22.04.2021

Passwort-Manager: Tipps für die Datenschutzschulung

Niemand kann sich zig Passwörter merken. Daher ist es sinnvoll, Passwörter in einem Passwort-Manager oder -Safe zu speichern. Doch wie lernen die Nutzerinnen und Nutzer, damit richtig umzugehen?

Passwort-Manager

Aus gutem Grund sind die Passwort-Sicherheit und Passwort-Manager echte Klassiker in der Datenschutzschulung. Auch die Aufsichtsbehörden für den Datenschutz geben regelmäßig Hinweise dazu, wie Nutzer und Nutzerinnen richtig mit Passwörtern umgehen. Zu den Sicherheits-Empfehlungen gehört häufig, einen Passwort-Manager oder einen Passwort-Safe zu verwenden.

Das empfiehlt unter anderem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Entsprechende Programme wie KeePass gebe es als Freie und Open-Source-Software kostenlos. Einige Betriebssysteme würden sie auch bereits mitliefern (etwa MacOS mit dem Schlüsselbund). Viele Webbrowser würden zwar die Speicherung von Passwörtern unterstützen. Doch sollten die Nutzerinnen und Nutzer diese mit einem Master-Passwort absichern.

Diese Anforderungen muss ein Passwort-Manager erfüllen

Bevor Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter den Passwort-Manager zum Thema in Ihrer Schulung machen, müssen Sie wissen, was einen guten Passwort-Safe ausmacht. Dazu gehören folgende Punkte:

  • Der Passwort-Manager verschlüsselt nach dem Stand der Technik.
  • Er belässt keine Passwörter ungeschützt im Zwischenspeicher.
  • Der Manager ist gegen Brute-Force-Attacken geschützt.
  • Er unterstützt die Anwender bei der Passwort-Wahl.
  • Auch importierte Passwörter werden hinsichtlich ihrer Stärke überprüft.
  • Die Passwörter lassen sich bei Bedarf nach Anwendungen sortieren.
  • Der Passwort-Manager ist geschützt gegen Keylogger, also das Mitschreiben der Passworteingabe.
  • Das Tool sichert die Passwörter, falls ein Nutzer sie vergisst.
  • Es unterstützt eine Zwei-Faktor-Authentifizierung.

Nutzen Sie als Datenschutzbeauftragte oder als Datenschutzbeauftragter diese Kriterien, um einen sicheren Passwort-Manager zu finden, bzw. beraten Sie den Verantwortlichen anhand dieser Kriterien.

Denn viele Passwort-Manager erfüllen nur Teile der Anforderungen. Beispielsweise lassen sich einige Tools zwar selbst mit einem starken Passwort schützen, nicht aber über einen weiteren Sicherheitsfaktor.

Beispiel für einen Passwort-Manager: Firefox Lockwise

Zeigen Sie als Datenschutzbeauftragter oder Datenschutzbeauftragte in Ihrer Schulung, wie ein Passwort-Manager praktisch funktioniert. Dazu eignet sich beispielsweise Firefox Lockwise.

Lockwise ist die Passwort-Verwaltung von Firefox. Sie speichert Benutzernamen und Passwörter, die Nutzer beim Zugriff auf Websites verwenden, und fügt sie beim nächsten Besuch der Website automatisch ein.

Führen Sie exemplarisch mit Demo-Zugangsdaten vor, wie Lockwise arbeitet. Präsentieren Sie dies per Beamer oder über eine Online-Meeting-Lösung:

  • Weisen Sie zunächst darauf hin: Obwohl Firefox mit der Passwortverwaltung Benutzernamen und Passwörter in einem verschlüsselten Format auf der Festplatte speichert, kann jeder diese Zugangsdaten lesen und verwenden, der Zugriff auf das Benutzerprofil des Computers hat. Deshalb müssen die Nutzerinnen und Nutzer gespeicherte Passwörter immer mit einem Hauptpasswort schützen.
  • Die Firefox-Einstellungen des Abschnitts „Datenschutz & Sicherheit“ öffnen sich über den Bereich „Zugangsdaten und Passwörter“. Dort setzt man ein Häkchen neben „Hauptpasswort verwenden“, um den Dialog „Hauptpasswort ändern“ zu öffnen. Hier lässt sich das Hauptpasswort eingeben. Während der Eingabe zeigt die Passwort-Qualitätsmessung an, wie schwierig es ist, das definierte Passwort zu erraten.
  • Ist ein Hauptpasswort definiert und festgelegt, fragt Firefox einmal pro Browsersitzung danach, sobald Firefox auf die Zugangsdaten, die durch das Hauptpasswort geschützt sind, zugreifen muss.

