Anzeige

Am Puls von Microsoft

Anzeige

Tipp: Im Microsoft-Konto gespeicherte Passwörter regelmäßig sichern

DrWindows

Redaktion
Tipp: Im Microsoft-Konto gespeicherte Passwörter regelmäßig sichern
von Martin Geuß
Security


Ein privates Microsoft-Konto kann zum Speichern von persönlichen Kennwörtern für Webseiten und Apps verwendet werden. Ob das eine gute Idee ist oder ob man besser einen externen Passwortmanager verwenden solle, will ich an dieser Stelle gar nicht diskutieren, sondern einen wichtigen Hinweis geben: Wer seine Passwörter im Microsoft-Konto speichert, sollte diese regelmäßig sichern.

Microsoft Edge bietet nicht nur das Speichern von Passwörtern, sondern auch deren Generierung an. Auf diese Weise kann man die grundsätzliche Empfehlung, kein Kennwort doppelt zu verwenden, bequem in die Tat umsetzen. Verwendet man gleichzeitig noch die mobile App „Microsoft Authenticator“, kann man seine Passwörter plattformübergreifend synchronisieren und verwenden.

Grundsätzlich funktioniert das alles, dabei vergisst man aber gerne mal die Risiken. Es mag unwahrscheinlich sein, dass Microsoft diese Daten „verliert“, aber eine Garantie dagegen gibt es nicht. Ebenso könnte man den Zugriff auf sein Microsoft-Konto verlieren.

Man sollte daher in regelmäßigen Abständen seine gespeicherten Kennwörter exportieren. Die entsprechende Funktion ist ein wenig „versteckt“, man klickt dazu in Microsoft Edge auf sein Profilbild, wählt „Profileinstellungen verwalten“ und dann auf „Kennwörter“. Hinter den drei Pünktchen im Abschnitt „Gespeicherte Kennwörter“ verbirgt sich die Möglichkeit zum Export.

Passwort-Export in Microsoft Edge

Der Microsoft Authenticator verfügt seit einiger Zeit ebenfalls über eine solche Funktion, zu finden in den Einstellungen:

Passwort-Export im Microsoft Authenticator

In beiden Fällen werden die Passwörter in eine CSV-Datei exportiert. Dort stehen sie im Klartext, entsprechend sensibel sollte man damit umgehen, sie einfach so auf der Festplatte liegen zu lassen, ist keine gute Idee.

Man kann sie auf einem USB-Stick speichern, in eine verschlüsselte ZIP-Datei verpacken oder gar ausdrucken und das Papier an einem sicheren Ort verwahren (nein, unter der Schreibtischunterlage ist kein sicherer Ort) – da darf man kreativ sein.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Ich nutze auch lieber einen Externen Passwortmanager oder falls es geht Yubikey das ist mir ehrlich gesagt sicherer, die meisten Passwörter obwohl 16 Stellig habe ich selbst im Kopf, das regt auch meine grauen Zellen ein wenig an.
 
Guten Tipp, danke.
Ich selbst nutze Bitwarden > selfhosted...exportiere die Passwörter dennoch immer mal auf einen Stick, der Verschlüssselt ist...Microsoftkonto wird nur noch von der XBOX genutzt...
 
Ich frage mich ja immer noch, in welcher Form die Passwörter nun eigtl. bei MS auf dem Server liegen. Bei Enpass z.B. weiß ich, dass die Passwortdatenbank lokal auf meinem Rechner erst mit dem Masterpasswort verschlüsselt wird, bevor sie in den Cloudspeicher geladen wird. Der Betreiber des Cloudspeichers, oder jemand der sich Zugang zu meinem Cloudspeicher verschafft, kann also höchstens eine stark verschlüsselte Passwortdatenbank abgreifen und damit nichts Sinnvolles anfangen.

Bei den in Edge oder dem Microsoft Authenticator gespeicherten Passwörtern ist mir jedoch nicht klar, ob das da ähnlich erfolgt, oder ähnlich wie bei in Onedrive gespeicherten Dateien die Konto-Zugangsdaten lediglich Zugangskontrolle sind (MS selber kann ja z.B. die Fotos unverschlüsselt automatisch durchforsten). Standardmäßig muss man kein extra Masterpasswort eingeben. Und selbst wenn man dieses aktiviert, ist das nur eine reine Zugangskontrolle, und keine zusätzliche Verschlüsselung. Denn die Einstellung, dass ein extra Passwort vor der Nutzung der gespeicherten Passwörter abgefragt wird, ist für jedes Gerät einzeln festlegbar, d.h. schonmal, dass es keine extra Verschlüsselungs-Passphrase ist, sondern lediglich Mitbenutzer des PCs daran hindern soll, die Passwörter zu verwenden.

Ich würde mich wohler fühlen, wäre es wenigstens so wie bei Google Chrome, wo man beim Aktivieren der Synchronisation gefragt wird, ob man die Daten zusätzlich noch mit einer unabhängigen komplexen Passphrase verschlüsseln will, die den lokalen Rechner niemals verlässt (auch nicht als Hash) und auch für nichts anderes im Account genutzt wird. Dass diese Passphrase wirklich verschlüsselt und greift, merkt man ja dann, wenn man sich auf einem neuen Gerät bei Google Chrome anmeldet, die Sync aktiviert und er sich dann beschwert, dass zwar Sync-Daten vorhanden sind, diese aber komplett verschlüsselt sind und erst nach lokaler Eingabe der zusätzlichen Passphrase entschlüsselt und verwendet werden können.

Nur so kann man sich sicher sein, dass weder ein MS-Supportmitarbeiter, noch jemand, der den Zugang zum eigenen Account knackt, Zugriff auf die Passwörter erhält.
Stand jetzt ist es so, dass wenn es jemandem gelingt, sich einfach nur in ein fremdes MS-Konto einzuloggen, dieser Person immer auch direkt alle dort gespeicherten Passwörter offen stehen. Das muss einfach weg, indem Konto-Passwort und Verschlüsselungspasswort strikt voneinander getrennt werden, auch ganz bewusst auf die Gefahr hin, dass es Leute geben wird, die letzteres (was logischer nicht wiederherstellbar ist dann) verbummeln und all ihre Passwörter verlieren werden.
Der Hinweistext müsste einfach lauten "Achtung, Sie aktivieren gerade eine zusätzliche End-to-End-Verschlüsselung, bei deren Wiederherstellung Ihnen Microsoft bei Verlust der Passphrase nicht helfen kann", fertig. Wenn es sowas bei MS gibt, benutze ich auch gerne den integrierten Passwortmanager!
 
Zuletzt bearbeitet:
@mh0001 Jemand, der den Microsoft Authentificator verwendet, hat in der Regel auch die 2-Faktoren-Authentifizierung aktiviert. Selbst wenn jemand das Passwort weiß, muss der zweite Faktor benutzt werden. Das macht es zumindest etwas schwieriger, denn Account zu übernehmen.
 
@mh0001 Jemand, der den Microsoft Authentificator verwendet, hat in der Regel auch die 2-Faktoren-Authentifizierung aktiviert. Selbst wenn jemand das Passwort weiß, muss der zweite Faktor benutzt werden. Das macht es zumindest etwas schwieriger, denn Account zu übernehmen.
Das ist richtig, aber es ist nach wie vor nur eine Zugangskontrolle.
Daraus lässt sich nicht ableiten, ob MS selber, genau wie sie Einblick in unverschlüsselte Daten auf OneDrive nehmen können, auch Einblick in die gespeicherten Passwörter kriegen können.
Der Serverbetreiber selber braucht keine 2FA, um den Ordner auf dem Server aufzumachen.

Aber auch unabhängig davon: Es gehört ja fast zum 1x1 sicherer Kryptographie, dass private Verschlüsselungskeys nicht auch gleichzeitig zur Anmeldung genutzt werden sollten. Jede Eingabe eines Passworts steigert das Risiko, dass es einem durch Phishing etc. abgegriffen wird. Darum sollten Verschlüsselungskeys nach Möglichkeit so wenig wie möglich eingeben werden müssen (was einen dann auch sofort stutzig macht, falls man dennoch zur Eingabe aufgefordert wird).
Was genau erfüllt wäre durch einen langen Key, den man auf jedem PC, den man an die Sync anschließen will, nur ein einziges Mal bei der Einrichtung eingeben muss.

Der Punkt ist halt: Jeder andere Anbieter vergleichbarer Lösungen, auch Google, macht es eben genau so, wie ich beschrieben habe wie es sicherer wäre.
Nur MS als einzige eben nicht, das ist das Problem. Und liefern damit eben nicht gerade gute Gründe, warum man mit den Passwörtern zu ihnen gehen sollte.
 
Ich hab meine Passwörter in ein kleines Büchlein geschrieben. Ist aber eigentlich bei mir einfach, da ich nur Vier habe !:)
 
oder gar ausdrucken und das Papier an einem sicheren Ort verwahren (nein, unter der Schreibtischunterlage ist kein sicherer Ort) – da darf man kreativ sein.
Das ausgedruckte Stück Papier gebe ich einfach meiner Frau in die Hand und sage ihr, dass das sicher weggeräumt werden soll.
Ich gehe absolut jede Wette ein, es wird in 100 Jahren nie mehr jemand finden (sie aber leider auch nicht 🙈)
 
Warum sollte man sich einerseits über die zunehmende Datensammelwut von Microsoft aufregen, andererseits dieser Firma trotzdem Kennwörter anvertrauen?
 
Der Hinweistext müsste einfach lauten "Achtung, Sie aktivieren gerade eine zusätzliche End-to-End-Verschlüsselung, bei deren Wiederherstellung Ihnen Microsoft bei Verlust der Passphrase nicht helfen kann", fertig. Wenn es sowas bei MS gibt, benutze ich auch gerne den integrierten Passwortmanager!
nun, sowas gibt es, aber nur in bestimmten Plänen von Office365.
 
Datensicherung von Passwörtern per Kugelschreiber und Papier, mache ich auch so.

Okay die 16 Zeichen langen Passwörter für meine Email Accounts habe ich habe ich in Thunderbird, Outlook gespeichert und da liegen die nicht besonders Sicher.

Denn alles ist irgendwie auslesbar Mail PassView: Password recovery for Outlook, Outlook Express, Thunderbird, Windows Mail, and more...

Selbstverständlich benutze ich für jeden Anmeldung und Dienst ein eigenes Passwort, das ist ja wohl das Mindeste was man erwarten kann.
 
Zuletzt bearbeitet:
Ich beneide dich. :)
Eine Frage der Perspektive...Hat er nur 4 Dienste?
Ich könnte natürlich jemanden beneiden der 4 Passwörter hat...ich habe 126...und da beneidet mich der, der 127 oder der der 125 hat und zu bequem ist mehr verschiedene anzulegen...aber eigentlich egal...Hauptsache..SICHER!
 
Ist halt echt Mist, wenn man einen Passwortmanager für seine 100 Passwörter benötigt... ich bin mir sicher, dass die allermeisten Sachen auch durch Cookies laufen würden. Aber, dann hat man halt nicht die Email-Adresse des Nutzers, zwecks Newsletter und ähnlichen Kram...

Naja, möchte mich nicht beschweren. Seitdem ich KeePass nutze, ist mein Leben sehr viel komfortabler geworden, was das angeht. ;)
 
Anzeige
Oben