Angriffe auf das Masterpasswort

Aus dem Masterpasswort wird der Schlüssel abgeleitet, mit dem Ihr Tresor verschlüsselt ist. Wer das Masterpasswort kennt, kann den Tresor öffnen - unabhängig davon, wie gut die Architektur ansonsten ist.

Genau deshalb wird das Masterpasswort gezielt angegriffen, sei es online, offline oder durch Manipulation des Endgeräts.

Anders als bei einzelnen Online-Konten gibt es beim Masterpasswort keinen einfachen Reset-Button. Wer hier nachlässig ist, riskiert den gleichzeitigen Zugriff auf hunderte Konten.

Gleichzeitig sind die meisten Angriffe gut verstanden und mit überschaubarem Aufwand zu vermeiden.

• Brute-Force-Angriffe gegen geleakte Tresor-Dateien
• Wörterbuch-Angriffe auf schwache oder gängige Passwörter
• Keylogger und Malware auf dem Endgerät
• Phishing-Imitationen der Anbieter-Login-Seite
• Schulter-Surfen und unsichere Eingabe in der Öffentlichkeit

• Langes, einzigartiges Masterpasswort als Passphrase aus mehreren zufälligen Wörtern
• 2FA und idealerweise einen Hardware-Key am Tresor aktivieren
• Endgeräte aktuell halten, seriösen Virenschutz nutzen und keine unbekannten Programme installieren
• Login ausschließlich über die offizielle App oder ein eigenes Lesezeichen, nie über Links aus E-Mails
• Notfall-Kit (Recovery-Code) sicher offline aufbewahren

• "Ein 12-stelliges Passwort reicht für alles" - bei einem geleakten Tresor zählt jede zusätzliche Länge
• "Wenn ich 2FA habe, ist das Masterpasswort egal" - bei einem Offline-Angriff auf den Tresor schützt 2FA nicht
• "Ich merke mir mein Masterpasswort schon" - eine sichere Passphrase mit Eselsbrücke ist meist die bessere Wahl

Ein starkes Masterpasswort, 2FA und ein sauberes Endgerät neutralisieren die meisten relevanten Angriffe. Die Investition in diese drei Punkte ist die wichtigste Sicherheitsmaßnahme rund um den Passwortmanager.