Verwalten Sie Ihre Logins mit einem Passwort-Manager

Digital

Ein Login für alle Webseiten ist bequem, birgt aber grosse Risiken. Die Alternative: ein Passwort-Manager.

Single-Sign-On auf verschiedenen Reiseportalen.
Bildlegende: Single-Sign-On auf verschiedenen Reiseportalen. Collage SRF Digital

Es ist sehr bequem: Auf vielen Webseiten können wir uns mit einem Facebook- oder Google-Konto anmelden. Wir müssen also kein separates Konto für Webseiten wie Tripdavisor, AirBnb oder Ebooking erstellen, sondern müssen nur Facebook oder Google das OK geben, dass wir uns mit denselben Login-Daten auch bei diesen Dritt-Webseiten anmelden dürfen. Das ist praktisch und bequem.

Problem: Single-Sign-On

Doch damit erschaffen wir eine einzelne, grosse Schwachstelle: Wenn Informationen zu unserem Facebook-Login in falsche Hänge geraten, kommen Angreifer damit auch bei all diesen autorisierten Dritt-Webseiten an unsere Daten. Genau das ist letzte Woche geschehen: Unbekannte haben Daten von 50 Millionen Facebook-Nutzerinnen und -Nutzer gestohlen (Statement von Facebook). Teil des Diebstahls waren nicht die Login-Daten selber, also Benutzername und Passwort, sondern sogenannte «Access Tokens». Diese geben eben das Okay, dass ein Nutzer oder eine Nutzerin sich bei einer Dritt-Webseite via Facebook anmelden kann. Die Angreifer können so mit diesen «Access Tokens» auf diese autorisierten Webseiten zugreifen, ohne dass sie die Facebook-Logindaten kennen.


Abhilfe: Passwort-Manager


Der Vorfall veranschaulicht, dass Single-Sign-On zwar bequem ist, aber grosse Risiken birgt. Abhilfe schafft nur Unbequemlichkeit: Pro Web-Seite immer ein eigenes Login erstellen und auf Single-Sign-On verzichten. Das führt zu einer Fülle von Login-Daten, die sich am besten mit einem Passwort-Manager verwalten lassen.


Diese Passwort-Manager sind empfehlenswert:


Von Single-Sign-On zu Multiple-Sign-On

  • Unter «Facebook Einstellungen => Apps und Webseiten => Reiter «Aktiv»» prüfen Sie, bei welchen Dritt-Webseiten Sie «Single-Sign-On» für Ihr Facebook-Login aktiviert haben und können es deaktivieren.
  • Verwenden Sie keine (passwortgeschützte) Word- oder Excel-Datei zur Passwortverwaltung.
  • Passwort-Manager helfen auch, gute Passwörter zu erstellen.
  • Passwort-Manager laufen primär lokal auf Ihrem Computer, gibt es aber auch in der «Cloud». So können Sie Ihre Passwörter zwar von überall her abrufen, doch es stellt ein zusätzliches Risiko dar.
  • Das Passwort zum Passwort-Manager sollte wie andere sensitive Inhalte behandelt werden: Passwort gut leserlich auf ein Blatt schreiben und wie die Juwelen der Urgrossmutter oder die Steuererklärung aufbewahren. Denn gerät dieses eine Passwort in falsche Hände, sind alle ihre restlichen Login-Daten ebenfalls kompromittiert.
  • Machen Sie regelmässig ein Backup Ihres Passwort-Managers auf ein separates Medium (CD, USB-Stick, externe Festplatte). Oft bieten Passwort-Manager diese Backup-Option innerhalb des Programms an.

Autor/in: Méline Sieber, Moderation: Sandra Schiess