Passwortmanager

Bild: © Scanrail / Fotolia.com

Bild: © Scanrail / Fotolia.com

Passwortmanager sollten zur Grundausstattung jedes digital tätigen Menschen gehören. Das Prinzip der meisten Passwortmanager ist einfach. Mittels eines zentralen Passworts, das man sich merken muss, lässt sich eine Datenbank entschlüsseln, in der die individuellen Passwörter für zahllose Dienste hinterlegt sind. Dadurch kann man einerseits sehr komplexe Passwörter nutzen und andererseits für jeden Dienst ein eigenes anlegen. Hierdurch minimieren sich die Risiken, die entstehen, wenn ein einzelner Dienst geknackt wurde.

Passwortmanager schrecken auf den ersten Blick ab. Insbesondere die Vorstellung alle Passwörter gesammelt an einem Ort aufzubewahren behagt vielen erst einmal nicht. Zumal viele die Losung verinnerlicht haben, Passwörter niemals irgendwo zu notieren. Die Vorteile überwiegen jedoch definitiv die theoretischen Risiken. Kaum ein anderes System gewährleistet für jeden Dienst ein separates Passwort mit theoretisch unbegrenzter Länge unter Verwendung aller möglichen Zeichen. Dadurch schützt man sich erstens gegen Bruteforce-Angriffe und zweitens gegen Datendiebstähle, wie sie in der Vergangenheit bei vielen großen Dienstleistern vorgekommen sind. Schließlich gilt das entwendete Passwort nur für den gehackten Dienst.

Große Auswahl - viel Mist!

Weil Passwortmanager derart beliebt sind, gibt es unzählige verschiedene Anbieter auf den diversen Plattformen. Die einzelnen Programme werben mit unterschiedlichen Komfortfunktionen und diversen Preismodellen. Der letzte Schrei sind Abomodelle und Cloudsynchronisation. Zwei Funktionen von denen man tunlichst die Finger lassen sollte.

Eine Passwortdatenbank beinhaltet den Zugang zum kompletten digitalen Leben, man sollte sich also niemals an einen Anbieter ketten, schon gar nicht wenn dieser regelmäßige Zahlungen erfordert. Cloudsynchronisation ist zudem ein absolutes Unding. Verbunden mit dem Versprechen der sicheren Verschlüsselung will man die Faulheit des Anwenders bedienen. Der Anwender sollte jedoch bedenken, dass jede Verschlüsselung nur für den Moment sicher ist (und eventuell nicht mal das), aber zukünftig gebrochen werden könnte. Ist die Datenbank einmal in der Cloud, verliert man die Kontrolle darüber. Sollte die Verschlüsselung mal gebrochen werden verliert man die Kontrolle über sein digitales Ich. Denn kaum jemand ändert seine Passwörter mehrmals im Jahr. Selbst alte Datenbanken dürften noch einen Bestand aktiver Passwörter beinhalten. Der gleiche Vorbehalt gilt gegenüber Onlinediensten zur Passwortverwaltung, da man sich damit in die Hände eines Anbieters begibt und ihm unangebracht viel Vertrauen entgegen bringt. Wer so etwas nutzt kann auch gleich dem seriös wirkenden Anzugträger auf der Parkbank seine Geldbörse zur Aufbewahrung aushändigen. Es ist immer erstaunlich wie viel Quatsch Menschen tun, sobald sie vor einem Bildschirm sitzen. Dinge vor denen sie vor ihrer Haustür sofort zurückschrecken würden.

Open Source & Interoperabilität

Es gibt einige Nischenlösungen, die durchaus ihren Sinn haben (Passwörter mit QtPass / pass verwalten). Hierbei sollte man immer darauf achten, dass entweder Standards genutzt werden - pass verwendet OpenPGP - oder klare Spezifikationen vorliegen. Ansonsten läuft man Gefahr eine Insellösung zu nutzen, die sich zur Sackgasse entwickeln kann. Die meisten der zahllosen proprietären Lösungen entfallen dadurch oder fallen durch erzwungene Cloudbindung aus.

Die beste gegenwärtige verfügbare Lösung ist dabei KeePass. Die KBX-Datenbanken sind dokumentiert und erfreuen sich großer Beliebtheit. Die Community hat deshalb für jede verfügbare Plattform Anwendungen entwickelt und die Wahrscheinlichkeit, dass man seine Datenbank irgendwann nicht mehr öffnen kann ist somit gering. Die meisten Anwendungen kosten zudem nichts und erfordern auf jeden Fall kein Abosystem.

Die Windows-Anwendung basiert auf .NET und kommt direkt von den KeePass-Machern. Unter Linux dominierte lange das Qt-basierte KeePassX, dessen Entwicklung aber in den letzten Jahren vor allem durch Langsamkeit gekennzeichnet war. Mit KeePassXC steht nun ein aktiv entwickelter Fork zur Verfügung. Für MacOS gibt es mit Kypass sowohl eine Lösung im App Store, als auch mit MacPass eine Open Source-Lösung auf GitHub. Android und iOS werden mit zahllosen Apps bedient, wobei für iOS MiniKeePass heraussticht und für Android das etwas angestaubte KeePassDroid.

Der Funktionsumfang variierte je nach Plattform etwas, das kann z.B. Bereiche wie Autotype etc. umfassen. KeePass speichert die Passwörter in Datenbanken mit der Dateiendung .kbx. Diese Datenbanken können dann manuell auf die verschiedenen Systeme übertragen werden. Da man Passwörter meist nicht tagtäglich wechselt ist der Aufwand auch zu verschmerzen und man muss seine Daten nicht in die Cloud legen.

Grenzen des Systems

Das System stößt jedoch auch an Grenzen. Das Passwort für das System und das Hauptkenntwort für die KeePass-Datenbank muss man sich weiterhin merken. Hinzu kommen Dienste, die man oft von unterwegs aufruft, wenn man seine Passwortdatenbank nicht zur Hand hat. Hier ist man weiterhin auf ein gutes Gedächtnis angewiesen. Im Idealfall verfügen die Dienste jedoch über eine Zweifaktorauthentifizierung, die ein wenig die Risiken schwächerer Passwörter abfängt.

Venner
Ich speichere meine Passwortliste schlicht als verschlüsselte LibreOffice-Tabelle. Lässt sich nicht nur problemlos ausdrucken (->zusätzliches Backup), ich habe auch ordentliche Suchfunktion zur Verfügung. Es gibt LO-Portierungen für Windows, Linux, Mac OS und Android, eine iOS-Version ist in Arbeit - und ich gehe davon aus, dass auch verschlüsselte OpenDocument-Dateien standardisiert sind und deshalb auch von weiteren Anwendungen gelesen werden können.
Cruiz
Ich traue diesen Office-Verschlüsselungen nicht über den Weg. Da gibt es immer wieder "lustige" Phänomene: https://forum.ubuntuusers.de/topic/baloo-suche-in-dolphin-findet-in-geschuetztem-/

Verschlüsselung und Sicherheit ist einfach nicht deren Kernkompetenz.

Andreas
Für Android würde ich Keepass2Android empfehlen. Hübschere Oberfläche, QuickUnlock, Fingerprintunte rstützung, kann Datenbanken direkt über die Cloud synchronisieren (etwa Nextcloud, ownCloud, aber auch über SFTP) und bietet eine separate Tastatur, mit welcher Passwörter abgefragt werden können (sicherer als die meisten anderen Passwortmanager , welche die Zwischenablage nutzen)

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top