Sie können damit beginnen, ohne hochwertige Passwörter zu riskieren
Wenn Sie aufgrund der oben genannten Risiken zögern, einen Passwort-Manager für alle Ihre Konten zu verwenden, sollten Sie mit den Passwörtern beginnen, bei denen Sie sich am wenigsten Sorgen machen, dass sie verloren gehen oder kompromittiert werden könnten.
Ein Passwort, mit dem Sie ein siebentägiges Probeabonnement für ein Softwareprogramm, einen Nachrichtenartikel oder eine Forschungsarbeit erstellen, ist Ihnen beispielsweise wahrscheinlich egal. Wenn Sie auf vielen verschiedenen Websites einkaufen, haben Sie vielleicht Dutzende von Konten, die alle Kopien der gleichen Informationen schützen: Ihre Kreditkartennummer, Telefonnummer und Adresse. Keine dieser Informationen ist besonders geheim, Ihre Haftung ist begrenzt, wenn Ihre Kreditkartennummer gestohlen wird, und es ist einfach, das Kennwort für die meisten Shopping-Websites zurückzusetzen, indem Sie eine E-Mail zum Zurücksetzen des Kennworts erhalten.
Indem Sie mit Ihren Kennwörtern mit geringerem Wert beginnen, können Sie sich mit der Funktionsweise von Kennwortmanagern vertraut machen, während die Folgen von Fehlern gering sind. Mit zunehmender Erfahrung werden Sie auch die Risiken und Vorteile besser verstehen. Wenn Sie sich nicht mehr mit dem Erstellen, Merken und Eingeben dieser minderwertigen Kennwörter befassen müssen, können Sie einen Teil der eingesparten Mühe in den Schutz von Kennwörtern für höherwertige Konten stecken.
Sie können Ihren Kennwortmanager auch dazu verwenden, zufällige Kennwörter zu generieren, die Sie nicht speichern sollten. Diese sollten Sie sich wahrscheinlich aufschreiben. Sie sollten in der Lage sein, im Laufe der Zeit zufällige Passwörter für einige Konten zu lernen, indem Sie sie einfach verwenden.
Die meisten Benutzer können loslegen, ohne neue Software zu kaufen oder herunterzuladen. Wenn Sie hauptsächlich Safari oder Chrome verwenden, verfügen beide Browser über Passwort-Manager, die zufällige Passwörter für Sie generieren. Auf Brave, Edge oder Firefox gehe ich nicht ein, da sie zum Zeitpunkt der Erstellung dieses Artikels keine Kennwörter generieren.
Während Sie eigenständige Kennwortmanager in Betracht ziehen sollten, insbesondere wenn Sie Kennwörter für Ihre wertvolleren Konten speichern, können Sie die Kennwörter, die Sie beim Ausprobieren der integrierten Kennwortmanager in Chrome oder Safari gespeichert haben, einfach in diese importieren.
Ein Grund, warum Sie Chrome nicht mehr verwenden sollten, ist, dass er nicht erkennt, welche Kennwörter Sie auf verschiedenen Websites wieder verwendet haben. Um die Sicherheitsvorteile eines Passwortmanagers nutzen zu können, ist eine Überprüfung der wiederverwendeten Passwörter unerlässlich. Die meisten eigenständigen Passwort-Manager bieten eine Prüffunktion, und auch der in Safari integrierte Passwort-Manager (Apples Schlüsselbund) verfügt seit kurzem über eine solche Funktion.
Selbst wenn Sie versuchen, wichtige Passwörter nicht in Ihrem Passwort-Manager zu speichern, lohnt es sich, regelmäßig zu überprüfen, welche Passwörter Sie gespeichert haben und welche wiederverwendet werden – einige Konten, die bei der Erstellung wertlos erschienen, können sich im Laufe der Zeit als wertvoller erweisen. Einige Passwort-Manager weisen auch darauf hin, wenn einige Ihrer Passwörter offensichtlich schwach sind (z. B. wenn sie in Listen mit häufig verwendeten Passwörtern auftauchen). Wenn Sie Ihre alten Passwörter ersetzen möchten, kann der Arbeitsaufwand entmutigend sein. Sie müssen nicht warten, bis Sie genug Zeit haben, alle auf einmal zu ändern; setzen Sie Prioritäten und fangen Sie an.
