Passwörter sind lästig und ich merke mir sowieso nie alle. Oder ich verwende überall dasselbe Passwort. Bis jetzt hat das ja auch funktioniert, wo ist also das Problem?
Nun, wer schon einmal das „Vergnügen“ hatte, von einem Datenleck betroffen zu sein, der hat vielleicht eine Ahnung, wo das Problem liegt. Wenn ein Hacker auch nur einen einzigen Dienst erfolgreich angreifen konnte, der mein Passwort unsicher gespeichert hatte, dann kann der Hacker mit demselben Passwort versuchen, auf meine anderen Anmeldungen zuzugreifen. Das kann dann auch die persönlichen E-Mails, Login zu allen möglichen Online-Shops oder im schlimmsten Fall den Zugang zum Bankkonto betreffen.
Sicherheitsexperten empfehlen, für jeden Online-Dienst ein anderes Passwort zu verwenden. Muss ich mir jetzt also tausend Passwörter merken?
Dank Passwortmanager muss das nicht mehr sein. Was ein Passwortmanager ist, wie er funktioniert und nach welchen Kriterien ich den passenden für mich ausgewählt habe, beschreibe ich in den folgenden Absätzen.
Also los geht’s – in eine passwortlose Zukunft!
Wie funktioniert ein Passwortmanager?
Ein Passwortmanager ist eine App oder Software, die wie ein digitaler Tresor funktioniert und alle meine Passwörter an einem sicheren Ort speichert. So muss ich mich nur noch mit einem Master-Passwort anmelden und habe Zugriff auf alle anderen gespeicherten Passwörter. Viele dieser Programme bieten auch die Möglichkeit, neue, sichere Passwörter für mich zu generieren.
Meist habe ich die Möglichkeit, meine Passwörter in Kategorien zu ordnen. Zusätzlich zu Benutzernamen und Kennwort kann ich den Link zur jeweiligen Webseite oder einen Kommentar für mich speichern. Auch gibt es eine Suchfunktion, damit ich den passenden Eintrag schnell finde. In einigen Fällen kann ich das Programm direkt mit dem Browser verbinden, so dass mir gleich der passende Eintrag vorgeschlagen und automatisch ausgefüllt wird.
Meine Passwörter werden direkt bei der Erfassung verschlüsselt und nur die verschlüsselte Version wird dann gespeichert. Sofern die App korrekt programmiert ist, wird niemals ein Kennwort im Klartext auf den Datenträger abgelegt oder über das Internet versendet.
Welche verschiedenen Typen von Passwortmanagern gibt es?
Es gibt mehrere Arten von Passwortmanagern, aber die beiden Haupttypen sind lokale Passwortmanager und cloudbasierte Passwortmanager. Lokale Passwortmanager speichern meine Passwörter auf meinem Gerät, während cloudbasierte Passwortmanager die Passwörter online speichern. Beide Arten von Passwortmanagern haben ihre Vor- und Nachteile, so dass es am besten ist, den Typ auszuwählen, der für mich am ehesten geeignet ist.
Lokale Passwortspeicher sind natürlich zuerst einmal an einen einzelnen PC gebunden und synchronisieren sich nicht automatisch mit anderen Geräten. Dafür ist aber der Zugriff jederzeit gewährleistet, selbst wenn das Internet nicht erreichbar ist, und es gibt keine weitere Partei, die mir den Zugang verwehren könnte. Im Cloudspeicher dagegen brauche ich mich nicht um die Datensicherung zu kümmern, das macht der Anbieter für mich. Außerdem sind die Daten auf jedem meiner Geräte verfügbar, sobald dich den Zugang dort einmalig eingerichtet habe.
Auch die Kosten spielen eine Rolle, denn es gibt kostenlose Passwortmanager und solche, die man kaufen oder im Abonnement bezahlen muss. Cloudbasierte Passwortmanager sind in der Regel mit Monatsgebühren belegt.
Ein paar Preisbeispiele zur Orientierung: Die Cloud-Dienste 1Password und LastPass kosten ca. 3 € pro Monat für einen einzelnen Benutzer, es gibt Familienpakete für mehrere Benutzer. Kaspersky Password Manager kostet 14 € pro Jahr, während True Key von McAfee kostenlos angeboten wird.
Die meisten Hersteller bieten eine mehr oder weniger eingeschränkte kostenfreie Version an, manchmal zeitlich begrenzt, oft jedoch mit stark reduziertem Funktionsumfang. Passwörter sicher speichern können aber alle.
