Sind Passwort-Manager sicher?

In letzter Zeit haben wir viele Geschichten über die Schwachstellen unter den beliebtesten Passwort-Managern gehört. In der Vergangenheit gab es auch einige Sicherheitslücken, bei denen über zwei Millionen Nutzer aufgedeckt wurden. Das sind leider nur einige wenige aktuelle Beispiele. Bevor du dich für einen Passwort-Manager entscheidest, vor allem bei kostenlosen Diensten, solltest du dich natürlich über die Sicherheit informieren.

Was ist ein Passwort-Manager?

Falls du es noch nicht weißt: Ein Passwort-Manager ist eine Software, die deine Passwörter und andere Anmeldedaten in einem verschlüsselten Tresor speichert. Auf diesen verschlüsselten Tresor kannst du mit deinem Master-Passwort zugreifen. Genau das ist der Punkt, an dem viele Leute anfangen, die Sicherheit von Passwort-Managern in Frage zu stellen.

Was passiert, wenn jemand mein Hauptpasswort in die Finger bekommt? Was passiert, wenn ich mein Haupt-Passwort vergesse? Hat der Anbieter des Passwort-Managers meinen Entschlüsselungscode? Es kann noch mehr Fragen geben, je nachdem, wie technisch versiert der Nutzer ist.

Warum ist Sicherheit also wichtig?

Die Sicherheit deiner im Tresor gespeicherten Anmeldedaten hängt von den Antworten auf die oben genannten Fragen ab. Wenn dein Hauptpasswort aufgedeckt oder unprofessionell verschlüsselt wird, sind auch alle anderen Benutzernamen und Passwörter gefährdet. Deshalb ist die Sicherheit eines Passwort-Managers so wichtig. Schau dir die folgenden Sicherheitsfaktoren an, die du berücksichtigen musst, bevor du dich bei einem Passwort-Manager anmeldest. Natürlich kann es noch mehr Faktoren geben, die die Sicherheit deiner Anmeldedaten beeinträchtigen können. Aber die folgenden Punkte sind ein guter Ausgangspunkt.

Die wichtigsten Sicherheitsfaktoren

Die Sicherheit muss mit der Benutzerfreundlichkeit und der Vielfalt der Funktionen, die verschiedene Passwort-Manager zu bieten haben, abgewogen werden. Noch mehr Funktionen können, je nachdem, was sie sind, auch mehr Sicherheitslücken bedeuten. Wenn du jedoch Zweifel an der Sicherheit hast, solltest du die folgenden Punkte berücksichtigen.

  • Client-seitige Verschlüsselung.Die client-seitige Verschlüsselung gewährleistet ein Höchstmaß an Sicherheit, da die Daten bereits verschlüsselt werden, bevor sie die Geräte der Nutzer verlassen. Sensible Daten werden lokal in einem „Tresor“ verschlüsselt, der auf dem Endgerät des Nutzers und auf den Servern des Passwort-Managers gespeichert ist. In diesem Fall hat der Passwort-Manager keinerlei Kenntnis über die Informationen, die du auf seinen Servern speicherst. Die Informationen sind nur für dich als Nutzer von Bedeutung, da der Entschlüsselungscode nur bei dir vorliegt. Niemand sonst könnte die Daten entschlüsseln und den Inhalt überprüfen, selbst wenn dein Passwort-Manager kompromittiert wird.

  • Master-Passwort und dessen Wiederherstellung.Ein Master-Passwort generiert die Verschlüsselungsschlüssel und authentifiziert den Zugang zu deinem sicheren Tresor. Mit anderen Worten: Es ist ein Tor zu deinem Passwortspeicher. Deshalb ist es wichtig, dass dein Passwort-Manager keine Kenntnis davon hat. Das erschwert nämlich die Wiederherstellung deines Passworts. Der Anbieter kann nämlich nicht nach deinem Master-Passwort suchen, es zurücksetzen oder ein neues erstellen. Allerdings erhöht es die Sicherheit und die Gewissheit, dass der Anbieter die Sicherheit deiner Daten ernst nimmt. Die Wiederherstellung ist zwar immer noch möglich, aber nicht auf die übliche Art und Weise „Gib deine E-Mail-Adresse ein und wir senden dir die Erinnerung per E-Mail“. Stelle also sicher, dass du deine Hausaufgaben gemacht hast und prüfe den Prozess zur Wiederherstellung des Master-Passworts. Wenn ein Passwort-Manager dir Erinnerungen an dein Master-Passwort schicken kann, dann ist die Wahrscheinlichkeit groß, dass deine Daten nicht sicher sind.

