Passwort-Manager

Passwort-Manager sind Programme, welche helfen, die Anforderungen an sichere Passwörter umzusetzen: für jedes Benutzerkonto ein einzigartiges, komplexes, möglichst vielstelliges Passwort zu nutzen, das aus Buchstaben, Zahlen und Sonderzeichen besteht. Wie der Name verrät, übernehmen Passwort-Manager-Programme das Management dieser einzigartigen Passwörter. Nutzer müssen sich dann nur noch ein einziges komplexes Passwort merken – das des Passwort-Managers.

Was bedeutet Passwort-Manager im Detail?

Zum Thema Passwörter allgemein:

Ihre Passwortsicherheit ist essentiell für die Sicherheit Ihrer Daten, Konten und für Ihre Cybersicherheit. Denn wer Ihre relevanten Passwörter kennt, kann u. a. auf Ihre Kosten einkaufen, Ihre Daten stehlen und Ihren Rechner für kriminelle Zwecke missbrauchen.
Warum einzigartige Passwörter so wichtig sind: Immer wieder werden Anbietern wie z. B. Online-Shops durch Cyberangriffe Daten gestohlen. Datensätze von Anmeldedaten sind besonders begehrt. Denn diese verraten, welche Passwörter zu welchen Benutzernamen oder E-Mail-Adressen gehören. So können Cyberkriminelle sich in die jeweiligen Benutzerkonten einloggen. Über das sogenannte Credential Stuffing können Cyberkriminelle zudem schnell und automatisiert überprüfen, ob sie mit der gleichen Kombination auch Zugang zu Benutzerkonten bei anderen Anbietern erhalten. Wenn Sie für jedes Benutzerkonto ein anderes Passwort nutzen, verhindern Sie den Erfolg dieser Vorgehensweise.

Warum komplexe Passwörter so wichtig sind:

Je länger und komplexer ein Passwort ist, desto länger dauert es statistisch, es zu errechnen. Bei vielen Angriffen durch Cyberkriminelle ist Zeit ein wichtiger Faktor – die Zeit, bis ihr Angriff bemerkt und abgewehrt wird. Je länger es dauert, Ihr Passwort zufällig zu errechnen, desto wahrscheinlicher ist, dass die Cyberkriminellen ihren Angriff vor der Errechnung abbrechen müssen.

Zum Thema Passwort-Manager:

Im Passwort-Manager-Programm werden alle Benutzernahmen und Passwörter gespeichert. Sie müssen diese sich nicht mehr merken. Wenn Sie sich bei einem Anbieter einloggen möchten, benötigen Sie nur das Master-Passwort Ihres Passwort-Managers.
Achten Sie streng darauf, ein hochgradig sicheres Master-Passwort zu wählen. Es sollte bestenfalls mindestens zwölf Stellen, Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen besitzen.
Gute Passwort-Manager bieten eine Zwei-Faktor-Authentifizierung an. Wenn möglich, nutzen Sie diese, um Ihre Sicherheit zusätzlich zu erhöhen, insbesondere bei sensiblen Benutzerkonten.
Viele gute Passwortmanager bieten hilfreiche Zusatzfunktionen an. Sie helfen, z. B. Dopplungen bei den gespeicherten Passwörtern zu verhindern und unterstützen Sie bei der Erstellung sicherer Passwörter. Einige überprüfen, ob Ihre Daten sich auf bekannt gewordenen Listen mit gestohlenen Anmeldedaten befinden, also geändert werden müssen.

Es gibt unterschiedliche Arten von Passwort-Managern. Zwei wichtige Unterschiede:

Es gibt eigenständige Passwort-Manager-Programme und Passwort-Manager, die in einem anderen Programm enthalten sind, z. B. im Browser. Einschätzung: Da Browser komplexe Programme sind, enthalten auch die besten viele potenzielle Sicherheitslücken. Dadurch sind Ihre Passwörter einer relativ höheren Gefahr ausgesetzt. Als sicherer gilt die Nutzung eines guten, eigenständigen Passwort-Manager-Programms.
Es gibt Passwort-Manager, die Ihre Passwörter auf Ihrem Rechner speichern. Andere speichern sie auf den Servern oder in einer Cloud des Programmanbieters. Dadurch kann der Passwort-Manager mit mehreren unterschiedlichen Geräten des gleichen Nutzers verwendet werden. Einschätzung: Grundsätzlich bietet ein verantwortungsvoll geschützter Rechner im Vergleich zu fremden Servern oder einer Cloud weniger Angriffsfläche, gilt also als sicherer. Verwendet ein Nutzer jedoch mehrere Geräte, ist es immer noch sicherer, für alle den gleichen guten Passwort-Manager mit extern gespeicherten Daten zu nutzen, als für mehrere Benutzerkonten die gleichen Passwörter. Entscheidend ist die Sicherheit der konsequent nutzbaren Lösung, nicht die Sicherheit der idealen Lösung, die sich im Alltag jedoch nicht bewährt und letztlich zu riskantem Verhalten führt.

Wo begegnet mir das Thema Passwort-Manager im Arbeitsalltag?

Bei jeder Erstellunge eines (Online-) Nutzerkontos mit einer Passwortsicherung. Bei jedem Anmeldevorgang, bei dem Sie ein Passwort eingeben müssen.

Was kann ich tun, um meine Sicherheit zu verbessern?

Nutzen Sie informiert einen guten Passwort-Manager. Lassen Sie sich ein zuverlässiges Programm von Ihrer IT-Abteilung oder einem IT-Sicherheitsdienstleister wie Perseus empfehlen.
Wählen Sie ein hochsicheres Master-Passwort für Ihren Passwort-Manager. Nutzen Sie wenn möglich Zwei-Faktor-Authentifizierungen, wenigstens für sensible Konten.
Versehen Sie Geräte, auf denen Sie einen Passwort-Manager nutzen, durch ein sicheres Passwort oder eine PIN.
Falls Sie einen Passwort-Manager nutzen, der Ihre Passwörter extern speichert, überprüfen Sie den Standort dieses Speichers und die Datenschutzerklärung des Programmanbieters. Halten Sie hierzu ggf. Rücksprache mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus. Grundsätzlich gilt: Bei Unklarheiten wählen Sie ein anderes Programm.

Weitere Informationen

Der Fachartikel des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema Passwort-Manager

Password managers are programmes that help you meet secure password requirements: use a unique, complex password with as many characters as possible for each user account, consisting of letters, numbers and special characters. As the name suggests, password manager programmes take care of managing these unique passwords. Users then only need to remember one complex password – the one for the password manager.

What exactly does password manager mean?

About passwords in general:

Your password security is essential for the security of your data, accounts and cyber security. Anyone who knows your relevant passwords can, among other things, make purchases at your expense, steal your data and misuse your computer for criminal purposes.
Why unique passwords are so important: Time and again, providers such as online shops have their data stolen in cyber attacks. Login data records are particularly sought after. This is because they reveal which passwords belong to which user names or email addresses. This allows cybercriminals to log into the respective user accounts. Using a technique known as credential stuffing, cybercriminals can also quickly and automatically check whether they can gain access to user accounts with other providers using the same combination. Using a different password for each user account prevents this technique from working.

Why complex passwords are so important:

The longer and more complex a password is, the longer it takes to crack it statistically. In many attacks by cybercriminals, time is an important factor – the time it takes for their attack to be noticed and repelled. The longer it takes to guess your password, the more likely it is that cybercriminals will have to abandon their attack before they can guess it.

On the subject of password managers:

All user names and passwords are stored in the password manager programme. You no longer need to remember them. If you want to log in to a provider, all you need is the master password for your password manager.
Be sure to choose a highly secure master password. Ideally, it should be at least twelve characters long and contain upper and lower case letters, numbers and special characters.
Good password managers offer two-factor authentication. If possible, use this to further increase your security, especially for sensitive user accounts.
Many good password managers offer helpful additional features. For example, they help prevent duplicate passwords from being saved and assist you in creating secure passwords. Some check whether your data is on known lists of stolen login details, in which case it needs to be changed.

There are different types of password managers. Two important differences:

There are standalone password manager programmes and password managers that are included in another programme, such as your browser. Assessment: Since browsers are complex programmes, even the best ones contain many potential security vulnerabilities. This means that your passwords are exposed to a relatively higher risk. It is considered safer to use a good, standalone password manager programme.
Some password managers store your passwords on your computer. Others store them on the programme provider’s servers or in a cloud. This allows the password manager to be used on several different devices belonging to the same user. Assessment: In principle, a responsibly protected computer offers less opportunity for attack than external servers or a cloud and is therefore considered more secure. However, if a user uses multiple devices, it is still safer to use the same good password manager with externally stored data for all devices than to use the same passwords for multiple user accounts. The decisive factor is the security of the solution that can be used consistently, not the security of the ideal solution, which does not prove itself in everyday use and ultimately leads to risky behaviour.

Where do I encounter the topic of password managers in my everyday work?

Every time you create an (online) user account with password protection. Every time you log in and have to enter a password.

What can I do to improve my security?

Use a good password manager. Ask your IT department or an IT security service provider such as Perseus to recommend a reliable programme.
Choose a highly secure master password for your password manager. If possible, use two-factor authentication, at least for sensitive accounts.
Protect devices on which you use a password manager with a secure password or PIN.
If you use a password manager that stores your passwords externally, check the location of this storage and the privacy policy of the programme provider. If necessary, consult your IT department or an external IT security service provider such as Perseus. As a general rule, if you are unsure, choose a different programme.

Further information

The technical article by the German Federal Office for Information Security (BSI) on the subject of password managers