You are here: Foswiki>Main Web>SicherImNetz>DigitaleIdentitaetPasswortManagement (13 Jan 2026, WikiSysop)Edit Attach

Digitale Identität und Passwort-Management

... siehe auch: Datenschutz und Datensicherheit im Internet

Unsere digitale Identität will gemanagt sein

Ein kontinuierlich wachsender Teil unseres Lebens stützt sich auf elektronischen Datenverkehr und Netzwerkanwendungen. Unser "digitaler Fußabdruck" wächst. Unsere digitale Identität spiegelt sich in unseren zahlreichen Benutzerkonten. In jeder Web-Anwendung (z.B. E-Mail-Anbieter, Cloud-Anbieter, Shopping-Anbieter,...) haben wir ein eigenes Benutzerkonto (d.h. Anmeldename + Passwort / Kennwort). Das führt zu zwei Problemen:

Handhabung: wie manage ich meine (in meinem Fall: über 140) Benutzerkonten? Hier kommt man auf Dauer nicht umhin, sich ein wenig zu organisieren.
Sicherheit: Wer es mit Passwörter nicht ernst nimmt, nimmt das Risiko in Kauf, ernsthaft Ärger zu bekommen. Nicht nur Mobbing ist möglich, es kann zu nicht unerheblichen wirtschaftlichen Schäden und langwierigen rechtlichen Auseinandersetzungen kommen, wenn die digitale Identität erst gekapert wurde, vgl. Sicher im Netz. Beruhigend: an dieser Stelle kann man recht leicht vorsorgen.

Die ebenso sichere wie handhabbare Lösung besteht aus diesen drei einfachen Elementen:

sichere Passwörter
Passwort-Management
Zwei-Faktor-Authentifizierung (vor allem für die zentralen, wichtigsten Benutzerkonten wie z.B. E-Mail / Banking / Google / amazon)

Schauen wir uns diese drei Elemente einmal näher an:

Die Lösung, Teil 1: sichere Passwörter

1	Ein zu einfaches Passwort. Angreifer benützen Datenbanken, in denen die beliebtesten Passwörter gespeichert sind. List of the most common passwords (englische Wikipedia) Die 500 schlechtesten Passwörter – nie verwenden! (basierend auf gehackten Microsoft-Hotmail-Konten), Welt, 6.10.2009 Top 100 Adobe Passwords with Count (basierend auf gehackten Adobe-Konten)	Benütze sichere Passwörter! So geht's: Methode 1: Anfangsbuchstaben eines Merksatzes, vgl. Sichere Passwörter erstellen (bsi-fuer-buerger.de) Methode 2: Das britische National Cyber Security Centre (NCSC) empfiehlt, Passwörter aus drei zufälligen Wörtern zusammenstellen, z.B.: "PersonalabbauWährungMutter". Dieses "Drei-Wort-System" sei sicherer als manche nur scheinbar komplexe Kombinationen von Buchstaben, Zahlen und Symbole - und auf jeden Fall leichter leichter zu merken. Im Netz gibt es Generatoren, die solche WortSysteme für dich erzeugen: Sichere Passwörter generieren, die einfach zu merken sind (gute-passwoerter.de) Diceware-Generator (starkes-passwort.de) Check dein Passwort / Kennwort! checkdeinpasswort.de ...eine sehr empfehlenswerte Seite.
2	Ein neuer Shop, noch eine Website, der nächste Web-Dienst: die Anzahl unserer Benutzungskonten ("Accounts") im Netz wächst ständig (und immer schneller). Wie wird man dem Herr, ohne auf Sicherheit zu verzichten? Variante 1: Ich verwende einfach überall dasselbe Passwort. Variante 2: Ich benütze den Dienst "Anmelden mit" (z.B. mit Google / Amazon / Facebook). In beiden Fällen bist du anfällig für Identitätsdiebstahl im Internet: beim nächsten Daten-Leak ist der GAU da. Der Angreifer hat einen Generalschlüssel für all deine Benutzerkonten im Netz. Angreifer, die sich Zugangsdaten verschafft haben, benützen Bots (Software-Roboter), die in Sekundenschnelle automatisch auf Tausenden von Webseiten testen, ob diese Zugangsdaten vielleicht auch dort funktionieren.	Zu Variante 1: Ein Passwort nur einmal verwenden. Damit bleibt der Schaden bei einem Angriff begrenzt. Zu Variante 2: Den Dienst "Anmelden mit" (z.B. mit Google / Amazon / Facebook) NICHT benützen. Wenn du es doch tust, dann achte darauf, dass du diesen Dienst nur für Websites oder Apps verwendest, die du für vertrauenswürdig hältst. Der Authentifizierungs-Anbieter (also z.B. Google oder Facebook) haftet im Zweifelsfall nicht!
3	Bei vielen meiner Benutzungskonten ("Accounts") im Netz (also z.B. Shops und Websites) bin ich registriert über ein und dieselbe E-Mail-Adresse (diese ist meist auch gleich der Benutzername), an die mir bei Bedarf ein neues Passwort zugeschickt wird; benütze ich den Dienst "Anmelden mit" über ein und dasselbe Google- oder Facebook-Konto.	Sichere diesen einen zentralen Account besonders gut (Zwiebelschalen-Technik). Wie ein Bankkonto.

