Passwortmanager sind weit mehr als ein digitales Pendant zum Passwort-Büchlein. Denn die Programme archivieren nicht nur die Login-Daten für verschiedene Internetdienste, sie haben zwei weitere nützliche Funktionen: Sie können sehr starke und komplexe Passwörter für die Nutzenden generieren und sie checken bei einem Login, ob sich die Nutzenden wirklich auf der avisierten Webseite einloggen und nicht gerade auf eine Fake-Seite gelockt werden. „Damit die hilfreichen Funktionen dieser Programme auch wirklich greifen können, müssen die Nutzenden sie richtig einrichten. Und das ist oft viel Arbeit“, sagt Sabrina Amft. Die CISPA-Forscherin arbeitet im Team von CISPA-Faculty Prof. Dr. Sascha Fahl in Hannover. Amfts Studie “’Would You Give the Same Priority to the Bank and a Game? I Do Not!‘ Exploring Credential Management Strategies and Obstacles during Password Manager Setup” liefert keine repräsentativen Zahlen. Vielmehr geht es der Forscherin darum, eine Bestandsaufnahme zu machen, wie die Tools tatsächlich genutzt werden und welche Hürden bei deren Konfiguration bestehen. Dazu hat sie gemeinsam mit Forschungskolleg:innen des CISPA, der Leibniz Universität, der George Washington University und der Uni Paderborn 279 Nutzer:innen von Passwortmanagern befragt sowie 14 populäre Tools und ihre Funktionsweise untersucht.
Passwortmanagement am Fließband
„Unserer Erfahrung nach haben Nutzer:innen häufig ein Passwort, das sie in Abwandlung für viele Accounts nutzen. Nicht selten ist dieses zudem eher schwach. Passwortmanager erlauben ihnen, für jeden Account ein einzigartiges, komplexes Passwort zu erstellen und einfach zu verwalten. Allerdings müssen sie dafür erstmal ihre bestehenden Accounts mit einem neuen Passwort versehen und in den Passwortmanager speichern. Bei mittlerweile durchschnittlich 100 Internetkonten pro Person keine leichte Aufgabe“, erklärt Amft das Problem. Und so wundert es nicht, dass ihre Studie zeigt, dass Nutzer:innen meist nicht alle Internetkonten in die Programme aufnehmen. „Erstaunlich ist allerdings, dass sie das aus konträren Gründen nicht tun. So gaben die Einen an, zum Beispiel sogenannte Trash-Accounts, also für sie unwichtige Konten, nicht in den Passwortmanager zu übernehmen, weil es da nicht so sehr auf Sicherheit ankäme. Andere haben beispielsweise wichtige Daten wie ihr Online-Banking-Passwort nicht erfasst, weil sie Passwortmanagern nicht ausreichend trauen.“
Berechtigte Sorge oder Übervorsicht?
Es gab in der jüngeren Vergangenheit Angriffe auf große Passwortmanager wie LastPass oder Norton. „Die Sorge ist also nicht ganz unbegründet“, sagt Amft. Die Folgen solcher Angriffe können laut der Forscherin unterschiedlich ausfallen. „Wenn die Hersteller:innen eine ordentliche Verschlüsselung haben, dann können Hacker:innen zwar den verschlüsselten Datensatz klauen, aber letztlich müssen sie viel Energie in den Versuch stecken, an die Daten auch ranzukommen.“ Dass Angreifer:innen diese Mühe nicht scheuen, zeigt ein Bericht des IT-Fachmagazin Heise aus dem September 2023. Darin wird berichtet, dass Cyberkriminielle die Passworttresore, die sie im Vorjahr über das Cloudsystem eines Drittanbieters erbeuten konnten, inzwischen auch knacken und so Zugangsdaten zu Krypto-Wallets erhalten und diese leerräumen – sprich Kryptowährungen wie Bitcoin klauen. Der Anbieter Norton Life Lock warnte seine Nutzer:innen im Januar 2023, dass Hacker:innen versucht hatten, durch massenhaftes Durchprobieren beliebter Passwörter Zugriff auf Kundendaten zu bekommen – und dabei zum Teil erfolgreich waren. Ein Grund mehr, die Passwortmanager selbst mit einem sehr starken Passwort zu schützen. Für Amft ist trotz der beiden Fälle klar, dass die Entscheidung gegen Passwortmanager in der Regel dennoch die schlechtere Wahl ist: „Schwache Passwörter, die bei mehr als einem Account genutzt werden, sind ein sehr viel größeres Sicherheitsproblem. Auch weil Vorfälle bei Passwortmanagern kommuniziert und auf kompromittierte Daten hingewiesen wird.“
Bequemlichkeit vor Sicherheit
Amfts Befragung der Nutzer:innen von Passwortmanagern zeigt abermals, was sich auch in vielen anderen Studien gezeigt hat: Bequemlichkeit geht den meisten Nutzer:innen über Sicherheit. So gaben viele der Befragten an, dass sie die Tools vor allem nutzten, weil sie sich so die Eingabe von Passwörtern und deren Verwaltung sparen wollen. „Sicherheit ist für sie eher ein untergeordneter Faktor“, sagt Amft. So wundert es nicht, dass den sichersten Weg, alle Konten zu erfassen und die dazugehörigen Passwörter auf eine stärkere Alternative upzudaten, nahezu keine:r der Studien-Teilnehmenden wählte. Die Mehrheit der Nutzenden gab hingegen an, Accounts und deren Passwörter erst dann in den Passwortmanager zu übernehmen, wenn sie im Alltag die entsprechenden Seiten besuchen. „Dabei spielt neben der Tatsache, dass das direkte Erfassen aller Konten sehr aufwendig ist, auch eine Rolle, dass viele Nutzenden gar keine Übersicht über ihre Internetkonten haben“, erklärt Amft. Ein Großteil der Befragten gab an, zumindest einige Passwörter gegen sicherere Alternativen ausgetauscht zu haben.
Integrierte Passwortmanager werden anders genutzt
Unterschiede im Nutzungsverhalten zeigten sich vor allem im Vergleich zwischen eigens angeschafften Passwortmanagern und solchen, die heute in den meisten Browsern integriert sind. „Oft sind sich Menschen gar nicht bewusst, dass sie einen Passwortmanager nutzen, wenn sie beispielsweise in Google Chrome oder Mozilla Firefox ihre Passwörter hinterlegen.“
In den integrierten Versionen der Programme werden Passwörter selten manuell erfasst. Komfort und Effizienz steht für deren Nutzenden noch mehr im Vordergrund. „Eigentlich ist es ein gutes Zeichen, wenn Sicherheitstools so designt sind, dass Nutzende kaum merken, dass sie welche benutzen. Früher waren die integrierten Versionen der Passwortmanager leider häufig nicht stark genug abgesichert, aber es gab in den vergangenen Jahren Fortschritte.“ Nach einer Empfehlung gefragt, spricht sich Amft für Programme aus, die auch offline funktionieren. „Die Daten werden dann nur lokal auf dem Gerät gespeichert. Leider lassen sich diese Programme aber nur über Umwege auf mehreren Geräten synchronisieren.“
Empfehlungen an Entwickler:innen
„Einige Anbieter:innen haben schon gute Ansätze. Zum Beispiel scannen einige Passwortmanager von den Nutzenden besuchte Webseiten und deren Mailaccounts, um für sie eine Liste mit Vorschlägen zu generieren, wo überall in der Vergangenheit ein Passwort angelegt wurde. Laufen solche Scans ausschließlich lokal, können sie auch datenschutzkonform umgesetzt werden“, erklärt Amft. Auch das Anzeigen beliebter Seiten könne eine Lösung sein, falls das Scannen nicht möglich ist. „Zudem brauchen wir insgesamt mehr Automatisierung. Der Prozess, Passwörter hinzuzufügen und upzudaten muss so gestaltet sein, dass er möglichst reibungslos abläuft. Der Import vorhandener Passwörter muss zudem sicher gestaltet werden. Die Passwortmanager sollten dafür eigene Schnittstellen anbieten, damit keine lokalen Passwortlisten im Klartext gespeichert werden müssen.“ Dem Misstrauen den Programmen gegenüber könnten Entwickler:innen laut Amft damit begegnen, Datenschutz-Labels einzuführen, die die genutzte Verschlüsselung und andere Sicherheitsmechanismen bewerten und Nutzer:innen eine einfache Möglichkeit geben, die Sicherheit der Programme zu beurteilen. „Um die mühsame Aufgabe der Erfassung von Passwörtern einfacher zu gestalten, könnte auch ein spielerischer Umgang fruchtbar sein. Nutzende sollten durch Anreize motiviert werden, ihre Konten zu erfassen und schwache Passwörter auszutauschen.“ Nur so kann das Passwortbüchlein endlich der Vergangenheit angehören.
