Passwortmanager

RUB » Stabsstelle Informationssicherheit » Tipps

IT-Sicherheitsvorfall/IT-Notfall | A-Z | Kontakt/Beratung

Passwortmanager

Spätestens wenn man mit mehr als drei Passwörtern umgehen muss, tendiert man dazu, sich das Leben einfach zu machen. Man verwendet für verschiedene Dienste dasselbe Passwort oder schreibt diese Passwörter auf ein Blatt Papier. Beides kann zu schwerwiegenden Sicherheitsproblemen führen. Ist ein Passwort kompromittiert – also bekannt geworden - steht es unbefugten Dritten zur Verfügung. Dann sind alle Dienste, für die dieses kompromittierte Passwort gilt, gefährdet. Nutzt man verschiedene Passwörter für unterschiedliche Dienste, kann man dieses Risiko nahezu ausschließen.

Jedoch steht man dann vor dem Problem, eine Vielzahl von Passwörtern für eine große Anzahl unterschiedlicher Dienste verwalten zu müssen. Mit einer Passwortmanager-Software können Sie beliebig viele Passwörter für Anwendungen und Webseiten generieren, speichern und verschlüsseln.

Passwortmanager an der RUB

Derzeit wird kein Passwortmanager zentral beeitgestellt oder betrieben. Daher kann auch keine Produktempfehlung ausgesprochen werden.

An der Ruhr-Universität Bochum wird auf von IT.SERVICES betreuten Rechnern der Passwortmanager KeepassXC kostenfrei bereitgestellt (Open Source). KeepassXC ist ein Programm, das viele verschiedene Passwörter und die dazugehörigen Nutzer-Accounts in einer verschlüsselten Datenbank speichert. Für den Zugang benötigt man nur ein Masterpasswort und kann dadurch leicht verschiedene Passwörter nutzen. Je sicherer Sie das Masterpasswort gestalten, desto sicherer wird Ihr Passwortmanager.

Die Installation kann über das Self-Service/ACMP-Kiosk-Tool von IT.SERVICES erfolgen. Eine Anleitung zur Einrichtung und Nutzung steht nach der Installation zur Verfügung. Achtung: IT.SERVICES bietet für dieses Produkt keinen Support an.

Achtung beim Speichern von Passwörtern

Bitte speichern Sie keine Passwörter im Browser. Häufig werden Passwörter im Browser unverschlüsselt gespeichert und können bei Schwachstellen in der Browser-Software oder bei Kompromittierung/Infektion des Rechners einfach entwendet werden.

Falls Passwörter dennoch im Browser gespeichert werden, ist unbedingt ein Masterpasswort zu verwenden.

Auch die Speicherung von Passwörtern in Excel, Word oder anderen Anwendungen/Dateien ist unsicher - selbst bei verschlüsselten Dokumenten. Die Verschlüsselung von Office-Dokumenten ist recht einfach zu brechen. Für besseren Schutz sorgt die Verwendung verschlüsselter Datenträger, Partitionen, spezifischer Ordnerberechtigungen oder spezieller Verschlüsselungssoftware.

Schriftliche/analoge Aufzeichnungen von Passwörtern und Zugangsdaten an sicheren Orten (Tresor, an einem anderen Ort) können sinnvoll sein. Keinesfalls sollte eine Passwortliste in unmittelbarer Nähe zur Anwendung/System offen aufbewahrt werden.

Passwortverfügbarkeit in Vertretungsfällen

Für den Vertretungsfall insbesondere bei kurzfristigem Personalausfall sollten Vertretungspersonen Zugriff auf Passwörter von Kolleginnen und Kollegen erhalten. Passwortmanager sollten daher Notfall-Zugriffe (z.B. durch Vorgesetzte) gestatten.

Solche Zugriffe können auch nach dem Vier-Augen-Prinzip, z.B. durch geteilte Passwörter gestaltet sein.