Wissen & Mehr

Passwort Manager

Was ist ein Passwort Manager? Pro & Contra Passwort-Manager: Was spricht f√ľr ihn, was gegen ihn? Darum gehts in diesem Beitrag. Plus: Kostenlose Freeware f√ľr Windows, Mac, Android Smartphone, iOS (iPhone / iPad) ‚Ķ

Ein Passwort Manager besteht meist aus ein bis drei Teilen:
  1. Ein Hauptprogramm (Windows, Mac, Linux), das die Zugangsdaten (Welche Website? Welcher Nutzername? Welches Passwort?) in einer (mit Passwort verschl√ľsselten) Datenbank verwaltet und verschiedene Zusatzfunktionen bietet.
  2. Ein Plug-In f√ľr die Browser, dass diese Zugangsdaten dann (halb)automatisch eintr√§gt, wenn man das abruft. Das ist optional, man k√∂nnte das auch von Hand √ľbernehmen.
  3. Ein (irgendwie synchronisierbares) Gegenst√ľck des Passwort Manager auf Android, iPhone/iPad (iOS) und anderen Smartphone-/Tablet-Mobilsystemen, mit dem man mindestens die Passwortdatenbank laden, √∂ffnen und anzeigen kann, zuweilen auch bearbeiten (einige Produkte haben sogar einen eigenen Browser).

Damit die Passw√∂rter im Passwort Manager sicher sind, r√ľckt er diese nur auf Anfrage heraus ‚Äď und nur nach Angabe einer Art ‚ÄěMasterpasswort‚Äú. Dieses Passwort sollte nat√ľrlich etwas sicherer sein als √ľblich, weil es ja alle anderen Passw√∂rter sch√ľtzt und daher nicht weniger sicher sein darf als diese.

Anzeigen

Gr√ľnde f√ľr Passwort Manager

Es gibt viele Gr√ľnde f√ľr einen Passwort-Manager:

Keine Kennwörter mehr merken.
Weil alle im Passwort Manager gespeichert sind. In der Realität sollten Sie sich einige wichtige dennoch merken und nicht im Passwort Manager speichern.

Kennwort-Generator von Password Safe

Bessere Passwörter!
Weil wir uns dank Passwort Manager keine Kennw√∂rter mehr merken m√ľssen, k√∂nnen wir diese wahnsinnig √ľbertrieben kompliziert machen ‚Äď ohne daran zu verzweifeln!

Komplexere Passwörter!
…denn viele Passwort Manager enthalten auch gleich einen Passwort-Generator! Der hält uns davon ab, katze67 zu verwenden, nur weil uns nichts besseres einfällt.

Überall andere Passwörter!
Weil wir uns keine Passw√∂rter mehr merken m√ľssen, sind wir nicht mehr in Versuchung, bei allen Diensten nur ein gemeinsames Passwort zu haben. Sie k√∂nnen bei jedem Dienst ein anderes Passw√∂rter haben, m√ľssen sich aber trotzdem nur ein Kennwort merken ‚Äď n√§mlich das Passwort des Passwort-Managers.

Ständig andere Passwörter!
Weil wir uns keine Passw√∂rter mehr merken m√ľssen, k√∂nnen wir √∂fter mal ein Passwort √§ndern, wir m√ľssen uns ja weder das neue merken noch das alte vergessen. Besser Passwort Manager f√ľhren sogar eine Chronik bisheriger Kennw√∂rter.

Weniger Phishing!
Passwort-Manager speichern ein Passwort f√ľr eine bestimmte Seite und geben es nur dort automatisch an. Das bedeutet, dass wenn Sie ein Zugangsdatenfeld vor sich haben, und der Passwortmanager sich weigert, es auszuf√ľllen, dann sind Sie vielleicht auf der falschen Seite! Andersherum: Einige Passwortmanager rufen z.B. per Doppelklick die gew√ľnschte Seite auf und geben dann direkt Name und Passwort ein ‚Äď so ist man sicher, sich wirklich dort anzumelden, wo man sich anmelden will.

Mehr Komfort!
Passwort-Manager k√∂nnen, je nach Ausf√ľhrung, automatisch anzeigen, ob die gew√§hlten Passw√∂rter sicher sind; sie k√∂nnen nach Ablauf einstellbarer Zeit darauf hinweisen, dass ein Passwort gewechselt werden sollte; sie k√∂nnen Notizen zu Passw√∂rtern speichern, teils auch Dateien; einige bieten auch spezielle Bereiche an, etwa um auch Software-Keys zu verwalten.

Kurzum:
Mit einem Passwortmanager ist es leichter, sicherer mit Web-Passwörtern umzugehen.

Gr√ľnde gegen Passwort-Manager

Ja, es gibt auch Gr√ľnde dagegen, doch die meisten sind in meinen Augen paranoider Unsinn.

‚ÄěSie werden dann irrsinnig komplexe Passw√∂rter verwenden, die Sie auf dem Smartphone/Tablet auch mal eingeben m√ľssen ‚Äď und dann schier wahnsinnig werden.‚Äú
Ja. Aber: Da muss man durch. Das Gegenteil ist das Problem: Bei Diensten, bei denen wir uns per App anmelden, neigen wir dazu, limitiert vom Display-Keyboard auf dem Mobilger√§t nur simple Passw√∂rter zu verwenden und Sonderzeichen zu meiden. Der M√∂glichkeitsraum so entstandener Passw√∂rter ist zwangsl√§ufig kleiner als der M√∂glichkeitsraum m√∂glicher Kennw√∂rter und daher anf√§lliger f√ľr einen Brute-Force-Angriff (bei dem man einfach alle Kombinationen durchspielt).

‚ÄěSie werden denkfaul: Statt sich die 238 Passw√∂rter zu merken, speichern Sie diese im Passwort Manager ‚Äď und vergessen sie dann.‚Äú
Das ist wahr. Aber heute, wo man sehr viele Passwörter hat, ist es einfach kein Argument mehr, denn die merkt sich ohnehin niemand mehr.

‚ÄěSie k√∂nnen dem Passwort Manager nicht trauen, er k√∂nnte selbst die Passw√∂rter stehlen!‚Äú
Das ist richtig, aber das kann Windows auch, sowie jede Software, die darauf installiert, etwa der Browser, sowie jedes Plug-In im Browser.
Das Argument bleibt dennoch richtig. Aber es gilt eben, die Vertrauensfrage zu stellen: Haben wir Anlass, der jeweiligen Software nicht zu vertrauen, die diese Software seit Jahren anbietet? Eher nein, jedenfalls nicht mehr, als wir Software im Allgemeinen vertrauen k√∂nnen und m√ľssen. Siehe auch weiter unten: ‚ÄěMeine paranoiden Sicherheitstipps zu Passwort-Managern‚Äú.

‚ÄěDieser kommerzielle Passwort Manager XY ist aber nicht OpenSource und deswegen unsicher!!!‚Äú
Oooch‚Ķ Tja. Wenn das f√ľr Sie wichtig ist‚Ķ

Bedenken Sie, dass wir hier von einer Software sprechen, die 5 bis 50 Euro kostet. Atomraketen-Abschusscodes gehören da nicht rein. It’s that easy.

‚ÄěDurch die Konzentration aller Passw√∂rter an einem Ort (dem Passwort-Manager) sinkt die Sicherheit.‚Äú
Das ist im Prinzip absolut richtig: Ein Angreifer muss nur 1. die Passwortdatei und zweitens 2. das Zugangskennwort haben, schon hat er alle Passwörter.

  • Das gilt aber auch f√ľr die Excel-Listen und Word-Files und TXT-Dateien, die viele Leute f√ľr ihre Passw√∂rter nutzen (und nur im Idealfall passwortgesch√ľtzt speichern). Es gilt auch f√ľr Passwortb√ľcher (die aber immerhin nicht digital hackbar sind).
  • Es l√§sst sich auch nicht √§ndern: Passwortmanager werden k√ľnftig noch mehr ins Visier von Angreifern r√ľcken! Die Frage ist nur, ob Sie wirklich sicherer sind, wenn Sie auf einen Passwortmanager verzichten ‚Äď und daher dann unsichere Passw√∂rter nutzen.

Es läuft also auf die Frage hinaus: Wie leicht können Ihnen die Datenbankdatei und das Zugangskennwort gestohlen werden?

Ein Passwortmanager ist den gleichen Gefahren ausgesetzt wie alles auf Ihrem PC. Haben Sie einen Trojaner im System, kann dieser Trojaner auch Ihr Passwortprogramm infiltrieren, ihre Datenbankdatei stehlen, das Datenbankdatei-Zugangspasswort mitschneiden ‚Äď ja; aber ein Trojaner kann genauso gut ja auch direkt mitschneiden, welche Zugangsdaten auf welcher Website Sie eingeben ‚Äď ganz ohne Passwortmanager. Anders gesagt: Ein infiziertes System ist immer unsicher, ob mit oder ohne Kennworthelfer.

