Passwort-Manager sind aus gutem Grund so beliebt geworden. Denn sie verfügen über zahlreiche Funktionen, um Ihre Accounts zu schützen, und kosten meistens wenig Geld. Manche Dienste, wie Bitwarden, sorgen auch proaktiv für die Sicherheit ihrer Nutzer.
Das neueste Sicherheitsupdate für den Dienst bringt eine Neuerung, die ein großes Problem mit Passwort-Managern aufzeigt: Wenn Sie die Zwei-Faktor-Authentifizierung nicht aktiviert haben, wird ab Februar ein Bestätigungscode an Ihre E-Mail-Adresse gesendet, wenn Sie sich von nicht erkannten Geräten aus anmelden. Dieser muss eingegeben werden, um den Anmeldeversuch zu bestätigen.
In der Ankündigung der neuen Funktion erklärt Bitwarden, dass ein nicht erkanntes Gerät ein Gerät ist, das zuvor nicht zum Einloggen verwendet wurde, auf dem die Bitwarden-App deinstalliert wurde oder auf dem die Bitwarden-Login-Cookies gelöscht wurden. Der Dienst behandelt all diese Szenarien als neue Geräte und erzwingt diesen Verifizierungsschritt.
Im Großen und Ganzen ist diese Änderung gut. Denn wenn jemand Ihr Passwort errät, ist Ihr Tresor vor Eindringlingen geschützt. Aber diese neue Sicherheitsebene birgt auch eine große Gefahr, auf die Bitwarden ausdrücklich hinweist.
Lesetipp: Vermeiden Sie unbedingt diese schwachen PIN-Codes
Bitwardens Beispiel-Screenshot der bevorstehenden Verifizierungsprüfung bei der Anmeldung auf einem neuen (oder “neuen”) Gerät.
Bitwarden
Wenn Sie Ihre E-Mail-Zugangsdaten in Ihrem Bitwarden-Konto speichern, könnten Sie sich versehentlich sowohl aus Ihrer E-Mail als auch aus Ihrem Passwort-Manager aussperren, ohne dass Sie etwas dagegen tun können. Wie das? Wenn Sie auf Ihr Bitwarden-Konto zugreifen, um sich bei Ihrer E-Mail-Adresse anzumelden, und Bitwarden den Verifizierungscode an Ihre E-Mail-Adresse sendet, haben Sie keine Möglichkeit mehr, auf eine der beiden Websites zuzugreifen.
Dieses Szenario ist auch nicht auf Bitwarden beschränkt. Es gibt auch andere Passwort-Manager, die einen zusätzlichen Bestätigungsschritt für nicht erkannte Geräte einfügen.
Die besten Passwort-Manager im Test (2024): Sichere Tresore für Passwörter
Zum Glück gibt es eine einfache Lösung. Sie können sich Ihr E-Mail-Passwort einfach getrennt von dem Ihres Passwort-Managers merken. Speziell für Bitwarden kann dieses neue Sicherheitsverfahren umgangen werden, wenn Sie sich mit einem Hauptschlüssel bei Ihrem Konto anmelden oder 2FA aktivieren. Es gilt nicht für Benutzer, die sich über SSO oder einen API-Schlüssel anmelden oder ihren Tresor selbst hosten.
Wenn Sie noch nicht damit begonnen haben, Passkeys oder 2FA zu verwenden, sollten Sie das unbedingt tun. Unabhängig davon, ob Sie Bitwarden oder einen anderen Passwort-Manager (oder gar keinen) nutzen. Diese Art der eingeschränkten Überprüfung ist nicht so stark wie diese beiden Schutzmechanismen, und nicht alle Passwort-Manager verschicken sie. Wenn Sie ein schwaches Passwort haben, das Ihren Tresor schützt, sollten Sie es zumindest so schnell wie möglich aktualisieren. Ein Passwort-Manager kann versuchen, uns vor uns selbst zu schützen, aber er ist nie eine Garantie.
Dieser Artikel erschien zuerst bei unserer Schwesterpublikation PCWorld und wurde aus dem Englischen übersetzt und lokalisiert.