Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Schlüssel"

Passwortmanager - Funktionsweise und Übersicht

Die Zahl der durch uns genutzten Zugänge nimmt kontinuierlich zu, gleichzeitig sollen Passwörter möglichst lang und komplex sein, sowie lediglich für einen einzigen Dienst zur Verwendung kommen. Wer kein begnadetes Gedächtnis hat ist hier schnell überfordert. Der Ausweg aus dem Dilemma: Ein Passwortmanager.

Passwörter sind prinzipiell ein ziemliches unsicheres Konzept. Mit einer Kombination aus Zugangskennung und Passwort kann man sich theoretisch von jedem Gerät auf der Welt irgendwo anmelden. Mit genügend Zeit und Versuchen dürfte damit jedes Passwort zu knacken sein. Leider haben wir gegenwärtig kein besseres Konzept. Manche sehen in biometrischen Daten den nächsten großen Entwicklungsschritt aber diese sind nicht zwingend sicherer als ein Passwort (siehe: (Un-)Sicherheit per Fingerabdruck). Vorerst ist man daher dazu übergegangen das Prinzip des Passworts zu ergänzen mit Einmal-Codes wie TOTP von einem so genannten zweiten Faktor, wie z. B. einem Gerät in eurem Besitz oder einem Hardwaretoken wie den YubiKey oder Nitrokey. Zusätzliche Sicherheit sollen Anmeldeversuche, technische Verzögerungen und im Extremfall sogar die Datenlöschung nach einer bestimmten Anzahl Fehlversuche bieten.

Wichtig ist dennoch ein möglichst langes, komplexes und zufällig gewähltes Passwort. Die meisten geknackten Accounts entstehen nämlich nicht durch dunkle Hackermagie, sondern durch Phishing und Social Engineering. Letzterem beugt man unter anderem vor, indem man eben nicht den Namen der Ehefrau oder der Katze als Passwort nimmt und natürlich auch nicht das beliebte 12345 oder in seiner extrem sicheren Variante 54321.

Viele empfehlen so genannte Passwortsätze um sich die komplexen Kennwörter zu merken. Dabei überlegt man sich einen Satz und nimmt als Kennwort beispielsweise jeden ersten Buchstaben eines Wortes und ersetzt dabei einige Buchstaben durch Sonderzeichen wie wie ein i durch !. Doch auch dieses System kommt bei dutzenden verschiedenen Passwörtern schnell an seine Grenzen.

Genau in diese Lücke stoßen Passwortmanager. Dabei handelt es sich um spezielle Programme, deren Aufgabe darin besteht, die verschiedenen Loginkombinationen (ggf. mit zusätzlichen Informationen) sicher zu speichern. Die Datenbank ist dabei wiederum verschlüsselt und durch ein eigenes Kennwort gesichert. Theoretisch ist dies das einzige Passwort, das man sich merken muss. Dazu bieten sich der oben bereits angesprochene Passwortsatz an. Viele dieser Programme bieten inzwischen zusätzliche Funktionen wie entsprechende Browser-Addons um die Anmeldedaten automatisch in die entsprechenden Felder einzutragen oder mobile Pendants um die Kennwörter immer dabei zu haben.

Verschiedene Angebote

Zu welcher Lösung man greifen sollte hängt ganz massiv zum Nutzungszenario und den geforderten Funktionen ab. Die folgende Liste sollte einige Optionen aufzeigen. Der Markt ist enorm vielfältig, weshalb die Liste weder den Anspruch erhebt vollständig zu sein, noch alle Systeme abzudecken. Einige Grundsätze sind jedoch immer zu beherzigen.

Das Programm sollte aktiv gepflegt werden und die Daten verschlüsselt, lokal auf dem Gerät speichern. Die zunehmend beliebter werdenden Cloud-Lösungen sind nicht zu empfehlen. Selbst wenn man dem Dienst vertraut und er die Daten gegenwärtig sicher verschlüsselt, heißt das nicht, dass die Verschlüsselung nicht jetzt schon gebrochen sein könnte (manche Geheimdienste horten solches Wissen) oder zukünftig gebrochen werden könnte (was wahrscheinlich ist). Kennwort-Datenbanken sind relativ kleine Datensätze. Im Grunde genommen könnte es daher für Geheimdienste, staatliche Sicherheitsbehörden oder Kriminelle interessant sein, solche Daten zu horten bis sie knackbar sind. Die meisten Menschen ändern ihre Passwörter schließlich nicht all zu häufig.

