Passwörter sind eine Notwendigkeit der Online-Welt. Sie sind eines der wichtigsten Mittel, um dein digitales Leben zu sichern, Hacker und alle anderen davon abzuhalten, auf dein Bankkonto, deine E-Mails, soziale Netzwerke und alles andere, was du online machst, zuzugreifen.
Deshalb ist es entscheidend, starke Passwörter zu verwenden, die niemand anderes erraten kann. Es ist auch wichtig, Passwörter nicht auf mehreren Websites und Diensten wiederzuverwenden, denn wenn ein Angreifer deine Anmeldeinformationen von einer Seite erhält (zum Beispiel durch einen Datenverstoß), kann er diese Informationen nutzen, um auf alle deine anderen Dienste zuzugreifen, die dieselben Anmeldeinformationen verwenden.
Das ist als Credential Stuffing(new window) bekannt und einer der häufigsten Angriffswege, die kriminelle Hacker nutzen.
Ein wirklich sicheres Passwort erfordert die Verwendung von Groß- und Kleinbuchstaben(new window), Zahlen und Sonderzeichen und sollte mindestens acht Zeichen lang sein (je länger, desto besser). Leider hat die Evolution das menschliche Gehirn nicht darauf vorbereitet, sich Folgen wie kf6Tg&M)2D*7 zu merken, geschweige denn mehrere solcher Folgen für jeden Webdienst, den wir nutzen. Wie immer hat xkcd einen Comic, der die Dinge gut erklärt:
Zum Glück sind Computer sehr gut darin, sich solche Informationen zu merken.
Was ist der Zweck eines Passwortmanagers?
Ein Passwortmanager ist ein Computerprogramm (App), das sichere Passwörter generiert und sicher für dich speichert. Er speichert auch Passwörter, die du selbst erstellst. Die meisten modernen Passwortmanager erleichtern das Eingeben dieser gespeicherten Passwörter (und anderer Anmeldedaten wie deinen Benutzernamen), wenn du dich bei Websites und Apps anmeldest.
Ein Passwortmanager „merkt“ sich deine Passwörter (und andere Anmeldedaten), sodass du es nicht musst. Da der Passwortmanager jedoch die Schlüssel zu deinem gesamten digitalen Leben besitzt, ist es entscheidend, dass der Passwortmanager selbst sicher ist.
Passwortmanager selbst verwenden ein Hauptpasswort (das im Fall von Proton Pass dein Proton-Konto-Passwort ist), um unbefugten Zugriff zu verhindern. Das bedeutet, dass du, wenn du einen Passwortmanager verwendest, dir nur sein Hauptpasswort merken musst, anstatt dir die Passwörter für alle deine Konten zu merken. Aber du solltest darauf achten, dass dein Hauptpasswort schwer zu erraten ist.
Wie funktioniert ein Passwortmanager?
Wir verwenden Proton Pass als Beispiel, um zu zeigen, wie ein Manager in der Praxis funktioniert. Die meisten Passwortmanager funktionieren ähnlich.
Wenn du dich zum ersten Mal für einen Dienst anmeldest, wirst du gebeten, ein Passwort anzugeben. Du kannst dein eigenes angeben (das der Passwortmanager dann speichern wird), aber es ist meist einfacher, den Passwortmanager eines für dich erstellen zu lassen. Das vom Manager erstellte Passwort ist wahrscheinlich viel sicherer als eines, das du dir selbst ausdenken würdest.
Wenn du das nächste Mal diese Webseite besuchst oder deren mobile App öffnest, bietet der Passwortmanager an, deine Anmeldedaten automatisch einzutragen.
Proton Pass kann sogar 2FA-Codes generieren, um das sichere Anmelden bei deinen Online-Diensten zu erleichtern.
Was ist das Hauptrisiko bei der Verwendung eines Passwortmanagers?
Ein guter Passwortmanager sichert deine Passwörter mit starker Verschlüsselung. Allerdings sind alle deine Passwörter durch ein einziges Hauptpasswort gesichert, daher ist die größte Gefahr, dass dieses kompromittiert wird. Wenn das passiert, hat ein Angreifer vollen Zugriff auf all deine anderen Passwörter.
Es gibt drei wichtige Wege, um dieses Risiko zu mindern:
1. Verwende eine starke Passphrase
Ein Satz, bestehend aus mehreren zufälligen Wörtern unterschiedlicher Länge mit Leerzeichen zwischen jedem Wort, ist viel sicherer als jedes einzelne Passwort und viel einfacher zu merken. Diceware(new window) bietet eine großartige Möglichkeit, eine solche sichere Passphrase zu generieren.
2. Verwende Zwei-Faktor-Authentifizierung
Eine Faktor-Authentifizierung erfordert etwas, das du kennst (dein Hauptpasswort). Zwei-Faktor-Authentifizierung erfordert ein zusätzliches Etwas, das deine Identität beweist. Solange ein Angreifer keinen physischen Zugriff auf dieses Ding hat, wird er nicht auf deine Konten zugreifen können.
Alle Proton-Konten können mit Zwei-Faktor-Authentifizierung gesichert werden und bieten so eine wertvolle zweite Verteidigungslinie.
Erfahre, wie du Zwei-Faktor-Authentifizierung für dein Proton-Konto aktivieren kannst
3. Verwende Ende-zu-Ende-Verschlüsselung
Viele Passwortmanager speichern deine Passwörter auf ihren Servern, wo sie darauf zugreifen können. Das macht die Synchronisierung deiner Passwörter über Geräte hinweg einfach, und wenn du dein Hauptpasswort vergisst, ist es wenig Aufwand, dein Konto wiederherzustellen (nachdem du deine Identität ihnen gegenüber nachgewiesen hast).
Das bedeutet jedoch auch, dass der Passwortmanager auf deine Passwörter zugreifen kann. Das ist kein großes Problem, wenn das Unternehmen seriös ist, aber wenn seine Server kompromittiert werden, könnte ein Hacker auf die gespeicherten Hauptpasswort-Zugangsdaten zugreifen und sie verwenden, um deine Passwörter zu entschlüsseln.
Proton Pass verwendet stattdessen Ende-zu-Ende-Verschlüsselung. Du verschlüsselst deine Passworttresore auf deinem Gerät mit deinem Proton-Konto-Passwort, das nur du kennst. Proton kennt dein Proton-Konto-Passwort nicht, also können wir deine Passworttresore nicht entschlüsseln. Und im höchst unwahrscheinlichen Fall, dass unsere Server kompromittiert werden, könnte es auch der Hacker nicht.
Beachte, dass wir auch mehrere Methoden entwickelt haben, um dein Konto wiederherzustellen, falls du dein Proton-Konto-Passwort verlierst, ohne dass wir jemals Zugang zu deinem Passwort haben.
Erfahre mehr über Methoden zur Kontowiederherstellung, falls du dein Proton-Passwort vergisst
Abschließende Gedanken
Unsichere und wiederverwendete Passwörter sind mit Abstand der größte Schwachpunkt, wenn es darum geht, Cyberkriminalität zu verhindern. Ein Passwortmanager erleichtert die Verwendung von starken, einzigartigen Passwörtern für all deine Konten, was ihn wohl zum wichtigsten Werkzeug macht, das du zur Sicherung deines digitalen Lebens verwenden kannst.
Die Verwendung eines Passwort-Managers ist besser als gar keinen zu nutzen, aber nicht alle Passwort-Manager sind gleich. Proton Pass ist ein Ende-zu-Ende-verschlüsselter Passwort-Manager, der dir vom Team hinter Proton Mail, dem weltweit beliebtesten Dienst für Ende-zu-Ende-verschlüsselte E-Mails, angeboten wird.
