Passwortmanager

Passwort-was?

Dass man nicht für jeden Dienst dasselbe Passwort verwenden soll, ist bekannt. Weniger bekannt ist, dass es nur bedingt hilft, wenn man Variationen desselben Passworts hilft. Ich lese häufig Tipps wie “Nimm ein Basis-Kennwort und hänge für jede Seite, wo Du es verwendest, den Seitennamen an”. Klingt in der Theorie gut, aber es ist tatsächlich ziemlich unsicher. Denn hat ein Angreifer ein Passwort wie “M1Sup3rs1ch3r3sP@ssw0rt_google.de” ausgespäht, kann er sich gleichzeitig auch alle anderen passwörter herleiten. Den statischen Teil kennt er, den dynamischen quasi auch.

Sicherer ist es, einen Passwortmanager zu benutzen und im besten Fall die Passwörter auswürfeln, also zufällig erzeugen zu lassen. Die meisten modernen Passwort-Manager unterstützen das und bieten es teilweise sogar proaktiv an. Allen gemein ist es, dass sie Möglichkeiten bieten, sich im Browser oder auf dem Handy via App einzubinden und automatisch die benötigten Passwörter auszufüllen. So muss man sich nur noch ein einziges, starkes Passwort (das Master-Kennwort) für den Passwort-Safe merken und nicht mehr.

Nun mag man sich fragen: Ist denn ein einzelnes Passwort, das abhanden kommen kann, dann nicht der single point of failure? Was passiert, wenn man dieses Passwort verliert bzw. es gestohlen wird? Dann hätte jemand Zugriff auf alle anderen Passwörter. Das ist sicher eine korrekte Annahme, doch dafür gibt es zusätzliche Sicherheitsmechanismen, die zum einen auf Anbieterseite als auch auf dem eigenen Gerät greifen.

Als wichtigste wäre hier 2FA / MFA zu nennen, womit man zusätzlich zum Benutzernamen und Kennwort noch einen zweiten Faktor, beispielweise eine von einer App generierten Zahl, benötigt. Ein Angreifer könnte mit dem Passwort alleine nicht viel anfangen. Viele Anbieter überwachen zudem die Anmeldung von unüblichen Ländern aus; wenn Du Dich bisher immer aus Deutschland auf den Servern angemeldet hast, plötzlich aber Logins aus Bolivien, Australien und Norwegen stattfinden, wird der Anbieter Dich via E-Mail informieren und im besten Fall den Zugang vorübergehend sperren, bis Du Verifikationsschritte unternommen hast. Das gilt natürlich nur für Online-Passwortmanager, die sich jedoch aufgrund der geräteunabhängigen Verfügbarkeit großer Beliebtheit erfreuen.

Die Wahl zwischen Online- und Offline-Passwortmanagern mag gerade sicherheitsbewussten Nutzern schwer fallen. Der Online-Passwortmanager wird auf den Servern des Betreibers betrieben und man muss sich darauf verlassen, dass dessen Sicherheitsmaßnahmen ausreichen, um Angriffe abzuwehren und selbst bei einer Übernahme der eigenen Server durch Angreifer die Nutzerdaten zu schützen. Das ist eine komplexe Thematik und die Anbieter erlauben Nutzern in der Regel nicht, die eigene Infrastruktur zu überprüfen. Die meisten Nutzer hätten so oder so nicht das notwendige Fachwissen dafür. Blieben noch Offline-Passwortmanager, die auf dem lokalen PC oder Handy laufen und Daten nicht in der Cloud, also auf fremden Servern speichern. Problematik hier: Man muss die Datenbank irgendwie auf alle Geräte synchronisieren, die auf die Passwörter zugreifen sollen. Das wiederum ist schwieriger als es klingt, vor allem, wenn man nicht den Weg über die Synchronisation auf einem Server gehen möchte.

Für Nutzer, die sich ausreichend gut mit Serversicherheit und Betriebssystemen auskennen, gibt es die Möglichkeit, selber einen Passwort-Server zu hosten. Das kann sogar zu Hause auf einem Raspberry Pi oder einem Mini-Server sein, so dass man keinen angemieteten Server bei einem der verfügbaren Hoster benötigt. Hier ist die Schwelle das Fachwissen des Nutzers. Und selbst Menschen, die sich gut auskennen, können durchaus Fehler bei der Absicherung ihrer Server machen. Ein Team von Administrator*innen und Sicherheits-Fachleuten bei einem Anbieter von Online-Passwortmanagern hat hier in der Regel tatsächlich bessere Möglichkeiten.

Empfehlungen

Was wären also meine Empfehlungen für brauchbare Passwort-Manager? Es gibt viele Vergleiche und Artikel dafür im Internet, auf die ich lieber verweisen würde, aber ich habe tatsächlich ein paar Favoriten:

Offline-Passwortmanager

Ganz klar: KeePassXC!

KeePassXC ist für alle gängigen Betriebssysteme verfügbar, beherrscht die Synchronisation der verschlüsselten Passwort-Safes über gängige Cloud-Austauschdienste wie DropBox, OwnCloud, etc. und ist kostenlos zu haben und vor allem Open Source. Auch Browser-Plugins gibt es, um Zugangsdaten automatisch mit dem Browser zu synchronisieren.

Online-Passwortmanager

Mein Favorit: Bitwarden

Bitwarden ist wie KeePassXC (und dessen Original, KeePass) Open Source, für alle gängigen Betriebssysteme verfügbar und in der Grundversion ebenfalls kostenlos. Es bietet umfangreiche Sicherheitsoptionen, unter anderem 2FA-Anmeldung, mit der kostenpflichtigen Premium-Variante noch einige mehr. Unter anderem werden Passwörter auch gegen diverse Listen von bekannten abgeflossenen Passwörtern abgeglichen und übersichtlich dargestellt, welche Einträge als unsicher gelten und dringend aktualisiert werden sollten. Die Daten werden angeblich so auf dem Server abgelegt, dass der Betreiber keinen Zugriff auf die Passwörter hat, was sich jedoch nur schwer überprüfen lässt. Ein wenig Vertrauensvorschuss ist hier daher wie bei allen Online-Anbietern notwendig.

Online-Passwortmanager (selbstbetrieben)

Empfehlung für Profis: Vaultwarden

Wer jetzt aufmerksam wird und sich fragt, ob Vaultwarden irgendwie aufgrund des ähnlichen Namens mit Bitwarden verwandt ist, hat den richtigen Riecher. Vaultwarden ist der durch die Community weiterentwickelte Spinoff von Bitwarden, der teilweise vom Mutterprojekt (noch) nicht unterstützte Methoden mitbringt und darüber hinaus auch selbst gehostet werden kann. Kostenlos, versteht sich. Der grundlegende Funktionsumfang entspricht dem von Bitwarden, daher erspare ich Dir hier die erneute Aufzählung der Features.