Akteure, Ihren Tresor zu übernehmen. NordPass verwendet XChaCha20 für die Verschlüsselung Ihrer Daten direkt auf Ihrem Gerät, sodass diese zum Zeitpunkt, an dem Sie die Cloud-Server erreichen, bereits nicht mehr ohne Ihr Master-Passwort gelesen werden können.

Vor- und Nachteile von Passwort-Managern

Wie Sie sehen, dreht sich bei Passwort-Managern alles um die Sicherheit. Sie sind so konstruiert, dass die sichere Technik leicht zu handhaben ist. Nehmen wir beispielsweise browserbasierte Passwort-Manager. Sie können innerhalb der Einstellungen Ihres bevorzugten Browsers auf Ihre Anmeldedaten zugreifen.

Dasselbe gilt für cloudbasierte Passwort-Manager, die zunehmend auch als Browser-Erweiterungen verfügbar sind und eine zuverlässigere Alternative zu den integrierten Managern darstellen. Die Passwort-Manager der Browser und in der Cloud verfügen über eine Synchronisation, die sicherstellt, dass Ihre Anmeldedaten aktuell und sowohl auf Desktop- als auch auf mobilen Geräten zugänglich sind.

Zusätzlichen Komfort bietet die Funktion der Passwort-Manager, einzigartige und sichere Passwörter zu generieren und zu speichern. Häufig bieten sie eine automatische Ausfüllfunktion, d. h. Sie müssen nicht manuell Ihren Passwort-Tresor suchen, um die richtigen Anmeldedaten zu finden, sondern können stattdessen den Passwort-Manager verwenden, der diese für Sie eingibt. Autosave funktioniert ähnlich – jedes Mal, wenn ein Passwort-Manager erkennt, dass Sie neue Anmeldedaten eingeben, werden Sie gefragt, ob sie diese speichern möchten.

Neben der Speicherung selbst können Passwort-Manager zusätzliche Sicherheitsdienste anbieten. Dies ist besonders bei cloudbasierten Managern üblich. Mögliche erweiterte Sicherheitsfunktionen betreffen etwa den Schutz auch anderer Informationen, beispielsweise Ihrer Ausweisdokumente, Bankdaten oder Privatadresse.

Wir sind auch bereits auf einige Nachteile in Bezug auf bestimmte Typen von Passwort-Managern eingegangen: Lokale Manager binden Sie an ein einziges Gerät, um auf Ihre Anmeldedaten zuzugreifen, während cloudbasierte Dienste ohne Internetverbindung eingeschränkt sind. Browserbasierte Manager haben ihre ganz eigenen Probleme. Anders als die anderen Typen halten sich integrierte Passwort-Manager selten an eine No-Logs-Regelung, was bedeutet, dass Ihre Passwörter ohne Ihre Zustimmung offengelegt werden könnten.

Doch kann ein Passwort-Manager auch gehackt werden? Leider ja –nicht einmal Passwort-Manager sind völlig einbruchsicher, wie das Datenleck bei LastPass 2022 gezeigt hat. Dem Unternehmen zufolge kam es zu der Datenpanne aufgrund einer ausgenutzten Schwachstelle in der Software eines Drittanbieters, die es den Angreifern erlaubte, auf verschlüsselte und unverschlüsselte Kundendaten zuzugreifen.

Auch wenn das Risiko, dass ein cloudbasierter Passwort-Manager gehackt wird, real ist, nutzen diese Manager Schutzmechanismen, die den Schaden eines möglichen Datenlecks minimieren. Der Schlüssel ist hier das Master-Passwort. Als Benutzer können Sie Ihre sensiblen Daten nur entschlüsseln, indem Sie Ihren Tresor mit dem Master-Passwort entsperren. Cloudbasierte Passwort-Manager speichern keine Master-Passwörter auf den Servern für die anderen sensiblen Daten, das bedeutet, die Daten können nicht alle auf einmal gestohlen werden. Wenn Sie nicht an die Master-Passwörter gelangen, können Cyberkriminelle die Daten nicht entschlüsseln.

So wählen Sie einen sicheren Passwort-Manager aus

Entscheiden Sie zunächst, welche Art von Passwort-Manager für Sie am bequemsten ist. Offline-Passwort-Manager sind zwar robust, doch der Zugriff kann sich eingeschränkt anfühlen. Wenn Sie sich also eine Lösung wünschen, die auch unterwegs einfach verfügbar ist, sollten Sie entweder über einen cloudbasierten oder einen browserbasierten Passwort-Manager nachdenken.

Im Allgemeinen wird ein cloudbasierter Passwort-Manager mit einem Security-First-Ansatz entwickelt, während die eingebaute Browser-Funktion eher ein Add-on zu einem anderen Produkt ist, mit weniger Schwerpunkt auf den Schutz der Privatsphäre. Das bedeutet, dass kostenlose browserbasierte Passwort-Manager möglicherweise nicht so sicher sind wie ihre Alternativen. Sie können außerdem einen cloudbasierten Passwort-Manager auch als Browser-Erweiterung herunterladen, wodurch Sie Zeit sparen und dennoch sicherstellen, dass Sie ein auf der Zero-Knowledge--Architektur basierendes Tool verwenden.

Überprüfen Sie den Typ des Verschlüsselungsalgorithmus, den der Passwort-Manager verwendet. Auch wenn AES-256 der am weitesten verwendete Algorithmus bleibt, gewinnt XChaCha20 nicht nur in der Cybersicherheit an Popularität, sondern auch generell bei einigen der bekanntesten Namen aus der Tech-Welt – und es ist der Algorithmus der Wahl für den NordPass Passwort-Manager.

Überlegen Sie dann, wofür Sie den Passwort-Manager benötigen – für den privaten Gebrauch, geschäftliche Anforderungen oder vielleicht beides. NordPass ist auf Ihre Bedürfnisse zugeschnitten, unabhängig davon, ob Sie eine Lösung für sich oder für Ihr Unternehmen suchen. Hinzu kommen die Vorteile der Zusatzfunktionen, die Ihre allgemeine Cybersicherheit verbessern. So bietet NordPass zum Beispiel Funktionen wie Datenleck-Scanner, Überwachung der Passwortqualität und E-Mail-Masken für eine umfassende Online-Sicherheit.

Bewährte Verfahren für die Passwortsicherheit

Die Einrichtung eines Passwort-Managers ist nur der erste Schritt, um Ihre Accounts sicher zu halten. Falls Sie ausschließlich Anmeldedaten speichern, haben Sie Ihre Grundlagen abgehakt. Passwort-Manager sind sicher, doch es ist immer gut, den zusätzlichen Schritt zu unternehmen und dafür zu sorgen, dass diese auch gut gerüstet sind, um Ihre sensiblen Daten zu schützen.

  • Erstellen Sie starke, einzigartige Passwörter für alle Ihre Accounts. Verwenden Sie einen Passwort-Generator von NordPass, um sicherzustellen, dass Ihre Konten ausreichend geschützt sind. Keine Sorge, Sie müssen sich nicht an all diese erinnern – die automatische Ausfüllfunktion von NordPass erledigt das für Sie.

  • Aktualisieren Sie Ihre Anmeldedaten häufig. Je länger Sie ein Passwort verwenden, desto wahrscheinlicher ist es, dass es gehackt wird. Mit der Funktion Passwortqualität können Sie überprüfen, ob Sie alte, schwache oder wiederverwendete Passwörter gespeichert haben.

  • Achten Sie auf Datenlecks. Die Zeit zwischen einem Datenleck und Ihrer Kenntnis davon kann entscheidend sein. Mit dem Datenleck-Scanner erhalten Sie Live-Benachrichtigungen, sobald Ihre Passwörter, E-Mail-Adressen oder Kreditkartennummern im Darknet erscheinen.

  • Schützen Sie Ihre E-Mail-Adresse vor Spam. Nehmen wir an, Sie müssen für einen schnellen Einkauf einen Account einrichten, haben aber die Befürchtung, dass Dritte an Ihre Daten gelangen könnten. Richten Sie per E-Mail-Maske eine Schein-E-Mail-Adresse ein und schützen Sie Ihre tatsächlichen Informationen vor der Verwendung bei Social-Engineering-Angriffen.

  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Falls eines Ihrer Account-Passwörter gehackt werden sollte, hilft MFA sicherzustellen, dass der Zugang dennoch versperrt bleibt.

  • Nutzen Sie Passkeys anstatt Passwörter. Die Verwaltung von Accounts wird durch die Einrichtung von passwortlosen Logins mit biometrischer Identifikation noch einfacher. Speichern und verwalten Sie Passkeys direkt in Ihrem NordPass Tresor.

Häufig gestellte Fragen

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.