PostIT: Passwort auf der Rückseite
pixabay (@maklay62)
Sonntag, den 06. Oktober 2024 um 19:21 Uhr

Passwort-Manager: Passwörter sicher verwalten – Tools im Test

Ob privat oder auf Arbeit: Wir haben immer mehr Accounts und immer mehr Passwörter. Aber wo speichert man diese am Besten und wie? Meine Anforderungen und meinen Auswahlprozess möchte ich gerne mit Euch teilen. Die besten Passwort-Manager sind auf dem Prüfstand.

Passwörter begegnen uns heute überall. Im Beruf und privat erlebe ich es regelmäßig, dass immer das gleiche Passwort gewählt wird, weil man sich nicht 200.000 Passwörter für alles merken kann. Tatsächlich haben sich Passwörter und PINs in den letzten Jahren mehr als nur verzehnfacht.Wir haben PINs für den Personalausweis, den Reisepass, die Kreditkarte, das Smartphone und Passwörter für E-Mails, Firmen-Computer, Laptop, Tablet usw. Da sind Vergnügungen wie Amazon, die Spielebibliothek und Co. noch gar nicht dabei.

Passwort-Manager für die Passwort-Flut

Mit PostITs wird man dabei verrückt. Auch das alte Notizbuch mit Stift zum Einstecken ist mittlerweile ein breiter Ordner mit DIN A4 Seiten. Okay, jetzt übertreibe ich ein wenig, aber auch wirklich nur ein wenig. Notizbuch oder PostIts sind aber nicht immer griffbereit, wenn sie gebraucht werden. Ein Passwort-Manager bietet sich hier an. Zu Hause auf dem USB-Stick in der Schublade hilft dieser Passwort-Manager nicht weiter, wenn ich an der Kasse stehe und die PIN, die ich sonst auswendig kann, plötzlich trotzdem aus dem Gedächtnis verschwunden ist.

Als Bild oder Notiz im Smartphone ist sie jedoch auch nicht sicher und je nach Anzahl der Passwörter auch nicht schnell zu finden. Dann gibt es noch Menschen, die alles in eine Text-Datei schreiben, die zu Hause auf dem Desktop des PCs liegt und dann ins Smartphone kopiert wird. Wenn sich etwas ändert, dann muss man nicht nur eine Datei ändern, sondern auch die ganzen Kopien aktualisieren. Sicher ist das auch nicht. Das ist doch alles irgendwie umständlich. Bringen wir doch mal Ordnung ins Chaos.

Ortseingangsschild: Ordnung statt Chaos
pixabay (@geralt)

Ich benutze schon seit Jahren die Software KeePass für die Passwort-Flut, aber auch für Seriennummern von Windows, Office, PC-Games, PINs von Smartphone, Kreditkarte und vieles mehr. Nach über 10 Jahren hat sich einiges angesammelt, dass nicht mehr aktuell ist. Beim Ausmisten lohnt es sich auch zu prüfen, ob das noch eine gute und sichere Lösung ist.

Was sind Passwort-Manager?

Ein Passwort-Manager ist eine spezialisierte Software, die dazu dient, Passwörter und andere sensible Informationen sicher zu speichern und zu verwalten. Diese Tools bieten eine Vielzahl von Funktionen, die sowohl die Benutzerfreundlichkeit als auch die Sicherheit im Umgang diversen Konten verbessern?

Hauptfunktionen eines Passwort-Managers:

  • Speicherung von Account-Zugangsdaten
  • Generierung von sicheren Passwörtern
  • Automatisches Ausfüllen der Formularfelder in Anmeldeprozessen
  • diverse Sicherheitsfunktionen

Nützliche Zusatzfunktionen:

  • Suchfunktionen und Ordnungsfunktionen
  • Geschützte Weitergabe von Passwörtern oder Zugängen
  • Rechteverwaltung

Meine Anforderungen oder Warum hat jeder Mensch eigene Anforderungen?

Jeder Mensch hat andere Erfahrungen, Fähigkeiten und Bedürfnisse. Es gibt also nicht das eine super Tool. Was für einen perfekt ist, ist für einen anderen nicht zu gebrauchen. Vor der Suche nach der perfekten Software, stellen sich die Fragen:

  • Was brauche ich unbedingt?
  • Was hätte ich gerne?
  • Was finde ich nett, aber brauche es nicht unbedingt?
  • Was brauche ich gar nicht?

Das wichtigste Wort ist wie Eingangs erwähnt, die Person, die es anwenden soll. In diesem Fall ist es für mich. Meine aktuelle Lösung „Keepass“ hilft mir weiter. Sie zeigt mir, was ich schon nutze, was mir fehlt und was ich nicht nutze.

