Wenn es in dieser ganzen Serie einen einzigen Tipp gibt, der wirklich jeden betrifft, dann ist es dieser: Benutze einen Passwort-Manager. Das klingt langweilig. Es ist auch langweilig. Aber es ist mit Abstand der wirksamste Schritt für die eigene digitale Sicherheit.
Die Realität sieht so aus: Die meisten Menschen verwenden ein Passwort für fast alles. Oder drei, vier Varianten davon. Das ist verständlich, denn niemand kann sich dreißig oder fünfzig verschiedene Passwörter merken. Das Problem dabei: Wenn ein Dienst gehackt wird (und das passiert regelmäßig), probieren Angreifer das erbeutete Passwort bei anderen Diensten aus. E-Mail, Amazon, Online-Banking. Automatisiert, in Sekunden.
Gespeicherte Passwörter im Browser sind besser als überall dasselbe Passwort, aber auch nicht ideal. Wer Zugriff auf den Rechner hat, hat Zugriff auf alle Passwörter. Bei einem Browserwechsel gehen sie verloren oder müssen umständlich exportiert werden. Und die Browser-Hersteller (allen voran Google mit Chrome) haben dabei durchaus eigene Interessen.
Bitwarden: die Empfehlung
Bitwarden ist Open Source, kostenlos nutzbar und auf allen Plattformen verfügbar. Die Grundversion reicht für fast alles: unbegrenzt viele Passwörter, Synchronisation zwischen Geräten, Browser-Extension, Smartphone-App. Es gibt eine kostenpflichtige Version für knapp 20 Dollar im Jahr, die ein paar Extras bietet, aber die Gratisversion ist bereits sehr stark.
Bitwarden speichert die Passwörter verschlüsselt in der Cloud. Das klingt beunruhigend, ist aber in der Praxis sicher: Die Verschlüsselung passiert lokal auf dem eigenen Gerät. Bitwarden selbst kann die Passwörter nicht lesen. Selbst wenn ihre Server gehackt würden, wären die Daten ohne das Master-Passwort nutzlos.
KeePassXC ist die Alternative für alle, die ihre Daten nicht in der Cloud haben wollen. Die Datenbank liegt als verschlüsselte Datei auf dem eigenen Rechner. Synchronisation zwischen Geräten muss man selbst organisieren (etwa über Nextcloud oder einen USB-Stick). Das ist etwas umständlicher, aber die Kontrolle bleibt komplett bei einem selbst. KeePassXC ist ebenfalls kostenlos und Open Source.
1Password ist die kommerziellste Option. Sehr poliert, sehr benutzerfreundlich, guter Kundensupport. Nicht Open Source, Abo-Modell für Leute, die bereit sind, dafür zu zahlen und keine Berührungsängste mit proprietärer Software haben.
Zwei-Faktor-Authentifizierung
Ein starkes Passwort ist gut. Ein starkes Passwort plus ein zweiter Faktor ist besser. Zwei-Faktor-Authentifizierung (2FA) bedeutet: Neben dem Passwort braucht man noch etwas Zweites, um sich anzumelden. Meistens einen sechsstelligen Code, der sich alle dreißig Sekunden ändert.
SMS als zweiten Faktor zu nutzen ist besser als nichts, aber nicht ideal. SIM-Karten lassen sich umleiten ("SIM-Swapping"), und SMS sind nicht verschlüsselt. Besser sind TOTP-Apps, die den Code lokal auf dem Telefon erzeugen.
Aegis (Android, Open Source, kostenlos) und 2FAS (Android und iOS, Open Source, kostenlos) sind gute Optionen. Beide speichern die 2FA-Schlüssel verschlüsselt und lassen sich sichern.
Konkret: Zwei-Faktor-Authentifizierung sollte man mindestens für das E-Mail-Konto aktivieren (weil darüber alle anderen Passwörter zurückgesetzt werden können), für Online-Banking und für Social-Media-Konten.
Der praktische Umstieg
Der Anfang ist einfacher als gedacht. Bitwarden installieren, die Browser-Extension einrichten und ein Master-Passwort wählen. Das Master-Passwort ist das einzige, das man sich merken muss, also sollte es lang und einprägsam sein. Vier oder fünf zufällige Wörter hintereinander funktionieren gut: "Kaffeekanne Nordlicht Pflasterstein Kuckuck" ist sicherer als "P@ssw0rd!23" und leichter zu merken.
Dann, nach und nach, bei jeder Anmeldung: Bitwarden das Passwort speichern lassen. Oder noch besser: das alte Passwort durch ein zufällig generiertes ersetzen. Bitwarden kann auf Knopfdruck sichere Passwörter erzeugen, zwanzig Zeichen lang, mit Sonderzeichen. Man muss sie sich nicht merken, das übernimmt der Manager.
Das ist kein Projekt für einen Nachmittag. Es dauert Wochen, bis man alle wichtigen Konten umgestellt hat. Aber das muss auch nicht auf einmal passieren. Jedes Passwort, das man in den Manager überträgt, ist ein Gewinn.
Was man aufgibt
Nichts. Das ist der seltene Fall, in dem die Alternative in jeder Hinsicht besser ist als der Ausgangszustand. Stärkere Passwörter, einzigartig pro Dienst, automatisch ausgefüllt, auf allen Geräten verfügbar. Der einzige "Nachteil": Man muss sich ein Master-Passwort merken und die App einrichten. Das kostet eine halbe Stunde.
Wer sein Telefon verliert, hat trotzdem Zugriff, weil Bitwarden im Browser funktioniert. Wer seinen Rechner wechselt, loggt sich einfach ein und hat sofort alle Passwörter. Wer den Browser wechselt, nimmt die Extension mit.
Am Ende der Serie
Diese Serie hat acht Bereiche des digitalen Alltags durchleuchtet: Messenger, Browser, E-Mail, Cloud, Social Media, Navigation, Betriebssystem und jetzt Passwörter. Nicht jeder Schritt ist für jeden relevant. Nicht jede Alternative ist für jeden die richtige.
Das Prinzip bleibt: ein Schritt nach dem anderen. Signal installieren ist in fünf Minuten erledigt. Firefox statt Chrome dauert zehn Minuten. Einen Passwort-Manager einrichten vielleicht eine halbe Stunde, und dann Wochen für die schrittweise Umstellung. Linux auf einen alten Laptop zu spielen braucht einen Nachmittag.
Niemand muss alles machen. Aber wer auch nur einen einzigen dieser Schritte geht, hat etwas gewonnen: ein kleines Stück Kontrolle über den eigenen digitalen Alltag zurück. Und das ist kein schlechter Anfang.