Was ist ein Passwort-Manager?
Einst, in den frühen Jahren des Internets, hatten Sie vielleicht eine Handvoll Passwörter für einige wichtige Webanwendungen, mit denen Sie einkaufen, studieren, in Verbindung bleiben und arbeiten konnten. Heute sind die Dinge viel komplizierter. Ein Bericht von LastPass aus dem Jahr 2017 ergab, dass sich Menschen im Durchschnitt 191 verschiedene Passwörter merken mussten — nur für die Arbeit — ganz zu schweigen von ihren persönlichen Passwörtern.Während Technologie verspricht, unser Leben einfacher zu machen, und es im Allgemeinen tut, ist jede neue Website und Anwendung, für die wir uns anmelden, ein anderes Passwort, an das wir uns erinnern müssen. Für die meisten ist es unmöglich geworden, sich an alle zu erinnern. Die Google Online-Sicherheitsumfrage 2019 ergab, dass 52 Prozent der Befragten dasselbe Kennwort für mehrere (aber nicht alle) Konten wiederverwendeten. Das ist ein großes Nein-Nein.Mit riesigen Listen gestohlener Passwörter (auch bekannt als „Dumps“), die aus dem Dark Web gekauft wurden, können Cyberkriminelle ihren Weg in andere Websites brutal erzwingen oder alte Passwörter verwenden, um Benutzer in Betrügereien zu erpressen. Dies ist der Dominoeffekt der Datenverletzung. Ein Bruch führt zum anderen und zum anderen und so weiter. Laut dem Verizon Data Breach Investigations Report 2019 werden 80 Prozent der Datenverletzungen durch kompromittierte, schwache und wiederverwendete Passwörter verursacht.
Also, wie sind wir hierher gekommen und was können wir dagegen tun?
Der berühmte xkcd-Webcomic „Password Strength“ erklärte es am besten: „In 20 Jahren haben wir jeden erfolgreich darin geschult, Passwörter zu verwenden, die für Menschen schwer zu merken, für Computer jedoch leicht zu erraten sind.“
Es ist wahr. Vor 20 Jahren ermahnten Cybersicherheitsexperten die Verbraucher, die Standardkennwörter auf IoT-Geräten (wie Ihrem Internetrouter) nicht zu ändern oder leicht zu erratende Kennwörter wie „12345“ oder „Passwort“ zu verwenden. Daraus entstand das lange und starke Passwort, über das sich xkcd lustig macht: ein gebräuchliches Wort mit einer Mischung aus Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Symbol.
Beim Erstellen eines neuen Kontos verlangen Websites, dass wir lange und sichere Passwörter erstellen. Andernfalls dürfen wir nicht einmal ein Konto erstellen. Angenommen, man hat die Phase der Kontoerstellung hinter sich, Sie werden den gerade erstellten Enigma-Maschinenzypher sofort vergessen und sich mit der Verwendung des „Passwort vergessen?“ link als Ihre tägliche Login-Option.
Zum Glück müssen Sie sich nicht all diese Passwörter merken. Ein Passwort-Manager kann sie für Sie speichern.
Malwarebytes Labs definiert einen Passwort-Manager als „eine Softwareanwendung zum Speichern und Verwalten von Online-Anmeldeinformationen. Es generiert auch Passwörter. Normalerweise werden diese Passwörter in einer verschlüsselten Datenbank gespeichert und hinter einem Master-Passwort gesperrt.“
Sobald alle Benutzernamen und Passwörter Ihres Kontos in den Tresor eingegeben wurden, ist Ihr Master-Passwort das einzige, das Sie sich merken müssen. Wenn Sie Ihr Master-Passwort eingeben, wird Ihr Passwort-Tresor entsperrt, und aus Ihrem Tresor können Sie dann das gewünschte Passwort abrufen.
Was sind die Vorteile eines Passwort-Managers?
Sie müssen sich nicht mehr alle Ihre Passwörter merken. Sie müssen sich nur das Master-Passwort merken, das Ihren Passwort-Tresor entsperrt. Und wenn Sie sich für einen Cloud-basierten Passwort-Manager entscheiden, können Sie überall und von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen.
Sie können hochsichere Passwörter automatisch für Sie generieren. Passwort-Manager werden Sie normalerweise fragen, ob Sie ein automatisch generiertes Passwort verwenden möchten, wenn Sie ein neues Konto bei einer Website oder Anwendung erstellen. Diese zufälligen Passwörter sind lang, alphanumerisch und im Wesentlichen unmöglich zu erraten.
Sie können Sie auf eine Phishing-Site aufmerksam machen. Hier ist ein kurzer Überblick über Phishing-Betrug. Spam-E-Mails werden gefälscht oder gefälscht, um so auszusehen, als kämen sie von einem legitimen Absender, wie einem Freund, Familienmitglied, Kollegen oder einer Organisation, mit der Sie Geschäfte machen. In der E-Mail enthaltene Links verweisen auf ähnlich gefälschte bösartige Websites, die Anmeldeinformationen sammeln sollen. Wenn Sie einen browserbasierten Passwort-Manager verwenden, werden die Felder Benutzername und Passwort nicht automatisch vervollständigt, da die Website nicht als die mit dem Passwort verknüpfte Website erkannt wird.
Sie können Ihren Begünstigten helfen, wenn Sie sterben. Dies wird als digitale Vererbung bezeichnet. Im Falle Ihres Todes erhalten Ihre Familie oder die Person, die Sie für die Verwaltung Ihres Nachlasses bestimmen, Zugriff auf Ihren Passwort-Tresor.
Passwort-Manager sparen Zeit. Viele Passwort-Manager speichern nicht nur Passwörter für Sie, sondern füllen auch automatisch Anmeldeinformationen aus, um schneller auf Online-Konten zugreifen zu können. Darüber hinaus können einige Namen, Adressen, E-Mails, Telefonnummern und Kreditkarteninformationen speichern und automatisch ausfüllen. Dies kann zum Beispiel beim Online-Shopping eine enorme Zeitersparnis bedeuten.
Viele Passwort-Manager synchronisieren zwischen verschiedenen Betriebssystemen (OSes). Wenn Sie ein Windows-Benutzer bei der Arbeit und ein Mac-Benutzer zu Hause sind, von Montag bis Freitag auf Ihr Android-Gerät springen und an den Wochenenden auf iOS umsteigen, können Sie schnell auf Ihre Kennwörter zugreifen, unabhängig davon, auf welcher Plattform Sie sich befinden. Das Gleiche gilt für alle gängigen Webbrowser. d. H. Chrome, Firefox, Edge, Internet Explorer und Safari.
Sie helfen, Ihre Identität zu schützen. Auf Umwegen schützen Kennwortmanager vor Identitätsdiebstahl, und hier ist der Grund. Durch die Verwendung eines eindeutigen Kennworts für jede Site segmentieren Sie Ihre Daten im Wesentlichen für jede von Ihnen verwendete Website und Anwendung. Wenn ein Krimineller eines Ihrer Konten hackt, kann er nicht unbedingt auf eines der anderen zugreifen. Es ist nicht narrensicher, aber es ist eine zusätzliche Sicherheitsebene, die Sie nach einer Datenverletzung sicherlich zu schätzen wissen werden.
Sind Passwort-Manager sicher?
Passwort-Manager wurden gehackt, aber ihre Erfolgsbilanz bei der Sicherung von Benutzerdaten ist insgesamt sehr gut.
Der Passwort-Manager LastPass erlitt 2015 eine Datenschutzverletzung. Während der Verletzung, Cyberkriminelle machten sich mit Benutzer-E-Mails davon, schafften es aber nicht, Passwörter zu stehlen. Selbst wenn dies der Fall wäre, verwenden die meisten Passwort-Manager, einschließlich LastPass, eine Hardcore-Verschlüsselung auf Militärniveau, um Passwörter sicher zu halten.
Vergleichen Sie dies mit Facebook, Google und Twitter. Alle drei Tech-Giganten haben zugegeben, dass sie versehentlich Benutzerkennwörter im Klartext gespeichert haben, lesbarer Text — keine Verschlüsselung zu sprechen — für einige ihrer Benutzer, mehrere Jahre zurückgehen. Und im Fall von Google, den ganzen Weg zurück bis 2005. Soweit jemand weiß, wurde keines der Passwörter gestohlen, obwohl Google betroffene Passwörter „aus Vorsicht“ unmittelbar nach der Entdeckung ihres Fehlers zurückgesetzt hat.
Neueste Nachrichten zu Passwort-Managern
Wann können wir Passwörter endgültig loswerden?
Sind Hacker gonna hack anymore? Nicht, wenn wir Passwörter wiederverwenden
Warum brauchen Sie nicht 27 verschiedene Passwörter
Was sind die Arten von Passwort-Managern?
