Glossar Passwörter & Authentifizierung
32 sachliche Definitionen — von AES-256 bis Zero-Knowledge — um Passwortsicherheit und Authentifizierung zu verstehen.
32 Begriffe — 7 Kategorien
Grundlagen
- Passwort-Manager
- Anwendung, die Passwörter in einem verschlüsselten Tresor erzeugt, speichert und automatisch ausfüllt. Nur das Master-Passwort entsperrt den Tresor lokal; der verschlüsselte Blob wird mit dem Server synchronisiert (Zero-Knowledge-Modell).
- Tresor (Vault)
- Verschlüsselte Datenbank mit allen Zugangsdaten, sicheren Notizen und Zahlungskarten. Der Tresor wird clientseitig verschlüsselt, bevor synchronisiert wird: Der Server sieht stets nur Chiffretext.
- Open Source
- Software, deren Quellcode öffentlich überprüfbar ist. Bei einem Passwort-Manager erlaubt Open Source unabhängigen Forschern, die kryptografische Implementierung zu prüfen. Bitwarden und KeePassXC sind vollständig Open Source.
- Master-Passwort
- Das einzige Passwort, das sich ein Nutzer merken muss. Es leitet über eine KDF (PBKDF2 oder Argon2id) den Verschlüsselungsschlüssel ab und verlässt das Gerät niemals im Klartext.
Verschlüsselung
- Zero-Knowledge
- Architektur, in der der Dienstanbieter die Daten des Nutzers nicht lesen kann. Der Entschlüsselungsschlüssel wird lokal aus dem Master-Passwort abgeleitet: Nur der Nutzer hat Zugriff darauf.
- AES-256
- Symmetrischer Verschlüsselungsstandard mit 256-Bit-Schlüssel (Advanced Encryption Standard). 2001 vom NIST übernommen, mit komfortablem Spielraum gegen Grovers Quantenangriff. Genutzt von Bitwarden, 1Password und den meisten Passwort-Managern.
- XChaCha20-Poly1305
- Authentifizierter Verschlüsselungsalgorithmus (AEAD), der die XChaCha20-Verschlüsselung mit dem Poly1305-MAC kombiniert. Genutzt von NordPass und Signal. Bietet bessere Leistung auf Geräten ohne AES-Hardwarebeschleunigung.
- E2EE (Ende-zu-Ende-Verschlüsselung)
- Verschlüsselung, bei der nur die beiden kommunizierenden Parteien die Daten lesen können. In einem Passwort-Manager stellt E2EE sicher, dass der Server stets nur verschlüsselte Blobs und niemals Klartext sieht.
Passwörter
- Entropie (Bit)
- Maß für die Unvorhersehbarkeit eines Passworts in Bit. Jedes zusätzliche Bit verdoppelt den Suchraum des Angreifers. Formel: L x log2(N), mit L = Länge und N = Alphabetgröße. NIST-Zielwert: 60 bis 80 Bit für persönliche Konten.
KDF
- PBKDF2
- Password-Based Key Derivation Function 2. Wendet eine Pseudozufallsfunktion (typisch HMAC-SHA256) tausendfach an, um Brute-Force-Angriffe zu verlangsamen. Bitwarden nutzt 600.000 Iterationen (OWASP-Schwellenwert 2023).
- Argon2id
- Gewinner des Password Hashing Competition (2015). Kombiniert Speicherhärte (Argon2i) und GPU-Resistenz (Argon2d). Empfohlener Standardmodus für die Ableitung von Master-Passwort-Schlüsseln. Genutzt von Bitwarden (Option) und NordPass.
- Salt
- Zufallswert, der einem Passwort vor dem Hashing hinzugefügt wird. Verhindert Rainbow-Table-Angriffe und sorgt dafür, dass identische Passwörter unterschiedliche Hashes ergeben. Wird über einen CSPRNG erzeugt und im Klartext neben dem Hash gespeichert.
- Hash (kryptografisch)
- Einwegtransformation von Daten in einen Digest fester Länge. Ein guter Hash-Algorithmus (SHA-256, Argon2id) ist deterministisch, nicht umkehrbar und kollisionsresistent. Nicht mit Verschlüsselung zu verwechseln, die umkehrbar ist.
Authentifizierung
- Passkey
- FIDO2-Anmeldedaten aus einem asymmetrischen Schlüsselpaar. Der private Schlüssel bleibt auf dem Gerät; der Server speichert nur den öffentlichen Schlüssel. Beseitigt Passwörter und ist nativ phishing-resistent. Über einen Manager geräteübergreifend synchronisierbar (z. B. Bitwarden, NordPass).
- FIDO2 / WebAuthn
- Offener Standard der FIDO Alliance und des W3C für starke passwortlose Authentifizierung. WebAuthn ist die Browser-API; CTAP2 das Protokoll zwischen Plattform und Authentifikator (Hardware-Schlüssel, Biometrie). Die technische Grundlage von Passkeys.
- TOTP (zeitbasiertes Einmalpasswort)
- 6-stelliger Code, der alle 30 Sekunden per HMAC-SHA1 und aktueller Uhrzeit erzeugt wird (RFC 6238). Standard von Google Authenticator, Authy, Bitwarden Authenticator. Resistent gegen Replay-Angriffe, aber anfällig für Echtzeit-Phishing.
