Passwort-Manager helfen beim Verwalten der Vielzahl an eigenen Kennwörtern, die heutzutage überall benötigt werden – online wie offline. Aber wie sicher sind diese Kennwortverwaltungs-Programme überhaupt? Wie funktionieren die Apps? Und benötigt man zusätzlich auch noch eine Zwei-Faktor-Authentifizierung? In diesem Büro-Kaizen Blogbeitrag zeigen wir Ihnen nicht nur die Antworten, sondern auch die Testsieger von Stiftung-Warentest, Chip und Heise!
Lesedauer ca. 6 Minuten
Inhaltsverzeichnis
1. Wie sieht überhaupt ein sicheres, gutes Passwort aus?
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte ein sicheres Passwort aus mindestens acht Zeichen bestehen. Die Kennwörter für Verschlüsselungsverfahren von WLAN sollten hingegen mindestens 20 Zeichen lang sein. Entgegen allen Empfehlungen nutzen allerdings viele User immer noch extrem unsichere Passwörter oder verwenden dasselbe Passwort für mehrere Zugangs-Logins. Die Hitliste der beliebtesten unsicheren Kennwörter führen dabei gängige Wiederholungen und typische Tastaturmuster an, wie „123456“, „qwert“, „asdfgh“ oder „1234abcd“. Da Hacker vollautomatische Passwortcracker-Tools nutzen, um die Kennwörter einfach mit hoher Taktzahl auszuprobieren, bieten solche Lösungen nur wenig Schutz. Dies gilt auch für Geburtsdaten oder die Namen von Familienangehörigen. Hier die Empfehlungen des BSI für gute, sichere Passwörter:
- Ein starkes Passwort kann entweder „kürzer und komplex“ oder „länger und dafür einfacher“ sein. Je länger und je mehr verschiedene Zeichenarten (z. B. Klein- und Großschreibung, Zahlen, Sonderzeichen), desto sicherer.
- Ein sicheres Kennwort, das „einfach und lang“ ist, besteht z. B. aus mindestens 20 Zeichen und zwei verschiedenen Zeichenarten. Dies kann beispielsweise eine Folge von drei oder mehreren Wörtern sein, die durch Leerzeichen und Ziffern getrennt und ergänzt werden.
- Werden vier verschiedene Zeichenarten genutzt, ist das Passwort komplexer und kann dafür auch kürzer ausfallen, sollte jedoch mindestens acht Zeichen lang sein.
- Einfach nur ein Sonderzeichen oder eine Ziffer an ein simples Passwort (das so z. B. im Wörterbuch steht) anzuhängen oder voranzustellen, reicht hingegen nicht aus.
- Wird zusätzliche eine Multi- oder Zwei-Faktor-Authentifizierung (MFA) genutzt, genügen laut dem BSI drei unterschiedliche Zeichenarten und mindestens acht Zeichen. Die MFA wird – nicht nur von dem BSI – grundsätzlich empfohlen.
- Wichtig: Versenden Sie Passwörter niemals über unverschlüsselte E-Mails, Chats oder ähnlichem, da sie auf diese Weise leicht von Dritten ausgelesen werden können.
2. Beispiele für (un)sichere Passwörter
Wenn Sie die Tipps aus dem vorherigen Absatz beachtet haben, sollten Ihre Passwörter schon deutlich besser geschützt sein.
Ein sicheres Passwort aus einem Satz heraus erstellen
- Wählen Sie zunächst einen Satz, den Sie sich gut merken können und schreiben Sie ihn nieder (Zahlen und Sonderzeichen sind dabei ebenfalls sinnvoll)
Ich organisiere meinen Arbeitsalltag am liebsten mit Microsoft 365!
- Markieren Sie nun alle Anfangsbuchstaben bzw. Zahlen
Ich organisiere meinen Arbeitsalltag am liebsten mit Microsoft 365!
- Nun können Sie alle markierten Ziffern und Zahlen aneinander reihen. Schon haben Sie ein gut geschütztes Passwort, das zudem noch einfach zu merken ist.
IomAalmM3!
Die am häufigsten genutzten Passwörter
Im Gegensatz dazu sollten Sie die folgenden Beispiel-Passwörter unbedingt vermeiden:
- 123456
- Passwort
- 1qay2wsx
- login
- passw0rd
- letmein
- abc123
- admin
- 000000
3. Wie funktionieren die Passwort Manager Programme?
Ein Passwort Manager (auf Deutsch: Kennwortverwaltungs-Anwendung) funktioniert ähnlich wie ein digitales Notizbuch für alle benötigten Kennwörter. Die App, und alle Daten darin, wird dann selbst verschlüsselt und mit einem möglichst starken Master-Passwort geschützt. Dementsprechend wichtig ist es, dass die Passwortmanager-App selbst über eine sehr starke Verschlüsselung verfügt. Alle großen Anbieter nutzen daher mindestens eine AES-256-Verschlüsselung, die sogar militärischen Standards genügt – und daher einen hohen, aber dennoch keinen vollständigen Schutz garantiert. Die gegenwärtigen Passwort Manager der Branchenriesen Google und Microsoft erreichen diesen Standard hingegen nicht und werden daher auch nicht in den Testvergleichen ganz vorne gelistet (siehe unten). Auch die Passwortmanager-Addons, die in den gängigen Web-Browsern integriert sind, gehören nicht zu den sichersten ihrer Art.
- Die Aufgabe der Passwort-Manager-Programme ist, die Vielzahl an Benutzernamen und Passwörter eines Nutzers zu verwalten.
- Dabei trägt der/die NutzerIn lediglich einmal die Login-Daten für alle benötigten Benutzerkonten ein, die dann abgespeichert und künftig automatisch ausgefüllt werden. Dadurch können die verwendeten Passwörter selbst deutlich komplexer ausfallen. Um dies zu vereinfachen, verfügen die meisten Passwort Manager zudem über einen integrierten Kennwortgenerator, der möglichst gute und sichere Passwörter erzeugt.
- Die Schlüsseldatei (Kenntwortdatenbank) der Anwendung wird wiederum selbst möglichst gut und mit einem starken, komplexen Masterpasswort verschlüsselt und dann entweder in der Cloud gespeichert (plattform- und geräteübergreifende Verfügbarkeit), über einen eigenen Server gehostet (Datensouveränität) oder auf einem USB-Stick abgespeichert (sicher, aber unkomfortabler). Das Masterpasswort muss gut und sicher aufbewahrt werden, z. B. handschriftlich in einem Tresor, keinesfalls jedoch auf dem genutzten System.
- Wenn das Programm zudem eine Zero-Knowledge-Policy verwendet, werden die darin abgespeicherten Nutzerdaten und Passwörter bereits Client-seitig verschlüsselt, so dass auch der Anbieter diese nicht einsehen kann. Wird dann z. B. dessen Cloud gehackt, können die Angreifer Ihre Daten dennoch nicht einsehen.
4. Passwort-Manager im Vergleich: Die Testsieger von Stiftung Warentest, Chip und Heise
Stiftung Warentest hat im Jahr 2020 einen Testvergleich der beliebtesten Passwort-Manager-Apps durchgeführt. Im Folgenden haben wir die Ergebnisse einem Test des Computermagazins Chip von Ende 2021 gegenübergestellt. Der IT-Spezialist Heise (z. B. das IT-Magazin c`t) empfiehlt zusätzlich zu den unten aufgeführten Anbietern noch die vergleichsweise jungen Produkte von Passwork, Kaspersky Password Manager und NordPass von NordVPN.
Testsieger der Passwort Manager 2020 (Stiftung-Warentest):Im Stiftung-Warentest-Vergleich 2020 erhielten drei Passwortmanager die Note „gut“, sechs waren „befriedigend“ und zwei nur „ausreichend“. Die fünf am besten bewerteten Kennwortverwalter waren demnach:
|
Testsieger der Passwort Manager 2021 (des IT-Magazins Chip):Der Testsieger beim Chip-Vergleich 2021 ist 1Password, der Preis-Leistungs-Sieger ist Bitwarden Premium und die Gratis-Empfehlung KeePassXC.
|
5. Extra Tipp: Multi-Faktor-Authentifizierung macht Passwort Manager noch sicherer!
Selbst das stärkste Passwort kann geknackt werden. Dafür verfügen gewiefte Hacker, Cyberkriminelle und staatlich unterstützte Wirtschafts- und Cyberspionage einfach über zu starke und vielseitige Tools. Beliebt sind neben Spear-Phishing-Attacken z. B. auch sogenannte Keylogger, die alle Tastatureingaben protokollieren. Je höher die Position in der Organisation und je wertvoller das Unternehmen, desto eher gerät man auch ins Fadenkreuz. Allerdings ist jedes System nur so stark wie sein schwächstes Glied. Die möglichen Einfallstore für Cyberkriminelle finden sich daher im gesamten System und bei allen Mitarbeitern. Die Eindringliche müssen sich dann einfach seitwärts im System bewegen und ihre Rechte ausweiten, um die verschiedensten cyberkriminellen Handlungen durchzuführen. Durch die konsequente Verwendung von Multi- oder Zweifaktor-Authentifizierung verhindern Sie jedoch wirkungsvoll die mit Abstand häufigsten Einfallstore!
- Laut einer Statistik von Microsoft werden von den weltweit rund 30 Mrd. Login-Vorgänge in Microsoft 365/Office 365 pro Tag durchschnittlich 0,5% der Nutzer-Konten kompromittiert. Das sind 1,2 Mio. Accounts.
- Allerdings nutzen 99,9% der kompromittierten Microsof-365-Benutzerkonten keine Multi-Faktor-Authentifizierung.
- Im gravierenden Gegensatz zu diesen Zahlen nutzen aber bislang nur 11% der Business-Kunden von Microsoft bereits eine Zwei-Faktor-Authentifizierung in Office 365.
- Die Multifaktor-Authentifizierung schützt aber nicht nur Microsoft 365 wirkungsvoll, sondern macht auch Passwort-Manager-Apps wesentlich sicherer.
- Mehr Informationen, was die MFA genau ist und wie einfach Sie diese in Microsoft Office 365 nutzen können, lesen Sie in unserem Büro-Kaizen Beitrag → „Microsoft fordert zur Nutzung der Multi-Faktor-Authentifizierung auf! Die MFA in Office 365 aktivieren und einrichten“.
Büro-Kaizen Video-Tutorial: 🔐 Nie mehr ein Passwort vergessen! (3 Lösungen im Überblick)
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
(Dauer 15:41 Minuten)
Inhalte des Videos:
- Einleitung 00:00
- Problem Nr. 1: Einfache Passwörter 00:32
- Wie oft soll ich meine Passwörter ändern? 03:20
- Problem Nr. 2: Es werden immer wieder dieselben Passwörter benutzt 04:29
- Passwörter aufschreiben (z. B. in OneNote) 06:41
- Passwörter im Browser speichern 09:51
- Passwort-Manager nutzen 11:57
- E-Mail-Konto mit Multi-Faktor-Authentifizierung besonders schützen 14:04