Passwort-Manager
Was ist ein Passwort-Manager?
Viele Online-Dienste erfordern einen Benutzernamen und ein Passwort, um ein Konto zu erstellen und Zugang zu einem bestimmten Dienst zu erhalten. Im Laufe der Zeit stehen die Nutzer immer wieder vor der Wahl, entweder für jede Website ein eigenes Passwort zu erstellen, was eine Herausforderung darstellt, oder Passwörter wiederholt zu verwenden, was aus Sicherheitsaspekten keine gute Idee ist.
Wenn eine Website angegriffen wird und Benutzernamen und Passwörter offengelegt werden, versuchen Angreifer, diese Passwörter auf anderen Websites zu verwenden. Diese Credential-Stuffing-Angriffe - die Verwendung gestohlener Zugangsdaten - machten laut dem jährlichen „Data Breach Investigations Report“ von Verizon fast die Hälfte der Cyberangriffe im Jahr 2022 aus. Außerdem kann es vorkommen, dass Benutzer ein Passwort einfach vergessen, und der Zyklus zum Zurücksetzen des Passworts nimmt viel Zeit in Anspruch, was das Gesamterlebnis des Benutzers beeinträchtigt.
Ein Passwort-Manager ist ein Versuch, die Benutzerfreundlichkeit und Sicherheit von Passwörtern zu verbessern, indem er es den Benutzern ermöglicht, eindeutige, komplexe Passwörter für jedes Online-Konto zu erstellen, ohne dass sie sich diese merken müssen. Alle Informationen werden sicher in einem Passwort-Tresor gespeichert und sind über den Passwort-Manager zugänglich.
Passwort-Manager helfen den Benutzern auch bei der Verwaltung von Konten für Online-Dienste und enthalten den Namen der Website oder des Dienstes, die Webadresse, den Namen des Benutzerkontos und das Passwort. Dies macht einen Passwort-Manager entscheidend, ja sogar unverzichtbar für Benutzer, die von einer Vielzahl von Diensten abhängig sind, die Benutzernamen und Passwörter erfordern.
Wie funktioniert ein Passwort-Manager?
Wenn ein Benutzer zum ersten Mal eine Website besucht, die einen Benutzernamen und ein Kennwort erfordert, während er einen Kennwort-Manager verwendet, kann es zu verschiedenen Szenarien kommen.
Wenn der Benutzer noch keinen Benutzernamen und kein Passwort für die Website erstellt hat, kann der Passwort-Manager dabei helfen, ein hochgradig zufälliges und einzigartiges Passwort zu erstellen. Wenn der Benutzer den Cursor in das Eingabefeld für das Passwort setzt, fordert der Passwort-Manager den Benutzer auf, ein neues, sicheres Passwort zu erstellen. Nach der Eingabe des Benutzernamens und des neuen Passworts fordert der Passwort-Manager den Benutzer normalerweise auf, die Informationen zu speichern. Der Benutzername und das Kennwort werden dann sicher im Kennwort-Manager gespeichert. Wenn der Benutzer das nächste Mal dieselbe Website besucht, öffnet der Passwort-Manager ein Eingabefenster, in der Regel über der Stelle, an der die Benutzereingabe erforderlich ist, und fragt den Benutzer, ob er die zuvor gespeicherten Informationen eingeben möchte.
Wenn der Benutzer jedoch bereits einen Benutzernamen und ein Kennwort hat, aber zum ersten Mal eine Website besucht und ein Kennwort-Manager installiert ist, wird er aufgefordert, die Kontoinformationen für zukünftige Besuche zu speichern.
Wie erkennt ein Passwort-Manager, ob ein Passwort benötigt wird?
Websites verwenden im Allgemeinen ein Standard-HTML-Formular für die Felder Benutzername und Passwort. Passwort-Manager-Technologien erkennen das Vorhandensein von Benutzernamen- und Passwortfeldern. Der Passwort-Manager identifiziert auch die besuchte Webadresse, gleicht sie mit einer Liste bekannter Zugangsdaten ab und stellt fest, ob ein Passwort eingegeben werden kann oder ob ein neues Passwort erforderlich ist. Dies ist auch hilfreich bei Phishing-Versuchen, denn der Passwort-Manager kann erkennen, falls es sich nicht um die originäre Website handelt, zu der die Zugangsdaten gehören.
Browser-Entwickler und Passwort-Manager von Drittanbietern haben unterschiedliche Mechanismen zur Erkennung von Benutzernamen- und Passwortfeldern. Google hat eine Reihe von Best Practices veröffentlicht, die Entwicklern helfen sollen, zuverlässig erkannte Formulare für Benutzernamen und Passwörter zu erstellen. Passwortmanager-Tools von Drittanbietern, darunter 1Password und LastPass, haben ebenfalls Informationen veröffentlicht, die Entwicklern bei der Erstellung kompatibler Formulare helfen.
Wie sichert ein Passwort-Manager den Zugang zu Passwörtern?
Passwort-Manager selbst müssen ebenfalls gesichert werden, in der Regel mit einem Master-Passwort, das für den Zugriff auf den Kennwort-Manager verwendet wird. Darüber hinaus verwenden die besten Passwort-Manager eine Multifaktor-Authentifizierung (MFA) oder eine Zwei-Faktor-Authentifizierung (2FA), zum Beispiel ein zweites Passwort oder eine biometrische Maßnahme, wie Gesichtserkennung. Alle Benutzernamen- und Passwortinformationen im Passwort-Manager sind in der Regel mit dem Advanced Encryption Standard 256 gesichert.
Vorteile der Verwendung eines Passwort-Managers
Passwort-Manager bieten den Benutzern mehrere Vorteile für den Zugriff auf und die Verwendung von Passwörtern auf vielen Geräten, darunter die folgenden:
Komfortabel. Bei den vielen Kombinationen von Benutzernamen und Passwörtern, die Internetnutzer benötigen, macht ein Passwort-Manager das Erstellen, Verwalten und Verwenden von Passwörtern wesentlich einfacher und schneller.
Autofill. Eine Kernfunktion eines Passwort-Managers ist die Fähigkeit, Benutzeranmeldedaten automatisch auszufüllen, wenn ein Anmeldeformular erkannt wird, für das das System einen Benutzernamen und ein Passwort hat.
Reduzierung der Wiederverwendung von Passwörtern. Mit der integrierten Möglichkeit, den Benutzern bei der Erstellung neuer, eindeutiger Passwörter für jede von ihnen genutzte Website zu helfen, kann ein Passwort-Manager dazu beitragen, die Wiederverwendung von Passwörtern zu reduzieren oder zu vermeiden.
Stärkere Passwörter. Ein Passwort-Manager kann komplexe und starke Passwörter erstellen, die einzigartig und für einen Angreifer schwerer zu knacken sind.
Höhere Sicherheit. Passwort-Manager verschlüsseln die Kennwörter der Benutzer und bieten einen sicheren Zugang. Sie können Benutzer auch warnen, wenn Anmeldedaten Teil einer Datenverletzung oder eines Phishing-Versuchs waren.
Passwort-Mobilität. Viele Passwortmanager ermöglichen die Synchronisierung von Benutzernamen und Passwörtern über mehrere Geräte hinweg, vom Desktop bis zum Handy.
Einhaltung von Vorgaben. Mit der Verwendung eines Passwort-Managers wird es Anwendern deutlich leichter gemacht, sich an entsprechende Vorgaben von Sicherheitsrichtlinien zu halten.
Herausforderungen bei der Verwendung eines Passwort-Managers
Neben den Vorteilen eines Passwort-Managers gibt es aber auch Schwachstellen und Probleme bei der Bedienung durch den Benutzer, darunter die folgenden:
Sicherheitsbedenken. Mit einem Passwort-Manager schaffen die Benutzer im Grunde eine einzige Fehlerquelle. Wenn der Passwort-Manager gehackt wird, könnten alle Passwörter eines Benutzers gefährdet sein. In den letzten Jahren gab es mehrere Vorfälle, bei denen Passwortmanagerdienste öffentlich über Sicherheitsvorfälle berichteten. Darüber hinaus haben öffentlich bekannt gewordene Untersuchungen ergeben, dass mehrere Passwort-Manager Sicherheitslücken aufweisen. Allerdings steht immer noch außer Zweifel, dass die Verwendung eines Passwort-Managers sicherer ist, als keinen zu verwenden.
Risiko des Verlusts des Master-Passworts. Bei einem Passwort-Manager ist der gesamte Zugriff auf die Passwörter eines Benutzers durch ein einziges Master-Passwort gesichert. Wenn dieses Passwort verloren geht, kann ein Benutzer den Zugriff auf alle seine Passwörter verlieren - ohne eine einfache Möglichkeit, sie wiederherzustellen.
Interoperabilität. Nicht alle Websites entsprechen den bewährten Verfahren aller Passwort-Manager. Einige sind mit bestimmten Passwort-Manager-Technologien nicht kompatibel.
Einrichtung für bestehende Websites. Neue Benutzer stehen manchmal vor der Herausforderung, bestehende Benutzernamen- und Passwortinformationen in einen neu eingerichteten Passwortmanager zu integrieren.
Kompatibilität mi.t Multifaktor-Authentifizierung oder Zwei-Faktor-Authentifizierung. Eine gängige Best Practice für viele Websites ist die Unterstützung von MFA oder 2FA. Da Passwort-Manager jedoch nicht immer direkt mit MFA oder 2FA verbunden sind, müssen Benutzer diesen Aspekt immer noch separat verwalten.
Arten von Passwort-Managern
Da die meisten Nutzer in erster Linie über den Browser auf Websites und Dienste zugreifen, ist die bekannteste und am leichtesten zugängliche Art des Passwort-Managers der browserbasierte Ansatz. Alle wichtigen Browserplattformen, darunter Google Chrome, Apple Safari, Microsoft Edge und Mozilla Firefox, verfügen seit langem über eine Form von integriertem Passwort-Manager.
Ursprünglich waren alle browserbasierten Passwort-Manager auch lokale Passwort-Manager; sie haben Benutzernamen und Passwörter nur auf dem lokalen Gerät ausgeführt und gespeichert. Das ist heute nicht mehr der Fall. Viele Browserhersteller bieten Synchronisierungsfunktionen an, die eine geräteübergreifende Kennwortverwaltung ermöglichen. Der Kennwort-Manager von Apple Safari ist beispielsweise in den Apple iCloud-Schlüsselbund integriert, der eine sichere gemeinsame Nutzung von Anmeldeinformationen auf verschiedenen Geräten ermöglicht.
Neben den browserbasierten Passwort-Managern stehen unter anderem die folgenden Passwort-Manager zur Auswahl.
Lokale Passwort-Manager
Wie bereits erwähnt, waren die ersten Passwort-Manager lokale Passwort-Manager. Eine Anwendung auf dem Gerät eines Benutzers speichert und verwaltet die Anmeldedaten des Benutzers auf diesem speziellen Gerät. Beispiele für lokale Passwortmanager sind die Open-Source-Anwendungen Password Safe und KeePass.
Cloud-basierte Passwort-Manager
Mit diesen Passwort-Managern können Benutzer ihre Passwörter von jedem Gerät mit Internetverbindung abrufen, indem sie sie in der Cloud speichern. Zu den Anbietern von Cloud-basierten Passwort-Managern gehören 1Password, Dashlane und LastPass.
Passwort-Manager für Unternehmen
Für die Verwaltung von Passwörtern innerhalb eines Unternehmens ist ein unternehmensweiter Passwort-Manager konzipiert. Diese Passwort-Manager können auch in die rollenbasierte Zugriffskontrolle (RBAC) und die verwendete Verzeichnistechnologie wie das Active Directory integriert werden und enthalten oft auch Funktionen zur Verwaltung des privilegierten Zugriffs. Zu den Anbietern in diesem Bereich gehören beispielsweise CyberArk und Delinea (Thycotic).
Hardware-Passwort-Manager
Hardware-Passwort-Manager funktionieren auf unterschiedliche Weise. Einige Hardware-Geräte, die oft als USB-Sticks bereitgestellt werden, enthalten einen Token, der den Zugang zu einem Konto ermöglicht. Andere Hardware-Geräte dienen lediglich als sicherer Offline-Speicher zur Verwaltung von Passwörtern. Beispiele für Hardware- oder Token-Passwortmanager sind YubiKey und OnlyKey, sowie Google Titan Key.