jedermann 16 min

Passwort-Manager

Starke Passwörter sind schwer zu merken - und das ist auch gut so. Sie bestehen aus sehr komplexen, langen Zeichenfolgen wie z.B. x9!b8FbF@L4evIua^E5K4pQF@8JCaShM. Trotzdem sollten sie auf keinen Fall auf einem Zettel unter die Tastatur geklebt oder unverschlüsselt auf der Festplatte gespeichert werden! Der bessere Ort, um Passwörter sicher und komfortabel zu speichern, ist ein Passwort-Manager.

Starke Passwörter sind schwer zu merken - und das ist auch gut so. Sie bestehen aus sehr komplexen, langen Zeichenfolgen wie z.B. x9!b8FbF@L4evIua^E5K4pQF@8JCaShM. Trotzdem sollten sie auf keinen Fall auf einem Zettel unter die Tastatur geklebt oder unverschlüsselt auf der Festplatte gespeichert werden! Der bessere Ort, um Passwörter sicher und komfortabel zu speichern, ist ein Passwort-Manager.

Warum es wichtig ist, starke Passwörter zu verwenden, haben wir bereits im Beitrag Passwortsicherheit gezeigt.

Passwort-Manager

Passwortmanager verwalten Passwörter in einer verschlüsselten Datenbank. Diese ist durch ein sogenanntes Master-Passwort geschützt. Wenn Sie ein Passwort aus dem Passwortmanager verwenden möchten, können Sie es einfach aus der Datenbank kopieren und verwenden. Durch Plugins unterstützen die meisten Passwortmanager zudem die direkte Nutzung von Passwörtern im Browser, so dass die Zugangsdaten automatisch in die entsprechenden Felder eines Webformulars eingetragen werden. Das einzige Passwort, das Sie sich noch merken müssen, ist das Master-Passwort.

Die meisten Passwortmanager bieten die Möglichkeit, neue Passwörter zu generieren. Diese werden zufällig erzeugt und sind daher sehr sicher. Man kann die Länge und die verwendeten Zeichensätze selbst festlegen. Diese Funktion stellt zudem sicher, dass ein Passwort nicht bei mehreren Accounts verwendet wird. Das ist sinnvoll, da man für verschiedene Accounts unbedingt unterschiedliche Passwörter verwenden sollte.

Passwort-Manager vs. Browser

Vielleicht sind Sie sich nicht sicher, ob Sie wirklich einen Passwort-Manager benötigen. Schließlich bieten die meisten Browser auch eine Passwortverwaltung an. Warum also nicht einfach diese Funktion nutzen?

Die Passwortverwaltung des Browsers kann zwar Passwörter speichern und als bequeme Gedächtnisstütze dienen, aber sie schützt die Passwörter nicht. Tatsächlich werden sie unverschlüsselt auf der Festplatte gespeichert. Jeder, der Zugriff auf den Computer hat, kann somit auch auf die gespeicherten Passwörter zugreifen. Ein gefundenes Fressen für jeden Angreifer - auch aus dem Internet. Ein einfacher Virus genügt, und alle Passwörter sind entwendet.

Zudem funktioniert die Browser-Passwortverwaltung in der Regel nur innerhalb des jeweiligen Browsers und auch nur auf dem jeweiligen Gerät. Soll ein Passwort in einem anderen Programm oder auf einem weiteren Gerät verwendet werden, muss es manuell eingegeben werden. x9!b8FbF@L4evIua^E5K4pQF@8JCaShM, Sie erinnern sich!

Um dies zu umgehen, werden die Zugangsdaten dann oft über einen unsicheren Kanal übertragen und können so in falsche Hände geraten. Das sollte man also tunlichst vermeiden! Ein noch größeres Problem entsteht, wenn der Computer kaputt geht oder gestohlen wird, dann sind die Passwörter erst einmal weg.

Ein guter Passwortmanager löst all diese Probleme und bietet noch weitere Vorteile, aber dazu später mehr.

Nachteile eines Passwortmanagers

Aber auch die Kehrseite der Medaille darf nicht unerwähnt bleiben. Wenn alle Passwörter an einem zentralen Ort gespeichert werden, möglicherweise ohne ausreichende Schutzmaßnahmen, muss ein potenzieller Angreifer nur ein einziges Passwort erraten - das Master-Passwort.

Aus diesem Grund werden wir an späterer Stelle auf einige zusätzliche Maßnahmen eingehen, die Sie ergreifen sollten, um dieses Risiko so gering wie möglich zu halten.

Los geht’s

Nachdem die Vor- und Nachteile geklärt sind, wollen wir uns nun ansehen, wie ein Passwort-Manager eingerichtet wird.

Empfohlene Passwort-Manager

Wir empfehlen die Verwendung von Bitwarden oder KeePassXC. Beide sind Open Source und somit kostenlos.

Bitwarden ist ein cloudbasierter Passwortmanager. Das bedeutet, dass die verschlüsselte Passwortdatenbank auf einem Server im Internet gespeichert wird und Sie mit all Ihren Endgräten auf die dort gespeicherten Passwörter zugreifen können. Die Datenbank bleibt immer verschlüsselt und kann nur mit Ihrem Master-Passwort entschlüsselt werden. Selbst die Mitarbeiter von Bitwarden haben keinen Einblick in Ihre Passwörter. Diese Art der Synchronisation ist sehr praktisch. Allerdings ist anzumerken, dass durch die Speicherung im Internet ein höheres Risiko ausgeht als von einem lokalen Passwortmanager.

Bitwarden ist sehr einfach zu bedienen und bietet viele nützliche Funktionen. Er ist als Browser-Erweiterung, Desktop- und Handy-App sowie als Web-App verfügbar. Alle gängigen Betriebssysteme werden unterstützt. Der Passwortspeicher kann übrigens auch mit anderen Personen geteilt werden. So können Sie Passwörter sicher z.B. mit Ihrer Familie teilen.

KeePassXC ist ein lokaler Passwortmanager. Die Datenbank wird nur lokal auf dem Computer gespeichert und kann daher nicht von anderen Geräten genutzt werden. Dadurch ist KeePassXC sehr abgeschottet und sicher, aber auch umständlich, wenn mehrere Endgeräte auf die Passwörter zugreifen sollen. Dazu muss die Datenbank immer wieder auf andere Geräte übertragen und aktualisiert werden. Außerdem muss sie manuell gesichert werden, um Datenverluste zu vermeiden. Es ist also viel Handarbeit erforderlich. Auch die Bedienung ist etwas komplizierter als bei Bitwarden und bietet weniger Funktionen.

Für die meisten Benutzer ist Bitwarden die bessere Wahl. Wenn Sie jedoch Ihre Passwörter privat aufbewahren möchten oder ein besonders hohes Sicherheitsbedürfnis haben, empfehlen wir KeePassXC.

Bitwarden-Konto erstellen

Um Bitwarden nutzen zu können, erstellen Sie zunächst ein Konto. Rufen Sie die Website vault.bitwarden.eu auf und klicken Sie unterhalb der Anmeldemaske auf “Konto erstellen”.

Auf dieser Seite können Sie nun ein Konto anlegen. Dazu geben Sie eine E-Mail-Adresse und ein Master-Passwort für den Passwort-Manager an.

Master-Passwort

Wie bereits erwähnt, ist das Master-Passwort das wichtigste Passwort und das einzige, das Sie sich merken müssen. Es verschlüsselt alle Einträge im Passwort-Manager und ist buchstäblich der Schlüssel zu all Ihren Passwörtern. Jeder, der dieses Master-Passwort kennt, kann Ihre Passwörter entschlüsseln und verwenden. Geben Sie es also niemals an Fremde weiter und merken Sie es sich gut! Denn wenn das Master-Passwort verloren geht, gibt es keine Möglichkeit, die im Passwort-Manager gespeicherten Passwörter wiederherzustellen. Diese sind dann unwiederbringlich verloren und müssen manuell zurückgesetzt werden.

