Für jeden Inter­net­nut­zer zäh­len Pass­wör­ter und Log­in-Daten, Regis­trier­num­mern und sons­ti­ge digi­ta­le Ein­tritts­kar­ten zum Wert­volls­ten, was das digi­ta­le Leben ermög­licht. Umso erstaun­li­cher ist oft, wie sorg­los damit umge­gan­gen wird.Seit Jah­ren haben es zahl­rei­che Gauk­ler und Betrü­ger im Inter­net auf unse­re digi­ta­len Unter­schrif­ten abge­se­hen. Dabei ist es nicht die Kon­to­num­mer oder ähn­lich offen­sicht­lich simp­les, son­dern es sind unse­re Zugangs­ken­nun­gen für alle mög­li­chen Sei­ten, auf denen wir uns anmel­den müs­sen, um Zugriff auf bestimm­te Dienst­leis­tun­gen zu erhal­ten. Unse­re digi­ta­len Schlüs­sel und Ein­tritts­kar­ten.

Ob Bahn­fahr­kar­ten oder Flug­ti­ckets, Film­down­loads oder Kino­pro­gram­me, Bil­d­e­ru­ploads oder Chats, Finanz­amt oder Kran­ken­kas­se: über­all müs­sen wir uns regis­trie­ren und anmel­den, damit die Betrei­ber der Sei­ten wis­sen, wer wann wie auf wel­che Daten zugreift. – Und natür­lich auch, um kon­trol­lie­ren zu kön­nen, wer über­haupt zugriffs­be­rech­tigt ist.

Sorgfaltspflicht

Eine gewis­se Sorg­falt müs­sen dabei vor allem die Benut­zer wal­ten las­sen: Ein Anbie­ter, des­sen Kun­den­da­ten durch einen dum­men Zufall oder durch einen Hack im Inter­net lan­den, lie­fert dem Erbeu­ter nicht nur Namen und E-Mail des Kun­den aus, son­dern vor allem auch Pass­wör­ter aller Kun­den aus.

Wenn nun das glei­che Pass­wort auf meh­re­ren Sei­ten benutzt wird, erhält der Dieb gleich den Schlüs­sel­bund für meh­re­re Türen und kann dort auch wie­der auf Beu­te­zug gehen. Eine unheil­vol­le Spi­ra­le, der man als Anbie­ter schon aus Grün­den der Nut­zer­be­quem­lich­keit nichts ent­ge­gen set­zen kann. Man kann als Anbie­ter die mehr­ma­li­ge Ver­wen­dung des glei­chen Pass­worts durch den Benut­zer, so sicher es auch sein mag, nicht kon­trol­lie­ren.

Die­se Kon­trol­le ist aus­schließ­lich Auf­ga­be des Benut­zers: So wie jeder Hotel­zim­mer­schlüs­sel nur auf eine Tür pas­sen darf, so muss man als Benut­zer für jede Regis­trie­rung ein eige­nes Pass­wort ver­wen­den. Muss.

Das aber kön­nen auf Dau­er sehr vie­le wer­den …

Zwar haben aktu­el­le Betriebs­sys­te­me wie macOS oder Win­dows 10 bereits eine ein­ge­bau­te Schlüs­sel­b­und­ver­wal­tung, die nicht nur Pass­wör­ter sicher auf­be­wahrt (indem sie mit einem zen­tra­len Pass­wort gesi­chert wer­den), son­dern auch eige­ne Pass­wör­ter erstellt und vor­schlägt – es geht aber auch weit­aus beque­mer und min­des­tens genau­so sicher mit einer App wie 1Password.

Die App gibt es platt­form­über­grei­fend für iOS, Andro­id, Win­dows und macOS. Die ein­mal ange­leg­ten Infor­ma­tio­nen kön­nen mit allen auto­ri­sier­ten Gerä­ten syn­chro­ni­siert wer­den. Dazu kann man ent­we­der die iCloud oder die Drop­box benut­zen1 – oder aber man syn­chro­ni­siert sei­ne Daten mit dem Rech­ner über ein ad-hoc WLAN, was viel­leicht siche­rer, aber auch umständ­li­cher ist.

In der Praxis …

img_0073
… sieht das so aus, dass man bei der Regis­trie­rung auf einer Inter­net­sei­te neben dem Benut­zer­na­men oder der E-Mail-Adres­se ein Pass­wort ange­ben muss, dass man frei wäh­len kann, das aber bestimm­ten Min­dest­an­for­de­run­gen genü­gen muss. Statt sich ein Pass­wort aus den Fin­gern zu sau­gen (was dann auf­grund der leich­te­ren Merk­bar­keit meist in ein­an­der ähn­li­chen Kom­bi­na­tio­nen wie „Passwort123“ endet, aber eigent­lich kein Pass­wort, son­dern eine Ein­la­dung dar­stellt), star­tet man 1Password direkt im Brow­ser und lässt sich ein Pass­wort vor­schla­gen, des­sen Kom­ple­xi­tät man belie­big erhö­hen kann. Gleich­zei­tig mit dem Ein­set­zen des Pass­worts wird die­ses zusam­men mit dem Benut­zer­na­men in der App abge­legt und auch ver­merkt, auf wel­cher Inter­net­sei­te das Pass­wort ver­wen­det wur­de. Die Syn­chro­ni­sie­rung fin­det dann im Hin­ter­grund statt, so dass das Pass­wort nach kur­zer Zeit mit allen Gerä­ten benutzt wer­den kann.

Ruft man die Sei­te erneut auf, erkennt 1Password die Inter­net­adres­se und schlägt das Pass­wort vor. Statt das Pass­wort abzu­tip­pen, klickt man auf „Kopie­ren“ und fügt das Pass­wort ein (es ist damit auch für zufäl­li­ge beob­ach­ter nicht sicht­bar). Emp­feh­lens­wert ist es, die App so zu ein­zu­stel­len, dass die Zwi­schen­ab­la­ge nach kur­zer Zeit gelöscht wird.

Tat­säch­lich las­sen sich in der App noch weit­aus mehr Daten sicher unter­brin­gen als nur Inter­net­pass­wör­ter, auch wenn die­se sicher­lich zu den meist­miss­brauch­ten Infor­ma­tio­nen gehö­ren. Wich­tig sind näm­lich – zumin­dest für den Selbst­stän­di­gen, der ja auch sei­ne Soft­ware selbst kauft – die Lizen­zen und Ver­sio­nen, die sich im Lauf der Zeit ansam­meln. Oder Noti­zen zu Kon­tak­ten, die man ger­ne sicher auf­be­wah­ren möch­te.

Wer bereits Pass­wör­ter hat und die­se in einem ande­ren Pro­gramm (z.B. Last­Pass) abge­legt hat, kann sie eben­so impor­tie­ren wie auch ein­fa­che Lis­ten als *.csv-Doku­men­te. Nach­dem Import soll­te man aber die Pass­wort­stär­ke unbe­dingt nut­zen (dafür gibt es eine eige­ne Rubrik „schwa­che Pass­wör­ter“), denn damit kon­trol­liert die App, ob die Pass­wör­ter, die man sich frü­her müh­sam aus­ge­kno­belt hat und auf die man so stolz ist, auch wirk­lich sooo gut sind.

Das kann mit­un­ter ein böses Erwa­chen geben.

Es gibt näm­lich kei­ne „Ist-doch-egal-dafür-reicht-es-allemal“-Passwörter: Jede Sicher­heits­ket­te ist nur so stark wie ihr schwächs­tes Glied; und wenn ein unbe­rech­tig­ter Drit­ter über einen Online-Shop­ping-Account für Spiel­zeug ein­drin­gen kann, braucht man auch kei­nen siche­ren Online-Ban­king-Account mehr. Drin ist drin.

Fazit

Wer viel im Inter­net unter­wegs ist – und das ist eigent­lich jeder Mensch, der sich nicht bewusst gegen die Zivi­li­sa­ti­on sperrt – kommt ohne eine gewis­se Grund­hy­gie­ne an Pass­wort­si­cher­heit nicht aus. Und damit auch nicht um ein Tool, mit dem er die Pass­wör­ter und Zugangs­da­ten sicher ver­wal­tet. Wenn das dann auch noch bequem geht, umso bes­ser.


  1. Ja, ja, ich weiß, dass Sie jetzt die Augen ver­dre­hen, aber selbst die Drop­box ist auf­grund der Zwei-Fak­tor-Authen­ti­fi­zie­rung siche­rer als etwa 99% der Inter­net­diens­te, die sonst so ger­ne unbe­dacht genutzt wer­den.