In jedem Fall sind Sie mit einem Passwortbuch sicherer, sofern Sie es stets zu Hause aufbewahren, und dort nat√ľrlich im Safe ūüėČ

‚ÄěIch kenne da einen Sicherheitsexperten, der von Passwortmanagern abr√§t!‚Äú
Recht hat er ‚Äď f√ľr sich; denn bitte halten Sie sich die Alternativen vor Augen:

  • Nicht-Experten speichern ihre Passw√∂rter im Browser, in Word-Dateien, in Excel-Listen, in Text-Dateien, ja teilweise sogar im Adressbuch ihres Smartphones (das dann mit irgendwas gesynct, von Chat-Apps bestohlen wird, etc.).
  • Nicht-Experten haben Passw√∂rter wie katze69 und scheissdrauf500.

Bei DIESEN Anwendern kann ein Passwort Manager helfen, sicherer mit Passwörtern umzugehen.
(Der Sicherheitsexperte hingegen hat seine 436 stets mindestens 64 Zeichen langen Kennw√∂rter alle im Kopf ‚Äď oder leitet sie bei jedem Login aus irgendwas Mathematischem her.)

Meine paranoiden Sicherheitstipps zu Passwort-Managern

Superduperlanges Passwort-Manager-Zugangs-Kennwort!
Wenn alle Passw√∂rter im Passwortmanager liegen, dann sind sie darin nur so sicher wie das Passwort, mit dem Sie Ihre Passwortdatenbank sichern. Daher sollte das wirklich lang und kompliziert sein. Ein sch√∂ner, langer Satz mit Zahlen und Zeichen: Etliche Passwortmanager k√∂nnen damit umgehen, dass sich Leerzeichen darin befinden, sodass wirklich Passwort-Manager-Kennw√∂rter wie ‚ÄěKeine Ahnung, warum ich jedes Mal 59 Zeichen eingeben muss!‚Äú oder ‚ÄěIch gebe hiermit drei ### und in Klammern vier Zahlen (4765) ein und hoffe!‚Äú m√∂glich sind. Ich denke, das System wird deutlich ‚Äď machen Sie davon Gebrauch!

Keine Cloud, kein Sync nutzen!
Nat√ľrlich verbietet es sich von selbst, die Datenbankdatei in Cloud-Speicher zu stellen oder √ľber sonstige Cloud-Dienste zu nutzen. (Viele Produkte bieten das an, aber man kann die Passwort-Datenbankdatei auch manuell verschieben(kopieren, auf den zweiten Rechner / das Tablet‚Ķ)
(Alles machen es nat√ľrlich trotzdem‚Ķ)

Vorsicht vor der Zwischenablage!
Das Funktionsprinzip vieler Passwortmanager ist, die Zwischenablage zu verwenden, um Passw√∂rter zur Verf√ľgung stellen. Das bedeutet auch: Wenn Ihr System kompromittiert ist, durch Virus/Malware/Trojaner/Keylogger, dann besteht die prinzipielle Gefahr, dass √ľber das Sniffen der Zwischenablage Passw√∂rter ausspioniert werden. Das gilt auch f√ľr Mobilger√§te (siehe etwa: ‚ÄěHey, You, Get Off of My Clipboard‚Äě) Es gilt wie stets: Auf einem unsicheren System kann keine Software sicher sein.

System verschl√ľsseln!
Um Ihre Passwort-Datenbank-Datei vor unbefugtem Zugang zu sch√ľtzen, sollte der Rechner, also die Systempartition verschl√ľsselt sein, bei Tablets und Smartphones nat√ľrlich das jeweilige Ger√§t (iOS ab Werk; Android: Android verschl√ľsseln). So k√∂nnte ein Angreifer nur schwer einen Software-Keylogger/Trojaner heimlich aufspielen, etwa in Ihrer Abwesenheit vom Rechner. Gegen einen Hardware-Keylogger w√ľrde dies nat√ľrlich nichts ausrichten (hierf√ľr bieten Passwortmanager aber virtuelle Keyboards, es gelten die Anti-Keylogger-Tricks).

Sicherheitsstufen einf√ľhren!
Nat√ľrlich speichern Sie um Himmels willen nicht alle Ihre Passw√∂rter im Passwortmanager! Statt dessen laden Sie darin nur den ganzen unwichtigen Bullshit-Ballast ab, irgendwelche Foren, in denen es um nichts wichtiges geht, das siebzehnte soziale Netzwerk, das eh keiner nutzt, etc.
Eine Handvoll von Passwörtern merken Sie sich weiterhin (oder verwenden Papier) und speichern sie auf keinen Fall im Passwortmanager, also zum Beispiel Google, Facebook, Amazon, eBay, PayPal, Online-Banking. Stellen Sie sich sozusagen Sicherheitsbereiche und Hochsicherheitsbereiche vor: Sicherheitsbereiche haben Passwörter, die Sie im PM speichern; Hochsicherheitsbereiche haben Passwörter, die Sie NIRGENDWO speichern, außer im Kopf (oder wenigstens unzugänglichem Papier). Das ist unbequemer, aber sicherer. (Bedenken Sie, dass dies paranoide Sicherheitstipps sind.)

Sicherheitsstufen f√ľr Passwort-Manager!
Okay, also, Sie *wollen* aber unbedingt Ihre Cloud nutzen und Passwortmanager syncen. Kann ich verstehen. Auch gut. Auch hier k√∂nnen Sicherheitsstufen eine Hilfe sein: Sie nehmen zum Beispiel LastPass oder 1Passwort, also ‚Äěwas zum syncen‚Äú, und speichern darin die Passw√∂rter f√ľr den Alltagsgebrauch, die gar nicht wichtig sind. Und dann nehmen Sie etwas wie Password Safe oder KeePass, und speichern darin die relativ wichtigen Passw√∂rter, vermeiden aber, hier Cloud/Sync zu nutzen; statt dessen transportieren Sie die Safe-Datei von Hand zum Beispiel vom PC in die App. Extrem wichtige Passw√∂rter merken Sie sich nach wie vor im Kopf oder auf Papier an einem sicheren Ort. Nur ein Vorschlag.

Typische Passwort-Manager

Demnächst mit mehr Details an dieser Stelle, einstweilen nur kurz vorgestellt:

Das Minimum:

  • Password Safe
    siehe Beitrag: Password Safe ‚Äď Test Passwort-Manager
    Windows (Linux Beta). Free. OpenSource. Portable (optional). Der urspr√ľngliche Entwickler ist der Krypto-Guru Bruce Scheier, heute entwickelt es Rony Shapiro weiter. Kann selbst f√ľr Mittelparanoide als vertrauensw√ľrdig betrachtet werden. Ist aber wenig komfortabel, Zugangsdaten m√ľssen manuell in den Browser √ľbertragen werden (Copy&Paste).
    Das Tools bietet auf den ersten Blick nicht wahnsinnig viel Features und keine nennenswerte Cross-Plattform-Unterst√ľtzung ‚Äď doch es gibt viele Zusatztools und Portierungen von Drittanbietern (Liste), unterem f√ľr Android (free) sowie Mac und iOS (kommerziell).
    Password Safe ist imho das Minimum, das man benutzten und haben sollte.

Free-Klassiker:

  • KeePass
    http://keepass.info/
    Windows. Der Klassiker. Free. OpenSource (GPL). Unterschieden wurden zwei Versionen (Featurevergleich): 1.x ist √§lter, aber problemloser plattform√ľbergreifend nutzbar. 2.x ist neuer und besser und kann viel mehr, ist aber derzeit noch nicht ohne weiteres Cross-Plattform nutzbar (obwohl sich die Situation schon gebessert hat, aber zum Beispiel Portable ist nach wie vor nur 1.x zu haben). F√ľr Android, iOS etc. muss man sich meist (kompatible) Versionen von anderen Entwicklern holen (z.B. Android: Keepass2Android bzw. Keepass2Android Offline, iOS: MiniKeePass), mit entsprechendem Risiko (Zwischenablagen-Sniffer). Es gibt Zillionen von Pugins, Erweiterungen, Ports.
  • KeyPassX
    http://www.keepassx.org/
    Mac/Linux. Spezielle Version f√ľr Mac/Windows/Linux-Parallel-User auf Basis der 1.x. Alternative: KyPass Companion
  • Password Gorilla
    http://github.com/zdia/gorilla/wiki
    Win/Mac. Free. OpenSource. Portable. Ziemlich rudimentär, aber kompatibel zu Password Safe (liest dessen .psafe3-Dateien).

