Wichtige Kriterien für die Auswahl eines Passwort-Managers
Warum Passwortsicherheit für Website-Betreiber wichtig ist
Laut dem IBM Data Breach Report 2021 sind kompromittierte Anmeldedaten für einen von fünf Datenhacks und Datenschutzverletzungen verantwortlich. Darüber hinaus kann es Monate dauern, bis ein Hack entdeckt und behoben ist.
Eine gehackte Website kann verheerende Auswirkungen haben. Im Extremfall können Sie sich nicht mehr bei WordPress oder Ihrem bevorzugten Content Management System (CMS) anmelden. Stattdessen müssen Sie sich manuell in Ihr DreamHost-Panel oder cPanel einloggen und von dort aus bösartige Dateien identifizieren, die gelöscht werden müssen. Manchmal bleibt den Website-Besitzern nichts anderes übrig, als WordPress neu zu installieren und ihre Website neu zu erstellen – eine zeitaufwändige und teure Lösung.
In den meisten Fällen ist das Hacken jedoch schwieriger zu erkennen – und dennoch nicht weniger schädlich. So können Hacker beispielsweise Besucher von Ihrer Seite auf Spam-Seiten umleiten, Besucherinformationen und Kreditkartendaten abgreifen, den Inhalt Ihrer Website umschreiben, Kryptowährungen schürfen und vieles mehr.
Da diese Hacks für Website-Besitzer nicht immer leicht zu entdecken sind, können sie über Monate hinweg aktiv sein. In dieser Zeit können sie dem Ruf schaden, sensible Daten preisgeben, die zu Identitätsdiebstahl und Haftungsansprüchen führen können, und Ihre SEO-Arbeit langfristig schädigen. Außerdem entgehen Ihnen in dieser Zeit natürlich potenzielle Verkäufe, Konversionen und Werbeeinnahmen, weil die Qualität Ihrer Website gemindert ist.
Viele Website-Besitzer gehen davon aus, dass sie nicht ins Visier von Hackern geraten, vor allem, wenn es sich um ein kleines Unternehmen handelt oder der Webverkehr begrenzt ist. Ein Verizon-Bericht aus dem Jahr 2019 ergab jedoch, dass kleine Unternehmen Opfer von über 40 % der Datenschutzverletzungen waren. Entrepreneur rechnet vor, dass dies allein in den USA mehr als 150.000 kleine Unternehmen betrifft.
Kleinere Websites sind oft leichter zu hacken, weil die Sicherheit der Website nicht so rigoros eingerichtet ist. Außerdem gibt es selten einen Vollzeit-Webentwickler im Team, der Probleme schnell erkennen und beheben kann. Mit anderen Worten: Egal wie klein oder groß Ihre Website ist, Sie sind dem Risiko ausgesetzt, gehackt zu werden.
Zum Glück ist die Verbesserung der Passwortsicherheit eine schnelle und einfache Möglichkeit, Ihre Website besser zu schützen.
Wichtige Funktionen, die ein Passwort-Manager bieten sollte
Ein Passwort-Manager hilft Ihnen dabei, überall ein anderes sicheres Passwort zu verwenden, wo Sie sich anmelden, von Ihrer Website bis zum Online-Banking.
Die meisten Menschen verwenden für alles dasselbe schwache Passwort, weil es schwierig ist, sich mehrere Passwörter zu merken. Es ist nicht schwer zu verstehen, warum: Die durchschnittliche Person muss sich sage und schreibe 100 Passwörter merken.
An dieser Stelle kommt ein Passwort-Manager ins Spiel. Dabei handelt es sich um eine App, die Passwörter und Benutzernamen für Sie erstellt und speichert. Das einzige, das Sie sich tatsächlich merken (oder an einem sicheren Ort aufschreiben) müssen, ist das, mit dem Sie Ihren Passwortmanager entsperren.
100 sichere Passwörter? Das ist eine große Aufgabe. Aber nur eines? Das ist machbar.
Allerdings sind nicht alle Passwort-Manager gleich. Vergewissern Sie sich, dass Ihr Passwort-Manager über die folgenden Funktionen verfügt.
Ende-zu-Ende-Verschlüsselung
Die Ende-zu-Ende-Verschlüsselung ist die sicherste Art der Verschlüsselung, die es gibt, und in einem Passwortmanager ist sie nicht verhandelbar.
Wenn Ihre Kennwörter verschlüsselt sind, werden sie in einen Code umgewandelt. Um an Ihre Kennwörter heranzukommen, müsste sich ein Hacker also zunächst Zugang zu ihnen verschaffen und dann den Code entschlüsseln. Ohne den Schlüssel ist dieser zweite Schritt fast unmöglich zu bewerkstelligen.
Umgekehrt sind Ihre Kennwörter immer dann, wenn sie nicht verschlüsselt sind, für Hacker angreifbar. Früher wurden die Daten bei der Übertragung verschlüsselt. Das bedeutete, dass Sie und alle Empfänger die unverschlüsselten Daten sehen konnten, aber sie waren auch auf dem Server, auf dem sie gespeichert waren, unverschlüsselt (sprich: angreifbar).
Bei der Ende-zu-Ende-Verschlüsselung hingegen bleiben Ihre Kennwörter auch dann verschlüsselt, wenn sie auf einem Server gespeichert sind. Nicht einmal die Mitarbeiter des Passwortmanagers können die unverschlüsselten Versionen entdecken.
Die einzigen Momente, in denen Ihre Kennwörter unverschlüsselt und angreifbar sind, sind, wenn Sie selbst auf sie zugreifen oder sie mit einer anderen Person teilen (was Sie idealerweise über die Kennwortfreigabefunktion der App tun, um zusätzliche Sicherheit zu gewährleisten). Daher ist die Ende-zu-Ende-Verschlüsselung der Goldstandard für Sicherheit.
Multi-Faktor-Authentifizierung
Obwohl die Ende-zu-Ende-Verschlüsselung Ihre Kennwörter vor Serverangriffen schützt, verhindert sie nicht die herkömmlichsten Hacks: Jemand findet Ihre Anmeldedaten für den Kennwortmanager heraus oder stiehlt einfach das Handy, auf dem die App gespeichert ist.
Hier schützt Sie die Multi-Faktor-Authentifizierung (MFA). Mit MFA benötigen Sie nicht nur Ihren Benutzernamen und Ihr Passwort, sondern auch eine zusätzliche Identifizierung, um sich anzumelden. Einige gängige MFA-Identifikatoren sind:
- Ein One-Time-Passwort (OTP): ein eindeutiger Code, der in der Regel per SMS gesendet wird oder auf einer Authentifizierungs-App angezeigt werden kann
- Ihr Fingerabdruck oder eine andere biometrische Authentifizierung
- Sicherheitsfragen
Die Auswahl eines Passwortmanagers mit MFA – und die Aktivierung dieser Funktion! – hilft Ihnen, Ihre Website sicher zu halten. Vergessen Sie nicht, dass Sie MFA auch für Ihre Website einrichten können, um ein zusätzliches Maß an Schutz zu bieten.
Rollenbasierte Berechtigungen
Wahrscheinlich haben mehrere Personen Zugriff auf das Backend Ihrer Website, wo Sie Inhalte hochladen, Plugins installieren und den Code und das Design anpassen.
Um die Sicherheit der Website zu gewährleisten, sollten die Personen nur auf die Bereiche zugreifen können, die sie zur Erfüllung ihrer Aufgabe benötigen. Sie möchten zum Beispiel nicht, dass der Marketing-Praktikant den Code Ihrer Website bearbeiten kann, da er versehentlich Ihr gesamtes Buchungssystem löschen oder den Online-Shop offline nehmen könnte.
Mit rollenbasierten Berechtigungen ist dies einfach zu verwalten. Sie können jedem Benutzer einfach Rollen zuweisen und dann festlegen, dass Passwörter nur für Personen freigegeben werden, die bestimmte Rollen innehaben.
Überwachungssystem für das Dark Web
Auch wenn Sie noch so vorsichtig sind, kann es vorkommen, dass Ihre Anmeldedaten gehackt werden. Vielleicht verwendet jemand in Ihrem Unternehmen dasselbe Login für die Website, auf der er seine Online-Einkäufe tätigt, oder für soziale Medien. Vielleicht hat jemand die Anmeldeinformationen an ein neues Teammitglied gemailt, und dann wurde dessen E-Mail gehackt.
Passwort-Manager mit Überwachungssystemen für das Dark Web alarmieren Sie, wenn eines Ihrer Passwörter in einer Datenpanne auftaucht. Sie können dies zwar manuell in der Have I Been Pwned-Datenbank überprüfen, aber ein integriertes Überwachungssystem für das Dark Web informiert Sie, sobald der Verstoß online entdeckt wird.
Überwachungssysteme für das Dark Web sind eine zunehmend verbreitete Funktion in Passwortmanagern, auch wenn einige große Marken wie RoboForm und Sticky Password dies noch nicht anbieten.
