Von Null auf Passwort-Manager – etwas Aufwand, großer Sicherheitsgewinn
Der ideale Zeitpunkt auf einen Passwort-Manager anstatt auf Passwort-Schemas, einer Loseblattsammlung oder Browser-Verwaltung zu setzen, ist: jetzt!
(Bild: Shutterstock/selinofoto)
Dem Wechsel auf einen Passwort-Manager haftet ein ähnlicher Reiz an wie der Einführung von einem Backup. Eigentlich wissen alle, dass so etwas nötig ist. Aber sich darum zu kümmern, bedeutet Aufwand. Um den inneren Schweinehund zu überwinden, braucht es eine Art Zündfunken. Den soll dieser Artikel liefern.
Dabei soll nicht verharmlost werden, dass der Umzug auf einen Passwort-Manager tatsächlich kurzzeitig etwas Arbeit macht. Bereits nach geringer Zeitspanne gehen jedoch die geänderten Wege im Browser so ins Blut über, dass davon nichts stört oder negativ auffällt.
Vergessene Konten
Auslöser zum Schwenk auf einen externen Passwort-Manager war bei mir der aufgeregte Anruf eines Freundes, dessen Facebook-Zugang aufgrund kinderpornografischer Inhalte gesperrt wurde. Die stammten selbstverständlich nicht von ihm. Er fand jedoch eine Erpresser-E-Mail, in der die Einbrecher Kryptogeld für die Löschung der Zugangsdaten forderten.
An die Zugänge gelangten Cyberkriminelle durch einen alten, vergessenen Account bei einem Mail- und Webprovider. Bei einem Einbruch dort konnten die dortigen Zugangsdaten offenbar entwendet werden, ohne, dass der Anbieter einen Passwortwechsel im Anschluss forderte. Der Facebook-Zugang kann nicht wiederhergestellt werden, aber mit umfangreichen Passwort-Änderungen für diverse Zugänge, Anzeige bei der Polizei und auch sonstig viel Ärger ist die Situation zumindest im Griff.
Alte, vergessene Zugänge sind also ganz offenbar ein Problem. Auch ich hatte bis vor wenigen Jahren ein noch immer genutztes Konto, dessen Passwort seit 17 Jahren unverändert blieb. Allerdings ohne ernste Folgen. Der Vorfall des Freundes war jedoch der nötige Augenöffner, doch einmal die bequeme Zone zu verlassen und es nun besser zu machen. Das Kombinieren von Zugangsdaten aus diversen Datenlecks und Einbrüchen gehört zum derzeitigen Standardrepertoire von Cyberkriminellen, es wird also dringlicher.
Auswahl des Passwort-Managers
Eigentlich sollte die Nutzung des Passwort-Managers aus dem Webbrowser schon helfen, dass komplexe und stets andere Passwörter zum Einsatz kommen können. Die sind dann in der Regel auch geräteübergreifend verfügbar. Inzwischen kann etwa Google Chrome die Passwörter lokal verschlüsselt ablegen, sodass Google theoretisch keinen Zugriff darauf hat. Das müssen (Alt-)Nutzer jedoch selbst aktivieren, was erfahrungsgemäß also nicht stattfindet.
Die Passwörter können Cyberkriminelle jedoch aus den Browser-Speichern oftmals einfach auslesen. Weiterreichende Funktionen wie das Teilen von Zugangsdaten mit anderen oder Passwortgeneratoren bieten sie in der Regel nicht. Zudem fehlen den Browser-eigenen Passwortspeichern praktische Zusatzfunktionen, etwa Konten aus Programmen und Apps zu verwalten.
Es gibt zahlreiche, oftmals gute Passwort-Manager am Markt. Allen gemein ist, dass Nutzerinnen und Nutzer sich statt zahlreicher individueller Passwörter lediglich ein einziges Master-Passwort merken müssen. Oder gar auf biometrische Freischaltung etwa per Fingerabdruck setzen können. Das ist sicherer und zugleich bequem.
Die Wahl fiel im konkreten Fall auf Bitwarden. Das ist Open-Source, kostenlos und sehr flexibel. Es bietet zudem Zusatzfunktionen, wie das verschlüsselte und geschützte Abspeichern etwa von Kreditkartendaten oder das Teilen von Zugangsdaten für Teams respektive Arbeitsgruppen.
Die anderen Passwort-Manager sind jedoch ebenfalls eine legitime Wahl. Der Umzug dorthin unterscheidet sich dann im Detail etwas von Bitwarden, grundsätzlich läuft der jedoch sehr ähnlich ab.
Umzugspläne
Der Umzug selbst gestaltete sich schlussendlich einfach – die nötigen Informationen liegen jedoch verteilt im Netz und manche hilfreiche Einstellung lässt sich nicht intuitiv finden. Die konkrete Aufgabe lautete, die lokal verschlüsselten Passwörter aus Google Chrome zu Bitwarden zu migrieren.
Dazu müssen Interessierte zunächst die Bitwarden-Software herunterladen und installieren sowie ein Bitwarden-Konto einrichten. Die Zugangsdaten landen dadurch mit dem Master-Passwort verschlüsselt auf den Bitwarden-Servern. Wer das nicht möchte, kann sich eine eigene Bitwarden-Instanz aufsetzen und behält so vollständig die Kontrolle – auch der Server ist als Open-Source verfügbar. Insbesondere für den Einsatz in Firmennetzen ist das eine oft wichtige Funktion.
Bitwarden nutzt dazu eine Hauptanwendung und Plug-ins für die gängigen Webbrowser. Theoretisch ließe sich der Passwort-Manager jetzt schon nutzen, aber ein paar Optionen in den Einstellungen bringen deutlichen Komfort. Außerdem sollen die bestehenden Passwörter gleich in den Passwort-Manager einziehen.
(Bild: Screenshot)
Unter "Datei" finden sich die "Einstellungen" im Bitwarden-Hauptprogramm. Unter Windows sind bei vorhandenen Biometrie-Sensoren die Einstellungen zu Windows Hello spannend, diese sollten Nutzerinnen und Nutzer aktivieren. Zudem fehlen unter den tiefer liegenden App-Einstellungen alle Haken.
(Bild: Screenshot)
Das Taskleisten-Symbol sorgt dafür, dass Bitwarden stets zugreifbar bleibt. Die Optionen "Zum Taskleisten-Symbol minimieren", "In den Infobereich minimieren", "Minimiert in Taskleiste starten" sowie "Automatisch bei der Anmeldung starten" sorgen für einen aufgeräumten Desktop auch dann, wenn Bitwarden aktiv im Hintergrund bleibt. Wichtig ist zudem natürlich, die "Browser-Integration aktivieren" auszuwählen, damit Bitwarden die Passwörterverwaltung in den Webbrowsern übernehmen kann.