Kennwortmanager, die prüfen, ob Sie ein Kennwort wiederverwendet haben, können dies leider nur tun, wenn Sie ihnen erlauben, dieses Kennwort zu speichern. Wenn Sie nur Passwörter für Konten mit geringem Wert speichern, kann der Passwort-Manager Ihnen nur sagen, welche Ihrer Passwörter mit geringem Wert wiederverwendet wurden. Mir ist kein Kennwortmanager bekannt, der Sie darauf hinweist, wenn Sie ein Kennwort, das Sie für eine andere Website gespeichert haben, auf der aktuellen Website eingeben. Es gibt keinen technischen Grund, warum die meisten Passwort-Manager Sie nicht auf die Wiederverwendung von Passwörtern hinweisen könnten, und ich hoffe, dass dies bald der Fall sein wird.
Lernen Sie ein starkes Master-Passwort
Die meisten Passwort-Manager schützen Ihre Passwörter mit einem weiteren Passwort, das gemeinhin als Master-Passwort bezeichnet wird. Bei eigenständigen Passwort-Managern werden Sie aufgefordert, ein Master-Passwort zu erstellen, wenn Sie sie benutzen. Wenn Sie den Chrome-Browser von Google verwenden, um Ihre Passwörter zu speichern und sie für andere Geräte freizugeben, werden Ihre Passwörter von Google gespeichert und durch das Passwort für Ihr Google-Konto geschützt (zusammen mit allen zweiten Faktoren, die Sie möglicherweise verwenden). Apples iCloud-Schlüsselbund verlässt sich in erster Linie auf die Passwörter Ihrer Geräte und die Entsperrfunktionen, um seine Daten regelmäßig zu schützen, verfügt aber über ein Notfall-Master-Passwort, den sogenannten iCloud-Sicherheitscode.
Verwenden Sie kein Master-Passwort, das Sie für etwas anderes verwendet haben. Dies muss wiederholt werden, denn wahrscheinlich haben Sie die Warnungen vor der Wiederverwendung von Kennwörtern schon einmal für Konten erhalten, die Ihnen egal sind. Im Gegensatz zu diesen wertlosen Passwörtern sollte das Master-Passwort, das all Ihre anderen Passwörter schützt, wirklich einzigartig sein.
Wenn Sie den Chrome-Passwortmanager verwenden, der über Ihr Google-Konto synchronisiert wird, und nicht zu 100 % sicher sind, dass Ihr Google-Konto ein starkes und einzigartiges Passwort hat, erstellen Sie ein neues (nachdem Sie sichergestellt haben, dass Sie einen Wiederherstellungsplan für den Fall haben, dass Sie das neue Passwort vergessen, wie unten beschrieben). Dies ist auch ein guter Zeitpunkt, um zu überprüfen, ob Sie für dieses Konto eine Zwei-Faktor-Authentifizierung verwenden sollten. Wenn Sie den iCloud-Schlüsselbund von Apple verwenden, sollten Sie auch kein Passwort als iCloud-Sicherheitscode verwenden.
Ihr Hauptpasswort sollte nach dem Zufallsprinzip generiert werden und lang genug sein, um Ihr Passwort auch dann zu schützen, wenn Angreifer in den Besitz der verschlüsselten Passwortliste einer Website gelangen und versuchen, diese Verschlüsselung zu knacken. Um sicherzustellen, dass Ihr Passwort wirklich zufällig ist, lassen Sie es von Ihrem Passwort-Manager generieren (oder verwenden Sie Würfel und eine Wortliste). Viele Menschen glauben fälschlicherweise, dass sie Zufälligkeit erzeugen können, indem sie Buchstaben in den Kopf rufen oder auf die Tastatur hämmern, aber viele der mentalen Prozesse, die wir für zufällig halten, sind in Wirklichkeit nicht wirklich zufällig. Ein guter Passwort-Manager verwendet einen kryptografischen Zufallszahlengenerator, um sicherzustellen, dass Ihr Passwort ausreichend zufällig ist (und Würfel sind eine bewährte Quelle physischer Zufälligkeit, deren Fairness Sie einfach durch Würfeln überprüfen können).
Ihr Hauptpasswort sollte aus mindestens 12 Kleinbuchstaben oder fünf Wörtern bestehen. Warum sollten Sie Kleinbuchstaben oder Wörter verwenden, wenn Sie wahrscheinlich schon einmal aufgefordert (und genötigt) wurden, Großbuchstaben und Symbole zu verwenden? Wenn Sie das Kennwort auf einem Gerät mit Bildschirmtastatur (z. B. auf Ihrem Handy) eingeben müssen, ist für jeden Großbuchstaben oder jedes Symbol möglicherweise ein zusätzlicher Tastendruck erforderlich. Sie können die gleiche Sicherheit erreichen und sich eine Menge Frustration ersparen, wenn Sie Ihr Kennwort ausschließlich in Kleinbuchstaben eingeben, die nur 30 % länger sind als bei gemischter Großschreibung. Mit anderen Worten: Ein zufällig generiertes 13-Zeichen-Kleinbuchstaben-Passwort, das mit 13 Tastenanschlägen eingegeben werden kann, ist genauso sicher wie ein 10-Zeichen-Passwort mit gemischter Groß- und Kleinschreibung, das unter Umständen viel mehr Tastenanschläge erfordert.
Erwarten Sie nicht, dass Sie Ihr neues Master-Passwort sofort lernen – nur sehr wenige Menschen können eine lange, zufällig generierte Zeichenfolge in einer Sitzung lernen. Der beste Weg, Ihr Master-Passwort zu lernen, ist, es aufzuschreiben und häufig zu benutzen. Stellen Sie Ihren Passwort-Manager so ein, dass Sie es mindestens einmal am Tag neu eingeben müssen, bis Sie es kennen, und entsorgen Sie Ihre Papierkopie erst, wenn Sie es mehrere Tage lang zuverlässig aus dem Gedächtnis eingegeben haben. Die Fähigkeit von Menschen, zufällige Passwörter zu lernen, ist zwar nicht gut untersucht, aber Untersuchungen, die meine Mitarbeiter und ich durchgeführt haben, deuten darauf hin, dass es zwischen 10 und 30 Anläufe braucht, um sich ein Passwort zu merken. (Diese Forschung untersucht Techniken, die Passwort-Manager verwenden könnten, um Ihnen zu helfen, sichere Master-Passwörter zu lernen, aber keiner bietet derzeit irgendeine Hilfe an.)
Schließlich, gehen Sie nicht davon aus, dass Sie Ihre Papierkopie des Master-Passworts nicht verlieren werden, bevor Sie es auswendig gelernt haben, oder dass Sie es später nicht vergessen werden.
Faktor Wiederherstellung bei der Wahl eines Passwortmanagers
Da einer der größten Unterschiede zwischen den Passwortmanagern das Verfahren zur Wiederherstellung Ihrer Daten ist, wenn Sie Ihr Hauptpasswort verlieren, sollten Sie sich nicht für einen Passwortmanager entscheiden, ohne sich über das Verfahren zur Wiederherstellung im Notfall zu informieren. Nachdem Sie sich für einen Passwort-Manager entschieden haben, sollten Sie neben der Wahl Ihres Master-Passworts als Erstes diesen Wiederherstellungsprozess einrichten. Sie werden ihn sehr bald brauchen, denn die Wahrscheinlichkeit, dass Sie ein Master-Passwort kurz nach seiner Erstellung vergessen, bevor Sie es durch wiederholte Verwendung gelernt haben, ist sehr groß.
Während die Folgen des Verlusts Ihrer Passwörter bei der Einrichtung gering erscheinen und Sie noch keine gespeicherten Passwörter verloren haben, können Sie schnell von Ihrem Passwort-Manager abhängig werden. Sie gehen vielleicht fälschlicherweise davon aus, dass Sie Ihr Kennwort nie wieder vergessen werden, wenn Sie es einmal gelernt haben. Es kommt zwar häufig vor, dass man ein Kennwort kurz nach der Erstellung vergisst, aber auch nach einer gewissen Zeit der Nichtbenutzung kann man es vergessen. Zum Beispiel kann man es nach dem nächsten geplanten Urlaub vergessen, oder, wie ein Freund vor ein paar Jahren erfuhr, nach einem ungeplanten Krankenhausaufenthalt.
Warum handhabt jedes Produkt die Wiederherstellung anders? Zum Teil, weil es ein wirklich schwieriges Problem ist, selbst für Unternehmen, die zu den größten und finanzstärksten der Welt gehören und für ihre großartige Benutzerfreundlichkeit bekannt sind. Nehmen wir die iCloud von Apple, die den von Safari verwendeten iCloud-Schlüsselbund speichert. Eine Möglichkeit, ein iCloud-Konto wiederherzustellen, ist der Kundensupport, aber Hacker haben Support-Mitarbeiter dazu gebracht, Benutzerkonten zu kompromittieren, darunter auch das eines prominenten Reporters im Jahr 2012. Daher bot Apple den Nutzern auch die Möglichkeit, ein zufällig generiertes Kennwort für die Wiederherstellung zu speichern (Apple nannte dies einen Wiederherstellungsschlüssel) und ihre Konten so zu konfigurieren, dass der Kundensupport ihr Kennwort nicht ändern konnte. Nur wenige Nutzer nahmen die Wiederherstellungsschlüssel an, und einige, die dies taten, waren verärgert, als sie feststellten, dass der Kundensupport ihnen nicht mehr helfen konnte, wenn sie ihn brauchten. Apple hat das Angebot von Wiederherstellungsschlüsseln 2015 eingestellt. Apple erlaubt derzeit das Zurücksetzen von Passwörtern, nachdem der Kunde über seine Telefonnummer verifiziert wurde, obwohl dieses Verfahren sehr anfällig für Angriffe ist.
Als ob das nicht schon schlimm genug wäre, sind die Anforderungen, die bestimmen, ob der Kundendienst das Passwort oder andere Anmeldeinformationen eines Benutzers zurücksetzt, nicht öffentlich zugänglich. Von den Unternehmen, die es dem Kundendienst gestatten, die Anmeldedaten von Benutzern zurückzusetzen, ist mir keines bekannt, das die Regeln offenlegt, nach denen es entscheidet, was erforderlich ist, um wieder Zugang zu erhalten. Ohne diese Regeln können die Nutzer nicht wissen, unter welchen Bedingungen sie ihr Konto wiederherstellen können und unter welchen Bedingungen ein Angreifer ihr Konto übernehmen kann. Es lohnt sich, dies noch einmal zu wiederholen: Diese Unternehmen erwarten, dass Sie ihnen Ihr Konto anvertrauen, teilen Ihnen aber nicht die Regeln mit, die bestimmen, ob Sie weiterhin Zugriff darauf haben oder ob ein Angreifer es Ihnen stehlen kann.
Anstatt sich auf undurchsichtige Regeln für den Kundensupport zu verlassen, verwenden viele Passwortmanager Lösungen, die weniger anfällig für Angriffe sind, aber anfälliger für versehentlichen Verlust.
Die Open-Source-Passwortmanager KeePass und PasswordSafe (der ursprüngliche Passwortmanager) überlassen es Ihnen, einen Weg zu finden, die Datei mit Ihren Passwörtern zusammen mit dem Schlüssel, der zum Schutz (Verschlüsselung) der Daten in diesen Dateien verwendet wird, zu speichern und zu sichern. Wenn Sie also Ihre Kennwörter auf verschiedenen Rechnern gemeinsam nutzen möchten, müssen Sie ein Online-Dateispeicherkonto einrichten (z. B. DropBox). Ihr Backup könnte eine schriftliche Kopie des Master-Kennworts und des Kennworts für das Dateifreigabekonto sein. Wenn Sie für dieses Konto eine Zwei-Faktor-Authentifizierung verwenden, benötigen Sie auch dafür eine Sicherungskopie.
LastPass, Keeper und Dashlane ermöglichen es Ihnen, Notfallkontakte für den Zugriff auf Ihr Konto zu autorisieren, sofern diese ebenfalls über ein Konto bei demselben Passwortmanager verfügen. Diese Anforderung besteht, weil diese Produkte Kryptografie verwenden, um sicherzustellen, dass Ihre Freunde, aber nicht die Unternehmen, Zugang zu diesen Daten erhalten können. Dies schützt Sie, wenn der Dienst gehackt wird oder wenn sich ein Angreifer gegenüber den Mitarbeitern des Kundendienstes als Sie ausgibt. Der Nachteil ist, dass ein Angreifer, der das Konto Ihres Kontakts kompromittiert, dann möglicherweise auch Ihr Konto kompromittieren kann. Sie können die Wahrscheinlichkeit, dass dies geschieht, verringern, indem Sie eine Zeitverzögerung festlegen, bevor Ihre Informationen an Ihren Notfallkontakt freigegeben werden können. Wenn Sie Personen kennen, die eines dieser Produkte verwenden und denen Sie als Notfallkontakt vertrauen würden, ist dieses Produkt möglicherweise besser für Sie geeignet als die Produkte, die Ihre Kontakte nicht verwenden.
Bei 1Password besteht Ihr Hauptgeheimnis eigentlich aus zwei Teilen: einem geheimen Schlüssel, den die Software auf jedem Gerät speichert, auf dem Sie Ihre Passwörter gespeichert haben, und Ihrem Hauptpasswort. Um ein neues Gerät mit 1Password zu verwenden, müssen Sie Ihren geheimen Schlüssel auf dieses Gerät übertragen. Sie können Ihren geheimen Schlüssel sichern, indem Sie ein „Notfall-Kit“ erstellen, ein PDF, das Sie ausdrucken können und das Ihr geheimes und ein Feld zum Aufschreiben Ihres Hauptpassworts enthält. (Hoffentlich ist Ihre Handschrift besser als meine.) Wie LastPass und Dashlane hat auch 1Password seinen Online-Dienst so konzipiert, dass diese Geheimnisse nicht gespeichert werden und der Kundendienst einem Angreifer – oder Ihnen – nicht helfen kann, ohne sie an Ihre Daten zu gelangen. Im Gegensatz zu LastPass und Dashlane erfordert der Wiederherstellungsprozess keine Interaktion mit dem Dienst oder einer anderen Person. Das macht 1Password zur wohl privatesten Option, aber dieser Grad an Privatsphäre hat seinen Preis: 1Password kann nicht wissen, wie viele Kunden Wiederherstellungspakete ausgedruckt haben, wie viele sie erfolgreich verwendet haben und wie viele ihre Passwörter für immer verloren haben. Die einzigen Daten, die 1Password erhält, um die Zuverlässigkeit des Wiederherstellungsprozesses zu verbessern, stammen von den freiwilligen Angaben der Nutzer, wenn sie sich an den Support wenden.
Wenn Sie Chrome mit einem Google-Konto und Zwei-Faktor-Authentifizierung verwenden, können Sie zehn Wiederherstellungspasswörter zur einmaligen Verwendung erhalten (achtstellige Zahlen, die sie Backup-Codes nennen), die einen Ihrer beiden Faktoren ersetzen können. Google empfiehlt Ihnen, diese Codes auszudrucken oder herunterzuladen“. Google speichert auch diese Codes, und im Gegensatz zu gut verwalteten, zufällig generierten Passwörtern könnten Ihre Codes gefährdet sein, wenn Google eine Sicherheitslücke erleidet.
Wenn Sie ein gedrucktes Wiederherstellungsgeheimnis mit Chrome oder 1Password verwenden oder wenn Sie Ihr eigenes für KeePass oder PasswordSafe erstellen, müssen Sie entscheiden, wo Sie Ihre Wiederherstellungsgeheimnisse nach dem Ausdrucken aufbewahren. Ein Bankschließfach oder ein Tresor zu Hause könnte geeignet sein, vor allem, wenn Sie bereits einen haben oder ohnehin einen brauchen. Es gibt keinen technischen Grund, warum Sie Ihre ausgedruckten Wiederherstellungsgeheimnisse nicht mit Freunden teilen könnten. Wenn Sie das tun, sollten Sie vielleicht nicht angeben, für wen der Ausdruck bestimmt ist, da dies im Falle eines Diebstahls einen gewissen Schutz bieten könnte. Eine andere Möglichkeit besteht darin, zwei vertrauenswürdigen Kontakten die Hälfte eines Codes zu geben, oder drei vertrauenswürdigen Kontakten zwei Drittel jedes Codes (so dass zwei beliebige Kontakte Ihnen helfen könnten).
Wenn Ihnen keine der oben genannten Möglichkeiten zusagt, können Sie alle Ihre Kennwörter regelmäßig ausdrucken oder aufschreiben. Wenn Sie ausdrucken, müssen Sie sich darauf verlassen, dass Ihr Drucker sicher ist und eine sichere Netzwerkverbindung zu diesem Drucker besteht.
Das primäre E-Mail-Passwort muss bei der Planung Ihrer Wiederherstellungsstrategie ebenfalls besonders berücksichtigt werden, da viele andere Passwörter per E-Mail zurückgesetzt werden können. Dies ist vielleicht das wichtigste Passwort, das Sie in ein zufällig generiertes Passwort ändern sollten, aber es ist auch dasjenige, das Sie am meisten brauchen werden, wenn Sie den Zugang zu Ihrem Passwortmanager verlieren. Wenn Sie dieses Passwort ändern, sollten Sie in Erwägung ziehen, es auch aufzuschreiben oder zu sichern.