Windows

USB-Stick verschlüsseln und als Passwort-Manager nutzen - so geht´s

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Für den sicheren Windows-Log-in, die Passwortverwaltung und die verschlüsselte Datenspeicherung gibt es fertige Hardware-Sticks. Welche Modelle taugen und wie Sie Ihren USB-Stick zu so einem Sicherheitswächter umbauen, erfahren Sie hier.
Mit Sicherheits-Sticks können Sie Ihre Windows-Anmeldung stark absichern.
Mit Sicherheits-Sticks können Sie Ihre Windows-Anmeldung stark absichern.
Foto: alice-photo - shutterstock.com

In Unternehmen mit hoher Sicherheitsstufe sind sie schon lange üblich: sogenannte Hardware-Token, also Hardware-Sticks für den USB-Anschluss. Nur wer den Stick besitzt, kann sich am zugehörigen PC anmelden oder auf bestimmte Dateien zugreifen. Wir stellen zunächst fünf Hardware-Sticks vor, die auch für Privatanwender in Frage kommen, und zeigen, wie Sie mit ein paar kostenlosen Tools Ihren USB-Stick zu einem solchen Sicherheits-Token umfunktionieren können.

Fertige Sicherheits-Sticks

Fertige Sicherheits-Sticks haben gegenüber selbst gemachten USB-Sticks einen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüsselungstechnik steckt. Das macht die Sticks gegenüber reiner Softwareverschlüsselung zum einen deutlich schneller, zum anderen sind die geschützten Dateien zumindest in manchen Fällen schwerer zu knacken. Für dieses Plus an Tempo und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis.

Phrase-Lock: Passworte perfekt geschützt dank Stick und Handy

Darum geht's: Der kleine USB-Stick Phrase-Lock ist zwar mit 47 Euro nicht gerade günstig, dafür bekommen Sie aber ein besonders gut geschütztes System für die Passwortverwaltung und für einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Log-ins am PC, etwa die Anmeldung in Ihr Windows-Benutzerkonto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-App. Verschlüsselt werden die Daten mit einem Key, der auf dem USB-Stick gespeichert ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingertipp in den geöffneten Internetbrowser am PC übergeben. Im Test funktionierte das reibungslos. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlich. Zur App gehört auch ein Passwortgenerator, der komplexe Passworte automatisch generiert.

So geht's: Nach dem Start der App müssen Sie diese mit Ihrem USB-Key verbinden. Dazu scannen Sie mit der App den QR-Code, der in der Produktverpackung enthalten ist . Die Verbindung von Smartphone und USB-Stick läuft über Bluetooth, das entsprechend auf Ihrem Handy aktiviert sein muss. Der PC benötigt kein Bluetooth, da die nötige Hardware bereits im Phrase-Lock-Stick integriert ist.

Wenn Sie die Verbindung hergestellt haben, können Sie die App mit Ihren Log-in-Daten füttern. Einmal eingeben, fügt der USB-Stick auf Kommando der App Benutzername und Passwort in Ihren Browser am PC ein.

Sie können sicherheitshalber ein verschlüsseltes Backup aller Log-in-Daten aus der App erstellen. Dafür vergeben Sie zuerst über "Einstellungen -> USB-Key verschlüsseln" ein Passwort für die Log-in-Datenbank. Danach lassen sich die Daten in die Cloud sichern.

Den Fido-Security Key von Plug-up für das Google-Konto gibt es für 5 Euro, etwa bei Amazon.
Den Fido-Security Key von Plug-up für das Google-Konto gibt es für 5 Euro, etwa bei Amazon.

Das gefällt uns: Wir halten Phrase-Lock für eine sichere und komfortable Log-in-Verwaltung. Sie ist für Nutzer empfehlenswert, die einen Passwortmanager vor allem für den PC suchen. Der USB-Stick kann am PC verbleiben, während man das Smartphone mit sich trägt. So sind die Passwortdatenbank und der Schlüssel fürs Entschlüsseln unterwegs von einander getrennt. Wer das System auf zwei PCs nutzt, etwa in der Arbeit und zu Hause, kann auch zwei Sticks mit der App verbinden.