Wenn ich mich für einen lokal installierten Passwortmanager entscheide, spielt zuletzt auch das Lizenzmodell eine Rolle. Im Fall von Open-Source Software habe ich nämlich die Möglichkeit, mir den Quelltext anzusehen. Dabei erhalte ich eine Ahnung von den internen Abläufen und kann mich davon überzeugen, dass zur Verschlüsselung nur etablierte und genormte Methoden verwendet werden. Dafür benötige ich aber Grundkenntnisse in einer Programmiersprache, um die Prozesse grob zu verstehen.
Die bekanntesten Open Source Passwortmanager sind Bitwarden und KeePass, von Letzterem gibt es einige abgeleitete Projekte.
Welchen Passwortmanager soll ich nehmen?
Nachdem ich mich mit den Pro und Contra Argumenten zu den verschiedenen Typen von Passwortmanagern auseinandergesetzt habe, konnte ich meine persönlichen Kriterien festlegen.
Für mich ist es wichtig, die gespeicherten Passwörter selbst zu verwalten, also nicht einen Dienstleister oder eine Online-Plattform zu verwenden. Selbst wenn ich davon ausgehe, dass die Methoden der Verschlüsselung und Übertragung bei den Dienstanbietern sicher sind, so muss ich trotzdem einer weiteren Instanz vertrauen.
Da ich mit verschiedenen Betriebssystemen arbeite (Windows und Linux), ist für mich ebenfalls wichtig, dass ich ein Produkt verwende, das auf allen relevanten Plattformen verfügbar ist. Um stets in der gleichen Weise mit dem Passwortmanager zu arbeiten, möchte ich vermeiden, unterschiedliche Produkte mit demselben Datenformat benutzen, sondern ein einheitliches Programm.
Zuletzt ist für mich wichtig, dass es ein gut funktionierendes Plugin für den Browser gibt, denn am häufigsten werde ich nach einem Passwort gefragt, wenn ich mich im Internet bewege. Hier habe ich zwar die Möglichkeit, meine Passwörter direkt im Browser zu speichern und bei Bedarf auch über die Mechanismen des jeweiligen Anbieters synchronisieren zu lassen, aber das hat ebenfalls Nachteile: Einerseits ist bei der Verwendung von verschiedenen Browsern oft erforderlich, die Passwörter mehrfach zu erfassen, andererseits kommt auch hier wieder eine weitere Instanz ins Spiel, der ich vertrauen muss.
| 1Password | LastPass | McAfee TrueKey | Kaspersky | Bitwarden | KeePassXC | |
|---|---|---|---|---|---|---|
| Cloud | X | X | X | X | X | |
| Lokal | X | |||||
| kostenlos | X | (x) | X | X | ||
| Abo (Monat) | 3 € | 3 € | 1,20 € | 1 € | ||
| Open Source | X | X | ||||
| Audit | X | X | X | |||
| Windows | X | X | X | X | X | X |
| Mac OS | X | X | X (kein Safari) | X | X | X (kein Safari) |
| Linux | X | X | X | X | ||
| Android | X | X | X | X | X | |
| IOS | X | X | X | X | X |
Wie sicher sind meine Passwörter? Wie sicher ist mein Passwortmanager?
Zunächst einmal habe ich mir Gedanken darüber gemacht, ob meine bisherige Methode nicht sicher genug ist. Dabei haben mir Online-Dienste geholfen, mit denen ich feststellen kann, ob ich von einem Datendiebstahl betroffen bin. Der bekannteste ist die Webseite https://haveibeenpwned.com/ – hier kann ich meine E-Mail Adresse eingeben und mit einem Klick diese Prüfung durchführen.
Mit Schrecken habe ich festgestellt, dass meine Daten bereits mehrfach entwendet wurden. Wie steht es jetzt also mit der Sicherheit eines Passwortmanagers?
Insbesondere bei den Passwortmanagern, die als Open-Source Software bereitgestellt werden, kann ich mir den Quelltext ansehen. Auch wenn ich nur wenig von der Programmierung verstehe, kann ich erkennen, mit welchen Algorithmen die Passwörter verschlüsselt werden. Ebenso kann ich die Passwort-Datei in einem Editor öffnen und mich davon überzeugen, dass die gespeicherten Passwörter tatsächlich nicht im Klartext vorliegen.
Passwortmanager mit nicht öffentlichem Programmcode sind gelegentlich durch eine externe Prüfung (Audit) zertifiziert. Das Prüfergebnis wird dann auf der Webseite des Anbieters veröffentlicht und die Prüfung muss in regelmäßigen Abständen wiederholt werden. Zu diesen Anbietern gehören auch 1Password und LastPass, die Informationen sind jedoch recht gut versteckt auf der Webseite.
Muss ich mir wirklich keine Passwörter merken?
Doch, ein Passwort musst du dir merken, nämlich das Zugangspasswort für den Passwortmanager. Ich empfehle dir, dass du zusätzlich eine 2-Faktor-Authentifizierung einsetzt, damit du sicher sein kannst, dass niemand Zugriff auf deine Passwörter erhält, falls dein Zugangskennwort doch einmal in falsche Hände gerät. Hier bietet sich beispielsweise an, Einmalpasswörter mit dem Google Authenticator oder der Authy App einzurichten. Richtig sicher wird es allerdings, wenn du eine biometrische Signatur verwendest (Fingerabdruck, Gesicht …) oder einen Hardwareschlüssel einsetzt (Yubikey).
Meine Auswahl
Nachdem ich meine Kriterien festgelegt habe und mich mit den verschiedenen Möglichkeiten vertraut gemacht habe, habe ich mich für die lokal installierte Software KeePassXC entschieden. Diese ist eine Weiterentwicklung des Programmes KeePass, welches leider nur für Windows verfügbar war. KeePassXC verwendet dasselbe Dateiformat wie KeePass, so dass ich einfach umsteigen kann, ohne meine Passwörter erneut erfassen zu müssen.
Das Programm ist kostenlose Software und der Quellcode wurde unter der Open Source Lizenz GPL-2 und GPL-3 veröffentlicht. Jeder hat die Möglichkeit, den Quelltext einzusehen und das Produkt aus den Quellen selbst zu erstellen. Natürlich ist das nicht erforderlich, denn auf der Webseite https://keepassxc.org kann man das fertige Produkt herunterladen für Windows, macOS oder Linux.
Nach der Installation ist das Programm bereits einsatzbereit, die Browser-Integration ist von Haus aus enthalten und für die gängigen Programme Firefox, Microsoft Edge, Google Chrome u.ä. kann ein Plugin aus dem jeweiligen Add-on Store installiert werden. Für den Safari-Browser gibt es leider kein Plugin, da dieser das „Native Messaging API“ Protokoll nicht unterstützt, aber mit anderen Browsern funktioniert es auch auf dem Mac.
Das Programm KeePassXC selbst ist nicht auf Handy und Tablet verfügbar, aber es gibt sehr gute Alternativen, die ebenfalls vom originalen KeePass abgeleitet wurden und somit die selben Daten verwenden können. Getestet und behalten habe ich: KeePassDX für Android und Keepassium für iOS.
Jetzt bleibt nur noch, das Manko der fehlenden Synchronisierung zwischen meinen Geräten abzustellen. Um das zu erreichen, muss ich meine Passwortdatei dann doch irgendwo im Internet verfügbar machen.
Natürlich habe ich mich gefragt, ob das ein Sicherheitsrisiko darstellt, aber die gespeicherten Passwörter werden mit dem AES-256 Verfahren verschlüsselt, das nach Einschätzung von Experten und Empfehlung des Bundesamts für Sicherheit in der Informationstechnik BSI als sicher anzusehen ist. Also kann ich die verschlüsselte Datei bedenkenlos auf einem Cloudspeicher ablegen, solange mein Hauptpasswort sicher ist.
Dies ist auch die Methode, die in den häufig gestellten Fragen auf der Webseite von KeePassXC empfohlen wird.
Über die konkrete Installation und Einrichtung von KeePassXC plane ich einen eigenen Beitrag.
Fazit
Für mich hat es sich gelohnt, einen Passwortmanager einzusetzen. Nachdem ich feststellen musste, dass auch ich Opfer eines Datendiebstahls wurde und eines meiner Passwörter in einem Datenleck enthalten war, habe ich die Umstellung in Angriff genommen. Heute erleichtert mir das Tool KeePassXC meine tägliche Arbeit erheblich und erhöht dabei die Datensicherheit. Ich möchte es nicht mehr missen.