Passwortverwaltungs-Programme erleichtern die Nutzung starker, individueller Passwörter für jeden Online-Dienst. Das ist ein wesentlicher Vorteil, doch sie bieten mehr: Ihr Passwort-Manager dient als Schutzschild gegen betrügerische Webseiten, die versuchen, Ihre Passwörter zu „phishing“.
Was bedeutet Phishing und wie läuft es ab?
Phishing ist eine Methode, um Sie zur Preisgabe Ihrer Passwörter oder anderer sensibler Informationen an Betrüger zu verleiten.
Stellen Sie sich vor, Sie empfangen eine E-Mail, die angeblich von Ihrer Bank stammt. Sie werden informiert, dass Ihr Konto möglicherweise gefährdet ist, und Sie sollen einem beigefügten Link folgen. Sie klicken und gelangen auf eine Seite, die der echten Bankseite täuschend ähnlich sieht. In der Eile geben Sie Ihr Passwort ein und eventuell Kreditkartendaten, um Ihr Konto zu sichern. Voila, Sie sind Opfer von Phishing geworden. Der Angreifer verfügt nun über Ihren Benutzernamen, Ihr Passwort und alle anderen angegebenen Daten. Es war nicht die offizielle Seite Ihrer Bank, sondern eine Fälschung von Betrügern.
Experten raten, Links in solchen E-Mails zu ignorieren und stattdessen die Webseite der Bank direkt über den Browser aufzurufen und sich dort einzuloggen. Auch bei Anrufen von angeblichen Bankmitarbeitern sollten Sie auflegen und die offizielle Servicenummer Ihrer Bank kontaktieren, um die Echtheit des Anrufs zu verifizieren.
Phishing-Seiten können auf vielerlei Weise auftauchen. Sie klicken vielleicht auf einen Link, um online zu shoppen, und landen fälschlicherweise auf einer gefälschten Amazon-Seite. Oder Sie klicken, um eine E-Mail zu senden, und finden sich auf einer gefälschten Google-Anmeldeseite wieder.
Der Schlüssel liegt in der URL
Ein wichtiges Indiz zur Erkennung von Phishing-Seiten ist die URL, also die Webseitenadresse. Wenn Sie beispielsweise Geschäfte mit der Chase Bank tätigen, sollte die Adresse immer chase.com lauten. Betrüger sind jedoch gerissen. Eine Phishing-Seite könnte eine Domain wie „secure.chase.com.example.com/onlinebanking/login“ verwenden.
Mit etwas Kenntnis der URL-Struktur erkennen Sie, dass diese Adresse auf „example.com“ gehostet wird und nicht auf „chase.com“.
Manche Phishing-Seiten setzen zudem Zeichen ein, die echten Zeichen ähneln, um die URL authentischer erscheinen zu lassen. Viele Nutzer überprüfen die Adresse gar nicht, und selbst die, die es tun, suchen meist nur nach dem Hauptteil wie „chase.com“ und übersehen den Rest. Nicht jeder ist geschult, diese Zeichenketten zu interpretieren.
So schützt ein Passwort-Manager
Ein Passwort-Manager bietet zusätzlichen Schutz, solange er Ihre Anmeldeinformationen automatisch ausfüllen kann, sei es 1Password, LastPass, Dashlane, Bitwarden oder die Passwortspeicherfunktion Ihres Browsers.
Wenn Sie ein Login für Seiten wie Chase.com oder Amazon.com speichern, merkt sich der Passwort-Manager diese und bietet das automatische Ausfüllen an, wenn Sie sich auf der entsprechenden Seite befinden. Auf einer anderen Seite wird er das nicht anbieten, denn es handelt sich um eine andere Webseite. Der Passwort-Manager lässt sich nicht durch verschleierte URLs täuschen.
Dieser Schutz ist unauffällig. Sie werden keine Warnmeldungen sehen, sondern lediglich bemerken, dass der Passwort-Manager eine kurze Bedenkzeit braucht und Ihre Zugangsdaten nicht sofort einfügt. Das kann ein Hinweis darauf sein, dass etwas nicht stimmt und Sie sich womöglich nicht auf der erwarteten Seite befinden.
Sorgenfreies Einloggen
Ihr Passwort-Manager beschleunigt nicht nur den Anmeldevorgang im Web, er bietet auch zusätzliche Sicherheit im Hintergrund.
Wenn Sie sich online bei Ihrem E-Mail-Konto anmelden, müssen Sie nicht jedes Mal die Domain überprüfen, bevor Sie Benutzername und Passwort eingeben. Wenn der Passwort-Manager die Daten zum automatischen Ausfüllen anbietet, können Sie sich darauf verlassen, dass die Domain mit der in der Datenbank gespeicherten übereinstimmt.
Auch auf Smartphones
Diese Funktionen sind ebenso auf mobilen Geräten wie iPhones, iPads oder Android-Telefonen verfügbar. Nutzen Sie Ihren Passwort-Manager für die Eingabe von Anmeldeinformationen, um auch im mobilen Web vor Phishing geschützt zu sein.