Mit jedem Jahr, jedem Monat wächst die Zahl der Zugangsdaten, die wir für die Nutzung bestimmter Dienstleistungen benötigen: Anmelden am Computer, iOS, Android, Facebook, Twitter, Instagram, Spotify und Netflix, Online-Banking und noch ein Online-Shop – und noch ein Online-Shop und noch einer.
Wer es sich einfach macht und für alle Dienste das gleiche Passwort verwendet, geht ein hohes Sicherheitsrisiko ein.
Das Passwort ist dann nur so sicher geschützt wie der unsicherste der verwendeten Dienste. Immer wieder fallen großen Mengen von Nutzerdaten auch großer und etablierter Anbieter in die Hände von Hackern, die dann durchaus den Missbrauch der erbeuteten Logins auch bei anderen Diensten testen. Von der übergreifenden Nutzung eines Passworts kann also nur dringend abgeraten werden.
Einige Dienste ermöglichen das Login zum Beispiel via einen Facebook-Account, so dass man sich nur die Facebook-Login-Daten merken muss und sich damit zum Beispiel auch bei Spotify anmelden kann. Das Verfahren ist auch unter „Social Login“ bekannt.
Wer selbst Webanwendungen betreibt, kann nebenbei einfacher als meist gedacht von der Bequemlichkeit der Social-Login-Funktionalität profitieren. Mainetcare entwickelt Web-Apps mit entsprechenden Login-Optionen auf der Basis von Laravel Socialite. Damit ist die Anmeldung mit Accounts von Facebook, Twitter, LinkedIn, Google, GitHub, GitLab und Bitbucket möglich.
Das ist bequem, allerdings gilt im Prinzip das oben Gesagte: Ein Passwort für mehrere Dienste öffnet auch mehrere Dienste für Missbrauch, wenn es in die falschen Hände fällt. Zudem muss man sich bei der Nutzung des Facebook-Accounts als Anmeldedienst auch darüber im Klaren sein, dass damit weitere Informationen über die eigenen Aktivitäten und Interessen an den datenhungrigen Social-Media-Anbieter fließen.
Der saubere und sichere Weg ist die Auswahl eines eigens ausgewählten sicheren Passworts (Was ist ein sicheres Passwort? Ein Thema für sich, auf das an anderer Stelle eingegangen werden muss.) für jeden Zugang. Aber wie soll man sich das alles merken?
Eine sichere und nutzerfreundliche Lösung bieten Passwort-Manager-Programme, die Passwörter und sonstige Zugangsdaten sicher verschlüsselt speichern. Es gibt solche Programme für jedes Gerät und Betriebssystem in einiger Auswahl (1). Wer sich unter diesen Programmen eine unter Open-Source-Lizenz Lösung aussucht, braucht nichts zu bezahlen und hat obendrein ein potenzielles Plus an Sicherheit. Quelloffene Open-Source-Sicherheitssoftware ermöglichen der Community die Prüfung des Sicherheitsfunktionen am Quelltext, was eventuelle Sicherheitslücken in der Regel schnell ans Licht bringt.
Mit einem Passwort-Manager speichert man einfach alle Zugänge zentral und muss sich nur noch die Login-Daten des Managers selbst merken. Die Zugangsdaten lagern in einer verschlüsselten Datenbank je nach Software entweder lokal auf dem Gerät, oder auch in der Cloud, was den Vorteil hat, dass man von mehreren Geräten Zugriff auf seine Zugangsdaten haben kann.
Viele der Programme greifen einem zudem bei der Eingabe der Daten in die entsprechenden Eingabefelder unter die Arme, so dass man nicht mehr tippen oder kopieren und einfügen muss, sondern das Login auf Tap oder Tastendruck quasi automatisch erfolgt.
Gerade wenn es vorrangig um die Verwaltung von Online-Zugangsdaten geht, bietet sich auch ein Passwort-Manager als Browser Addon an. Auch hier gibt es für jeden gängigen Browser diverse Angebote (2). Oder man greift direkt auf eine webbasierte Lösung wie 1password.com (3) zurück, was prinzipiell den Zugriff auf die Daten von jedem Gerät mit Internet-Zugang einfach über den Browser möglich macht.
Was, wenn die Zugangsdaten weg sind?
Der übliche Weg ist der einfache Klick auf den meist verfügbaren Link / Button „Passwort vergessen?“. Meist wird darüber der Versand eines anbieterseitig neu generierten Passworts an eine vorher hinterlegte E-Mail-Adresse ausgelöst, oft verbunden mit einem Link, mit dessen Aufruf der neue Zugang innerhalb einer bestimmten Frist aktiviert werden muss. Da das Passwort dabei durch öffentliche Netze übertragen wird, kann man im Interesse zusätzlicher Sicherheit nach erfolgtem Login das erhaltene Passwort durch ein neues selbst gewähltes ersetzen.
Immer mehr Anbieter (etwa Google, Microsoft) gehen auch dazu über, bei der Einrichtung von Accounts die Definition persönlicher Fragen obligatorisch zu machen, deren Antworten „unvergessbar“ sein sollen, etwa „Der Name meines ersten Haustieres“.
Wer also sein Passwort für einen solchen Account vergisst, verfügt mit den Antworten zu derartigen Fragen über ein zusätzliches „Authentifizierungsmerkmal“, das idealerweise nicht vergessen werden kann und kann damit den Zugang wiederherstellen.
Was also tun?
- Für jeden Zugang ein sicheres Passwort wählen.
- Statt „merken“ einen Passwortmanager verwenden.
- Bei Verlust von Passworten die automatisch generierten neue Passwörter wiederum durch eigene ersetzen.