- HOTP (HMAC-basiertes Einmalpasswort)
- TOTP-Variante auf Basis eines Zählers statt der Zeit (RFC 4226). Der Code ändert sich bei jeder Verwendung, nicht alle 30 Sekunden. Genutzt in einigen Hardware-Schlüsseln wie dem YubiKey im OTP-Modus.
- 2FA / MFA (Multi-Faktor-Authentifizierung)
- Mechanismus, der mindestens zwei Faktoren kombiniert: etwas, das man weiß (Passwort), etwas, das man hat (Telefon, Hardware-Schlüssel) oder etwas, das man ist (Biometrie). 2FA ist der minimale Zwei-Faktor-Fall. Senkt das Kompromittierungsrisiko durch Credential Stuffing drastisch.
- Hardware-Schlüssel
- Physisches Gerät (YubiKey, Google Titan), das einen privaten Schlüssel in einem sicheren Chip speichert und FIDO2-Challenges signiert. Höchste MFA-Sicherheitsstufe: Der private Schlüssel verlässt nie die Hardware und immunisiert gegen Remote-Phishing.
- Biometrie
- Authentifizierungsfaktor auf Basis eines körperlichen Merkmals (Fingerabdruck, Gesichtserkennung). In Passwort-Managern entsperrt die Biometrie den Tresorzugang ohne erneute Eingabe des Master-Passworts, ersetzt aber nicht den Verschlüsselungsschlüssel.
- Wiederherstellungscode
- Einmalcode, der beim Aktivieren der MFA erzeugt wird. Ermöglicht den erneuten Kontozugriff, wenn der zweite Faktor verloren geht. Muss offline an einem sicheren Ort aufbewahrt werden. Ist selbst ein Angriffsvektor, wenn er kompromittiert wird.
Angriffe
- Phishing
- Social-Engineering-Angriff, der eine legitime Website oder einen Dienst nachahmt, um Zugangsdaten oder OTPs abzugreifen. Passkeys und FIDO2-Hardware-Schlüssel sind nativ phishing-resistent, weil sie die Authentifizierung kryptografisch an den Ursprung der Website binden.
- Credential Stuffing
- Automatisierter Angriff, der Benutzername/Passwort-Paare aus Datenlecks gegen andere Dienste testet. Nutzt die Wiederverwendung von Passwörtern aus. Ein Manager, der pro Website einzigartige Passwörter erzeugt, beseitigt diesen Vektor.
- Brute Force
- Angriff, der erschöpfend alle möglichen Passwortkombinationen durchprobiert. Die Resistenz hängt von der Entropie und den durch die KDF auferlegten Rechenkosten ab. Ein zufälliges 16-Zeichen-Passwort (95+ Bit) ist selbst für moderne GPUs unerreichbar.
- Wörterbuchangriff
- Brute-Force-Variante, die zuerst häufige Wörter, Varianten (p@ssw0rd, Summer2024!) und Wörterbuchkombinationen testet. Werkzeuge wie Hashcat und John the Ripper enthalten Mutationsregeln, die Millionen von Mustern pro Sekunde abdecken.
- Datenleck
- Sicherheitsvorfall, bei dem Authentifizierungsdaten (gehashte oder Klartext-Passwörter, E-Mails) aus einer Datenbank exfiltriert werden. Das LastPass-Leck 2022 legte verschlüsselte Tresore von Millionen Nutzern offen und unterstrich die Bedeutung eines starken Master-Passworts.
- Have I Been Pwned (HIBP)
- Dienst von Troy Hunt, der über 900 Millionen kompromittierte Passwörter aus bekannten Lecks indexiert. Die k-Anonymitäts-API erlaubt zu prüfen, ob ein Passwort in der Datenbank vorkommt, ohne es im Klartext zu senden: Nur die ersten 5 Zeichen des SHA-1-Hashs werden übertragen.
- Keylogger
- Software oder Hardware, die alle Tastatureingaben aufzeichnet. Wird durch das Auto-Ausfüllen von Passwort-Managern (Passwörter werden nie getippt) und durch Passkeys (keine Texteingabe nötig) umgangen.
- Session Hijacking
- Angriff, der ein gültiges Sitzungs-Cookie abfängt, um einen authentifizierten Nutzer zu imitieren. Tritt über Netzwerk-Sniffing, XSS oder Cookie-Diebstahl auf. Passwort-Manager schützen nicht direkt gegen diesen Vektor nach dem Login.
Unternehmen
- SSO (Single Sign-On)
- Protokoll, mit dem sich ein Nutzer einmal authentifiziert, um auf mehrere Anwendungen zuzugreifen. Basiert auf SAML 2.0 oder OIDC/OAuth 2.0. Unternehmens-Manager (Bitwarden, 1Password, Keeper) integrieren sich mit IdPs (Okta, Azure AD, Google Workspace).
- SCIM
- System for Cross-domain Identity Management (RFC 7643/7644). REST-API-Protokoll, das das Bereitstellen und Entfernen von Nutzerkonten in einem Passwort-Manager aus einem IdP automatisiert. Beseitigt verwaiste Konten beim Ausscheiden von Mitarbeitenden.
- Self-Hosting
- Betrieb eines Dienstes auf eigenen Servern statt in der Cloud des Anbieters. Bitwarden und Vaultwarden (Open-Source-Fork) sind die wichtigsten selbst hostbaren Manager. Bietet volle Datensouveränität auf Kosten der Infrastrukturverantwortung.