Normalerweise ignoriere ich Geschichten wie diese ja. Schlau ist das vermutlich nicht, aber mein Urvertrauen (meine Bequemlichkeit) ist meist größer als mein Sicherheitsbedürfnis. Dieses Mal aber scheint alles ein bisschen größer und wichtiger und gefährlicher. Der Bug Heartbleed ist aus, unsere Passwörter zu knacken - und zwar so ziemlich alle. Denn tendenziell betrifft die nun entdeckte Sicherheitslücke alle OpenSSL-Verschlüsselungen im Netz, immerhin eine halbe Million Webseiten - darunter Yahoo, Facebook und Gmail (wie das funktioniert, zeigt diese schöne Grafik).

Jede Seite, die mit dem eigentlich sicher geglaubten "https" beginnt, könnte also geknackt und sensible Daten geklaut werden. Das Schönste: Die Lücke besteht schon seit zwei Jahren und ist erst jetzt entdeckt worden.  

Entsprechend groß ist die Aufregung. "Auf der Gruselskala bis 10 ist es die 11", "Ist das der GAU im Internet?", "Millionen Web-Nutzer gefährdet". Das sind nur drei der wenig beruhigenden Schlagzeilen der letzten 24 Stunden. Wem Anonymität und Privatsphäre besonders wichtig seien, rieten die Macher des Tor-Netzwerks hinterher, sollte dem Netz vielleicht ein paar Tage fern bleiben. Und selbst die New York Times rief ihre Leser umgehend auf: Passwörter ändern! (Welche wirklich geändert werden müssen, steht hier.) 

Wenn das mal so einfach wäre. Kurz zu meiner Ausgangssituation. Irgendwann 2002 habe ich mir ein Passwort mittlerer Stärke und Kompliziertheit ausgedacht, zusammengewürfelt aus Song-Titeln und bedeutenden Zahlen. Bei jedem neuen Account habe ich das Passwort wiederverwendet, schließlich war so wenigstens sichergestellt, dass ich mich beim nächsten Mal auch daran erinnere. Einzelne Passwörter habe ich nur widerwillig und leicht abgeändert, wenn mich 1. eine Seite dazu in regelmäßigen Abständen zwang, die Standard-Kombination 2. nicht akzeptiert wurde oder ich 3. aus persönlichen Gründen die Erinnerung an eine bestimmte Zeit zusammen mit dem bestimmten Passwort auslöschen wollte. Über die Jahre sind so rund 90 Logins zusammengekommen, von denen die Mehrheit mein "Master-Passwort" verwendet. Und wenn Adressen, Konto- und Kreditkarten als sensibel gelten, dann sind wahrscheinlich 88 davon Webseiten, bei denen ich dringend aufrüsten sollte.

Dass das nicht Sicherheit auf NSA-Niveau bedeutet, war mir klar, aber bislang meist egal. Denn irgendwie vorsorgen erschien viel zu aufwendig. Selbst die Browser-Hersteller hielten es lange nicht für nötig, einen zu verschiedenen Logins zu ermutigen. Inzwischen haben Firefox, Safari und Chrome zwar Passwort-Gedächtnisse, aber selbst die funktionieren und synchronisieren nur Browser- und/oder Computergebunden.

Screenshot vom Passwort-Manager Keepass © Keepass

Doch Heartbleed lässt auch mein Herz etwas stocken. Ich beschließe, mir den Vormittag freizuschaufeln und das Problem ein für alle Mal anzugehen: Neue Logins sollen her. Und damit ich mir die nicht merken muss, brauche ich Hilfe. Eine Kollegin erzählt mir von KeePass, einem kostenlosen Passwort-Manager, der sich die Logins für mich merken und beim nächsten Besuch eingeben wird. Ihr Vater schwöre seit Jahrzehnten darauf. Klingt ideal.

Das Problem: Seit eben jenen Jahrzehnten scheint sich an der Benutzeroberfläche nichts mehr getan zu haben. Als ich nach mehreren Installationsversuchen und genauso vielen Abstürzen endlich drin bin, fühle ich mich in längst vergangene Windows-Zeiten zurückversetzt. Wenn ich ein bisschen programmieren könnte, sähe so wohl mein erstes Projekt aus: Jedes einzelne Passwort muss ich für jeden einzelnen Account von Hand eingeben. Die "Auto-Fill"-Funktion, die mir das einloggen in Zukunft abnehmen soll, bekomme ich gar nicht zum Laufen. Mir bleibt nur, die Kombinationen mühsam hinüberzukopieren. Meine Geduld endet nach wenigen Minuten und ich schmeiße das Programm vom Rechner (auch das gelingt erst im dritten Versuch).  

Dashlane merkt sich nicht nur Passwörter

Ich versuche es mit Dashlane. Programme wie LastPass und 1Password funktionieren ähnlich, aber von Dashlane war selbst der damalige New-York-Times-Tech-Schreiber David Pogue begeistert. Dashlane merkt sich nicht nur sämtliche Logins, sondern nebenbei auch Adressen, Kreditkarteninformationen und Ausweisnummern. Kurz: Wann immer es im Internet etwas auszufüllen gibt, ist Dashlane zur Stelle. Alles, was man sich merken muss, ist ein Master-Passwort, das den Zugriff auf alle weiteren Passwörter ermöglicht. Dashlane füllt Anmeldeformulare mit nur einem Klick aus und warnt, wenn ein Account gehackt wurde (wie zuverlässig, musste ich zum Glück offenbar bislang nicht testen). Muss ich mich von unterwegs auf einer Seite anmelden, kann ich die Login-Daten aus der iPhone-App kopieren und einsetzen. Plötzlich scheint mein Leben so viel besser. 

Das Beste: Dashlane ist gratis, zumindest erstmal. Das unterscheidet es zum Beispiel von 1Password, bei dem zum Start schlappe 49 Dollar für die Mac-Variante, 18 Dollar fürs iPad und nochmal 14 für die iPhone-App fällig werden. Das Schutzbedürfnis hält sich da in Grenzen.