Sollten Sie einen Passwort-Manager verwenden? Abwägung der Vorteile und Risiken

Viele Cybersicherheitsexperten sind der Meinung, dass die Verwendung eines Passwortmanagers der beste Weg ist, um sicherzustellen, dass Sie Starkes und einzigartiges Passwort Für jedes Ihrer Online-Konten. Andere unterschätzen den Wert dieser Tools.

Für Angreifer stellen Passwortmanager eine zentrale Schwachstelle dar – sie sind eine Fundgrube hochsensibler Informationen, die durch ein einziges Masterpasswort geschützt werden, das verloren gehen, gestohlen oder gehackt werden kann.

• Die beste Passwort-Manager-Software Um Ihre Online-Konten sicher zu halten.
• LastPass, 1Password und andere Passwortmanager können gehackt werden: Was tun?

Wer hat also Recht? Das Team von Tom's Guide hat mit mehreren Experten für digitale Sicherheit gesprochen und sie zu den Vor- und Nachteilen aktueller Passwortverwaltungslösungen befragt.

Hier erfahren Sie, was sie zu diesen umstrittenen technischen Tools zu sagen haben, sowie einige Tipps, wie Sie die Risiken minimieren können, die mit der Speicherung aller Ihrer Passwörter an einem Ort verbunden sind.

Sicherheitsexperten loben Passwortverwaltungssoftware

Nicht alle Sicherheitsexperten bevorzugen Passwortmanager, doch diejenigen, die es tun, können sich eine Welt ohne sie nicht vorstellen. Ein Paradebeispiel ist Robert Siciliano, ein in Boston ansässiger Sicherheitsanalyst und CEO von Safr.me. Er erklärte, dass er mit über 650 aktiv genutzten Passwörtern ohne einen Passwortmanager einfach nicht arbeiten könne.

„Ohne einen Passwort-Manager greifen Nutzer auf schwache Passwörter zurück, ohne sie zu verwalten“, sagte Siciliano in einer E-Mail. „Sie verwenden dann für alle wichtigen Konten dasselbe Passwort und werden unweigerlich gehackt.“ Dies unterstreicht die Bedeutung starker Passwort-Manager zum Schutz sensibler Daten.

Doch selbst Siciliano – der betonte, dass es kein logisches Argument gegen die Verwendung eines Passwort-Managers gebe – ergreift Maßnahmen, um das Risiko zu verringern, alle seine Passwörter an einem Ort zu speichern. Diese Vorkehrungen sind für die Verbesserung der Informationssicherheit unerlässlich.

Er erklärte, dass er sich die Anmeldedaten für seine wichtigsten Konten (wie etwa Online-Banking-Konten) merke, die restlichen Passwörter aber in einem webbasierten Passwort-Manager speichere. Diese Balance zwischen Merken und Speichern stelle eine ausgewogene Sicherheitsstrategie dar.

„Niemand kann sich jedes Passwort merken.“

Morris Tabush, der in New York seine eigene IT-Beratungsfirma Tabush Group betreibt, weist auf die Risiken hin, die damit verbunden sind, sich allein auf Passwörter zu verlassen, um Ihre digitale IdentitätEr ist der Ansicht, dass Benutzer in dieser herausfordernden Realität ihr Bestes tun sollten, um ihre Passwörter zu schützen.

Für Taboush ist die beste Lösung die Verwendung eines Passwort-Managers.

„Es ist unmöglich, für alle Websites und Dienste einen einzigen Benutzernamen und ein einziges Passwort zu verwenden, da jede Website und jeder Dienst eigene Passwortanforderungen hat“, erklärt Tabosh per E-Mail. „Niemand kann sich jede einzelne Kombination aus verschiedenen Benutzernamen und Passwörtern merken.“

Tabosh betont die Bedeutung von Passwortmanagern für sich und seine Kunden, bei denen es sich oft um kleine und mittelständische Unternehmen mit Dutzenden von Online-Konten handelt. Er bevorzugt RoboForm von Siber Systems, eine Passwortverwaltungsanwendung für Windows und Mac sowie für Mobilgeräte mit iOS und Android.

Tapush RoboForm ist die ideale Wahl, da es auf allen Geräten funktioniert, einschließlich Desktop, Laptop, iPhone und iPad. Da dieser webbasierte Passwort-Manager Passwörter in verschlüsselten Dateien speichert, kann der Dieb selbst bei Diebstahl eines Ihrer Tapush-Geräte nicht auf Ihre Anmeldedaten zugreifen. Dies bietet zusätzlichen Schutz vor Account-Hacking und Datendiebstahl.

Die dunkle Seite der digitalen Technologie

Natürlich gibt es für jeden Experten, der behauptet, er könne nicht ohne einen Passwort-Manager leben, einen anderen, der lieber den Rest seines Lebens ohne einen solchen verbringen würde. Diese Meinungsverschiedenheit spiegelt berechtigte Bedenken hinsichtlich der Datensicherheit wider.

Dies ist die Ansicht von Terry Cutler, Mitbegründer und CTO von Digital Locksmiths, einem in Montreal ansässigen Beratungsunternehmen für Cybersicherheit.

In einem E-Mail-Interview erklärte Cutler: „Ich bin überhaupt kein Fan von Passwortmanagern. Wenn einer kompromittiert wird, ist Ihr gesamter Code gestohlen.“ Cutler ist davon überzeugt, dass die potenziellen Risiken die Vorteile überwiegen, insbesondere da Cyberangriffe immer ausgefeilter werden.

Tyler Regoli, Leiter für Sicherheitsforschung und -entwicklung bei Tripwire, einem Cybersicherheitsunternehmen in Portland, Oregon, stimmt Cutler zu. Er argumentiert, dass Passwortmanager mehr Schaden als Nutzen anrichten können, insbesondere für Heimanwender, die möglicherweise nicht über das nötige Fachwissen verfügen, um sie sicher zu konfigurieren.

„Passwortmanager sind ein Mittel der Gesellschaft, schlechte Gewohnheiten auf den Computer zu übertragen“, fügt Regoli hinzu. „Passwörter aufzuschreiben ist nicht akzeptabel, also speichern wir sie auf unseren Computern. ‚Speichern‘ ist einfach das digitale Äquivalent zum ‚Aufschreiben‘.“ Regoli erklärt, dass die Verwendung eines einzigen Passwortmanagers eine zentrale Schwachstelle darstellt und ihn zu einem attraktiven Ziel für Angreifer macht. Stattdessen rät er zu besseren Sicherheitspraktiken, wie der Verwendung starker, eindeutiger Passwörter für jedes Konto und der Aktivierung der Zwei-Faktor-Authentifizierung, wann immer möglich.

„Ich vertraue Online-Passwortmanagern nicht.“

Zu bestimmen, welche Tools sicher sind und welche nicht, ist nicht unbedingt eine leichte Aufgabe. Wie Ken Westin, Director of Security Strategy bei ReliaQuest, betont, ist es schwierig zu wissen, wie sicher Passwort-Manager wirklich sind.

„Ich persönlich vertraue Online-Passwortmanagern nicht“, sagte Westin in einer E-Mail. „Nicht, weil ich sie für unsicher halte, sondern weil ich nicht weiß, wie sicher sie sind, wie sie meine Informationen speichern und ob meine Daten ordnungsgemäß verschlüsselt sind.“

Aufgrund dieser Zweifel sagte Westin, er würde seine vertraulichsten Daten nicht in webbasierten Passwortmanagern speichern. Für die Verwaltung von Passwörtern für Finanz- und E-Mail-Konten empfahl er die Verwendung eines Offline-Tools, da er davon überzeugt sei, dass die Sicherheit sensibler Passwörter eine Isolierung vor potenziellen Risiken erfordere.

„Für maximale Sicherheit sollten Passwörter für diese Dienste (Finanz- und E-Mail-Konten) in einem verschlüsselten Offline-Passwortmanager wie KeePass gespeichert werden, der zum Öffnen eine Authentifizierung erfordert und regelmäßig und sicher gesichert wird“, erklärte Westin. Dadurch wird sichergestellt, dass der Zugriff auf diese wichtigen Informationen ausreichend geschützt ist.

Christopher Burgess, CEO von Prevendra, einem Sicherheits- und Datenschutzunternehmen aus der Gegend von Seattle, schlug vor, dass jeder, der Passwortmanagern nicht vertraut, Passwörter stattdessen manuell nachverfolgen könnte. Diese Methode bietet vollständige Kontrolle über sensible Daten.

„Das manuelle System lässt sich mit zwei Notizbüchern einfach implementieren“, so Burgess. „In das erste Notizbuch schreiben Sie Ihre Kontoinformationen – Dienstname, URL, Benutzer-ID und Seriennummer. In das zweite Notizbuch, neben der Seriennummer, schreiben Sie Ihr Passwort und alle Authentifizierungshinweise. Bewahren Sie das zweite Notizbuch an einem sicheren Ort auf und schauen Sie darin nach, wenn Sie Ihr Passwort vergessen haben.“ Dieser Ansatz ist zwar einfach, bietet aber eine praktikable Alternative für alle, die die Sicherheit ihrer Passwörter selbst bestimmen möchten.

Zu treffende Sicherheitsvorkehrungen

Während viele der von uns befragten Experten eine klare Meinung zu Passwortmanagern haben, scheinen viele Sicherheitsexperten einen Mittelweg zu gehen. Sie halten diese Programme für nützliche Tools, aber nicht für perfekt oder unhackbar.

Wie Chester Wisniewski, leitender Wissenschaftler beim multinationalen Antivirenunternehmen Sophos, in einer E-Mail anmerkte, könnten Personen, die ihre Passwortmanager nicht mit Bedacht auswählen, am Ende „den einen Ring abgeben, der sie alle beherrscht“.

Wisniewski empfiehlt, nach „bekannten und vertrauenswürdigen Apps zu suchen. Diese Apps sollten Daten lokal verschlüsseln und sich bei der Verschlüsselung nicht auf Dritte verlassen. Ich persönlich mag LastPass und KeePass.“

Cedric Geno, Gründer und CEO von APrivacy, einem Cybersicherheitsunternehmen in Waterloo, Ontario, betonte ebenfalls die Bedeutung einer zuverlässigen Datenverschlüsselung bei der Entscheidung, welchen Passwort-Manager man verwenden soll.

Gino erklärte, dass Sie, wenn Ihr gewählter Passwort-Manager Daten in der Cloud speichert – und nicht lokal auf Ihrem Computer – genau darauf achten sollten, in welchem Land Ihre Informationen gespeichert sind, wer möglicherweise Zugriff darauf hat und welchen Passwort-Manager-Dienst Sie nutzen.

Lamar Bailey, leitender Sicherheitsmanager bei Tripwire, ist der Ansicht, dass Einzelpersonen nach Passwortmanagern suchen sollten, die über Sicherheitsfunktionen verfügen, die über die Verschlüsselung hinausgehen und dazu beitragen können, die Online-Identitäten der Benutzer zu schützen.

„Viele Passwortmanager warnen Benutzer vor Websites, die kompromittiert wurden oder von schwerwiegenden Sicherheitslücken wie Heartbleed betroffen sind“, fügte Bailey in einer E-Mail hinzu.

Bailey sagte weiter, dass das Wichtigste, was man sich bei Passwortmanagern merken sollte, das Master-Passwort sei, mit dem man das Tool sichert.

Bailey betonte: „Jeder Passwort-Manager ist nur so sicher wie Ihr Master-Passwort. Daher sollten Benutzer immer sicherstellen, dass das Passwort ihres Passwort-Managers sehr stark ist und es häufig ändern.“