Ebenso sollte man überlegen, ob man die Passwörter wirklich unbedingt mobil auf dem Smartphone braucht. Erstens besteht bei einem Smartphone eine deutlich höhere Gefahr das Gerät zu verlieren und zweitens sind viele Smartphone-Betriebssysteme schlecht gepflegt und weisen gefährliche Sicherheitslücken auf.

Integrierte Lösungen

Alle Betriebssysteme haben interne Passwortspeicher. Diese sind funktional limitiert aber in der Regel sehr sicher. Sofern man nur ein System und/oder ein Gerät nutzt sollte man in Erwägung ziehen einfach auf die interne Lösung zurückzugreifen. Im Fall von Apples Schlüsselbund wurde das hier bereits thematisiert: Passwortverwaltung mit Apples Schlüsselbund. Das Prinzip ist aber ebenso auf Linux mit GNOME Keyring und KDE's KWallet übertragbar.

KeePass und Varianten

Eine gute Alternative für alle, denen die limitierten Funktionen der integrierten Passwortverwaltungen nicht genügen ist das quelloffene KeePass. Das eigentliche Programm steht nur für Windows zur Verfügung, aber rund um KeePass hat sich ein ganzes App-Ökosystem entwickelt, das Datenbanken im kdbx-Format lesen und speichern kann. Dadurch steht KeePass auf quasi jeder Plattform zur Verfügung. Die Herausforderung besteht darin unter den vielen Alternativen das beste Programm für die jeweilige Plattform zu finden. Zudem unterstützen nicht alle Programme alle Funktionen gleichermaßen.

Die vielfältigen Lösungen für die Plattformen erfordern zudem bei der Synchronisation zwischen den Geräten und einer etwaigen Integration in den präferieren Browser mehr Konfigurationsaufwand als proprietäre All-in-One Lösungen.

Gegenwärtig empfehlen sich zur Nutzung neben dem Original für Windows noch MacPass für macOS und KeePassXC für Linux. Mobil kann man Keepass DX für Android verwenden, sowie Keepassium für iOS.

Enpass

Enpass hat sich in den letzten Jahren zu einer proprietären Alternative zum KeePass-Ökosystem gemausert (ein älterer Bericht hier: Enpass - Ein Passwortmanager für alle Systeme). Die Enpass Entwickler bieten ihren Passwortmanager für alle verbreiteten Systeme (Windows, macOS, Linux, Android und iOS) aber können im Gegensatz zu den vielfältigen KeePass-Varianten einen konsistenten Funktionsumfang garantieren.

Die letzten Updates und Entwicklungsentscheidungen könnten dies aber gefährden. Zuerst rollte man ein einheitliches Design für alle Plattformen aus, das zumindest auf macOS und Linux sehr bescheiden aussieht und dann entschloss man sich kürzlich für Neukunden auf ein Abo-Modell zu wechseln.

SafeInCloud

SafeInCloud wird seit 2012 entwickelt und der Name des Programmes ist mehrfach irreführend. Erstens können Daten grundsätzlich nicht sicher in der Cloud abgelegt sein (siehe oben) und zweitens ist SafeInCloud ein normaler Passwortspeicher, der die Daten lokal ablegt. Man sollte sich davon also nicht irritieren lassen. Ausführlich ist das Programm hier beschrieben: SafeInCloud - Vielfältiger Passwortmanager

SafeInCloud setzt nicht auf ein Abo-Modell sondern finanziert sich durch Lizenzverkäufe. Der Funktionsumfang ist für die meisten Anwendungsgebiete ausreichend und es kommen regelmäßig kleine Funktionsupdates. Allerdings steht SafeInCloud nur für macOS, Windows, Android und iOS zur Verfügung und ist somit nichts für Linux-Nutzer.

Pass

Anwender mit Unix/Linux Fokus können sich Pass anschauen. Dieses und das Qt-Frontend QtPass ist in diesem etwas älteren, aber immer noch weitestgehend gültigen Artikel besprochen: Passwörter mit QtPass / pass verwalten

Für Pass spricht die unaufgeregte aber kontinuierliche Entwicklung. Durch Rückgriff auf OpenPGP nutzt man zudem einen etablierten Verschlüsselungsstandard und läuft nicht Gefahr ausversehen Sicherheitslücken in einer Eigenentwicklung einzubauen.

Problematisch ist ähnlich wie bei KeePass die Client-Situation. Es gibt zwar für alle möglichen Plattformen Clients aber deren Entwicklung geschieht unabhängig und der Datenabgleich zwischen unterschiedlichen Betriebssystemen/Clients ist nicht immer ganz trivial. Das gleiche gilt für die Integration in die unterschiedlichen Browser um Daten komfortabler einzugeben.

Bitwarden

Relativ jung ist Bitwarden. Man kann es als Nextcloud-Pendant für Passwörter bezeichnen. Die Open Source Software basiert zwar auf der - eigentlich von mir kritisch gesehenen - Cloud-Synchronisation. Ähnlich wie bei Nextcloud kann man diese zentrale Instanz aber auch selbst z. B. auf einem Homeserver oder einem NAS hosten. Dadurch gibt man die Daten nicht aus der Hand.

Der Funktionsumfang kann mit den freien und proprietären Alternativen hier problemlos mithalten. Positiv sind halt die direkt zur Verfügung stehenden Clients für Desktop, mobile Systeme und alle gängien Browser. Dadurch muss man nicht mit Dritt-Apps, etwaigen Inkompatibilitäten und Entwicklungsbrüchen umgehen.

Bitwarden finanziert sich über ein Business-Modell mit Abonnements. Dabei kommt dann allerdings eine zentrale Cloud-Instanz zum Einsatz, weshalb davon abzuraten ist.

Fazit

Im Grunde genommen ist es gleichgültig welches der Angebote man nimmt und hängt massiv von den eigenen Anforderungen ab. Wichtig ist lediglich, dass man auf einen der Passwortmanager zurückgreift. Ohne einen solchen Manager nimmt man halt doch wieder die gleichen Kennwörter für unterschiedliche Dienste oder nutzt unterkomplexe Passwörter. Passwortgeschützte Listen in Word- oder Excel-Dokumenten fehlen zudem essentielle Funktionen wie eine automatische Bereinigung der Zwischenablage oder eine automatische Sperrung nach Standby.


Bilder:

Einleitungs- und Beitragsbild von MasterTux via pixabay

"

Tags: Passwörter, Pass, KeePass, Passwortmanager, Enpass, SafeInCloud, Bitwarden

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Hi,

du hast im Artikel Keepass DX für Android erwähnt. Dies ist ein Fork von KeePass Droid. Weißt du zufällig wodurch sich der Fork vom Original unterscheidet?

Leider habe ich bei Keepass DX auf die Schnelle nichts dazu gefunden und auch KeePass Droid scheint noch gepflegt zu werden.

MfG
Tronde

Gerrit
Ich bin vor einiger Zeit gewechselt, weil ich das Gefühl hatte KeePassDroid würde kaum noch entwickelt und die Oberfläche total veraltet wirkte. Wenn sich das inzwischen wieder gebessert hat wäre das schön zu hören. Vermutlich nehmen sich die beiden nicht so viel.
KeePassDroid sieht zugegeben etwas altbacken aus. Der Funktionalität schadet dies in meinen Augen nicht. Das Wichtigste ist denke ich jedoch, dass beide Projekte aktiv gepflegt werden.
Paul
Zitat :
Ebenso sollte man überlegen, ob man die Passwörter wirklich unbedingt mobil auf dem Smartphone braucht. Erstens besteht bei einem Smartphone eine deutlich höhere Gefahr das Gerät zu verlieren und zweitens sind viele Smartphone-Betriebssysteme schlecht gepflegt und weisen gefährliche Sicherheitslücken auf.


Diese Überlegung ist heutzutage wahrscheinlich illusorisch, wo die Leute zunehmend überhaupt nur noch Mobil-Betriebssysteme nutzen. Und immerhin: Auf halbwegs modernen Mobilgeräten ist zunächst mal das System selbst gesperrt und dann meist auch noch der Zugang zum gespeicherten Passwort, z.B. mit Fingerabdrucksperre/Face ID. Biometrie mag nicht der Weisheit letzter Schluss sein, aber als zusätzlicher, fast keinen Aufwand erfordernder Sicherheitsschritt macht sie die Situation schon mal besser als früher.

Gerrit
Ist sicherlich richtig und ich verteufle es ja auch nicht. Es lohnt sich aber natürlich trotzdem die Frage zu stellen "brauche ich das wirklich?". Man muss ja nicht alles nutzen, nur weil man es kann.
Malte
Ich würde gerne wissen ob der bitwarden Client die Daten lokal auch spiechert. Für den Fall daß der Server nicht mehr läuft. Hat man dann immer noch Zugriff, nur kein sync mehr?
Paul
Auf den Mobilsystemen kann man auf die Datenbank auch ohne Internetverbindung zugreifen. Sie muss also zumindest in irgendeinem lokalen Zwischenspeicher liegen. Ein richtiger Offlinemodus ist das natürlich noch nicht.
Thomas
Von Keepass DX hatte ich noch nichts gehört. Was spricht gegen Keepass2Android?
Gerrit
Dass es die App nicht bei F-Droid gibt. wink
Thomas S.
Danke für die schöne Übersicht!

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius