Passwort-Manager gegen Gedächtnis: die einzige Regel, die überlebt hat

Veröffentlicht am von David Carrero

Es gibt einen gewaltigen Unterschied zwischen einer Regel, die man bricht, und einer Regel, die man nicht befolgen kann. „Für jede Seite ein anderes Passwort“ ist die zweite Sorte.

Von dem ganzen Katechismus, den wir gelernt haben — der Großbuchstabe, die Ziffer, das Sonderzeichen, der verpflichtende regelmäßige Wechsel —, hat das NIST in SP 800-63B fast alles über Bord geworfen. Länge zählt jetzt mehr als Verrenkung. Die erzwungene Rotation ist verschwunden, außer es gibt Hinweise auf eine Kompromittierung. Und die Sonderzeichenpflicht wurde durch etwas viel Vernünftigeres ersetzt: den Abgleich des Passworts mit Listen bereits geleakter Passwörter.

Eine einzige Regel hat überlebt. Die vom Nicht-Wiederverwenden. Und ausgerechnet die haben wir am wenigsten beachtet, weil man dafür etwas gebraucht hätte, das auf keinem Aushang im Intranet stand.

Warum dein Gedächtnis das nicht schafft

Denk daran, wie viele Konten du hast. Nicht die, die du benutzt: die, die du hast. Die Bank, die E-Mail, die andere E-Mail, der Shop, in dem du 2019 ein Paar Turnschuhe bestellt hast, das Forum, die Airline, die Parkhaus-App, das Portal der Hausverwaltung, die Behördenseite, bei der du dich für einen Vorgang von fünf Minuten registrieren musstest.

Und jetzt stell dir vor, für jedes davon eine lange, zufällige, unterschiedliche Zeichenkette auswendig zu lernen. Das ist nicht schwierig. Das ist für ein menschliches Gehirn schlicht kein erreichbares Ziel, und jahrelang das Gegenteil zu behaupten war eine der kleineren Grausamkeiten der IT-Sicherheit.

Also haben wir das Einzige getan, was möglich war: ein gutes Passwort und seine Varianten. Blumenkohl2019! für die Bank und Blumenkohl2019? fürs Forum. Oder gleich überall dasselbe, mit dem gedanklichen Sternchen „na ja, bei der Bank habe ich ein anderes“.

Und genau da liegt das Problem, denn der reale Angriff besteht nicht darin, dein Passwort zu erraten. Er besteht darin, das Passwort auszuprobieren, das dir woanders längst geklaut wurde. Das Forum von 2019 wird geleakt — Foren von 2019 werden geleakt —, jemand nimmt diese Liste aus E-Mail-Adressen und Passwörtern und probiert sie automatisiert gegen jeden Dienst, der ihm einfällt. Da muss nichts geknackt werden. Du hast den Schlüssel schon ausgehändigt; er klappert nur die Türen ab. Das ist Credential Stuffing, und es funktioniert genau deshalb, weil die einzige Regel, auf die es ankam, die war, die niemand befolgen konnte.

Ein Manager ist keine Bequemlichkeit

An dieser Stelle wird der Passwort-Manager meistens als Luxus verkauft: wie komfortabel, füllt alles selbst aus, du musst nichts mehr tippen. Stimmt, und ist das Unwichtigste daran.

Ein Manager spart dir keine Arbeit: er macht eine Regel möglich, die ohne ihn unerreichbar ist. Es ist der Unterschied, ob man von dir verlangt, hundert Kilometer zu laufen, oder ob man dir ein Fahrrad gibt. Die Zahl ändert sich nicht; es ändert sich, ob du sie schaffst.

Mit einem Manager vor dir löst sich der Rest von SP 800-63B von selbst. Lang statt kompliziert? Der Manager erzeugt sie in jeder Länge, die du willst, weil du sie ohnehin nicht tippst. Für jede Seite ein anderes? Trivial, per Definition. Keine erzwungene Rotation? Perfekt: Du änderst nur das, was geleakt ist, und viele Manager sagen dir Bescheid, wenn es so weit ist. Das einzige, das du dir weiterhin merken musst, ist das Master-Passwort, und das verdient echte Sorgfalt — vier oder fünf zufällige Wörter aus dem Generator und dann im Checker nachsehen, wie gut es sich hält.

Der ehrliche Einwand

„Alle Eier in einen Korb.“ Ich habe das tausendmal gehört, und es ist kein Unsinn. Wenn jemand in deinen Manager kommt, kommt er in alles. Das ist ein Single Point of Failure, und wer dir erzählt, das sei keiner, will dir etwas verkaufen.

Die Antwort muss genauso ehrlich sein: ja, es ist ein einziger Korb, aber die Alternative sind nicht verteilte Eier. Die Alternative sind Eier auf dem Boden. Ohne Manager endest du nicht mit achtzig unabhängigen Passwörtern; du endest mit demselben Passwort auf achtzig Seiten, und das ist derselbe Korb — nur ohne Verschluss, ohne Verschlüsselung und in achtzig fremde Server kopiert, deren Sicherheit du überhaupt nicht kennst.

Schau dir das reale Bedrohungsmodell an. Damit jemand den verschlüsselten Tresor eines seriösen Managers aufbricht, braucht es entweder einen schweren Produktfehler oder dein Master-Passwort. Damit jemand bei deiner E-Mail das Passwort probiert, das du in einem Onlineshop benutzt hast, braucht es rein gar nichts: ein Skript und eine Liste. Du vergleichst hier einen Angriff, der sehr viel braucht, mit einem, der gerade jetzt läuft, pausenlos, im Autopilot.

Was dagegen eine vernünftige Vorsichtsmaßnahme ist: ein langes, einmaliges Master-Passwort, zweiter Faktor im Manager aktiviert, und das Bewusstsein, dass das Master-Passwort jetzt dein kritischer Punkt ist. Behandle es entsprechend.

Welcher — und warum es keine einzige Antwort gibt

Jetzt kommt etwas Unangenehmes für eine Seite mit Affiliate-Links: der beste Manager ist der, den du auch benutzt, und es gibt mehr als einen guten.

Bitwarden ist freie Software, hat einen kostenlosen Tarif, der für fast alle reicht, und du kannst ihn selbst hosten, wenn dir danach ist. Dass der Code prüfbar ist, ist kein Marketing: Es heißt, dass du niemandem auf sein Wort vertrauen musst.

KeePass — und seine Ableger — legt alles in einer lokalen Datei ab. Keine Cloud, kein Konto, kein Anbieter. Wenn deine Sorge lautet „ich will meine Passwörter nicht auf dem Server eines anderen haben“, ist diese Sorge damit buchstäblich erledigt. Dafür ist die Synchronisation zwischen deinen Geräten deine Sache.

1Password kostet Geld, und darauf verlinken wir von hier — Affiliate, damit das gesagt ist. Was es gut macht, ist der Teil, der meistens darüber entscheidet, ob ein Manager in einem Haushalt überlebt: dass nicht-technische Menschen ihn verstehen, ihn mit ihrem Partner teilen und ihn nicht nach einer Woche wieder liegen lassen. Es ist nicht sicherer als Bitwarden, weil es Geld kostet. Es ist für viele Menschen leichter, nicht aufzugeben.

Und der Manager in deinem Browser. Gratis, längst installiert, bietet dir schon jetzt das Speichern an. Er liegt unter den anderen bei Kontrolle, bei Portabilität und beim Teilen, und er bindet dich an ein Ökosystem. Egal: den Browser-Manager zu benutzen ist unvergleichlich besser, als gar keinen zu benutzen, weil er das große Problem löst. Wer dir etwas anderes erzählt, stellt Reinheit über echtes Risiko.

Der Satz, der alles zusammenfasst

Jahrelang hat man uns gesagt, wie jedes einzelne Passwort auszusehen hat, und fast nie, wie wir uns all diese Passwörter merken sollen. Das war der fehlende Schritt, und ohne ihn war die einzige Regel, die überlebt hat, keine Regel: Sie war ein Vorwurf.

Nimm einen. Irgendeinen davon. Die Debatte darüber, welcher, ist marginal im Vergleich zu dem Abstand zwischen einem Manager haben und keinen haben.


Quellen: NIST SP 800-63B, „Digital Identity Guidelines: Authentication and Lifecycle Management“ (Länge vor Komplexität, keine erzwungene Rotation außer bei Hinweisen auf Kompromittierung, Abgleich mit Listen kompromittierter Passwörter) · Dokumentation und veröffentlichte Sicherheitsmodelle von Bitwarden, KeePass und 1Password.

← Zurück zum Blog