Die Passworteingabe funktioniert übrigens auch auf dem Smartphone, auf dem die Phrase-Lock-App installiert ist, allerdings nur, wenn sich der zugehörige USB-Stick in der Nähe befindet und mit Strom versorgt wird, etwa über ein OTG-Kabel am Handy. Das Passwort lässt sich dann per Copy & Paste aus der App in einen Browser bringen. Der Sicherheitsvorteil, den die Trennung von Log-in-Datenbank und USB-Key mit sich bringt, ist dann natürlich nicht mehr gegeben.

Fido U2F Security Key: Log-in-Schutz für Google & Co.

Der Fido U2F Security Key ist ab fünf Euro erhältlich. Dafür bekommen Sie einen guten zusätzlichen Schutz für Ihr Google-Konto. Bei diesem Schlüssel handelt es sich um einen kleinen Stecker für den USB-Anschluss. Nur wenn der Schlüssel im Rechner oder Notebook steckt, können Sie sich bei Google anmelden. Auf diese Weise lassen sich alle Dienste von Google schützen, die mit einem Log-in versehen sind, etwa Gmail, Kalender, Google Docs oder die Fitnessdaten der Google-App Fit.

So geht's: Damit der besondere Schutz wirken kann, müssen zusätzlich zum Stick zwei Voraussetzungen erfüllt sein: Sie verwenden Google Chrome als Browser, und Sie haben die Zwei-Wege-Authentifizierung in Ihrem Google-Konto aktiviert. Die Zwei-Wege-Authentifizierung für Ihr Google-Konto aktivieren Sie auf https://accounts.google.com im Punkt "Anmeldung bei Google -> Bestätigung in zwei Schritten".

Wenn Sie Google-Dienste auch auf einem Smartphone im Einsatz haben, gilt die aktivierte Zwei-Wege-Authentifizierung dort ebenfalls. Der Sicherheitsschlüssel lässt sich aber nicht auf einem Smartphone oder Tablet mit Android oder iOS nutzen. Deshalb sollten Sie zunächst nur die Zwei-Wege-Authentifizierung per SMS-Code aktivieren.

Melden Sie sich nach der Aktivierung der Zwei-Wege-Authentifizierung mit Ihren Mobilgeräten bei Ihrem Google-Konto an. Setzen Sie den Haken im Feld "Auf diesem Gerät nicht mehr nach Codes fragen". Wenn Sie danach den Sicherheitsschlüssel im Google-Konto aktivieren, betrifft das die Mobilgeräte nicht mehr.

Alternativ können Sie sich auf Geräten ohne USB-Anschluss künftig per SMS-Code anmelden. Loggen Sie sich auf https://accounts.google.com ein. Wählen Sie "Anmeldung bei Google -> Bestätigung in zwei Schritten -> Sicherheitsschlüssel -> Sicherheitsschlüssel hinzufügen".

Die Webseite prüft, ob in Ihrem Konto bereits die Zwei-Wege-Authentifizierung eingeschaltet ist. Trifft das zu, können Sie auf "Registrieren" klicken und dann den Sicherheitsschlüssel in einen USB-Anschluss des Rechners stecken. Nach kurzer Zeit meldet die Webseite "Registriert", und Sie können den Vorgang nachfolgend über "Fertig" abschließen.

Von da an werden Sie beim Log-in nach dem Klick auf "Anmelden" nicht mehr nach einem SMS-Code gefragt, sondern nach dem Sicherheitsschlüssel. Für den Fall, dass dieser schon im PC steckt, müssen Sie ihn ab-und wieder anstecken. Nach wenigen Sekunden lädt die Webseite Ihr Google-Konto, und Sie können den Stick abziehen. Wenn Sie sich an einem Gerät ohne USB-Anschluss anmelden oder einen anderen Browser verwenden, müssen Sie ersatzweise einen SMS-Code eingeben.

Haben Sie den Sicherheitsschlüssel in Ihrem Google-Konto aktiviert, müssen Sie ihn für eine Anmeldung bei einem Google-Dienst, etwa Gmail oder Google Kalender, in den USB-Anschluss des Rechners stecken.
Haben Sie den Sicherheitsschlüssel in Ihrem Google-Konto aktiviert, müssen Sie ihn für eine Anmeldung bei einem Google-Dienst, etwa Gmail oder Google Kalender, in den USB-Anschluss des Rechners stecken.
Zur Startseite