„Menschengemachte Passwörter sind ein Sicherheitsrisiko“

Martin Thaler Cyber-Security Top News Berater Digital

„Viele Passwortmanager lassen sich kostenfrei ausprobieren, weisen dann allerdings Funktionseinschränkungen auf. So sind sie beispielsweise auf ein einziges Gerät beschränkt“, erläutert Warentest-Redakteur Gobbin gegenüber procontra. Für die wenigsten Nutzer dürfte der auf ein Gerät beschränkte Schutz sinnvoll sein. „Wenn sie ihren Passwort-Manager auf dem PC haben, dann aber über ihr Smartphone auf ihre Accounts zugreifen wollen, stehen sie vor einem Problem“, so Gobbin. Die kostenlosen Schnupperangebote seien für den Einstieg in Ordnung, wer seinen Passwortmanager ernsthaft und damit systemübergreifend nutzen möchte, komme an einem Abonnement nur schwer vorbei. In der Regel rufen die Software-Hersteller hierfür Preise von zehn bis 40 Euro im Jahr auf.

Vertretbare Kosten findet Gobbin, wenn man diesen die Schadenskosten für den Fall gegenüberstellt, dass beispielsweise ein Shopping-Konto des Nutzers gehackt wurde. „Es ist eine Investition in die Sicherheit.“

Unterschiede zwischen den einzelnen Anbietern gibt es nicht nur beim Preis und in der Handhabung – so wird von Nutzern des kostenlosen Programms KeePass ein gewisses Maß an technischem Wissen vorausgesetzt. Auch bei der Erhebung von Nutzerdaten sowie den Sicherheitsfunktionen unterscheiden sich die Anbieter deutlich. Beispiel Masterpasswort, laut Gobbin der „Schlüssel aller Schlüssel“, der entsprechend sicher konzipiert sein sollte. Anbieter wie Enpass, Keepass, Kaspersky und SafeIn erlauben bereits Masterpasswörter mit weniger als fünf Zeichen.

Deutlich zu wenig, sagt Gobbin. „Ein Masterpasswort sollte mindestens 20 Zeichen, darunter Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Die Stiftung Warentest empfiehlt hierfür willkürliche und sinnfreie Nonsenssätze wie beispielsweise: „B@yerns Biber blinken * bunt3 Bingobären!“ Zudem gilt es, das Passwort bei der Erstellung unbedingt zu notieren und an einem sicheren Ort, vorzugsweise einem Banktresor, zu verwahren. „Verwahren Sie das Passwort nirgends, wo es von Einbrechern leicht gefunden werden kann, beispielsweise im Portemonnaie oder unter der Tastatur“, rät Gobbin.

Verlegen sollte der Nutzer das Masterpasswort auch nicht, denn dieses wiederzubekommen ist meist nicht möglich. „Selbst die Anbieter dürfen dieses Passwort nicht wissen, sonst könnten beispielsweise frustrierte Mitarbeiter die Daten für sich nutzen“, so Gobbin.

Von den getesteten elf Anbietern bewertete die Stiftung drei Anbieter (Keeper Security, AgileBits, Keepass) mit der Note „gut“, sechs Anbieter (Dashlane, LastPass, 8bit Solutions, Kaspersky, McAfee, Sinew Enpass Premium) mussten sich mit „befriedigend“ zufrieden geben, für zwei Anbieter (F-Secure, SafeInCloud) gab es nur die Note „ausreichend“. Auch wenn Passwortmanager keinen grenzenlosen Schutz bieten, rät Gobbin dringend zu deren Nutzung: „Es ist deutlich wahrscheinlicher, dass ein menschengemachtes Passwort geknackt als dass ein Passwortmanager gehackt wird.“

Seite 1: "Menschengemachte Passwörter sind ein Sicherheitsrisiko"
Seite 2: Welche Passwort-Manager überzeugen konnten