Vor- und Nachteile von Passwortmanagern

Passwortmanager sind seit jeher ein umstrittenes Thema. Experten sind sich einig, dass sie einen Mehrwert bieten. Doch auch Passwortmanager können kompromittiert werden, wie das Beispiel Lastpass zeigt. Um ein solches Programm bei einem Nutzer zu hacken, muss sich ein Angreifer in den meisten Fällen Zugang zu dem Gerät des Benutzers verschaffen. Er muss außerdem auf das Gerät zugreifen, während es benutzt wird oder die Konfiguration manipulieren, so dass alle Kennwörter gestohlen werden können. Keylogging ist hierbei eine Technik, die von Cyberkriminellen zum Stehlen von Passwörtern eingesetzt wird.

Manchmal werden die Passwörter des Benutzers auch im Cloud-Netzwerk des Passwortmanager-Anbieters gespeichert und wenn sie kompromittiert werden, kann ein Angreifer Zugriff auf alle dort gespeicherten Passwörter erhalten. Auch hier besteht ein Risiko, aber die meisten Anbieter von Passwortmanagern versuchen, die wertvollen Passwörter ihrer Kunden in einem hochsicheren Teil ihres Netzwerks aufzubewahren.

 

Im Folgenden werden die Vor- und Nachteile von Passwortmanagern zusammengefasst:

Vorteile:

  • Erzeugt und ermöglicht die Verwendung vollkommen zufälliger Passwörter.
  • Erzeugt und ermöglicht die weitaus einfachere Verwendung unterschiedlicher Passwörter für jede Website und jeden Dienst.
  • Kann verwendet werden, um Passwort-Phishing zu verhindern.
  • Kann verwendet werden, um einige MFA-Lösungen zu simulieren, so dass die Benutzer keine separaten MFA-Programme oder Token benötigen.
  • Kann von verschiedenen Geräten gemeinsam genutzt werden, so dass die Passwörter immer dort sind, wo der Benutzer sie braucht.
  • Passwörter können einfacher und sicher gesichert werden.
  • Alle Passwörter können durch eine MFA-Anmeldeanforderung an den Passwortmanager geschützt werden.
  • Kann den Benutzer vor kompromittierten Passwörtern warnen, von denen der Benutzer sonst nichts wusste.
  • Warnt den Benutzer vor identischen Passwörtern, die auf verschiedenen Websites und Diensten verwendet werden.
  • Kann im Bedarfsfall mit vertrauenswürdigen Personen geteilt werden, wenn der ursprüngliche Benutzer vorübergehend oder dauerhaft verhindert oder nicht verfügbar ist.

 

Nachteile:

  • Der Benutzer muss einen Passwortmanager erwerben und installieren.
  • Der Benutzer muss lernen, wie man den Passwortmanager benutzt.
  • Es kann länger dauern, ein Passwort zu erstellen oder einzugeben, wenn ein Passwortmanager verwendet wird (trifft aber nicht immer zu).
  • Anfällig für Angriffe.
  • Passwortmanager funktionieren nicht mit allen Programmen oder Geräten.
  • Wenn der Zugriff auf den Passwortmanager nicht möglich ist (z. B. durch Beschädigung, verlorenen Login-Zugang usw.), verliert der Benutzer sofort den Zugriff auf alle darin enthaltenen Login-Informationen.
  • Wenn ein Angreifer den Passwortmanager kompromittiert, kann der Angreifer möglicherweise auf alle Passwörter des Benutzers (und die Websites, zu denen sie gehören) zugreifen und sie auf einmal erhalten.

 

Passwortmanager verringern das Risiko von Kompromittierungen

Die beiden größten Risiken für Passwörter nach dem Social-Engineering-Diebstahl gehen von Passwörtern aus, die von einer vom Benutzer verwendeten Website oder einem Dienst gestohlen wurden, sowie von schwachen Passwörtern, die erraten und gehackt werden können. Laut dem National Institute of Standards and Technology (NIST) und anderen Behörden besteht das größte Risiko bei Passwörtern in der Wiederverwendung von Passwörtern auf nicht verwandten Websites und Diensten sowie in der Erstellung von „Passwortmustern“ durch die Benutzer, die von Hackern erraten werden können.

Der durchschnittliche Benutzer hat vier bis sieben Passwörter, die er für über 170 Websites und Dienste verwendet. Das sind eine Menge identischer Kennwörter, die dort verwendet werden, wo sie nicht sein sollten. Das Problem ist, dass ein Cyberkrimineller, der eine oder mehrere der Websites kompromittiert hat, ihr Kennwort in die Hände bekommt und es dann auf ihren anderen Websites und Diensten verwendet. Eine oder einige wenige Kompromittierungen führen schnell zu einer ganzen Reihe. Mit Hilfe von Passwortmanagern können Benutzer leichter verschiedene, völlig unabhängige Passwörter für jede Website und jeden Dienst erstellen und verwenden. Wenn ein Nutzer einen Passwortmanager verwendet, kennt dieser möglicherweise nicht einmal das verwendete Passwort. Dadurch wird eines der größten Passwortrisiken beseitigt und allein deshalb sollten Passwortmanager verwendet werden. Ein absolut zufälliges Passwort mit 12 oder mehr Zeichen kann mit keiner bekannten Methode erraten oder geknackt werden. Und diese absolut zufälligen, sicheren Passwörter können für jede Website und jeden Dienst anders sein.

 

Fazit

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Es wird Unternehmen ausdrücklich empfohlen, einen Passwortmanager zu verwenden, um vollkommen zufällige Passwörter zu erstellen und zu verwenden. Ein absolut zufälliges Passwort mit 12 oder mehr Zeichen ist gegen alle bekannten Angriffe auf Passwörter bislang noch geschützt. Ein von Menschen erstelltes Passwort muss 20 Zeichen oder länger sein, um den gleichen Schutz zu bieten. Menschen erstellen oder verwenden nicht gerne sehr lange (und manchmal auch komplexe) Passwörter, daher wird empfohlen, stattdessen ein vertrauenswürdiges Passwortmanagement-Programm zu verwenden.

Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

#KnowBe4