Sichere Passwörter stellen die erste und wichtigste Verteidigungslinie im Kampf gegen Datendiebstahl dar. Sie sichern die digitale Identität von Privatpersonen und schützen sensible Unternehmenskonten und -infrastrukturen vor der Ausspähung durch unbefugte Dritte. Bisweilen führt die zunehmende Digitalisierung jedoch dazu, dass man sich eine Fülle an Passwörtern merken muss. Daher tendieren viele sorglose Nutzer dazu, die Sicherheit langer und abwechslungsreicher Passwörter zugunsten simpler und dadurch leicht zu merkender Kennwörter aufzugeben, diese aufzuschreiben und womöglich auch noch mehrfach zu verwenden. Keine besonders gute Idee! Sehr viel sinnvoller ist der Einsatz eines Passwort-Managers. Wie dieser digitale Tresor funktioniert möchten wir Ihnen in diesem Beitrag näher erläutern.

123456…

…lautet das beliebteste Passwort der Deutschen, dicht gefolgt von „123456789“, „12345678“ und, Sie ahnen es bereits, „1234567“. Weitere Beispiele aus dem Kuriositätenkabinett der Top 20 auf diesem Gebiet im Jahr 2019: „password“, „iloveyou“, „222222“, „111111“ und …Trommelwirbel… ja genau, auch „000000“. Alles nicht besonders einfallsreich, und für Internetkriminelle keine Hürde, die diesen Namen verdient hätte. Hinzu kommt, dass viele ein und dasselbe Passwort mehrfach verwenden. Doch woran liegt es, dass wir so sorglos mit dem Schutz unserer Accounts und der unseres Arbeitgebers umgehen? Immerhin handelt es sich doch um sensible Daten, welche hinter diesen Passwörtern verborgen liegen.

Die Antwort auf diese Frage kann man wohl mit einem Wort zusammenfassen: Bequemlichkeit. Wir haben es heutzutage privat wie beruflich mit so vielen passwortgeschützten Anwendungen zu tun, dass wir derer durch einfaches Behalten von Passwörtern kaum Herr werden. Wie will man sich die vielen Passwörter denn auch alle merken? Eine Möglichkeit ist es freilich, ganz oldschool Stift und Zettel zu bemühen, doch davon raten viele Experten ab. Nicht nur ist die manuelle Buchführung von Passwörtern aufwändig, da man seine Passwörter ja auch regelmäßig ändern soll. Vielmehr können gerade auf der Arbeit handschriftliche Notizen leicht von Unbefugten ausgespäht werden. Die Liste stattdessen in einer Exceldatei zu führen ist ebenfalls eine schlechte Idee, weil dann alle Konten nur einen Hack davon entfernt sind, kompromittiert zu werden.

Abhilfe: Passwort-Manager

Es braucht also eine Merkhilfe, die verlässlich ihren Dienst verrichtet, dabei immer alle Sicherheitsaspekte berücksichtigt und gleichzeitig leicht und komfortabel zu bedienen ist. Eine solche Lösung gibt es in Form von Passwort-Managern. Hinter diesem Konzept verbergen sich Software-Tools, die Passwörter gewissermaßen in einem gut geschützten digitalen Hochsicherheitstresor sammeln, sie aber auch schnell und einfach zur Verfügung stellen, wenn sie benötigt werden. Je nach Programm speichern Passwort-Manager dabei die Passwörter entweder lokal auf dem Gerät oder in der Cloud auf Servern des Anbieters. Letztere Alternative hat den Vorteil, dass der Passwort-Manager unabhängig von Standort und Gerät in Anspruch genommen werden kann. Wie bei allen Cloud-Angeboten empfiehlt es sich jedoch, den Hersteller mit Bedacht auszuwählen und im Vorfeld dessen AGB und Datenschutzerklärungen sorgfältig zu prüfen.

Alle Anbieter haben gemein, dass der Zugang zum Passwort-Manager durch ein Master-Passwort geregelt ist, welches den in der Regel nach dem Advanced Encrytpion Standard (AES) mit 256 Bit verschlüsselten Passwortspeicher entsperrt. Für den Nutzer bedeutet dies, dass er sich nur noch dieses eine Passwort merken muss. Die meisten Passwort-Manager bieten einige Features, die Sie bei der Vergabe neuer Passwörter unterstützen. So prüft ein Sicherheits-Check, ob ein Passwort bereits anderswo verwendet wird und identifiziert zudem schwache Passwörter, welche den aktuell gültigen Sicherheitsstandards nicht genügen. Alternativ kann man von den meisten Passwort-Managern darüber hinaus ein sicheres Passwort erstellen lassen. Dieses muss dann auch nicht mühsam herüberkopiert werden. Stattdessen übertragen Passwort-Manager das Kennwort automatisiert auf Knopfdruck.

Vorsicht!

Bewahren Sie Ihr Master-Passwort immer sorgfältig auf. Ist es einmal verloren, bleibt oftmals nur der Reset des Passwort-Managers bei dem alle gespeicherten Einträge verloren gehen. Die Stiftung Warentest rät deshalb dazu, Vorkehrungen für den Fall zu treffen, dass man das Master-Passwort vergisst. Empfohlen ist beispielsweise, es aufzuschreiben und in einem Banktresor zu verwahren.

Password Server: Der Passwort-Manager aus dem Hause Pleasant

Wir bei iwm vertrauen seit einiger Zeit auf den Password Server des Softwareherstellers Pleasant. Der Kennwortserver basiert auf KeePass Password Safe und bietet Zugangsmöglichkeiten für alle gängigen Arten von Endgeräten sowie einen Web Client für die Nutzung direkt vom Web-Browser aus. Weil er speziell für Geschäftsbenutzer entwickelt wurde, ermöglicht er eine einfache Zugriffsbereitstellung sowie Zugriffsbeschränkungen durch den Administrator für Gruppen und Einträge über betrieblich festgelegte Nutzerrollen. Alle Konfigurationen können leicht kopiert oder hierarchisch vererbt werden. Zudem sind Datenimporte und -exporte sowie Datensicherung und -wiederherstellung möglich. Des Weiteren können Benutzer ihre eigenen Daten separat in der Datenbank hinterlegen.

Besonderen Wert legt Pleasant auf die Sicherheitsvorkehrungen. So werden Passwörter stets in der Datenbank des Servers, niemals aber lokal gespeichert. Die sichere Verbindung zum Server belegt dabei das 256-bit SSL Zertifikat, während die Verschlüsselung der Datenbank mittels FIPS konformem AES256 Algorithmus erfolgt. Darüber hinaus sorgt der In-Memory Passwortschutz dafür, dass Passwörter innerhalb des Speichers verschlüsselt werden während KeePass läuft. Wer Multi-Faktor-Authentifizierung anstrebt, kann mit Google Authenticator-, Yubikey-, Biometrics-, TOTP-, RSA- oder RADIUS-Protokollen diese zusätzliche Ebene der Anmeldesicherheit hinzufügen.

Der Pleasant Password Server ist für alle Unternehmensgrößen interessant. Er bietet Lizenzierungsmöglichkeiten von 5 bis 10.000+ Nutzern uns ist leicht skalierbar. Aussehen und Branding können Sie zudem individuell gestalten, zum Beispiel mit dem eigenen Firmenlogo und einem der verfügbaren Layouts.

Bei Rückfragen zum Thema stehen Ihnen unsere ausgewiesenen Experten jederzeit mit Rat und Tat zur Seite. Sprechen Sie uns einfach über das Kontaktformular auf dieser Seite, per E-Mail oder Telefon an!