  • Ich brauche in jedem Fall:
    • Speichern der Passwörter mit Notizen
    • Die Software muss E-Mail, Website, diverse PINs und Seriennummern/Lizenzen speichern
      • die URL darf kein Pflichtfeld sein
      • es müssen Zertifikatsdaten angehängt werden können
    • Keine Zusatzlösung in einer anderen Software wie Nextcloud
    • Generierung sicherer Passwörter
    • Sicherer Zugriff auf die Passwörter – also mindestens ein Passwort-Schutz
    • kostenlos
  • Was ich gerne hätte:
    • Zugriff von überall – das kann aber auch eine Datei in einer Cloud oder ähnliches sein.
    • Eine Software für jedes genutzte Betriebssystem: Windows und Android – Apple oder Linux Software muss nicht unterstützt werden.
    • Diverse Accounts oder zwei Dateien für Privat und Arbeit
    • Screenshot-Schutz auf dem Smartphone
    • Integration im Browser
    • 2-Faktor-Authentifizierung mit Authy
    • Schutz bei Verlust des Master-Passwortes
    • Sprache: Deutsch
  • Was ich nicht brauche:
    • Rechteverwaltung für mehrere Nutzer auf Passwort-Ebene wie z.B. für eine Familie
    • Online-Account ggf. mit Datenlecks in der Vergangenheit
    • Warnung vor gefährdeten Websites und möglichen Phishing-Attacken
    • Synchronisation zwischen Geräten
    • Einen Passwort-Manager wie im Firefox, Chrome etc. bereits vorhanden.+

Wer KeePass kennt, der stellt sich jetzt die ersten Fragen. Schauen wir uns doch mal an, wie das bei mir aktuell aussieht.

KeePass – seit Jahren gut

KeePass – Screenshot von KeePass
keepass.info

KeePass Password Safe ist eine kostenlose Software. Sie ist kein Dienst im Internet (Software as a Service), bei dem die sensiblen Daten keinen Dritten anvertraut werden müssen. Die Software gibt es bereits seit 2003 und sie wird kontinuierlich weiterentwickelt.

KeePass verschlüsselt die gesamte Datenbank. Zum Entschlüsseln wird ein Master-Passwort vergeben. Die Sicherheit kann mit einer zusätzlichen Schlüsseldatei erhöht werden. Je nachdem, ob die Version 1 oder 2 verwendet werden, stehen verschiedene Verschlüsselungsverfahren zur Verfügung. Beide Versionen werden aktualisiert. Die Software kann mit und ohne Installation genutzt werden.

Mit der Tastenkompination „STRG-ALT-A“ lassen sich die Daten in fast jedes beliebige Formular einfügen und es wird keine zusätzliche Browser-Erweiterung benötigt. Es gibt jedoch diverse Browser-Erweiterungen – sowohl für Chrome als auch für Firefox. Neben der Windows-Version gibt es Android-APPs, die mir den Zugriff unterwegs gestatten. Die Android-APPs sind von Drittanbietern.

KeePass bietet die Möglichkeit in den Formularen eigene Felder hinzuzufügen, diese sind jedoch in den Android-APPs nicht zu sehen. Es gibt diverse Plugins u.a. auch für Backups, Im- und Exports und diverse Cloud- und Serverdienste.

Die gesamte Passwort-Datenbank liegt z.B. in einer Datei auf der Festplatte des Computers. Geht diese verloren oder wird beschädigt, dann sind die Daten weg. Außerdem ist sie auf anderen Geräten nicht verfügbar. Beides wird komfortabler, wenn man die Datei z.B. in die eigene Cloud oder auf einen eigenen Server legt. Für die Sicherheit ist man selbst verantwortlich. Privat und Arbeit können durch zwei Datenbanken gelöst werden. Diese Datenbanken können auch parallel geöffnet werden.

KeePass unterstützt 40 Sprachen. Über die Jahre sind viele Forks (Abspaltungen) entstanden. Der bekannteste ist KeePassXC, der plattformübergreifend zur Verfügung steht. Es gibt keine bekannten Leaks, die auf die Software zurückzuführen sind.

Der Hersteller selbst bietet kein Browser-Plugin an und die in den Appstores von Chrome und Firefox angebotenen Plugins funktionieren nur mit einer Erweiterung, die von GitHub geladen werden muss.

Fazit zu KeePass:

KeePass erfüllt bereits viele Anforderungen oder diese können mit einem kleinen Trick realisiert werden bis auf die 2-Faktor-Authentifizierung und das Speichern von Dateien in der Datenbank. Außerdem ist die Browser-Integration nur über Umwege möglich.

Welche Passwort-Manger werden getestet?

Warum wurden diese Passwort-Manager nicht getestet?

Ich kenne sicher nicht alle Passwort-Manager. Kennt ihr noch einen Passwort-Manager, den ich mir unbedingt ansehen sollte? Über das Kontaktformular können gerne weitere Optionen gesendet werden. Bereits ausgeschlossen habe ich diese:

Password Depot 16 usw. – Die Software ist eine alte und nicht gepflegte Version einer kostenpflichtigen Software. Ich habe nicht gegen kostenpflichtige Software. Eine alte Version einer Software als kostenlos für den Dauerbetrieb zu empfehlen, ist jedoch nicht meine Art. Dieser Software vertraut man sensible Daten an. Da steht Sicherheit im Vordergrund. Wird eine Software nicht aktualisiert, kann sie nicht sicher sein.

Passwort-Manager von Antivirenprogramm-Herstellern: Egal ob McAfee, Norton oder Avira – jeder von Ihnen bringt einen relativ unbrauchbaren Passwort-Manager mit, der noch dazu begrenzt ist auf das Device. Wechselt man den Virenscanner startet darf man alles übertragen oder hat keinen Zugriff mehr.

Software as a Service Passwort-Manager: 1Password, NordPass, LastPass und Co. sind sehr gut und haben viele Features. Ich muss meine sensiblen Daten aber einem Drittanbieter anvertrauen. Mindestens einer hatte mittlerweile ein Datenleck. Diese Datenlecks werden für gewöhnlich erst nach Monaten oder Jahren bekannt und welche Daten genau gestohlen wurden, wird auch nicht bekannt.

Da dies ein Praxistest ist, wird er in der nächsten Zeit erweitert.