Bei meinen Kunden sehe ich öfter, dass das Organisieren der Passwörter eher suboptimal geregelt ist. Bei einigen gibt es überhaupt keine Regeln, bei anderen wird eine einfache Excel-Datei geführt, die aber nicht wirklich gesichert ist. Das macht mir immer Bauschmerzen, weil so eine ungesicherte Excel-Datei tatsächlich von jeder Person geöffnet werden kann, die Zugriff auf diese Datei hat. Diese Person muss nicht unbedingt die Berechtigung dazu haben, hat aber am Ende dann die Passwörter!
Wenn schon Excel, dann mit Passwort!
Wenn es denn unbedingt eine Excel-Datei sein muss, dann sollte diese zumindest durch ein Passwort gesichert sein. Zusätzlich würde ich die Datei dann auch in einem versteckten Ordner unterbringen, damit die Datei nicht all zu schnell gefunden wird. Dadurch erhöht sich die Sicherheit der Passwörter und der Zugriff auf die Datei durch unbefugte Personen wird eingedämmt.
Passwortsafe auf einem USB Stick
Empfehlen tue ich allerdings die Lösung mit einem Passwortsafe. KeePass ist kostenlos und die Datenbank kann auf vielen Geräten geöffnet werden. Besonders schön ist, dass das Ganze auch noch auf einem externen Datenträger gespeichert werden kann, wodurch der Passwortsafe dann auch noch an einem sicheren Ort gelagert werden kann.
Durch Plugins besteht auch die Möglichkeit, die verwendeten Passwörter mit den vielen Datenleaks der letzten Jahre abzugleichen, wodurch die Absicherung der verschiedenen Konten sogar verbessert wird, da unsichere Passwörter aufgespürt und ausgetauscht werden können – die neuen Passwörter können dann gleich durch den eingebauten Passwortgenerator erstellt werden.
Auch schön ist, dass die Passwörter auch direkt im Browser abgerufen werden können. Ja, auch hierfür wird natürlich ein Plugin benötigt, dieses ist aber sowohl für Chrome wie auch für Firefox verfügbar und in der Handhabung auch relativ simpel. Auch für Android gibt es Apps, um auf die KeePass-Datenbank zuzugreifen, wodurch auch auf dem Smartphone die Verwendung von langen und komplizierten Passwörtern ohne Nervenzusammenbrüche möglich wird. Wer schon mal versucht hat ein 32 Zeichen langes Passwort fehlerfrei in einer Smartphoneapp einzugeben, weiß, wovon ich spreche.
Kein Hexenwerk
Wer sich also bisher keine Gedanken über seine Passwörter gemacht hat, sieht, dass das kein Hexenwerk ist. Nichts ist nerviger als erst einmal 30 Minuten nach einem Passwort zu suchen, welches irgendwo im E-Mail-Postfach liegt und hoffentlich im Laufe der Jahre nicht schon gelöscht, oder durch einen alten Mitarbeiter, der gar nicht mehr im Unternehmen tätig ist, geändert wurde. Viel einfacher ist es, sich die Zeit für diese Datenbankpflege zu nehmen. Das dauert auch nicht viel länger und spart über lange Sicht wahrscheinlich auch sehr viel Zeit.
Auch die Passwortstärke ist bei vielen nicht gegeben, weil Passwörter in erster Linie schnell und leicht merkbar sein sollen. Auch hier ist KeePass super, weil sich jede Person eigentlich nur ein Passwort merken muss, und zwar das Passwort für KeePass selbst.
Und zum Schluss möchte ich euch noch den HPI Leak Checker empfehlen (Abbildung im Artikel-Bild). Hier könnt ihr einmal überprüfen lassen, ob eure E-Mail-Adressen, die ihr für eure Logins verwendet, schon in irgendeinen Leak vorhanden, und wenn ja, welche Daten ebenfalls öffentlich sind. Hier könnt ihr auch Statistiken über gestohlene Identitäten sehen.