Ein zu einfaches Passwort. Angreifer benützen Datenbanken, in denen die beliebtesten Passwörter gespeichert sind.

List of the most common passwords (englische Wikipedia)
Die 500 schlechtesten Passwörter – nie verwenden! (basierend auf gehackten Microsoft-Hotmail-Konten), Welt, 6.10.2009
Top 100 Adobe Passwords with Count (basierend auf gehackten Adobe-Konten)

Benütze sichere Passwörter! So geht's:

Methode 1: Anfangsbuchstaben eines Merksatzes, vgl. Sichere Passwörter erstellen (bsi-fuer-buerger.de)
Sicheres Passwort

Methode 2: Das britische National Cyber Security Centre (NCSC) empfiehlt, Passwörter aus drei zufälligen Wörtern zusammenstellen, z.B.: "PersonalabbauWährungMutter". Dieses "Drei-Wort-System" sei sicherer als manche nur scheinbar komplexe Kombinationen von Buchstaben, Zahlen und Symbole - und auf jeden Fall leichter leichter zu merken. Im Netz gibt es Generatoren, die solche WortSysteme für dich erzeugen:

Sichere Passwörter generieren, die einfach zu merken sind (gute-passwoerter.de)
Diceware-Generator (starkes-passwort.de)

Check dein Passwort / Kennwort! checkdeinpasswort.de ...eine sehr empfehlenswerte Seite.

Ein neuer Shop, noch eine Website, der nächste Web-Dienst: die Anzahl unserer Benutzungskonten ("Accounts") im Netz wächst ständig (und immer schneller). Wie wird man dem Herr, ohne auf Sicherheit zu verzichten?

Variante 1: Ich verwende einfach überall dasselbe Passwort.

Variante 2: Ich benütze den Dienst "Anmelden mit" (z.B. mit Google / Amazon / Facebook).

In beiden Fällen bist du anfällig für Identitätsdiebstahl im Internet: beim nächsten Daten-Leak ist der GAU da. Der Angreifer hat einen Generalschlüssel für all deine Benutzerkonten im Netz. Angreifer, die sich Zugangsdaten verschafft haben, benützen Bots (Software-Roboter), die in Sekundenschnelle automatisch auf Tausenden von Webseiten testen, ob diese Zugangsdaten vielleicht auch dort funktionieren.

Zu Variante 1: Ein Passwort nur einmal verwenden. Damit bleibt der Schaden bei einem Angriff begrenzt.

Zu Variante 2: Den Dienst "Anmelden mit" (z.B. mit Google / Amazon / Facebook) NICHT benützen. Wenn du es doch tust, dann achte darauf, dass du diesen Dienst nur für Websites oder Apps verwendest, die du für vertrauenswürdig hältst. Der Authentifizierungs-Anbieter (also z.B. Google oder Facebook) haftet im Zweifelsfall nicht!

Bei vielen meiner Benutzungskonten ("Accounts") im Netz (also z.B. Shops und Websites)

bin ich registriert über ein und dieselbe E-Mail-Adresse (diese ist meist auch gleich der Benutzername), an die mir bei Bedarf ein neues Passwort zugeschickt wird;
benütze ich den Dienst "Anmelden mit" über ein und dasselbe Google- oder Facebook-Konto.

Sichere diesen einen zentralen Account besonders gut (Zwiebelschalen-Technik).
Wie ein Bankkonto.

Weiterführende Hinweise

Passwörter – Schlüssel zu unseren Daten, Bundesamt für Sicherheit in der Informationstechnik
Passwörter (Bundesamt für Sicherheit in der Informationstechnik (BSI) für Bürger)
Passwörter einfach erklärt, Erklärfilm von Alexander Lehmann (youTube)
Wie sicher ist mein Passwort? Check dein Passwort! (mecodia GmbH, Aichtal)
Passwort (Wikipedia)
Einloggen, Log-in (internet-abc)
Passwort (internet-abc)
IT-Sicherheit: So gehen sichere Passwörter. Süddeutsche Zeitung, 2. Mai 2019
Sicherheits-Checkliste Passwörter, c't, heise, 5.2.2019

Die Lösung, Teil 2: Passwort-Management

Die Lösung ist letztlich so einfach wie bei den Telefonnummern: die tippt man ja auch nur (höchstens) ein einziges Mal selbst - und dann speichert man sie in den Kontakten (Adressbuch), und beim nächsten Anruf wählt das Gerät die Telefonnummer von selbst. Deine Anmeldedaten (= Benutzername + Passwort) verwaltest du für jedes Web-Konto bequem und sicher mit einem Passworttresor (z.B. auf deinem Smartphone).

Einmal ein wenig Zeit reinstecken - ewig profitieren :-)

Passwörter raus aus dem Browser!

Zunächst: ja, es ist shcon sehr bequem: die meisten Browser bieten an, die Passwörter für all die verschiedene Online-Konten für dich zu speichern. Bei Firefox Sync z.B. werden die Passwörter sogar mit einem Authentifizierungsdienst in der Cloud synchronisiert und stehen damit an jedem Ort, auf jedem Gerät gleichermaßen zur Verfügung. Aber: Passwörter gehören nicht in den Browser. Denn:

...bei Google Chrome sind die Passwörter, die der Chrome Passwort-Manager speichert, nur über das Passwort des Windows-Benutzerkontos gesichert. Verwendet man kein Windows-Passwort oder lässt man den PC/Laptop unbeaufsichtigt und ist ein Angreifer in das Windows-System eingedrungen, so kann auch jeder - z.B. mit der App ChromePass - innerhalb von Sekunden alle Passwörter aus dem Browser auslesen und sogar extern abspeichern (ohne erneute Passwort-Abfrage).
...bei Firefox Sync wiederum kann ein Angreifer - aufgrund des als geknackt geltenden Hash-Verfahrens SHA-1 - mit Brute-Force in relative kurzer Zeit das Master-Kennwort des Passwort-Tresors erraten. Hierzu muss der ein Angreifer entweder lokal (z.B. bei Diebstahl des Geräts) oder durch einen installierten Trojaner auf den Rechner zugreifen können, vgl.
- Passwort-Tresor Webbrowser: Firefox pfuscht seit neun Jahren beim Master-Kennwort, heise.de, 19.03.2018
- Master-Passwort in Firefox unsicher: Kostenlose Alternative macht es viel besser, chip.de, von Joerg Geiger, 25.03.2018

Die analoge Variante: Anmeldedaten auf einem Zettel notieren

Einfach stets ein Stück Papier mitführen, auf dem man seine Login-Daten fortlaufend einträgt und nachsehen kann:

System	Web-Adresse	Benutzername	Passwort
Schulnetzwerk MNSpro	-	vornac	****
FES:Wiki	https://fes-wiki.de	VornameNachname	****
FES:Cloud	http://fes365-pfungstadt.de	v.Nachname@fes365-pfungstadt.de	(dasselbe wie in MNSpro)
private Mail	my.mail.de	vorname.nachname@mail.de	******
Bildungsserver	https://login.bildung.hessen.de/	6130_v.nachname	******
MensaCaterer	https://mensaland.de		******
Mobilfunkanbieter			******
Festnetz-/DSL-Anbieter			******
medimops	https://www.medimops.de		******
MediaMarkt	https://www.mediamarkt.de		******
...

Risiken:

Ein Dritter könnte unbemerkt einen Blick auf den Zettel erhaschen (z.B. wenn man den Zettel mal irgenwo kurz liegen lässt);
Der Zettel kann schnell mal verloren gehen;
Der Zettel könnte in die Waschmaschine gelangen;
Der Zettel könnte geklaut werden.

Schlussfolgerung:

Eine Passwort-Liste ("Datenbank") muss verschlüsselt sein!
Es muss stets eine Sicherungskopie meiner Passwort-Datenbank verfügbar sein.

Damit sind wir beim:

Die professionelle Variante: Passwort-Manager (oder Passwort-Tresor)

Die professionelle Variante, ein Passwort-Manager (oder Passwort-Tresor) ist ebenso einfach wie genial:

Erfahrungslevel seitens des Nutzers	bequem	gewonnene Sicherheit
	(nur) mobil: per App auf dem Smartphone (bzw. Tablet) Ich habe alle Passwörter immer und überall mit dabei: alles im Griff! Ich muss mir nur noch ein einziges Master-Passwort merken. (Und eine Kopie an einem sicheren Ort aufbewahren.)	Meine Passwort-Liste (eine Datenbank mit meinen Zugangsdaten) ist nach Industrie-Standards verschlüsselt, gesichert durch ein (möglichst langes, sicheres) Master-Passwort. Ich kann ohne Sorge in jedem Shop / bei jedem Online-Dienst ein anderes Passwort wählen - denn mein Passwort-Manager merkt sich ja alle meine Passwörter.
	Keepass mobil & auf dem heimischen PC (synchronisiert): jetzt nutze ich dieselbe Passwort-Datenbank sowohl mobil auf dem Smartphone als auch am PC / macBook zu Haus. Nie wieder Benutzernamen / Passwort eintippen! Der Passwörter-Tresor schlägt die Webseite auf und tippt Benutzername und Passwort für dich. Oder umgekehrt: wenn ich mich auf einer Webseite anmelden will, wird das durch AutoFill erkannt und meine Zugangsdaten werden automatisch eingetragen (nach Eingabe des Master-Passworts oder eines Teils daraus bzw. nach Fingerabdruckerkennung) Das Master-Passwort macht den Passwort-Tresor so sicher, dass ich meine Passwort-Datenbank (verschlüsselt) einfach in der Cloud (iCloud, Google-Drive, Office365, eigene Webseite...) ablegen kann. So komme ich von überall auf der Welt (sofern Internet-Zugang besteht) an meine Passwörter. Wenn ein Eintrag hinzukommt, synchronisiert man eben schnell, damit der neue Eintrag sofort auf allen Geräten zur Verfügung steht.	Man fühlt, dass Sicherheit beherrschbar und machbar ist. Also traut man sich, längere (und zufälligere) Passwörter zu benützen.
	Nie wieder Passwörter ausdenken (und merken): der Manager erzeugt die Passwörter für dich (und merkt sie sich für dich).	Der Passwort-Manager erzeugt (wenn gewünscht) besonders sichere Passwörter (vom Zufallsgenerator ausgewürfelt), mit Sonderzeichen, 20 Zeichen lang.
MAX Sicherheit	Nutzung mit Schlüsseldatei (.key). Die Schlüsseldatei ist auf einem USB-Stick (am PC) und auf dem Smartphone gespeichert. Somit kann die Datenbank ohne meinen USB-Stick bzw. mein Smartphone nicht geöffnet werden.	2-Faktor-Authentisierung

Zu empfehlende Tools bzw. Anbieter sind:

Anbieter	Beschreibung	Kosten
KeePass (für Windows) Keepass2Android KeePassXC (Windows, macOS und Linux) StrongBox (iOS)	Mit KeePass (bzw. seinen Portierungen für Android oder Apple) behält man die volle Kontrolle über seine Daten: man kann die eigene Passwort-Datenbank (die KDBX-Datei) in jeder Cloud ablegen (verschlüsselt natürlich) und sie dadurch auch zwischen Windows-, Android-, iOS / maxOS oder Linux-Geräten synchronisieren. Das Programm Keepass läuft (auch) vom USB-Stick. Man braucht also nur den USB-Stick anzuschließen und die entsprechende .exe-Datei zu starten. Keepass bietet, wenn gewünscht, auch eine Zwei-Faktor-Authentifizierung: dein USB-Stick ist der Schlüsselbund (also die zweite Sicherheit neben deinem Passwort), wenn du magst... Damit braucht es, um die Passwort-Datenbank zu öffnen, immer beides: das Master-Passwort und den USB-Stick (dort wird zusätzlich eine Schlüssel-Datei abgelegt). Man muss sich selbst um das Backup / die Sicherung der kdbx-Datei (die Datenbank) kümmern.	kostenlos
Schlüsselbund (Apple)	iOS und OS-X
1Password	Online-Anbieter; Komplettlösung, direkt einsatzbereit: man muss sich keine Gedanken über die Einrichtung machen.	2.99 € pro Monat
LastPass	Online-Anbieter; Komplettlösung, direkt einsatzbereit: man muss sich keine Gedanken über die Einrichtung machen. Gemeldete Nachteile: man kann Passwörter nicht sichtbar machen (korrekt?) Browser-Erweiterung funktioniert nur für Google Chrome richtig (korrekt?)	ausschließlich über den Web-Browser (Webseite) oder ausschließlich Handy-App: kostenlos auf mehreren Geräten: 2,90 € pro Monat

Zu beachten

Es empfiehlt sich, zur Sicherheit ab und an (auf jeden Fall mindestens 1 x zu Beginn !)

das Master-Passwort,
die Passwort-Datebank,
wenn man Zwei-Faktor-Authentifizierung verwendet auch die Schlüsseldatei

zu sichern, z.B. auf einer CD oder einem USB-Stick. Am besten einmal zu Haus und einmal im Bankschließfach ("falls es mal brennt").

Gleichwohl: ich finde, die Anmeldedaten

für die Haupt-E-Mail-Adresse (diejenige, die man in der Regel angibt, wenn man sich an irgendeiner anderen Stelle im Netz ein Benutzungskonto zulegt)
für's Online-Banking sowie
für die Windows-Anmeldung des Geräts

gehören nicht - d.h. nirgends - aufgeschrieben.

Wie geht's

Wie Passwort-Manager Daten schützen. BSI für Bürger
The Best Password Managers. Andrew Cunningham & Thorin Klosowski, NY Times, 8. DECEMBER 2020
Sechzehn Passwortmanager im Test. 30. Januar 2019 c't Magazin, heise.de
Ed Bott: Forgot password? Five reasons why you need a password manager. ZDNet, 7. Februar, 2019
Ulrich Hilgefort: Aber sicher. KeePass-Datenbanken mit Schlüsseldatei auf verschiedenen Plattformen nutzen / synchronisieren. c't 14/2018
Passwortmanager: So verwalten Sie Ihre Passwörter. heise.de, von Max Wall, 5. Januar 2018
Passwort-Manager richtig verwenden. Uli Ries, mobilsicher.de, 17.08.2018 (betrieben vom gemeinnützigen iRights e.V., gefördert vom Bundesministerium der Justiz und für Verbraucherschutz)

Die Lösung, Teil 3: Zwei-Faktor-Authentifizierung

Die Zugangsdaten zu einem Benutzerkonto können durch Phishing in fremde Hände gelangen oder - während des Login-Vorgangs - potentiell durch einen Keylogger (einen Trojaner) abgefangen werden. Bei kritischen Anwendungen wie etwa Online-Banking ist daher eine Zwei-Faktor-Authentisierung erforderlich.

Siehe auch

Topic revision: r37 - 13 Jan 2026, WikiSysop

Main

Webs
Main
Sandbox
System

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback