Die Zahl der durch uns genutzten Zugänge nimmt kontinuierlich zu, gleichzeitig sollen Passwörter möglichst lang und komplex sein, sowie lediglich für einen einzigen Dienst zur Verwendung kommen. Wer kein begnadetes Gedächtnis hat ist hier schnell überfordert. Der Ausweg aus dem Dilemma: Ein Passwortmanager.

Passwörter sind prinzipiell ein ziemliches unsicheres Konzept. Mit einer Kombination aus Zugangskennung und Passwort kann man sich theoretisch von jedem Gerät auf der Welt irgendwo anmelden. Mit genügend Zeit und Versuchen dürfte damit jedes Passwort zu knacken sein. Leider haben wir gegenwärtig kein besseres Konzept. Manche sehen in biometrischen Daten den nächsten großen Entwicklungsschritt aber diese sind nicht zwingend sicherer als ein Passwort (siehe: (Un-)Sicherheit per Fingerabdruck). Vorerst ist man daher dazu übergegangen das Prinzip des Passworts zu ergänzen mit Einmal-Codes wie TOTP von einem so genannten zweiten Faktor, wie z. B. einem Gerät in eurem Besitz oder einem Hardwaretoken wie den YubiKey oder Nitrokey. Zusätzliche Sicherheit sollen Anmeldeversuche, technische Verzögerungen und im Extremfall sogar die Datenlöschung nach einer bestimmten Anzahl Fehlversuche bieten.

Wichtig ist dennoch ein möglichst langes, komplexes und zufällig gewähltes Passwort. Die meisten geknackten Accounts entstehen nämlich nicht durch dunkle Hackermagie, sondern durch Phishing und Social Engineering. Letzterem beugt man unter anderem vor, indem man eben nicht den Namen der Ehefrau oder der Katze als Passwort nimmt und natürlich auch nicht das beliebte 12345 oder in seiner extrem sicheren Variante 54321.

Viele empfehlen so genannte Passwortsätze um sich die komplexen Kennwörter zu merken. Dabei überlegt man sich einen Satz und nimmt als Kennwort beispielsweise jeden ersten Buchstaben eines Wortes und ersetzt dabei einige Buchstaben durch Sonderzeichen wie wie ein i durch !. Doch auch dieses System kommt bei dutzenden verschiedenen Passwörtern schnell an seine Grenzen.

Genau in diese Lücke stoßen Passwortmanager. Dabei handelt es sich um spezielle Programme, deren Aufgabe darin besteht, die verschiedenen Loginkombinationen (ggf. mit zusätzlichen Informationen) sicher zu speichern. Die Datenbank ist dabei wiederum verschlüsselt und durch ein eigenes Kennwort gesichert. Theoretisch ist dies das einzige Passwort, das man sich merken muss. Dazu bieten sich der oben bereits angesprochene Passwortsatz an. Viele dieser Programme bieten inzwischen zusätzliche Funktionen wie entsprechende Browser-Addons um die Anmeldedaten automatisch in die entsprechenden Felder einzutragen oder mobile Pendants um die Kennwörter immer dabei zu haben.

Verschiedene Angebote

Zu welcher Lösung man greifen sollte hängt ganz massiv zum Nutzungszenario und den geforderten Funktionen ab. Die folgende Liste sollte einige Optionen aufzeigen. Der Markt ist enorm vielfältig, weshalb die Liste weder den Anspruch erhebt vollständig zu sein, noch alle Systeme abzudecken. Einige Grundsätze sind jedoch immer zu beherzigen.

Das Programm sollte aktiv gepflegt werden und die Daten verschlüsselt, lokal auf dem Gerät speichern. Die zunehmend beliebter werdenden Cloud-Lösungen sind nicht zu empfehlen. Selbst wenn man dem Dienst vertraut und er die Daten gegenwärtig sicher verschlüsselt, heißt das nicht, dass die Verschlüsselung nicht jetzt schon gebrochen sein könnte (manche Geheimdienste horten solches Wissen) oder zukünftig gebrochen werden könnte (was wahrscheinlich ist). Kennwort-Datenbanken sind relativ kleine Datensätze. Im Grunde genommen könnte es daher für Geheimdienste, staatliche Sicherheitsbehörden oder Kriminelle interessant sein, solche Daten zu horten bis sie knackbar sind. Die meisten Menschen ändern ihre Passwörter schließlich nicht all zu häufig.

Ebenso sollte man überlegen, ob man die Passwörter wirklich unbedingt mobil auf dem Smartphone braucht. Erstens besteht bei einem Smartphone eine deutlich höhere Gefahr das Gerät zu verlieren und zweitens sind viele Smartphone-Betriebssysteme schlecht gepflegt und weisen gefährliche Sicherheitslücken auf.

Integrierte Lösungen

Alle Betriebssysteme haben interne Passwortspeicher. Diese sind funktional limitiert aber in der Regel sehr sicher. Sofern man nur ein System und/oder ein Gerät nutzt sollte man in Erwägung ziehen einfach auf die interne Lösung zurückzugreifen. Im Fall von Apples Schlüsselbund wurde das hier bereits thematisiert: Passwortverwaltung mit Apples Schlüsselbund. Das Prinzip ist aber ebenso auf Linux mit GNOME Keyring und KDE’s KWallet übertragbar.

KeePass und Varianten

Eine gute Alternative für alle, denen die limitierten Funktionen der integrierten Passwortverwaltungen nicht genügen ist das quelloffene KeePass. Das eigentliche Programm steht nur für Windows zur Verfügung, aber rund um KeePass hat sich ein ganzes App-Ökosystem entwickelt, das Datenbanken im kdbx-Format lesen und speichern kann. Dadurch steht KeePass auf quasi jeder Plattform zur Verfügung. Die Herausforderung besteht darin unter den vielen Alternativen das beste Programm für die jeweilige Plattform zu finden. Zudem unterstützen nicht alle Programme alle Funktionen gleichermaßen.

Die vielfältigen Lösungen für die Plattformen erfordern zudem bei der Synchronisation zwischen den Geräten und einer etwaigen Integration in den präferieren Browser mehr Konfigurationsaufwand als proprietäre All-in-One Lösungen.

Gegenwärtig empfehlen sich zur Nutzung neben dem Original für Windows noch MacPass für macOS und KeePassXC für Linux. Mobil kann man Keepass DX für Android verwenden, sowie Keepassium für iOS.

Enpass

Enpass hat sich in den letzten Jahren zu einer proprietären Alternative zum KeePass-Ökosystem gemausert (ein älterer Bericht hier: Enpass – Ein Passwortmanager für alle Systeme). Die Enpass Entwickler bieten ihren Passwortmanager für alle verbreiteten Systeme (Windows, macOS, Linux, Android und iOS) aber können im Gegensatz zu den vielfältigen KeePass-Varianten einen konsistenten Funktionsumfang garantieren.

Die letzten Updates und Entwicklungsentscheidungen könnten dies aber gefährden. Zuerst rollte man ein einheitliches Design für alle Plattformen aus, das zumindest auf macOS und Linux sehr bescheiden aussieht und dann entschloss man sich kürzlich für Neukunden auf ein Abo-Modell zu wechseln.

SafeInCloud

SafeInCloud wird seit 2012 entwickelt und der Name des Programmes ist mehrfach irreführend. Erstens können Daten grundsätzlich nicht sicher in der Cloud abgelegt sein (siehe oben) und zweitens ist SafeInCloud ein normaler Passwortspeicher, der die Daten lokal ablegt. Man sollte sich davon also nicht irritieren lassen. Ausführlich ist das Programm hier beschrieben: SafeInCloud – Vielfältiger Passwortmanager

SafeInCloud setzt nicht auf ein Abo-Modell sondern finanziert sich durch Lizenzverkäufe. Der Funktionsumfang ist für die meisten Anwendungsgebiete ausreichend und es kommen regelmäßig kleine Funktionsupdates. Allerdings steht SafeInCloud nur für macOS, Windows, Android und iOS zur Verfügung und ist somit nichts für Linux-Nutzer.

Pass

Anwender mit Unix/Linux Fokus können sich Pass anschauen. Dieses und das Qt-Frontend QtPass ist in diesem etwas älteren, aber immer noch weitestgehend gültigen Artikel besprochen: Passwörter mit QtPass / pass verwalten

Für Pass spricht die unaufgeregte aber kontinuierliche Entwicklung. Durch Rückgriff auf OpenPGP nutzt man zudem einen etablierten Verschlüsselungsstandard und läuft nicht Gefahr ausversehen Sicherheitslücken in einer Eigenentwicklung einzubauen.

Problematisch ist ähnlich wie bei KeePass die Client-Situation. Es gibt zwar für alle möglichen Plattformen Clients aber deren Entwicklung geschieht unabhängig und der Datenabgleich zwischen unterschiedlichen Betriebssystemen/Clients ist nicht immer ganz trivial. Das gleiche gilt für die Integration in die unterschiedlichen Browser um Daten komfortabler einzugeben.

Bitwarden

Relativ jung ist Bitwarden. Man kann es als Nextcloud-Pendant für Passwörter bezeichnen. Die Open Source Software basiert zwar auf der – eigentlich von mir kritisch gesehenen – Cloud-Synchronisation. Ähnlich wie bei Nextcloud kann man diese zentrale Instanz aber auch selbst z. B. auf einem Homeserver oder einem NAS hosten. Dadurch gibt man die Daten nicht aus der Hand.

Der Funktionsumfang kann mit den freien und proprietären Alternativen hier problemlos mithalten. Positiv sind halt die direkt zur Verfügung stehenden Clients für Desktop, mobile Systeme und alle gängien Browser. Dadurch muss man nicht mit Dritt-Apps, etwaigen Inkompatibilitäten und Entwicklungsbrüchen umgehen.

Bitwarden finanziert sich über ein Business-Modell mit Abonnements. Dabei kommt dann allerdings eine zentrale Cloud-Instanz zum Einsatz, weshalb davon abzuraten ist.

Fazit

Im Grunde genommen ist es gleichgültig welches der Angebote man nimmt und hängt massiv von den eigenen Anforderungen ab. Wichtig ist lediglich, dass man auf einen der Passwortmanager zurückgreift. Ohne einen solchen Manager nimmt man halt doch wieder die gleichen Kennwörter für unterschiedliche Dienste oder nutzt unterkomplexe Passwörter. Passwortgeschützte Listen in Word- oder Excel-Dokumenten fehlen zudem essentielle Funktionen wie eine automatische Bereinigung der Zwischenablage oder eine automatische Sperrung nach Standby.

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein