Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von MasterTux via pixabay / Lizenz: CC0 Creative Commons

Passwortmanager - Vielfältige und starke Kennwörter

Passwortmanager sollten zur Grundausstattung jedes digital tätigen Menschen gehören. Das Prinzip der meisten Passwortmanager ist einfach. Mittels eines zentralen Passworts, das man sich merken muss, lässt sich eine Datenbank entschlüsseln in der die individuellen Passwörter für zahllose Dienste hinterlegt sind. Dadurch kann man einerseits sehr komplexe Passwörter nutzen und andererseits für jeden Dienst ein eigenes anlegen.

Passwortmanager schrecken auf den ersten Blick ab. Insbesondere die Vorstellung alle Passwörter gesammelt an einem Ort aufzubewahren behagt vielen erst einmal nicht. Zumal viele die Losung verinnerlicht haben, Passwörter niemals irgendwo zu notieren. Die Vorteile überwiegen jedoch definitiv die theoretischen Risiken. Kaum ein anderes System gewährleistet die Verwendung eines separaten Passworts für jeden Dienst, das theoretisch eine unbegrenzte Länge aufweist, unter Verwendung aller möglichen Zeichen. Dadurch schützt man sich erstens gegen Bruteforce-Angriffe und zweitens gegen Datendiebstähle, wie sie in der Vergangenheit bei vielen großen Dienstleistern vorgekommen sind. Schließlich gilt das entwendete Passwort nur für den gehackten Dienst.

Manche sehen in Passwörtern ein gescheitertes System und verweisen auf die jüngsten Errungenschaften biometrischer Authentifizierung. Hier ist jedoch Vorsicht geboten, da biometrische Merkmale nicht so sicher sind, wie sie dargestellt werden (siehe: (Un-)Sicherheit per Fingerabdruck)

Große Auswahl - viel Mist!

Weil Passwortmanager derart beliebt sind, gibt es unzählige verschiedene Anbieter auf den diversen Plattformen. Die einzelnen Programme werben mit unterschiedlichen Komfortfunktionen und diversen Preismodellen. Der letzte Schrei sind Abomodelle und Cloudsynchronisation. Zwei Funktionen von denen man tunlichst die Finger lassen sollte.

Eine Passwortdatenbank beinhaltet den Zugang zum kompletten digitalen Leben, man sollte sich also niemals an einen Anbieter ketten, schon gar nicht wenn dieser regelmäßige Zahlungen erfordert. Sofern ein proprietäres Programm zum Einsatz kommt muss also auf standardisierte Exportformate wie z. B. eine CSV-Datei geachtet werden.

Cloudsynchronisation ist zudem ein absolutes Unding. Verbunden mit dem Versprechen der sicheren Verschlüsselung will man die Faulheit des Anwenders bedienen. Der Anwender sollte jedoch bedenken, dass jede Verschlüsselung nur für den Moment sicher ist (und eventuell nicht mal das), aber zukünftig gebrochen werden könnte. Ist die Datenbank einmal in der Cloud, verliert man die Kontrolle darüber. Sollte die Verschlüsselung mal gebrochen werden verliert man die Kontrolle über sein digitales Ich, denn kaum jemand ändert seine Passwörter mehrmals im Jahr. Selbst alte Datenbanken dürften noch einen Bestand aktiver Passwörter beinhalten. Verliert man zudem die Kontrolle über die Datenbank, kann ein potenzieller Angreifer beliebig viel Zeit in das Brechen der Verschlüsselung investieren. Rechenleistung und Zeit sind zwei grundsätzliche Feinde jeder Verschlüsselung.

Der gleiche Vorbehalt gilt gegenüber Onlinediensten zur Passwortverwaltung, da man sich damit in die Hände eines Anbieters begibt und ihm unangebracht viel Vertrauen entgegen bringt. Wer so etwas nutzt kann auch gleich dem seriös wirkenden Anzugträger auf der Parkbank seine Geldbörse zur Aufbewahrung aushändigen. Es ist immer erstaunlich wie viel Quatsch Menschen tun, sobald sie vor einem Bildschirm sitzen. Dinge vor denen sie im Alltag sofort zurückschrecken würden.

Open Source & Interoperabilität

Es gibt einige Nischenlösungen, die durchaus ihren Sinn haben (siehe: Passwörter mit QtPass / pass verwalten). Hierbei sollte man immer darauf achten, dass entweder Standards genutzt werden - pass verwendet OpenPGP - oder klare Spezifikationen vorliegen. Ansonsten läuft man Gefahr eine Insellösung zu nutzen, die sich zur Sackgasse entwickeln kann.

Die beste gegenwärtige verfügbare Lösung ist dabei KeePass. Die KBX-Datenbanken sind dokumentiert und erfreuen sich großer Beliebtheit. Die Community hat deshalb für jede verfügbare Plattform Anwendungen entwickelt und die Wahrscheinlichkeit, dass man seine Datenbank irgendwann nicht mehr öffnen kann ist somit gering. Die meisten Anwendungen kosten zudem nichts und erfordern auf jeden Fall kein Abosystem.

Die Windows-Anwendung basiert auf .NET und kommt direkt von den KeePass-Machern. Unter Linux dominierte lange das Qt-basierte KeePassX, dessen Entwicklung aber in den letzten Jahren vor allem durch Langsamkeit gekennzeichnet war. Mit KeePassXC steht nun ein aktiv entwickelter Fork zur Verfügung. Für MacOS gibt es mit Kypass sowohl eine Lösung im App Store, als auch mit MacPass eine Open Source-Lösung auf GitHub. Android und iOS werden mit zahllosen Apps bedient, wobei für iOS MiniKeePass heraussticht und für Android das etwas angestaubte KeePassDroid.

Der Funktionsumfang variierte je nach Plattform etwas, das kann z.B. Bereiche wie Autotype etc. umfassen. KeePass speichert die Passwörter in Datenbanken mit der Dateiendung .kbx. Diese Datenbanken können dann manuell auf die verschiedenen Systeme übertragen werden. Da man Passwörter meist nicht tagtäglich wechselt ist der Aufwand auch zu verschmerzen und man muss seine Daten nicht in die Cloud legen.

Alternativ kann man auch die Basisfunktionen des Systems nutzen. Die meisten Linux-Desktopumgebungen, aber auch macOS verfügen über eine integrierte Passwortverwaltung. Diese Lösungen eignen sich jedoch nur, wenn man sich in einem homogenen Umfeld bewegt und sind funktional stark beschränkt. Hier droht die eingangs erwähnte Sackgasse.

Grenzen des Systems

Das System stößt jedoch auch an Grenzen. Das Passwort für das System und das Hauptkenntwort für die KeePass-Datenbank muss man sich weiterhin merken. Hinzu kommen Dienste, die man oft von unterwegs aufruft, wenn man seine Passwortdatenbank nicht zur Hand hat. Hier ist man weiterhin auf ein gutes Gedächtnis angewiesen. Im Idealfall verfügen die Dienste jedoch über eine Zweifaktorauthentifizierung, die ein wenig die Risiken schwächerer Passwörter abfängt.


Bilder:

Einleitungs- und Beitragsbild von MasterTux via pixabay / Lizenz: CC0 Creative Commons

Tags: Sicherheit, Passwörter, KeePass

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.
  • Dieses Kommentar ist noch nicht freigegeben.
    Paul · Vor 4 Monaten
    Apropos: Nie ganz verstanden habe ich den schlechten Ruf der browser-internen Passwortmanager gegenüber den dedizierten Programmen wie KeePass.

    Chrome und Firefox z.B. sichern ihre Passwörter in der Standardeinstellung über die Nutzersession ab. Wenn die erst mal geknackt ist, so im wesentlichen die Argumentation bei den Entwicklern, ist eh alles verloren: Ein Angreifer hat dann Zugriff auf Benutzerdaten, Cookies, Browserextensions, History, Browse-Verhalten. Game over.

    Wozu sich dann noch die umständliche Bedienung von Keepass antun? Ist das wirklich mehr als Sicherheitstheater?
    • Dieses Kommentar ist noch nicht freigegeben.
      Cruiz
      • Administrator
      · Vor 4 Monaten
      Du gehst davon aus, dass man nur Passwörter im Browser braucht. In einem Passwortmanager kann man aber deutlich mehr Passworttypen speichern.

      Speziell Firefox hat lange Zeit (immer noch?) standardmäßig die Passwörter im Klartext gespeichert. Das Masterpasswort musste man als Nutzer immer erst mal aktivieren. Das ist ein NoGo bei so sensiblen Daten.
      • Dieses Kommentar ist noch nicht freigegeben.
        Paul · Vor 4 Monaten
        War es nicht so, dass die Firefox-Passwörter in einer verschlüsselten Datenbank liegen, die beim Login entschlüsselt wird? Dann wären wir wieder beim Szenario oben und bei der Theaterfrage.


        Was halten Sie eigentlich von der Möglichkeit, die Manager nicht mit einem Generalpasswort, sondern mit einer Schlüsseldatei zu entsperren?
        • Dieses Kommentar ist noch nicht freigegeben.
          Cruiz
          • Administrator
          · Vor 4 Monaten
          Nur, wenn man ein Masterpasswort verwendet oder eine Bridge zum GNOME-Keyring/KWallet.

          Schlüsseldatei ist so eine Sache. Man muss halt sehr darauf vertrauen, dass der Schlüssel nicht entwendet wird. Meines Erachtens lädt es außerdem zu sehr dazu ein zwei USB-Sticks am Schlüsselbund zu haben, auf einem die portable Passwortdatenbank, auf dem Zweiten das Keyfile. Die Bequemlichkeit der Menschen ist grenzenlos.
  • Dieses Kommentar ist noch nicht freigegeben.
    Chris · Vor 4 Monaten
    Ich nutze Keepass als Passwortspeicher. Ein Kumpel von mir ebenfalls.

    Er legt seine Datei in Dropbox ab und hat einen USB-Stick voll mit PortableApps für Windows, auf dem auch die Datei liegt.

    Ich nutze Syncthing zur Synchronisation meiner Keepass-Datei. Beteiligt sind ein PC mit Ubuntu, ein MacBook, ein Notebook mit Ubuntu und ein Android Smartphone.
  • Dieses Kommentar ist noch nicht freigegeben.
    Georg · Vor 4 Monaten
    Hallo,


    Keepass habe ich auch lange Zeit verwendet, aber vor ein paar Monaten bin ich auf Bitwarden (https://bitwarden.com/) umgestiegen und bin sehr sehr zufrieden damit. Hier wurden ja schon mal Password-Manager miteinander verglichen, aber bitwarden taucht dabei nicht auf, vielleicht weil er noch recht neu ist. Mich würde es sehr interessieren, was [Mer]Curius über BW denkt.


    Hier in meinen Augen die Vorteile:

    - open source

    - komplett von mir gehostet

    - firefox, android, iphone, linux, ... uvm clients

    - web oberfläche (wenn ich wirklich mal keines meiner Geräte dabei haben soll)

    - zuverflässige Synchronisierung im Hintergrund.

    Nein, ich arbeite bei dem Projekt nicht mit, ich will auch keine Werbung machen, mir fällt aber auf, dass man bei Password-Manager Vergleichen nie was von BW liest und mich würde sehr interessieren, ob das Tool auch kritischeren Betrachtungen standhält.

    Liebe Grüße,

    Georg
    • Dieses Kommentar ist noch nicht freigegeben.
      Cruiz
      • Administrator
      · Vor 4 Monaten
      Hab ich mir noch nicht angeguckt. Dass es ein Docker Container ist macht es gerade nicht attraktiver. ;-)

      Werde ich aber bei Gelegenheit mal machen.
  • Dieses Kommentar ist noch nicht freigegeben.
    bed · Vor 4 Monaten
    Bitwarden ... Oh ja, Cruiz, guckst du dir das bitte mal an?
  • Dieses Kommentar ist noch nicht freigegeben.
    Dave · Vor 3 Monaten
    Ich bin von einer alten (lokalen) 1password 4 Version auf enPass umgestiegen.

    Nutze es in Kombination mit meiner Nextcloud Installation auf meinem Server und bin sehr zufrieden. Kein open source, aber für mich auf jeder Umgebung einfach super!
Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1