Im vergangenen Jahr gab es eine Reihe von Meldungen \u00fcber den Verlust pers\u00f6nlicher Daten bei verschiedenen Online-Diensten und sogar bei beliebten Passwortmanagern. Wenn Sie einen digitalen Datenspeicher verwenden, stellen Sie sich bei der Nachrichten-Lekt\u00fcre \u00fcber solche Datenlecks wahrscheinlich ein Alptraumszenario vor: Angreifer greifen auf all Ihre Konten zu, deren Kennw\u00f6rter in Ihrem Passwortmanager gespeichert sind.<\/p>\n
Wie berechtigt sind diese Bef\u00fcrchtungen? Am Beispiel von Kaspersky Password Manager<\/a> erl\u00e4utern wir, wie die mehrstufigen Schutzmechanismen von Passwortmanagern funktionieren und was Sie tun k\u00f6nnen, um diese zu st\u00e4rken.<\/p>\n Lassen Sie uns zun\u00e4chst analysieren, warum Passwortmanager grunds\u00e4tzlich immer eine gute Idee sind. Die Zahl der von uns genutzten Internetdienste w\u00e4chst st\u00e4ndig, und damit auch die Notwendigkeit, viele Benutzernamen und Passw\u00f6rter einzugeben. Es ist schwer, sich diese zu merken, und es ist auch riskant, sie an willk\u00fcrlichen Orten zu speichern oder gar niederzuschreiben. Die naheliegende L\u00f6sung ist, alle Ihre Anmeldedaten an einem sicheren Ort zu speichern und diesen Datenspeicher mit einem einzigen Schl\u00fcssel zu verschlie\u00dfen. So m\u00fcssen Sie sich nur noch ein einziges Passwort merken.<\/p>\n Bei der erstmaligen Installation von Kaspersky Password Manager<\/a>, werden Sie aufgefordert, ein Masterpasswort zu erstellen, mit dem Sie Ihren digitalen Speicher \u00f6ffnen k\u00f6nnen. Dieser steht Ihnen dann f\u00fcr die Eingabe der Daten f\u00fcr die von Ihnen genutzten Internetdienste zur Verf\u00fcgung: URL, Nutzername und Passwort. Sie k\u00f6nnen dies manuell tun, oder Sie k\u00f6nnen eine Browsererweiterung f\u00fcr den Passwortmanager einrichten und einen speziellen Befehl verwenden, um alle im Browser gespeicherten Passw\u00f6rter in den Speicher zu migrieren. Neben Passw\u00f6rtern k\u00f6nnen Sie Letzterem auch andere pers\u00f6nliche Dokumente hinzuf\u00fcgen, z. B. eine Ausweiskopie, Versicherungsdaten, Bankkartendaten und wichtige Fotos.<\/p>\n Beim Besuch einer Website, \u00f6ffnen Sie den Datenspeicher und geben die von Ihnen ben\u00f6tigten Daten entweder manuell in das Anmeldeformular ein, oder Sie erteilen dem Passwortmanager die Erlaubnis, die gespeicherten Anmeldedaten f\u00fcr die Website automatisch auszuf\u00fcllen. Danach brauchen Sie Ihren Datenspeicher nur noch schlie\u00dfen.<\/p>\n Kommen wir nun zu den Schutzmechanismen. Speicher-Dateien werden mit einem symmetrischen Schl\u00fcsselalgorithmus auf der Grundlage des Advanced Encryption Standard<\/em> (AES-256) verschl\u00fcsselt, der weltweit zum Schutz sensibler Daten verwendet wird. F\u00fcr den Zugang zu den Datenspeichern wird ein Schl\u00fcssel verwendet, der auf Ihrem Masterpasswort basiert. Wenn das Passwort stark ist, br\u00e4uchten Angreifer deutlich mehr Zeit, um die Chiffre ohne den Schl\u00fcssel zu entschl\u00fcsseln.<\/p>\n Dar\u00fcber hinaus sperrt unser Passwortmanager<\/a> den Speicher automatisch nach einer gewissen Zeit der Inaktivit\u00e4t des Benutzers. Wenn ein Angreifer in den Besitz Ihres Ger\u00e4ts gelangt und es schafft, den Schutz des Betriebssystems zu umgehen, um an die Speicherdatei zu gelangen, kann er den Inhalt nicht lesen, wenn er das Masterpasswort nicht kennt.<\/p>\n Es liegt jedoch an Ihnen, diese automatische Sperre zu konfigurieren. Die Standardeinstellung in der App sperrt den Speicher m\u00f6glicherweise erst nach einem l\u00e4ngeren Zeitraum der Inaktivit\u00e4t. Wenn Sie aber die Angewohnheit haben, einen Laptop oder ein Smartphone an einem nicht ganz sicheren Ort zu verwenden, k\u00f6nnen Sie die Sperre so konfigurieren, dass sie bereits nach einer Minute einsetzt.<\/p>\n Es gibt allerdings noch ein weiteres potenzielles Schlupfloch: Wenn ein Angreifer einen Trojaner oder eine andere Methode zur Installation eines Fernzugriffsprotokolls auf Ihrem Computer installiert hat, kann er versuchen, Passw\u00f6rter aus dem Speicher zu extrahieren, w\u00e4hrend Sie dort angemeldet sind. Im Jahr 2015 wurde ein solches Hacker-Tool f\u00fcr den Passwortmanager KeePass<\/a> entwickelt. Es entschl\u00fcsselte und speicherte als separate Datei ein ganzes Archiv mit Passw\u00f6rtern, das auf einem Computer mit einer ge\u00f6ffneten Instanz von KeePass ausgef\u00fchrt wurde.<\/p>\n Der Kaspersky Password Manager<\/a> wird jedoch in der Regel zusammen mit den Antivirenl\u00f6sungen von Kaspersky<\/a> eingesetzt, was die allgemeine Wahrscheinlichkeit einer Infektion erheblich mindert.<\/p>\n\n Die verschl\u00fcsselte Passwort-Datei kann nicht nur auf dem Ger\u00e4t, sondern auch in der Cloud-Infrastruktur von Kaspersky gespeichert werden, so dass Sie den Speicher von verschiedenen Ger\u00e4ten aus nutzen k\u00f6nnen, z. B. von Ihrem Heimcomputer oder Mobiltelefon. Eine spezielle Option in den Einstellungen erm\u00f6glicht es Ihnen, die Daten auf allen Ger\u00e4ten mit dem installierten Kaspersky Password Manager<\/a> zu synchronisieren. Sie k\u00f6nnen auch die Web-Version von Password Manager von jedem Ger\u00e4t aus \u00fcber die My Kaspersky<\/a> Website nutzen.<\/p>\n Wie wahrscheinlich ist ein Datenleck, wenn Sie einen Cloud-Speicher verwenden? Zun\u00e4chst ist es wichtig zu verstehen, dass wir nach dem Null-Wissen-Prinzip arbeiten. Das bedeutet, dass Ihr Passwortspeicher f\u00fcr Kaspersky genauso verschl\u00fcsselt ist wie f\u00fcr alle anderen. Kaspersky-Entwickler k\u00f6nnen die Datei nicht lesen und nur Besitzer des Masterpassworts k\u00f6nnen sie \u00f6ffnen.<\/p>\n Viele \u2013 aber nicht alle \u2013 der heutigen Dienste, die Passw\u00f6rter und andere Geheimnisse speichern, halten sich an ein \u00e4hnliches Prinzip. Wenn Sie also in den Nachrichten von einem Datenleck bei einem Cloud-Speicherdienst lesen, sollten Sie nicht gleich in Panik geraten. Denn in den seltensten F\u00e4llen k\u00f6nnen die Angreifer die gestohlenen Daten entschl\u00fcsseln. Diese Art von Leck ist mit dem Diebstahl eines scharfgestellten Bank-Safes, dessen Zahlenkombination man nicht kennt, zu vergleichen.<\/p>\n In diesem Fall ist der \u00c4quivalent dieser Zahlenkombination Ihr Masterpasswort. Hier ein weiterer wichtiger Sicherheitsgrundsatz: Kaspersky Password Manager<\/a> speichert Ihr Masterpasswort weder auf Ihren Ger\u00e4ten noch in der Cloud. Selbst wenn ein Hacker auf Ihren Computer oder den Cloud-Speicherdienst zugreift, wird er nicht in der Lage sein, Ihr Passwort aus dem Produkt selbst zu entwenden. Nur Sie kennen dieses Passwort.<\/p>\n Ein Leck einer verschl\u00fcsselten Passwort-Datei kann jedoch auch Probleme verursachen. Sobald Angreifer einen Datenspeicher gestohlen haben, k\u00f6nnen sie versuchen, ihn zu hacken.<\/p>\n Hierbei gibt es zwei prinzipielle Angriffsmethoden<\/strong>. Die erste ist Brute-Force, die im Allgemeinen sehr zeitaufw\u00e4ndig ist. Wenn Ihr Passwort aus einem Dutzend zuf\u00e4lliger Zeichen besteht und sowohl Klein- als auch Gro\u00dfbuchstaben, Zahlen und Sonderzeichen enth\u00e4lt, erfordert das Brute-Force-Verfahren f\u00fcr alle Kombinationen mehr als eine Trilliarde Versuche!<\/p>\n Wenn Sie allerdings f\u00fcr sich beschlossen haben, den einfachen Weg zu gehen und ein schwaches Passwort gew\u00e4hlt haben \u2013 etwa ein einzelnes Wort oder eine einfache Zahlenkombination wie \u201e123456\u201c -, kann der automatische Scanner dieses in weniger als einer Sekunde herausfinden, denn in diesem Fall basiert das Brute-Forcing nicht auf individuellen Symbolen, sondern auf einem W\u00f6rterbuch mit g\u00e4ngigen Kombinationen. Trotzdem w\u00e4hlen viele Benutzer bis heute W\u00f6rterbuchpassw\u00f6rter (Kombinationen von Symbolen, die schon lange in den W\u00f6rterb\u00fcchern der Hacker-Scanner zu finden sind).<\/p>\n Die Nutzer des Passwortmanagers LastPass<\/a> wurden im Dezember 2022 vor diesem potenziellen Problem gewarnt. Als das Konto eines LastPass-Entwicklers gehackt wurde, verschafften sich die Angreifer Zugriff auf das Cloud-Hosting, das das Unternehmen nutzt. Neben anderen Daten gelangten die Angreifer in den Besitz von Backups der Datenspeicher-Passw\u00f6rter der Nutzer. Das Unternehmen teilte den Nutzern mit, dass diese sich keine Sorgen machen m\u00fcssten, wenn sie alle Empfehlungen, ein starkes und einzigartiges Masterpasswort zu erstellen, ber\u00fccksichtigt h\u00e4tten, da es \u201eMillionen von Jahren\u201c dauern w\u00fcrde, ein solches Passwort per Brute Force zu knacken. Nutzern mit schwachen Passw\u00f6rtern wurde dazu geraten, diese umgehend zu \u00e4ndern.<\/p>\n Gl\u00fccklicherweise \u00fcberpr\u00fcfen viele Passwort-Manager, darunter Kaspersky Password Manager<\/a>, inzwischen automatisch die St\u00e4rke Ihres Masterpassworts. Wenn es schwach oder nur mittelm\u00e4\u00dfig stark ist, gibt der Passwort-Manager eine Warnung aus, die Sie bitte unbedingt beachten sollten.<\/p>\n Die zweite Hacking-Methode<\/strong> beruht auf der Tatsache, dass Nutzer h\u00e4ufig dieselben Anmeldedaten f\u00fcr verschiedene Internetdienste verwenden. Erleidet also einer dieser Dienste ein Datenleck, erzwingen die Angreifer automatisch auch die Nutzernamen-Passwort-Kombination f\u00fcr andere Dienste \u00fcber einen Angriff, der als \u201eCredential Stuffing\u201c bekannt ist. Diese Art von Angriff ist oft erfolgreich.<\/p>\nAllgemeine Prinzipien<\/h2>\n
Digitaler Datenspeicher & automatische Sperre<\/h2>\n
Null-Wissen<\/h2>\n
Ein starkes Masterpasswort<\/h2>\n
Einzigartiges Masterpasswort<\/h2>\n