  • Multi-Faktor-Authentifizierung.Es ist eine Methode zur Überprüfung der behaupteten Identität von Nutzern anhand einer Kombination aus zwei verschiedenen Faktoren: etwas, das du weißt, etwas, das du hast, oder etwas, das du bist. Es erfordert eine zweite Information, auf die nur du Zugriff hast, wie z. B. einen digitalen Code, um deine Identität bei jeder Anmeldung zu bestätigen. In manchen Fällen verwenden Anbieter anstelle von 2FA die Authentifizierung über dein Gerät oder/und deinen Standort. Diese Lösung bietet eine zusätzliche Sicherheitsebene. Anbieter, die ihre Nutzer dazu ermutigen, die Multi-Faktor-Authentifizierung zu aktivieren, sind ein gutes Anzeichen. Das zeigt, dass das Unternehmen die besten Sicherheitspraktiken anwendet. Und sollte ein Angreifer in den Besitz deines Hauptpassworts kommen, ist es unwahrscheinlich, dass er auch Zugang zu einem gültigen 2FA-Token hat. Die Multifaktor-Authentifizierung minimiert die Wahrscheinlichkeit eines unbefugten Zugriffs auf ein Konto im Passwort-Manager.

  • Verschlüsselungsalgorithmen.Das ist das Wichtigste, worauf Nutzer achten sollten – Passwort-Manager verwenden Verschlüsselung, um die Tresore ihrer Nutzer zu schützen. Es gibt eine Menge verschiedener Algorithmen. Die meisten Passwort-Manager neigen jedoch dazu, sich an den goldenen Standard zu halten – den AES. AES ist ein symmetrischer Algorithmus, der am häufigsten mit 128-Bit- und 256-Bit-Schlüsseln verwendet wird. Die US-Regierung verwendet zum Beispiel AES-128 für geheime (nicht klassifizierte) Informationen und AES-256 für streng geheime (klassifizierte) Informationen. Deshalb wird sie auch gerne als „militärische Verschlüsselung“ bezeichnet. Er ist einer der am häufigsten verwendeten Algorithmen bei verschlüsselten Diensten. In letzter Zeit haben die Tech-Giganten den AES-Algorithmus jedoch gegen einen anderen Algorithmus ausgetauscht – den ChaCha20. Er bietet ebenfalls 256-Bit-Schlüssel, ist also genauso sicher wie AES, aber da ChaCha20 softwarebasiert ist, ist er deutlich schneller. Mehr über Verschlüsselungsalgorithmen kannst du in unserem Blogbeitrag nachlesen.

Warum NordPass?

Ein sicherer Passwort-Manager ist einer, der nichts über dich weiß. Unsere Zero-Knowledge-Richtlinie ist eine Garantie dafür, dass nur du weißt, was in deinem Tresor ist. NordPass bietet außerdem eine optionale Zwei-Faktor-Authentifizierung, die eine zusätzliche Sicherheitsebene darstellt. Du kannst nicht auf deinen Tresor zugreifen, wenn du weder dein Master-Passwort noch den Wiederherstellungscode hast.

Bei der Auswahl eines Passwortmanagers ist es wichtig, all diese Funktionen zu berücksichtigen. Aber das Wichtigste, worauf Nutzer achten sollten, ist die Verschlüsselung. Die meisten Passwort-Manager verwenden AES-256. Obwohl dies ein zuverlässiger und praktisch unknackbarer Algorithmus ist, denken wir, dass ChaCha20 die Zukunft ist. Er ist schnell, sicher und immun gegen Timing-Angriffe, im Gegensatz zu AES.

Es gibt keinen todsicheren Weg, um sicherzustellen, dass du nie gehackt wirst. Aber wenn du einen vertrauenswürdigen Passwort-Manager wählst, werden deine Online-Konten immer sicher sein.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.