Sesam, öffne dich! Der Schlüssel zum besten Passwortmanager9 min Lesezeit

Zuletzt aktualisiert am 22. Juli 2021

Die heißen Sommertage lassen sich prima dazu nutzen, dem Computer beim Schmelzen zuzusehen. Ha! Nach erfolgreichem Totalabsturz ist ein neues Arbeitsgerät eine gute Gelegenheit, eine Dateninspektion vorzunehmen und einen Sicherheitscheck zu machen: Wie gut steht es um die eigenen Passwörter? Ein kleiner Einblick in die Schatzkiste.

Schon lange verwende ich für berufliche und private Zwecke einen Passwortmanager. Ich stehe bei über 1.000 Login-Elementen, das ist händisch nicht mehr zu verwalten. Aber auch wer weniger Passwörter zu speichern hat, ist gut mit einem Passwortmanager beraten. Das Tool meiner bisherigen Wahl, 1Password, hat kürzlich von einem Kauf- auf ein Abo-Angebot umgestellt. Wenn es auch grundsätzlich keine schlechte Entscheidung ist, in Sicherheitsfragen auf Bezahlprodukte zu setzen, habe ich dies trotzdem zum Anlass genommen, mein Setup zu evaluieren und bin auf eine neue Lösung gekommen.

Welche Passwortmanager gibt es?

Zu Passwortmanagern kursieren viele Tests und Vergleiche im Netz, sie kommen mitunter auf unterschiedliche Ergebnisse, darunter: netzwelt.de 06/2019 empfiehlt LastPass, EnPass und Passwort-Depot und bietet insgesamt eine gute Übersicht über Stärken/Schwächen, onlinesicherheit.at 05/2019 empfiehlt KeePass, Avira Password Manager und Password Safe, saferinternet.at zusätzlich auch noch Keeper. PrivacyTools.io (abgerufen 07/2021) empfiehlt explizit stattdessen KeePassXC, Bitwarden und LessPass.

Mögliche Passwort-Manager:

Auch Browser wie Google Chrome und Firefox oder Betriebssysteme (etwa Keychain auf Mac) bieten integrierte Passwort-Speichersysteme an. Diese lassen aber Flexibilität vermissen: Etwa müssen Sie immer denselben Browser verwenden und Ihre Passwörter lassen sich nicht so leicht übertragen.1 Außerdem ist der Browser generell eine Schwachstelle für Angriffe von außen, weshalb auch die Browser-Erweiterungen für Passwortmanager generell als Sicherheitsrisiko einzustufen sind.

Was macht einen guten Passwortmanager aus?

Welche Faktoren spielen in der Auswahl eine Rolle? Ein paar Schlagwörter:

  • Passwort-Manager oder nicht? Auch wenn Passwortmanager selbst nicht zu 100 % unangreifbar sind, so überwiegt doch eindeutig der Nutzen über der Gefahr: Haben Sie einen, verwenden Sie längere und sicherere Passwörter, die Sie sich nicht merken müssen/können. Außerdem verwenden Sie für alle Dienste unterschiedliche Zugänge und treffen womöglich noch zusätzliche Schutzmaßnahmen wie das regelmäßige Ändern der Passwörter, weil Sie bequem daran erinnert werden.
  • Ein Tresor (vault, wallet) ist das Bündel an Passwörtern, das Sie speichern. Legen Sie bei der Auswahl des Passwortmanagers Wert auf einen möglichen Export der Inhalte in offenen, übertragbaren Formaten (z. B. CSV), um nicht in einen Dienst eingeschlossen zu sein – Sie möchten nicht später händisch hunderte Passwörter übertragen müssen, sollten Sie sich einmal für einen anderen Dienst entscheiden. Dasselbe gilt natürlich auch für den neuen Manager, außerdem sollte dieser Import-Funktionen anbieten. (Etwa war der Export-Import via CSV von 1Password zu KeePass reibungslos möglich).
  • Master-Passwort. Die Grundfunktion: Sie müssen sich nur mehr dieses eine Passwort merken, um an alle anderen Ihrer Passwörter zu gelangen. Dass Sie sich bei diesem Zauberwort, das den Sesam öffnet, nicht der Einfachheit halber für „123“ entscheiden sollten, steht außer Frage – stattdessen sollten Sie dafür ein möglichst sicheres, aber für Sie leicht merkbares Passwort wählen. („Was macht ein sicheres Passwort aus?“)
  • Synchronisation der Passwörter/des Tresors. Als Backup, aber auch zur Nutzung auf mehreren Geräten, hilft die Synchronisation der Daten in die Cloud. Dazu werden die Inhalte des Tresors in der Cloud gespeichert, entweder auf den Servern des Diensteanbieters (Ihres Passwortmanagers) oder auf eigenen Clouds wie Dropbox, iCloud u. ä. Lokal gespeicherte Tresore sind viel schwieriger angreifbar, müssen aber klarerweise dann anders – oft manuell – gesichert und übertragen werden.
  • Browser-Erweiterungen. Hier wird es eng: Natürlich ist es genau die Browser-Erweiterung in Chrome, Firefox und Co., die das Ausfüllen von Passwörtern so einfach und bequem macht. Grundsätzlich sind aber genau diese Erweiterungen ein mögliches Sicherheitsrisiko, weil Angriffspunkt. Sicherer ist einfaches Copy-Paste über den lokalen Zwischenspeicher des Computers.2
  • Zwei-Faktor-Anmeldung. Wie Sie es vielleicht vom Online-Banking oder der Handy-Signatur kennen, gibt es auch bei Passwortmanagern eine Zwei-Faktor-Anmeldung, also die Anmeldung mittels zweier unabhängiger Geräte. Würde jemandem Ihr Master-Passwort in die Hände fallen, könnte er somit ohne das zweite Gerät (z. B. die App auf dem Handy) nicht auf die Passwörter zugreifen.
  • E-Mail-Passwörter. Da Sie sich bei den meisten Onlinediensten mit Ihrer E-Mail-Adresse anmelden und mit dieser ein Passwort auch meist leicht wiederherzustellen bzw. zu ändern ist, ist es grundsätzlich eine gute Idee, – neben dem Master-Passwort – vor allem auf die Passwörter Ihrer E-Mail-Adressen großen Wert zu legen und diese sicher zu machen. Wählen Sie lange Passwörter und ändern Sie diese regelmäßig. Wenn Sie kontrollieren möchten, ob Ihre E-Mail-Adresse von einer Datenpanne betroffen ist, können Sie dies auf haveibeenpwnd oder mit dem HPI Identity Leak Checker tun.

Auch Sicherheit braucht gute Usability

Gut gefällt mir die Vorstellung der Balance zwischen Sicherheit und Bequemlichkeit. Je bequemer etwas ist, desto höher ist die Chance, dass es nicht so sicher ist und je sicherer ein System ist, desto schneller wird es unbequem in der Bedienung. Gute Usability bleibt aber auch im Sicherheitskontext sehr wichtig: Wenn Sicherheitssysteme nicht einfach zu benutzen sind, ist die Gefahr groß, dass auf weniger sichere Alternativlösungen ausgewichen wird. Kurze, einfache Wege sind ein natürlicher Instinkt des Menschen, der von IT-Systemen unterstützt werden muss. Grundsätzlich muss sich Software am Menschen orientieren und nicht der Mensch an der Software. Daran ist nicht zu rütteln!

Oder wie es der User AviD auf Stackexchange formuliert:

Sicherheit auf Kosten der Benutzerfreundlichkeit geht auf Kosten der Sicherheit.3

Offenes Herz: KeePass als Open-Source-Lösung

KeePass ist ein Passwortmanager für Windows und in der Variante KeePassXC auch auf dem Mac nutzbar. Browser-Erweiterungen und USB-Stick-Lösungen gibt es auch. Der Passwortmanager ist Open Source und OSI zertifiziert, was bedeutet, dass keine Hintertüren für etwaigen Datenklau möglich sind.

KeePass ist eine alleinstehende App, in der die Passwörter in einer Liste hinter einem Master-Passwort versteckt sind. Soweit nichts Neues. Alternativ kann zusätzlich auch eine Schlüsseldatei auf einem externen Speichermedium wie einem USB-Stick abgelegt werden (Zwei-Faktor-Authentifizierung) oder das Öffnen des Tresors vom Nutzer des Betriebssystem abhängig gemacht werden.

Die Vorteile von KeePass sind die angesehenen Verschlüsselungsalgorithmen, etwa die kryptologische Hash-Funktion SHA-256, und der offen gelegte Code. KeePass bekommt grundsätzlich immer gute Bewertungen. Mittlerweile gibt es auch schon Browser-Erweiterungen, was die Handhabung vereinfacht. Die Passwörter können in TXT, HTML, XML und CSV exportiert und natürlich auch importiert werden. Ein Passwort-Generator ist integriert.

Dafür muss man sich an das altmodische Design gewöhnen – vor allem auf dem Mac tut der Windows-Look dann doch immer noch etwas dem Auge weh.

Screenshot von KeePassXC auf Mac
Screenshot von KeePassXC auf Mac, Eintragen eines neuen Passworts

Nach zwei Monaten erster intensiver Nutzung zeigen sich keine großen Nachteile in der Usability gegenüber 1Password. Die Login-Daten lassen sich bequem mit Shortcuts kopieren und die Browser-Erweiterung zeigt im Test zwar Hickups, ist ingesamt aber eher zu zugeknöpft als zu offen. Die Synchronisation über die Cloud ist möglich, wenn die Datei direkt dort abgelegt und von dort geöffnet wird. Eine klare Empfehlung – sofern man es schafft, beim visuellen Design vorerst noch ein Auge zuzudrücken.

Hacker machen Software sicherer

Open Source arbeitet grundsätzlich entgegen dem Grundsatz „security by obscurity“, bei dem versucht wird, das Verschlüsselungsverfahren selbst geheim zu halten, nicht nur den Schlüssel. Wird das Verschlüsselungsverfahren aber nicht offen gelegt, ist seine Sicherheit schwer zu beweisen. Deshalb ist im Sinne der Transparenz der Code offen zu legen und die Energien werden besser darauf verwendet, einen guten Algorithmus zu bauen und nur den Schlüssel zu schützen, als den Algorithmus selbst zu schützen (dies im Sinne des Kerckhoffs’schen Prinzips). Open Source macht Software also oft sicherer: Mehrere Leute arbeiten an Verbesserungen und am gemeinsamen Ziel, alle zu schützen (durch einen guten Algorithmus) anstelle nur eines einzelnen (durch einen guten Schlüssel).

Hacker (und Haecksen) haben nicht den allerbesten Ruf, wenn sie als kriminelle Computereindringlinge verstanden werden. Sachkundige Hacker mit fundierten Systemkenntnissen tragen aber im Gegenteil fundamental zur Softwaresicherheit bei, indem sie fremde Systeme angreifen, testen und dabei Fehler und Sicherheitslücken aufdecken.

Findet ein Hacker einen Fehler in einer Software, hat er mehrere Möglichkeiten: Er kann sofort die Medien warnen, um Druck auf das Unternehmen auszuüben und potentielle Opfer der Sicherheitslücken zu informieren (sog. full disclosure). Bei einer „verantwortungsvollen Offenlegung“ (responsible disclosure) gibt der Hacker dem Unternehmen Zeit, die Probleme vor einer Veröffentlichung zu beheben.

Um die Suche nach Fehlern zu motivieren, bieten Unternehmen oft proaktiv Belohnungen an. In sog. Bug-Bounty-Programmen wird „Kopfgeld“ für das Finden von Programmfehlern geboten. Diese Prämien sind aber gleichzeitig politisch brisante Mittel, wenn die Sicherheitsprobleme dadurch vor der Öffentlichkeit verheimlicht werden.

Kurzes Fazit: Das Verwenden eines Passwortmanagers ist sinnvoll, die Sicherheitskriterien für Passwörter und andere Authentifizierungsmethoden ändern sich stetig mit den Anpassungen der Cracker und mit dem technischen Fortschritt. Wer auf Open Source setzt, setzt auf Lösungen ohne mögliche Hintertüren und wir alle profitieren von der Arbeit von Hackern.

Vielen Dank an meinen branchennahen Gesprächspartner zu Sicherheitsthemen, der nicht namentlich genannt werden möchte.

Link zum Thema:

  • ISO 27001: Zertifizierung zu Informationssicherheit

Änderungen 07/2021: Empfehlungen von PrivacyTools hinzugefügt.

Illustration: „Abstract“ von Ouch! icons8.com.

  1. Jon Brodkin: The secret to online safety: Lies, random characters, and a password manager, Ars Technica 2013
  2. Genaugenommen sind weder der Zwischenspeicher noch die Tastatur Ihres Computers zu 100 % sicher, beides kann theoretisch abgegriffen werden (sicherer als Funk- sind Bluetooth- oder Kabel-Tastaturen). Dennoch ist dieses Risiko vergleichsweise gering.
  3. Security at the expense of usability comes at the expense of security.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.