Desktop-basierte Passwort-Manager speichern Ihre Passwörter lokal auf Ihrem Gerät, wie Ihr Laptop, in einem verschlüsselten Tresor. Sie können von keinem anderen Gerät aus auf diese Kennwörter zugreifen, und wenn Sie das Gerät verlieren, verlieren Sie alle dort gespeicherten Kennwörter. Lokal installierte Passwort-Manager sind eine großartige Option für Personen, die einfach nicht möchten, dass ihre Daten im Netzwerk eines anderen gespeichert werden. Einige lokal installierte Passwort-Manager schaffen ein Gleichgewicht zwischen Datenschutz und Komfort, indem Sie mehrere Passwort-Tresore auf Ihren Geräten erstellen und synchronisieren können, wenn Sie eine Verbindung zum Internet herstellen.
Cloud-basierte Passwort-Manager speichern Ihre verschlüsselten Passwörter im Netzwerk des Dienstanbieters. Der Diensteanbieter ist direkt für die Sicherheit Ihrer Passwörter verantwortlich. Der Hauptvorteil von Cloud-basierten Passwort-Managern, 1Password und LastPass sind gute Beispiele, besteht darin, dass Sie von jedem Gerät aus auf Ihren Passwort-Tresor zugreifen können, solange Sie über eine Internetverbindung verfügen. Webbasierte Passwort-Manager können in verschiedenen Formen vorliegen – am häufigsten als Browsererweiterung, Desktop-App oder mobile App.
Einmaliges Anmelden (SSO). Im Gegensatz zu einem Passwort-Manager, der eindeutige Passwörter für jede von Ihnen verwendete Anwendung speichert, können Sie mit SSO für jede Anwendung ein Passwort verwenden. Betrachten Sie SSO als Ihren digitalen Reisepass. Bei der Einreise in ein fremdes Land teilt ein Reisepass den Zoll- und Einwanderungsbeamten mit, dass Ihr Staatsbürgerschaftsland für Sie bürgt und dass Sie mit minimalem Aufwand einreisen dürfen. Wenn Sie sich mit SSO bei einer Anwendung anmelden, müssen Sie Ihre Identität nicht überprüfen. Stattdessen bürgt der SSO-Anbieter für Ihre Identität. Unternehmen bevorzugen SSOs aus mehreren Gründen gegenüber Passwort-Managern. Hauptsächlich ist SSO eine sichere und bequeme Möglichkeit für Mitarbeiter, auf die Anwendungen zuzugreifen, die sie benötigen, um ihre Arbeit zu erledigen. SSOs reduzieren auch den Zeitaufwand für die Fehlerbehebung und das Zurücksetzen vergessener Kennwörter.
Best Practices für Kennwörter
Verwenden Sie Kennwörter nicht erneut. Sogar mit einem Passwort-Manager. Erstellen Sie stattdessen eindeutige Kennwörter für jede Site und lassen Sie Ihren Kennwortmanager das tun, wofür er entwickelt wurde.
Erstellen Sie komplexe Passwörter. Viele Passwort-Manager schlagen automatisch sichere Passwörter vor, wenn Sie ein Konto für eine neue Site erstellen. Wenn nicht, versuchen Sie, eine zufällige Kombination aus Buchstaben und Zahlen zu verwenden und zwischen Groß- und Kleinbuchstaben zu wechseln. Je komplexer und unsinniger, desto besser — zumal Sie sich nicht daran erinnern müssen. Der Passwort-Manager wird das tun. Der einzige wesentliche Unterschied besteht darin, Ihr Master-Passwort zu erstellen (das, das alle anderen Passwörter entsperrt). Wenn Sie also kein eidetisches Gedächtnis haben, versuchen Sie, an etwas zu denken, das für Sie unvergesslich ist, aber nicht leicht auf Ihre Identität zurückzuführen ist. Fügen Sie dann einige Großbuchstaben, einige Buchstaben und einige ausgefallene Zeichen hinzu, und Sie haben einen gut geschützten Passwort-Tresor.
Verwenden Sie eine Passphrase. Wenn Sie Ihr Master-Passwort erstellen möchten (dasjenige, das Ihre anderen Passwörter entsperrt), versuchen Sie es mit einer Passphrase. dh eine Reihe von Wörtern, die leicht zu merken, aber schwer zu erraten sind. Etwas Vertrautes mit einer seltsamen Wendung, zum Beispiel: „Bohnen-Burrito-Eis“.“ Oder nur ein paar zufällige Dinge, die ein Mensch leicht visualisieren kann, ein Computer jedoch nicht: „fancy rat neon avocado car.“ Nutze deine Fantasie! Haustiere, Kinder oder andere Familiennamen oder Zeilen wie „Lass mich rein!“ sind viel zu häufig und daher für Cyberkriminelle leicht zu entschlüsseln.
Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung (MFA). Eine der besten Möglichkeiten, ein Konto zu sichern, ob Passwort-Manager oder nicht, ist die Aktivierung von MFA. Mit einem MFA-fähigen Passwort-Manager müssen Sie Ihre Identität mithilfe von zwei oder mehr Authentifizierungsfaktoren überprüfen, darunter etwas, das Sie kennen, etwas, das Sie besitzen und etwas, das Sie sind. Das, was Sie wissen, ist in der Regel Ihr Passwort, aber es kann auch eine PIN-Nummer sein. Etwas, das Sie besitzen, kann Ihr Mobiltelefon, Ihre Bankkarte oder ein Sicherheitstoken auf einem USB-Stick sein. Schließlich kann etwas, das Sie sind, mithilfe biometrischer Daten wie Gesichts-, Sprach- oder Iriserkennung und Fingerabdruck-ID überprüft werden. Verhaltensbiometrie, wie Tastenanschläge, kann ebenfalls angewendet werden.Diese zusätzliche Sicherheitsebene bedeutet, dass jeder, der versucht, sich in Ihr Konto einzuloggen (Sie selbst eingeschlossen), diese zusätzlichen Authentifizierungsfaktoren außerhalb von Benutzername und Passwort kontrollieren muss. Ein Beispiel hierfür wäre: Nachdem Sie Ihr Master-Passwort eingegeben haben, um auf den Passwort-Manager zuzugreifen, wird ein Code an Ihr Mobiltelefon gesendet, den Sie dann eingeben müssen, bevor Sie auf den Tresor zugreifen können. Eine Sache, die Sie beachten sollten, wenn Sie Ihr Telefon als Authentifizierungsfaktor verwenden — Telefonnummern können entführt werden. Es heißt SIMjacking (auch bekannt als SIM-Swapping) und es passiert, wenn ein Cyberkrimineller, der sich als Sie ausgibt, Ihren Telefonanbieter davon überzeugt, Ihre Telefonnummer seinem Telefon zuzuweisen, indem er Ihre Sicherheitsfragen erfolgreich beantwortet. Eine flüchtige Social-Media-Suche ist oft alles, was Gauner brauchen, um die Antworten zu finden, die sie brauchen. Und sobald Kriminelle die Kontrolle über Ihr Telefon haben, haben sie alles, was sie brauchen, um Ihre Identität zu stehlen. Dementsprechend können Sie sich für kritische Konten an einen softwarebasierten Authentifikator wie Authy oder Google Authenticator wenden.
Denken Sie zweimal über kostenlose Passwort-Manager nach. Viele der beliebtesten kostenlosen Passwort-Manager arbeiten tatsächlich unter einem Freemium-Geschäftsmodell, was bedeutet, dass Sie bezahlen müssen, wenn Sie die besten — manchmal wesentlichen — Funktionen wünschen. Benötigen Sie Ihre Passwörter, um sie browser- und geräteübergreifend zu synchronisieren? Benötigen Sie eine digitale Vererbung? Müssen Sie Logins mit der Familie teilen? Benötigen Sie eine Multi-Faktor-Authentifizierung? Kostenlose Passwort-Manager enthalten diese Funktionen normalerweise nicht. Insbesondere MFA ist ein Muss. Entscheiden Sie sich in der Debatte zwischen kostenlos und kostenpflichtig für einen kostenpflichtigen Passwort-Manager.
Erstellen Sie eine Passwort-Manager-Richtlinie. Hier ist ein Tipp für kleine und mittlere Unternehmen: Erstellen Sie eine Passwort-Manager-Richtlinie und lassen Sie die Mitarbeiter wissen, dass es in Ordnung ist, einen Passwort-Manager zu verwenden, um ihre Arbeitskonten zu sichern. Ihre Mitarbeiter verwenden bereits ein Sammelsurium potenziell unsicherer Methoden, um ihre vielen Kennwörter zu verwalten, und die meisten Datenverletzungen beginnen mit einem schwachen oder wiederverwendeten Kennwort. Eine offizielle Passwort-Manager-Richtlinie ist Ihre erste Verteidigungslinie gegen einen Cyberangriff auf Ihr Netzwerk.