Kommerziell:

  • AceBit Passwort Depot
    http://www.password-depot.de/
    Windows. Kommerziell, ca. 30 Euro. Nutze ich selbst l√§nger als zwei Jahre, ich finde die Software erstaunlich gut. Viele hilfreiche Funktionen, die sehr sinnvoll sind. In meinen Augen echt das Geld wert und mit pers√∂nlich lieber als KeePass, weil komfortabler. Aber: Nur f√ľr Windows (Apps f√ľr iOS, Android, die aber noch nicht viel taugen); st√§ndiger Update-Zwang, weil weder Firefox- noch Chrome-Extension √ľber die jeweiligen Infrastrukturen vertrieben werden, sondern nur von den Apps selbst. Auf Chrome derzeit gar keine Extension, weil Google alle Extensions, die nicht aus dem Web Store stammen, abschaltet (muhahaha!).
  • Agilebits 1Password
    https://agilebits.com/onepassword
    Mac/Windows. Kommerziell, ca. 50 Euro. Auf dem Mac die Passwortsoftware und dort ungeheuer ausgereift. Auf Windows relativ neu aber schon recht brauchbar, allerdings m√ľssen (!) Chrome-User, die parallel Windows und Mac nutzen, derzeit die App-und-Extension-Sync abschalten und als Erweiterung die 3 verwenden, nicht die 4 (siehe Antwort 2). Dennoch mein Tipp f√ľr Mac-Windows-Parallelnutzer, bzw. Mac-Windows-iOS-Parallelnutzer. Aber halt schon etwas teuer‚Ķ Technisch finde ich Acebit Passwort Depot ausgereifter, die Bedienung von 1Password ist allerdings deutlich besser.
  • Mobile Sitter
    http://www.mobilesitter.de/
    iOS/Android: Nur f√ľrs mobile Ger√§t. Und mit einer netten Idee ausgestattet: Es zeigt nach Eingabe des Zugangspassworts IMMER ein gespeichertes Passwort an, doch wenn es das falsche Zugangspasswort ist, wird auch ein falsches gespeichertes Passwort ausgegeben. Gef√§llt mir trotzdem nicht.

Bekannt, kommerziell, verbreitet (aber nicht ausprobiert):


Alternativen zu Passwort-Managern

Niemand muss Passwortmanager benutzen, es gibt reichlich Alternativen.
  • Eingebauter Passwort-Manager der Browser. Ja, sch√∂n bequem. Aber halt unsicher und erste Wahl f√ľr einen Angriff, zumal kaum jemand auf Firefox ein Master-Passwort setzt oder auf Chrome ein anderes Passwort f√ľr die PW-Sync nimmt als das Google-Passwort. Es gilt, wie stets: Am sichersten fahren Sie mit einer ‚ÄěExoten‚Äú-L√∂sung‚Ķ
  • Alle merken. Wer‚Äôs kann ‚Ķ
  • Gelbe Haftnotizen am Bildschirm: Nun, √§h: vielleicht keine sooo gute Idee.
  • Notizbuch. Sehr gut, sehr sicher. Aber man darf es nicht verlieren, sollte es also nirgends mitnehmen. Am Firmen-Arbeitsplatz hat es nichts zu suchen.
  • Passwort-Memorierhilfen: siehe etwa Mnemonizer
  • Excel/Word-Datei mit Passwortschutz: Besser als nix.
  • Krypto-Notizprogramme: Auch sehr gut, n√ľtzlich, praktisch, aber halt nicht portabel und crossplatform.
  • Adressverzeichnis des Handys. Gaaanz schlecht!
  • Fingerabdruckscanner: Biometrische Erkennung ist sehr zuverl√§ssig ‚Ķ aber nicht im 3-Dollar-Bauteil-Bereich an Consumer-Elektronik. Billig-Fingerabdruckscanner sind eine prima Komfortfunktion auf einem anderweitig gut gesicherten System, aber eben nur das.
  • Passwortcloaker. Nette Idee: Man gibt ein leicht zu merkendes, unsicheres Passwort wie ichbeiamazon ein ‚Äď Passwortcloacker zerhackst√ľcken es und √ľbergeben etwas daraus live erzeugtes wie 37s$&ad%Z%¬ß37$& an Amazon. Beispiel: PasswordMaker (nicht ausprobiert) und Cloakpass (verd√§chtig, siehe Kommentar). W√§r aber nix f√ľr mich.
Rating: 5.0. From 2 votes.
Please wait...
Anzeigen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.