Zum ersten Sonntag im Monat (#DIDit) schauen wir uns an, wie Konten im Netz besser geschützt werden können. Genauer: Das Problem, das entsteht, wenn man ein und dasselbe Passwort auf verschiedenen Plattformen verwendet.
Wer online unterwegs ist, nutzt täglich Dienste, die mit Nutzername und Passwort gesichert sind. E-Mail, soziale Netzwerke, Online-Banking, Streaming, Behördenportale. Jedes dieser Passwörter wird irgendwo notiert, im Kopf behalten oder für mehrere Konten gleichzeitig verwendet. Und damit macht man es Angreifenden einfach.
Ein Passwort für alles
Datenlecks passieren regelmäßig. Wer dasselbe Passwort zusätzlich zum E-Mail-Konto auch beim Online-Banking oder beim Arbeitgeberportal nutzt, macht es Angreifenden dabei besonders leicht. Sie müssen dann nicht mal mehr aufwändig weitere Passwörter „knacken“, sondern es genügt, die einmal erbeuteten Zugangsdaten systematisch auf anderen Plattformen auszuprobieren. Nach der Schrotschussmethode wird es schon irgendwo hängen bleiben. Dieses Verfahren heißt „Credential Stuffing“ und ist weit verbreitet, weil es so zuverlässig funktioniert.
Die Konsequenz ist daraus ist simpel: jedes Konto braucht ein eigenes Passwort. Hundert Online-Konten bedeuten hundert Passwörter. Empfohlen werden möglichst lange Passwörter mit Zahlen und Sonderzeichen, dabei keine erkennbaren Muster. Entscheidend ist eher die Länge als die Komplexität. Die meisten Menschen können sich vielleicht drei, vier solcher Passwörter dauerhaft merken. Der Rest wird wiederverwendet, verkürzt oder vereinfacht und damit ist man wieder am Ausgangsproblem.
Die Lösung: Ein Passwort-Manager
Statt Passwörter ungeschützt zu notieren (wir alle kennen die Arbeitskolleg:innen, die ein physisches Passwort-Notizheft führen) oder den Überblick zu verlieren, verwahrt ein Passwort-Manager alle Zugangsdaten verschlüsselt an einem Ort. Man merkt sich nur noch ein einziges, starkes Master-Passwort, der Rest wird generiert und automatisch eingetragen.
Je nach Bedarf gibt es zwei Varianten. Offline-Passwort-Managerspeichern die Passwörter verschlüsselt lokal auf dem eigenen Gerät und nichts landet in einer Cloud. Wir empfehlen hier KeePass, eine bewährte und kostenfreie Lösung.
Häufig verwenden wir heute aber mehrere Geräte wie Smartphone plus Tablet oder Laptop. Wer deshalb von mehreren Geräten aus auf die eigenen Zugangsdaten zugreifen möchte, ist mit einem Online-Passwort-Manager besser bedient. Dafür empfehlen wir die Lösungen Proton Pass oder LastPass. Wichtig ist in beiden Fällen, nur vertrauenswürdige Anbieter zu verwenden. Für alle, die lieber selbst hosten, bietet sich der Bitwarden-Fork Vaultwarden an. Auch in Nextcloud lässt sich ein Passwortmanager als Plugin installieren, der mit dem gleichen Dateiformat wie KeePass arbeitet.
Viele greifen dann auf die integrierte Passwortfunktion ihres Browsers zurück. Browser wie Chrome speichern Passwörter bequem, erhöhen dabei aber die Abhängigkeit von Platzformkonzernen wie Google und erschweren den Wechsel zu anderen Diensten. Ein unabhängiger und plattformübergreifender Passwort-Manager ist die bessere Wahl.
Einen Leitfaden zur einfachen Einrichtung eines Passwort-Managers findet man hier. Ob die eigene E-Mail-Adresse bereits in einem bekannten Datenleak aufgetaucht ist, lässt sich auf haveibeenpwned.com schnell überprüfen. Manche Passwort-Manager übernehmen diese Prüfung automatisch.
Zwei-Faktor-Authentifizierung (2FA)
Selbst ein starkes Passwort kann in falsche Hände geraten. Die Zwei-Faktor-Authentifizierung fügt deshalb eine zweite Sicherheitsebene hinzu. Neben dem Passwort wird ein zusätzlicher Code abgefragt, ein sogenanntes zeitbasiertes Einmalkennwort, das automatisch über eine Authenticator-App generiert wird und sich alle 30 Sekunden ändert. Selbst wenn man das Passwort kennt, kann man sich ohne diesen Code nicht einloggen. Achte darauf, den Code nur auf vertrauenswürdigen Websites einzugeben. Als Authenticator-App empfehlen wir Ente Auth (quelloffen, auch als Desktop-Version verfügbar) oder Authy. Auch wenn die Umstellung auf 2FA zunächst umständlich wirken mag, ist der Sicherheitsgewinn ungleich höher, wenn Angreifende nicht nur Zugriff auf ein Gerät erlangen müssen, sondern auch noch Zugang zur 2FA-App bekommen müssen.
Passkeys: Der nächste Schritt
Passwörter und 2FA schützen zuverlässig, aber sie haben eine Gemeinsamkeit, man muss sie verwalten. Passkeys ersetzen Passwörter vollständig. Statt ein Passwort einzugeben, meldet man sich per Fingerabdruck, Gesichtserkennung oder PIN bei den Diensten und Plattformen an. Im Hintergrund arbeitet ein kryptografisches Schlüsselpaar. Der private Schlüssel bleibt auf dem eigenen Gerät und verlässt es nie, auch der Onlinedienst bekommt ihn niemals zu sehen. Phishing oder „Credential Stuffing“ greifen damit ins Leere. Ein häufiger Einwand gegen die Methode ist, dass man sich mit Passkeys von großen Konzernen abhängig macht. Das muss aber nicht so sein, denn Passkeys basieren auf offenen Webstandards. Wie Passkeys technisch funktionieren, erklärt das BSI in einem Beitrag. Wir empfehlen, wo immer möglich, Passkeys zu nutzen, weil sie nochmal sicherer sind als die herkömmliche Methode über Passwörter und 2FA. KeePassXC und Bitwarden unterstützen sie bereits vollständig. Wer maximale Kontrolle möchte, speichert Passkeys auf einem FIDO2-Stick, einen Hardware-Schlüssel, der über USB oder NFC funktioniert und Passkeys unabhängig von Gerät und Cloud speichert. Einen guten Überblick über die Möglichkeiten bietet der Heise-Ratgeber zu Passkeys mit Open-Source-Tools.
Wer noch tiefer in die Themen Datenschutz und Privatsphäre einsteigen möchte, findet im 1×1 des Datenschutzes der AG Datenschutz von D64 weitere Empfehlungen.
In diesem Sinne: Offen bleiben. Format zeigen. Sicher bleiben.
Entstanden ist die Beitragsserie zum Digital Independence Day nach einer Idee unseres verstorbenen AG-Co-Koordinators Oswald Prucker. D64 ist Partnerorganisation des DI.DAY.
