Passwörter

Fehler beim Umgang mit Passwordmanagern

Die Vorteile von Passwortmanagern liegen auf der Hand, trotzdem nutzen nur relativ wenige Anwender diese Programme. Eine Studie geht den Ursachen auf den Grund.

Andreas Th. Fischer

Andreas Th. Fischer

5 min read
Fehler beim Umgang mit Passwordmanagern
Photo by Jefferson Santos / Unsplash

Passwörter gelten aus guten Gründen als nicht mehr zeitgemäß. So sind selbst nach jahrelangen Appellen viele Passwörter immer noch viel zu simpel aufgebaut und lassen sich daher leicht erraten oder mit geringem Aufwand knacken.

Vor kurzem erst hat das Hasso-Plattner-Institut (HPI) eine Liste der beliebtesten Passwörter in Deutschland 2023 veröffentlicht. Dort finden sich die üblichen Verdächtigen, angefangen von „123456789“, über die Varianten wie „12345678“ und „1234567“ bis zu „hallo“ oder „password“.

Sind Passwort-Listen Humbug?
Eine vom HPI veröffentlichte Liste mit den „beliebtesten Passwörtern 2023 in Deutschland“ basiert teilweise auf automatisch erstellten Fake-Accounts und nicht auf den Daten echter Nutzer. Leider wurde die Liste meist falsch verstanden.
> Smokinggun.deAndreas Th. Fischer

Ein weiteres Problem sind mehrfach verwendete Passwörter. Aufgrund der zahllosen Leaks ist die Wahrscheinlichkeit hoch, dass sie über kurz oder lang in einer Passwortliste landen. Da spielt es dann auch keine Rolle mehr, wie lang und komplex ein einmal geleaktes („verbranntes“) Passwort aufgebaut ist.

Wer mit Passwörtern hantiert, der sollte daher einen Passwortmanager nutzen. Mit ihnen lässt sich der Umgang mit Passwörtern zumindest ein wenig sicherer gestalten. So können Passwortmanager nicht nur für jeden Account ein sicheres und zugleich einzigartiges Passwort erstellen, sie speichern es in der Regel auch in einer verschlüsselten Datenbank, die durch ein Master-Passwort vor unerwünschten Zugriffen geschützt ist.

Passwortmanager werden in zahllosen Beiträgen empfohlen. Aber irgendwie klappt es nicht mit der Umstellung. Wer sich in seinem Bekanntenkreis umhört, der wird meist nur wenige finden, die bereits einen Passwortmanager nutzen.

Warum das so ist und welche Unterschiede zwischen verschiedenen Passwortmanager-Modellen es gibt, haben Sarah Pearman, Shikun Aerin Zhang, Lujo Bauer, Nicolas Christin und Lorrie Faith Cranor von der Carnegie Mellon University im Jahr 2019 in ihrer Studie „Why people (don’t) use password managers effectively" (PDF) untersucht. Ich habe die Studie gelesen und will im Folgenden die wichtigsten Punkte und Erkenntnisse vorstellen.

Um was geht es in der Studie?

Obwohl Sicherheitsexperten die Verwendung von Passwortmanagern empfehlen, nutzen die meisten Menschen diese Programme nicht richtig oder gar nicht. Insbesondere verzichten viele auf die integrierten Passwortgeneratoren und damit einen der großen Vorteile dieser Programme.

So gehen die Autoren der Studie davon aus, dass es einen Unterschied zwischen Nutzern separat zu installierender Passwortmanager und Nutzern von zum Beispiel in einen Browser integrierter Funktionen zur Verwaltung von Passwörtern gibt. Während die erste Gruppe häufiger die integrierten Generatoren nutzt, um einzigartige, starke und zufällig generierte Passwörter zu erzeugen, neigt die zweite Gruppe zu leicht zu erratenden und zudem mehrfach eingesetzten Passwörtern.

Ein paar Stichpunkte aus der Studie:

  • Der Durchschnittsanwender nutzt aktiv zwischen 16 und 26 durch Passwörter geschützte Accounts.
  • Im Schnitt speichern Nutzer eines Passwortmanagers darin aber insgesamt mehrere Hundert Zugangsdaten.
  • Viele Anwender haben falsche Vorstellungen darüber, was ein sicheres Passwort ausmacht.
  • Schwierigkeiten bei der Eingabe komplizierter Passwörter auf Smartphones verleiten dazu, auf weniger komplexe Varianten umzusteigen.
  • Trotz aller Appelle durch Sicherheitsexperten werden separate Passwortmanager noch vergleichsweise selten genutzt.
  • In Browser integrierte Passwortmanager werden dagegen weit häufiger eingesetzt.
  • Als Gründe für den Verzicht auf separate Passwortmanager nennen die Studienteilnehmer vor allem „Sicherheitsbedenken“, „mangelnden Bedarf“ sowie „Mangel an Motivation und Zeit“.

Durchführung der Studie

Insgesamt wurden von den Autoren der Studie 30 Anwender befragt, was zwar recht wenig ist, aber trotzdem zu interessanten Ergebnisse führte. 19 Teilnehmer waren Frauen, der Rest Männer. Vier von ihnen waren zwischen 18 und 24 Jahre alt, neun 25-34, acht 35-44, fünf 45-54, drei 55-64 und einer zwischen 65 und 75. Die meisten Teilnehmer hatten einen hohen Bildungsgrad, neun arbeiteten im Tech-Bereich. Nur zwei bezeichneten sich selbst als Sicherheitsexperten.

Plug-in-System von Keepass 2.x
Der Passwortmanager Keepass bietet ein mächtiges Plug-in-System. Wer aber auf Nummer Sicher gehen will, sollte lieber auf die Erweiterungen verzichten.
> Smokinggun.deAndreas Th. Fischer

Strategien zum Umgang mit Passwörtern

Bei der Auswertung der Fragebögen zeichneten sich mehrere Vorlieben ab, anhand derer sich die Teilnehmer einordnen lassen:

  • Die erste Gruppe verzichtet komplett auf Passwortmanager. Stattdessen merken sich diese neun Teilnehmer an der Studie, also fast ein Drittel, ihre Passwörter, schreiben sie auf Zettel, senden sich selbst E-Mails oder Sprachnachrichten mit ihren Passwörtern oder speichern sie in unverschlüsselten Textdateien beziehungsweise Notizen-Apps. Manche setzen auf die „Passwort vergessen“-Funktionen und lassen sich "vergessene" Passwörter zusenden. Sieben Personen aus dieser Gruppe verwenden Passwörter häufig mehrfach und wenige oder überhaupt keine einzigartigen Passwörter.
  • Die zweite Gruppe nutzt die in die Browser oder Betriebssysteme integrierten Passwort-Verwaltungen. Auf zusätzliche Software verzichteten zwölf Teilnehmer der Studie. Nur einer gab an, hohen Wert auf unterschiedliche Passwörter zu legen, aber ausschließlich für seine wichtigen Accounts. Etwa die Hälfte dieser Gruppe setzt Passwörter mehrfach ein. Der Rest verwendet verschiedene Strategien, um seine Passwörter etwas individueller zu gestalten. Nur eine einzige Teilnehmerin in dieser Gruppe nutzt die teilweise durchaus auch im Browser vorhandenen Möglichkeiten, um zufällige Passwörter zu generieren, allerdings auch erst nach einem sie persönlich betreffenden sicherheitsrelevanten Vorfall.
  • Die dritte Gruppe verwendet dagegen separate Passwortmanager. Vier setzen 1Password ein, zwei LastPass und einer KeePass. Aber nur ein einziger von ihnen machte sich nach dem Umstieg zu einem Passwortmanager die Mühe, seine bisherigen Passwörter gegen zufällig generierte, sichere Varianten auszutauschen. Für etwa 40 Accounts benötigte er nach eigenen Angaben rund fünf Stunden, um diese Passwörter zu erneuern. Geht es um neue Accounts, dann nutzen aber alle Teilnehmer dieser Gruppe die Möglichkeit, zufällige Passwörter generieren zu lassen. Einer der Nutzer wollte sich nicht alleine darauf verlassen und änderte die erzeugten Passwörter jeweils noch ein wenig, um sie „sicherer und zufälliger zu machen“. Die meisten waren zufrieden mit ihrem Passwortmanager, einer bezeichnete die Software allerdings als „a pain in the ass“.

Die verbliebenen zwei Teilnehmer konnten nicht direkt zugeordnet werden oder nutzten eine Kombination aus den obigen Methoden.

Die Autoren haben ihre Studie auch in einem Vortrag auf der USENIX-Konferenz 2019 vorgestellt.

Strategien für das Master-Passwort

Die sieben Teilnehmer, die einen separaten Passwortmanager einsetzen, verwenden unterschiedliche Strategien zum Schutz ihres Master-Passworts. Dieses sichert den Zugang zu dem Programm, hat also eine entscheidende Bedeutung für die Sicherheit aller gespeicherten Passwörter.

Sechs der Teilnehmer gaben an, ein einzigartiges Passwort als Master-Passwort zu nutzen. Die siebte verwendete allerdings ein Passwort, das sie bereits an anderer Stelle häufig verwendet.

Zwei der Befragten nutzten eine Passphrase, zum Beispiel einen Satz aus ihrem Lieblingsfilm oder einen „Satz, der keinen Sinn ergibt“. Vier entschieden sich für ein zufällig generiertes Passwort. Eine Teilnehmerin notierte sich dieses Passwort allerdings auf Zetteln und speicherte es auch als Entwurf in ihrem E-Mail-Konto.

Gründe für den Verzicht auf einen Passwortmanager

  • Keine Kenntnisse darüber, dass solche Programme existieren
  • Sicherheitsbedenken (auch in Passwortmanagern finden sich Schwachstellen)
  • Überzeugung, nicht viel zu haben, was schützenswert ist
  • Bedenken über einen „Single Point of Failure“
  • Negative Erfahrungen mit Passwortmanagern
  • Bisher noch keine persönlichen Erfahrungen mit Datendiebstählen

Empfehlungen der Studienautoren

Viele Anwender machen Kompromisse, wenn es um die Sicherheit ihrer Passwörter geht. Bequemlichkeit ist ihnen letztlich wichtiger als der Schutz ihrer Daten. Das bringt die Autoren der Studie dazu, den Software-Entwicklern zu empfehlen, mehr Wert auf Benutzerfreundlichkeit und gründliche Tests ihrer Anwendungen zu legen.

Gerade Anwender ohne technischen Hintergrund würden oft schon an Kleinigkeiten scheitern, wenn es um die Benutzung von separat zu installierenden Passwortmanagern geht. Außerdem sollten die meist ja durchaus vorhandenen Passwortgeneratoren präsenter sein, damit sie auch wirklich genutzt werden.

Nötig seien somit maßgeschneiderte Konzepte für sowohl Anwender, denen es vor allem um Bequemlichkeit geht, also auch für diejenigen, für die Sicherheit im Vordergrund steht. Ich persönlich empfehle und nutze ja seit Jahren Keepass 2.x. Die Oberfläche des Programms ist aber tatsächlich nicht unbedingt einsteigerfreundlich.

Read more