Das Master-Passwort sollte sicher und dennoch zu merken sein. Dies ist ein Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit. Im Allgemeinen ist es jedoch ratsam, der Sicherheit den Vorzug zu geben und etwas mehr Zeit für das Erlernen des Passworts einzuplanen.

Das Masterpasswort sollte mindestens 16 Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Verwenden Sie niemals ein Passwort, das Sie bereits für ein anderes Konto verwenden. Am besten benutzen Sie einen Passwort-Generator, um ein sicheres Passwort zu erstellen.

Passwordgenerator

Mit diesem Passwortgenerator können Sie sich ein zufälliges Passwort erstellen lassen. Der Generator läuft lokal in Ihrem Browser und sendet keine Daten über das Internet. Sie Sie können den Vorgang so oft wiederholen, bis Sie ein Passwort gefunden haben, das Ihnen gefällt.

16
hello world
Passwort Trainer

Mit diesem Passwort-Trainer können Sie Ihr Passwort trainieren und durch wiederholte Eingabe haptisch üben. Geben Sie Ihr Passwort ein und der Trainer speichert es temporär in Ihrem Browser. Nun können Sie Ihr Passwort immer wieder neu eingeben. Nach jedem Versuch teilt Ihnen der Trainer mit, ob Ihre Eingabe richtig oder falsch war.

Benutzen Sie den Trainer am besten mehrere Tage hintereinander, bis Sie Ihr Passwort auswendig tippen können. Ein gutes Ziel ist es, wenn Sie Ihr Passwort 10 Mal hintereinander richtig eingeben können.

0% der Zeichen waren korrekt
0

E-Mail-Adresse

Die E-Mail-Adresse wird für die Verwaltung Ihres Bitwarden-Kontos verwendet. Sie dient als Kontaktmöglichkeit für Sicherheitsmeldungen und gleichzeitig als Benutzername bei der Anmeldung. Sie sollten eine E-Mail-Adresse verwenden, die Sie regelmäßig überprüfen, um wichtige Informationen rechtzeitig zu erhalten. Selbstverständlich muss dieses E-Mail-Konto entsprechend gesichert sein. Ein gutes Passwort und eine Zwei-Faktor-Authentifizierung - dazu später mehr - sind Pflicht.

Am besten verwenden Sie eine separate E-Mail-Adresse nur für Bitwarden. So können Sie die Sicherheit Ihres Bitwarden-Kontos zusätzlich erhöhen, indem Sie diese Adresse geheim halten.

Konto erstellen

Sie haben nun alle nötigen Informationen, um einen Account zu erstellen. Geben Sie Ihre E-Mail-Adresse und Ihr Master-Passwort in die entsprechenden Felder ein, akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf “Konto erstellen”.

Bitwarden-Konto erstellen

Nun können Sie sich mit Ihrer E-Mail-Adresse und Ihrem Master-Passwort einloggen. Gleichzeitig erhalten Sie von Bitwarden eine E-Mail mit einem Link, mit dem Sie Ihre E-Mail-Adresse bestätigen müssen. Schauen Sie in Ihren Posteingang und klicken Sie auf den Link in der E-Mail.

Zwei-Faktor-Authentifizierung

Nachdem Sie sich angemeldet haben, aktivieren Sie als erstes die Zwei-Faktor-Authentifizierung. Diese Funktion ist sehr wichtig, um Ihr Konto bestmöglich zu schützen. Beim Einloggen in Bitwarden wird dann nicht nur Ihr Master-Passwort benötigt, sondern zusätzlich ein Code, der auf Ihrem Smartphone oder einem zweiten Gerät generiert wird. Ein Angreifer benötigt also nicht nur Ihr Master-Passwort. Er muss auch Zugriff auf diesen zweiten Schlüssel haben, was fast unmöglich ist. Dadurch wird es für einen Angreifer deutlich schwieriger, Ihr Konto zu knacken.

Rufen Sie die Kontoeinstellungen auf. Klicken Sie dazu auf das Benutzerlogo oben rechts und wählen Sie “Kontoeinstellungen”. Wählen Sie in der Navigation links “Sicherheit” und anschließend oben “Zwei-Faktor-Authentifizierung”. Hier können Sie nun die Zwei-Faktor-Authentifizierung einschalten.

Sie können zwischen verschiedenen Methoden wählen. Wir empfehlen die Verwendung einer entsprechenden App, die auf Ihrem Smartphone - oder besser auf einem weiteren Gerät - läuft und zeitbasierte Codes generiert. Google Authenticator oder Authy sind empfehlenswert. Beide sind kostenlos und sehr einfach zu bedienen. Wenn Sie möchten, können Sie mehrere Geräte parallel verwenden, um die Codes zu generieren. So haben Sie immer einen Ersatz, falls ein Gerät verloren oder kaputt geht.

Um die Zwei-Faktor-Authentifizierung einzurichten, müssen Sie zunächst einen QR-Code scannen. Öffnen Sie dazu die App auf Ihrem Smartphone und wählen Sie “Code scannen”. Halten Sie die Kamera Ihres Smartphones auf den QR-Code auf dem Bildschirm. Die App erkennt den Code automatisch und zeigt ihn an. Geben Sie den Code in das entsprechende Feld ein und klicken Sie auf “Speichern”. Die Zwei-Faktor-Authentifizierung ist nun aktiviert.

Backup-Code

Für den Fall, dass Sie Ihr Smartphone verlieren oder es kaputt geht, sollten Sie sich die Backup-Codes notieren. Mit diesen Codes können Sie sich unabhängig von Ihrem Smartphone anmelden. Bewahren Sie die Ersatzcodes an einem sicheren Ort auf. Sie können die Ersatzcodes auch ausdrucken. Sollten Sie die Codes verlieren, können Sie sich jederzeit neue Codes generieren lassen.

Bitwarden Zwei-Faktor-Authentifizierung

Bitwarden installieren

Wie bereits erwähnt, ist Bitwarden als Browser-Erweiterung, Desktop- und Mobile-App sowie als Web-App verfügbar. Alle gängigen Betriebssysteme werden unterstützt. Besonders praktisch ist die Browser-Erweiterung, mit der Sie direkt aus dem Browser heraus auf Ihre Passwörter zugreifen können. Sie unterstützt auch das automatische Ausfüllen von Formularen. Wenn Sie also ein Passwort benötigen, können Sie es mit wenigen Klicks in das entsprechende Feld einfügen. Praktisch ist auch die Smartphone-App, mit der Sie auch unterwegs auf Ihre Passwörter zugreifen können. Selbstverständlich können Sie auch mehrere Geräte gleichzeitig verwenden.

Alle Versionen von Bitwarden können auf der Website bitwarden.com/download heruntergeladen werden. Nach der Installation müssen Sie sich in jeder Anwendung neu anmelden.

Bitwarden benutzen

Bitwarden ist sehr benutzerfreundlich. Die Oberfläche sieht jedoch von Anwendung zu Anwendung etwas anders aus. Nach der Anmeldung wird eine Liste mit allen Einträgen angezeigt. Direkt nach der Installation ist diese Liste natürlich noch leer.

Neue Einträge erstellen

Um einen neuen Eintrag zu erstellen, klicken Sie auf das Plus-Symbol in der rechten oberen bzw. unteren Ecke. Es öffnet sich ein Formular, in das Sie alle wichtigen Informationen zu diesem Eintrag erfassen können. Die meisten Felder sind selbsterklärend. Die wichtigsten Felder sind

  • Name: Der Name des Eintrags. Er wird in der Liste angezeigt.
  • Benutzername: Der Benutzername für das Konto.
  • Passwort: Das Passwort für das Konto. Sie können hier auch ein neues Passwort generieren lassen.
  • URL: Die URL der Website, auf der Sie sich anmelden möchten. Wenn Sie diese URL eingeben, kann Bitwarden das Passwort später automatisch in das entsprechende Feld einfügen.
  • Notizen: Hier können Sie beliebige Informationen zum Eintrag hinterlegen.
  • Benutzerdefinierte Felder: Hier können Sie beliebige Felder hinzufügen. Dies ist z.B. nützlich, wenn Sie sich die Antwort auf eine Sicherheitsfrage merken wollen.

Wenn Sie alle Angaben eingetragen haben, klicken Sie auf “Speichern”. Der neue Eintrag erscheint nun in der Liste.

Bitwarden-Eintrag erstellen

Passwörter generieren

Direkt beim Anlegen neuer Einträge können Sie sich auch ein neues Passwort generieren lassen. Klicken Sie dazu neben dem Passwortfeld auf das Symbol mit den beiden kreisförmigen Pfeilen. Es öffnet sich ein Fenster, in dem Sie die Länge und die zu verwendenden Zeichen festlegen können. Wenn Sie auf “generieren” klicken, wird ein neues Passwort erstellt und automatisch in das Passwortfeld übernommen.

Mit diesem Passwort-Generator können Sie die Vorteile des Passwort-Managers voll ausschöpfen. Sie können sehr sichere Passwörter erstellen, ohne sich das Passwort merken zu müssen. Außerdem können Sie sicher sein, dass für jedes Konto ein individuelles Passwort verwendet wird.

Passwörter verwenden

Um ein Passwort zu verwenden, klicken Sie auf den entsprechenden Eintrag in der Liste. Es öffnet sich ein Fenster mit allen Informationen zu diesem Eintrag. Wenn Sie auf das “Kopieren”-Symbol neben dem Passwort klicken, wird das Passwort automatisch in die Zwischenablage kopiert. Sie können es nun direkt in das entsprechende Feld einfügen.

Falls Sie Bitwarden als Browsererweiterung installiert haben, können Sie das Passwort direkt ohne vorheriges Kopieren in das entsprechende Feld einfügen lassen. Klicken Sie dazu auf das Bitwarden-Symbol in der Symbolleiste Ihres Browsers. Es öffnet sich ein Menü, in dem Sie den entsprechenden Eintrag auswählen können. Das Passwort wird dann automatisch in das entsprechende Feld auf der Webseite eingefügt.

Passwörter sicher teilen

Bitwarden bietet die Möglichkeit, Passwörter sicher mit anderen Personen zu teilen. Diese Funktion kann unter dem Menüpunkt “Senden” aufgerufen werden. Zum teilen geben Sie das Passwort in das Textfeld ein.

Jetzt fehlen nur noch die Einstellungen zur Absicherung des Passwortes. Für die Übertragung kann ein Passwort festgelegt werden, dass abgefragt wird, wenn der Empfänger das zu teilende Passwort öffnen möchte. Außerdem kann ein Ablaufdatum festgelegt werden, nach dem das Passwort nicht mehr verfügbar ist.

Die nützlichste Funktion ist jedoch die Möglichkeit, das Passwort nur einmal anzeigen zu lassen. Dadurch wird sichergestellt, dass wirklich nur der Empfänger das Passwort sehen kann. Angenommen, das Passwort würde während der Übertragung abgefangen, so könnte der vorgesehene Empfänger es nicht mehr öffnen, da es bereits angezeigt wurde. In diesem Fall wissen wir, dass etwas nicht stimmt und können das Passwort ändern und das Teilen erneut versuchen.

Nachdem alle Einstellungen vorgenommen wurden, kann das Passwort über den Button “Senden” übertragen werden. Sie erhalten einen Link, den Sie an den Empfänger weiterleiten können. Dieser kann das Passwort dann über den Link abrufen.

Florian Hektor
Zurück