Achtung

Firefox Lockwise fragt beim Zugriff auf Passwörter gegenwärtig nicht mehr nach einer weiteren Authentifizierung (Passwort, Stimme, Gesicht oder Fingerabdruck). Mozilla plant, diese Funktion zu verbessern und in einer zukünftigen Firefox-Version zu aktivieren.

  • Trägt ein Anwender oder eine Anwenderin auf einer Website das erste Mal Benutzernamen und Passwort ein, fragt Firefox, ob man diese Daten speichern möchte. Um Firefox anzuweisen, Benutzernamen und das Passwort zu speichern, klickt man auf die Schaltfläche „Speichern“. Beim nächsten Besuch der Website trägt Firefox automatisch den Benutzernamen und das Passwort in die entsprechenden Felder ein.
  • Zugangsdaten für Websites lassen sich auch manuell hinzufügen. Dazu die Option „Zugangsdaten und Passwörter“ auswählen, um Firefox Lockwise zu öffnen. Danach öffnet sich die Seite about:logins von Firefox Lockwise in einem neuen Tab. Auf die Schaltfläche „Neue Zugangsdaten hinzufügen“ klicken. Danach manuell die Adresse der Website, den Benutzernamen und das Passwort eingeben.
  • Um die gespeicherten Passwörter für eine Website anzuzeigen, in das Feld mit dem Benutzernamen für diese Website klicken, danach auf „Gespeicherte Zugangsdaten anzeigen“. Hier lassen sich gespeicherte Zugangsdaten anzeigen, kopieren, bearbeiten oder entfernen.
  • Möchte ein Nutzer in Firefox Lockwise gespeicherte Zugangsdaten (Benutzernamen und Passwörter) sichern oder an eine andere Anwendung weitergeben, lassen sich diese in Form einer .csv-Datei (mit durch Kommata getrennten Werten) exportieren. Zugangsdaten lassen sich auch aus einer .csv-Datei (mit durch Kommata getrennten Werten) importieren.

Wichtig

Dieses Beispiel zeigt, dass es nicht sehr kompliziert ist, einen Passwort-Manager zu nutzen. Dennoch gilt es, an das starke Hauptpasswort und wenn möglich an eine Zwei-Faktor-Authentifizierung zu denken, damit der Passwort-Manager nicht zum Passwort-Risiko wird.

Die Angst, Passwörter zu vergessen

LastPass veröffentlichte im April 2021 die Ergebnisse einer neuen Umfrage zum Passwortverhalten der Deutschen. Die Studie zeigt, dass die Deutschen noch immer große Angst davor haben, ihre Anmeldedaten zu vergessen und den Zugriff auf Webkonten, Onlineshops oder Streaming-Diensten zu verlieren.

Das ist kein Wunder, denn der durchschnittliche Deutsche wurde im letzten Monat aus circa zehn Online-Konten ausgesperrt, so die Studie.

Mehr als die Hälfte der Befragten (56 Prozent) gab an, sie müssten sich eine zu hohe Anzahl an Passwörtern auf einmal merken. So kommt es auch, dass immer noch die meisten Befragten zur Vereinfachung die gleichen oder zu schwache Passwörter einsetzen.

Weitere Erkenntnisse aus der Studie:

  • 36 Prozent gaben an, Webseiten und Plattformen bei einem vergessenen Passwort nicht mehr zu besuchen.
  • 29 Prozent haben Sorge davor, dass ihre Passwörter nicht automatisch auf dem mobilen Gerät oder im Browser gespeichert werden.
Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)