Passwort-Manager: warum und wozu?

Passwort Manager (Foto: Andreas Winterer)

Ein Passwortmanager besteht meist aus ein bis drei Teilen:

  1. Ein Hauptprogramm (Windows, Mac, Linux), das die Zugangsdaten (Welche Website? Welcher Nutzername? Welches Passwort?) in einer (mit Passwort verschlüsselten) Datenbank verwaltet und verschiedene Zusatzfunktionen bietet.
  2. Ein Plug-In für die Browser, dass diese Zugangsdaten dann (halb)automatisch einträgt, wenn man das abruft. Das ist optional, man könnte das auch von Hand übernehmen.
  3. Ein (irgendwie synchronisierbares) Gegenstück auf Android, iPhone/iPad (iOS) und anderen Smartphone-/Tablet-Mobilsystemen, mit dem man mindestens die Passwortdatenbank laden, öffnen und anzeigen kann, zuweilen auch bearbeiten (einige Produkte haben sogar einen eigenen Browser).

Damit die Passwörter im Passwortmanager sicher sind, rückt er diese nur auf Anfrage heraus – und nur nach Angabe einer Art „Masterpasswort“. Dieses Passwort sollte natürlich etwas sicherer sein als üblich, weil es ja alle anderen Passwörter schützt und daher nicht weniger sicher sein darf als diese.

Gründe für Passwort-Manager

Es gibt viele Gründe für einen Passwortmanager:

Keine Kennwörter mehr merken.
Weil alle im Passwortmanager gespeichert sind. In der Realität sollten Sie sich einige wichtige dennoch merken und nicht im Passwortmanager speichern.

Kennwort-Generator von Password Safe

Kennwort-Generator von Password Safe

Bessere Passwörter!
Weil wir uns keine Passwörter mehr merken müssen, können wir diese wahnsinnig übertrieben kompliziert machen – ohne daran zu verzweifeln!

Komplexere Passwörter!
…denn viele Passwortmanager enthalten auch gleich einen Passwort-Generator! Der hält uns davon ab, katze67 zu verwenden, nur weil uns nichts besseres einfällt.

Überall andere Passwörter!
Weil wir uns keine Passwörter mehr merken müssen, sind wir nicht mehr in Versuchung, bei allen Diensten nur ein gemeinsames Passwort zu haben. Sie können bei jedem Dienst ein anderes Passwörter haben, müssen sich aber trotzdem nur ein Kennwort merken – nämlich das Passwort des Passwort-Managers.

Ständig andere Passwörter!
Weil wir uns keine Passwörter mehr merken müssen, können wir öfter mal ein Passwort ändern, wir müssen uns ja weder das neue merken noch das alte vergessen.

Weniger Phishing!
Passwortmanager speichern ein Passwort für eine bestimmte Seite und geben es nur dort automatisch an. Das bedeutet, dass wenn Sie ein Zugangsdatenfeld vor sich haben, und der Passwortmanager sich weigert, es auszufüllen, dann sind Sie vielleicht auf der falschen Seite! Andersherum: Einige Passwortmanager rufen z.B. per Doppelklick die gewünschte Seite auf und geben dann direkt Name und Passwort ein – so ist man sicher, sich wirklich dort anzumelden, wo man sich anmelden will.

Mehr Komfort!
Passwortmanager können, je nach Ausführung, automatisch anzeigen, ob die gewählten Passwörter sicher sind; sie können nach Ablauf einstellbarer Zeit darauf hinweisen, dass ein Passwort gewechselt werden sollte; sie können Notizen zu Passwörtern speichern, teils auch Dateien; einige bieten auch spezielle Bereiche an, etwa um auch Software-Keys zu verwalten.

Kurzum:
Mit einem Passwortmanager ist es leichter, sicherer mit Web-Passwörtern umzugehen.

Gründe gegen Passwort-Manager

Ja, es gibt auch Gründe dagegen, doch die meisten sind in meinen Augen paranoider Unsinn.

„Sie werden dann irrsinnig komplexe Passwörter verwenden, die Sie auf dem Smartphone/Tablet auch mal eingeben müssen – und dann schier wahnsinnig werden.“
Ja. Aber: Da muss man durch. Das Gegenteil ist das Problem: Bei Diensten, bei denen wir uns per App anmelden, neigen wir dazu, limitiert vom Display-Keyboard auf dem Mobilgerät nur simple Passwörter zu verwenden und Sonderzeichen zu meiden. Der Möglichkeitsraum so entstandener Passwörter ist zwangsläufig kleiner als der Möglichkeitsraum möglicher Kennwörter und daher anfälliger für einen Brute-Force-Angriff (bei dem man einfach alle Kombinationen durchspielt).

„Sie werden denkfaul: Statt sich die 238 Passwörter zu merken, speichern Sie diese irgendwo – und vergessen sie dann.“
Das ist wahr. Aber heute, wo man sehr viele Passwörter hat, ist es einfach kein Argument mehr, denn die merkt sich ohnehin niemand mehr.

„Sie können dem Passwortmanager nicht trauen, er könnte selbst die Passwörter stehlen!“
Das ist richtig, aber das kann Windows auch, sowie jede Software, die darauf installiert, etwa der Browser, sowie jedes Plug-In im Browser.
Das Argument bleibt dennoch richtig. Aber es gilt eben, die Vertrauensfrage zu stellen: Haben wir Anlass, der jeweiligen Software nicht zu vertrauen, die diese Software seit Jahren anbietet? Eher nein, jedenfalls nicht mehr, als wir Software im Allgemeinen vertrauen können und müssen. Siehe auch weiter unten: „Meine paranoiden Sicherheitstipps zu Passwort-Managern“.

„Dieser kommerzielle Passwortmanager XY ist aber nicht OpenSource und deswegen unsicher!!!“
Oooch… Tja. Wenn das für Sie wichtig ist…

Bedenken Sie, dass wir hier von einer Software sprechen, die 5 bis 50 Euro kostet. Atomraketen-Abschusscodes gehören da nicht rein. It’s that easy.

„Durch die Konzentration aller Passwörter an einem Ort (dem Passwortmanager) sinkt die Sicherheit.“
Das ist im Prinzip absolut richtig: Ein Angreifer muss nur 1. die Passwortdatei und zweitens 2. das Zugangskennwort haben, schon hat er alle Passwörter.

  • Das gilt aber auch für die Excel-Listen und Word-Files und TXT-Dateien, die viele Leute für ihre Passwörter nutzen (und nur im Idealfall passwortgeschützt speichern). Es gilt auch für Passwortbücher (die aber immerhin nicht digital hackbar sind).
  • Es lässt sich auch nicht ändern: Passwortmanager werden künftig noch mehr ins Visier von Angreifern rücken! Die Frage ist nur, ob Sie wirklich sicherer sind, wenn Sie auf einen Passwortmanager verzichten – und daher dann unsichere Passwörter nutzen.

Es läuft also auf die Frage hinaus: Wie leicht können Ihnen die Datenbankdatei und das Zugangskennwort gestohlen werden?

Ein Passwortmanager ist den gleichen Gefahren ausgesetzt wie alles auf Ihrem PC. Haben Sie einen Trojaner im System, kann dieser Trojaner auch Ihr Passwortprogramm infiltrieren, ihre Datenbankdatei stehlen, das Datenbankdatei-Zugangspasswort mitschneiden – ja; aber ein Trojaner kann genauso gut ja auch direkt mitschneiden, welche Zugangsdaten auf welcher Website Sie eingeben – ganz ohne Passwortmanager. Anders gesagt: Ein infiziertes System ist immer unsicher, ob mit oder ohne Kennworthelfer.

In jedem Fall sind Sie mit einem Passwortbuch sicherer, sofern Sie es stets zu Hause aufbewahren, und dort natürlich im Safe ;-)

„Ich kenne da einen Sicherheitsexperten, der von Passwortmanagern abrät!“
Recht hat er – für sich; denn bitte halten Sie sich die Alternativen vor Augen:

  • Nicht-Experten speichern ihre Passwörter im Browser, in Word-Dateien, in Excel-Listen, in Text-Dateien, ja teilweise sogar im Adressbuch ihres Smartphones (das dann mit irgendwas gesynct, von Chat-Apps bestohlen wird, etc.).
  • Nicht-Experten haben Passwörter wie katze69 und scheissdrauf500.

Bei DIESEN Anwendern kann ein Passwortmanager helfen, sicherer mit Passwörtern umzugehen.
(Der Sicherheitsexperte hingegen hat seine 436 stets mindestens 64 Zeichen langen Kennwörter alle im Kopf – oder leitet sie bei jedem Login aus irgendwas Mathematischem her.)

Meine paranoiden Sicherheitstipps zu Passwort-Managern

Superduperlanges Passwort-Manager-Zugangs-Kennwort!
Wenn alle Passwörter im Passwortmanager liegen, dann sind sie darin nur so sicher wie das Passwort, mit dem Sie Ihre Passwortdatenbank sichern. Daher sollte das wirklich lang und kompliziert sein. Ein schöner, langer Satz mit Zahlen und Zeichen: Etliche Passwortmanager können damit umgehen, dass sich Leerzeichen darin befinden, sodass wirklich Passwort-Manager-Kennwörter wie „Keine Ahnung, warum ich jedes Mal 59 Zeichen eingeben muss!“ oder „Ich gebe hiermit drei ### und in Klammern vier Zahlen (4765) ein und hoffe!“ möglich sind. Ich denke, das System wird deutlich – machen Sie davon Gebrauch!

Keine Cloud, kein Sync nutzen!
Natürlich verbietet es sich von selbst, die Datenbankdatei in Cloud-Speicher zu stellen oder über sonstige Cloud-Dienste zu nutzen. (Viele Produkte bieten das an, aber man kann die Passwort-Datenbankdatei auch manuell verschieben(kopieren, auf den zweiten Rechner / das Tablet…)
(Alles machen es natürlich trotzdem…)

Vorsicht vor der Zwischenablage!
Das Funktionsprinzip vieler Passwortmanager ist, die Zwischenablage zu verwenden, um Passwörter zur Verfügung stellen. Das bedeutet auch: Wenn Ihr System kompromittiert ist, durch Virus/Malware/Trojaner/Keylogger, dann besteht die prinzipielle Gefahr, dass über das Sniffen der Zwischenablage Passwörter ausspioniert werden. Das gilt auch für Mobilgeräte (siehe etwa: „Hey, You, Get Off of My Clipboard„) Es gilt wie stets: Auf einem unsicheren System kann keine Software sicher sein.

System verschlüsseln!
Um Ihre Passwort-Datenbank-Datei vor unbefugtem Zugang zu schützen, sollte der Rechner, also die Systempartition verschlüsselt sein, bei Tablets und Smartphones natürlich das jeweilige Gerät (iOS ab Werk; Android: Android verschlüsseln). So könnte ein Angreifer nur schwer einen Software-Keylogger/Trojaner heimlich aufspielen, etwa in Ihrer Abwesenheit vom Rechner. Gegen einen Hardware-Keylogger würde dies natürlich nichts ausrichten (hierfür bieten Passwortmanager aber virtuelle Keyboards, es gelten die Anti-Keylogger-Tricks).

Sicherheitsstufen einführen!
Natürlich speichern Sie um Himmels willen nicht alle Ihre Passwörter im Passwortmanager! Statt dessen laden Sie darin nur den ganzen unwichtigen Bullshit-Ballast ab, irgendwelche Foren, in denen es um nichts wichtiges geht, das siebzehnte soziale Netzwerk, das eh keiner nutzt, etc.
Eine Handvoll von Passwörtern merken Sie sich weiterhin (oder verwenden Papier) und speichern sie auf keinen Fall im Passwortmanager, also zum Beispiel Google, Facebook, Amazon, eBay, PayPal, Online-Banking. Stellen Sie sich sozusagen Sicherheitsbereiche und Hochsicherheitsbereiche vor: Sicherheitsbereiche haben Passwörter, die Sie im PM speichern; Hochsicherheitsbereiche haben Passwörter, die Sie NIRGENDWO speichern, außer im Kopf (oder wenigstens unzugänglichem Papier). Das ist unbequemer, aber sicherer. (Bedenken Sie, dass dies paranoide Sicherheitstipps sind.)

Sicherheitsstufen für Passwortmanager!
Okay, also, Sie *wollen* aber unbedingt Ihre Cloud nutzen und Passwortmanager syncen. Kann ich verstehen. Auch gut. Auch hier können Sicherheitsstufen eine Hilfe sein: Sie nehmen zum Beispiel LastPass oder 1Passwort, also „was zum syncen“, und speichern darin die Passwörter für den Alltagsgebrauch, die gar nicht wichtig sind. Und dann nehmen Sie etwas wie Password Safe oder KeePass, und speichern darin die relativ wichtigen Passwörter, vermeiden aber, hier Cloud/Sync zu nutzen; statt dessen transportieren Sie die Safe-Datei von Hand zum Beispiel vom PC in die App. Extrem wichtige Passwörter merken Sie sich nach wie vor im Kopf oder auf Papier an einem sicheren Ort. Nur ein Vorschlag.

Typische Passwort-Manager

Demnächst mit mehr Details an dieser Stelle, einstweilen nur kurz vorgestellt:

Das Minimum:

  • Password Safe
    siehe Beitrag: Kennwortverwaltung mit Password Safe
    Windows (Linux Beta). Free. OpenSource. Portable (optional). Der ursprüngliche Entwickler ist der Krypto-Guru Bruce Scheier, heute entwickelt es Rony Shapiro weiter. Kann selbst für Mittelparanoide als vertrauenswürdig betrachtet werden. Ist aber wenig komfortabel, Zugangsdaten müssen manuell in den Browser übertragen werden (Copy&Paste).
    Das Tools bietet auf den ersten Blick nicht wahnsinnig viel Features und keine nennenswerte Cross-Plattform-Unterstützung – doch es gibt viele Zusatztools und Portierungen von Drittanbietern (Liste), unterem für Android (free) sowie Mac und iOS (kommerziell).
    Password Safe ist imho das Minimum, das man benutzten und haben sollte.

Free-Klassiker:

  • KeePass
    https://keepass.info/
    Windows. Der Klassiker. Free. OpenSource (GPL). Unterschieden wurden zwei Versionen (Featurevergleich): 1.x ist älter, aber problemloser plattformübergreifend nutzbar. 2.x ist neuer und besser und kann viel mehr, ist aber derzeit noch nicht ohne weiteres Cross-Plattform nutzbar (obwohl sich die Situation schon gebessert hat, aber zum Beispiel Portable ist nach wie vor nur 1.x zu haben). Für Android, iOS etc. muss man sich meist (kompatible) Versionen von anderen Entwicklern holen (z.B. Android: Keepass2Android bzw. Keepass2Android Offline, iOS: MiniKeePass), mit entsprechendem Risiko (Zwischenablagen-Sniffer). Es gibt Zillionen von Pugins, Erweiterungen, Ports.
  • KeyPassX
    https://www.keepassx.org/
    Mac/Linux. Spezielle Version für Mac/Windows/Linux-Parallel-User auf Basis der 1.x. Alternative: KyPass Companion
  • Password Gorilla
    https://github.com/zdia/gorilla/wiki
    Win/Mac. Free. OpenSource. Portable. Ziemlich rudimentär, aber kompatibel zu Password Safe (liest dessen .psafe3-Dateien).

Kommerziell:

  • AceBit Passwort Depot
    https://www.password-depot.de/
    Windows. Kommerziell, ca. 30 Euro. Nutze ich selbst länger als zwei Jahre, ich finde die Software erstaunlich gut. Viele hilfreiche Funktionen, die sehr sinnvoll sind. In meinen Augen echt das Geld wert und mit persönlich lieber als KeePass, weil komfortabler. Aber: Nur für Windows (Apps für iOS, Android, die aber noch nicht viel taugen); ständiger Update-Zwang, weil weder Firefox- noch Chrome-Extension über die jeweiligen Infrastrukturen vertrieben werden, sondern nur von den Apps selbst (Linderung: Firefox ESR downloaden). Auf Chrome derzeit gar keine Extension, weil Google alle Extensions, die nicht aus dem Web Store stammen, abschaltet (muhahaha!).
  • Agilebits 1Password
    https://agilebits.com/onepassword
    Mac/Windows. Kommerziell, ca. 50 Euro. Auf dem Mac die Passwortsoftware und dort ungeheuer ausgereift. Auf Windows relativ neu aber schon recht brauchbar, allerdings müssen (!) Chrome-User, die parallel Windows und Mac nutzen, derzeit die App-und-Extension-Sync abschalten und als Erweiterung die 3 verwenden, nicht die 4 (siehe Antwort 2). Dennoch mein Tipp für Mac-Windows-Parallelnutzer, bzw. Mac-Windows-iOS-Parallelnutzer. Aber halt schon etwas teuer… Technisch finde ich Acebit Passwort Depot ausgereifter, die Bedienung von 1Password ist allerdings deutlich besser.
  • Mobile Sitter
    https://www.mobilesitter.de/
    iOS/Android: Nur fürs mobile Gerät. Und mit einer netten Idee ausgestattet: Es zeigt nach Eingabe des Zugangspassworts IMMER ein gespeichertes Passwort an, doch wenn es das falsche Zugangspasswort ist, wird auch ein falsches gespeichertes Passwort ausgegeben. Gefällt mir trotzdem nicht.

Bekannt, kommerziell, verbreitet (aber nicht ausprobiert):

Alternativen zu Passwort-Managern

username-passwort-identitaetNiemand muss Passwortmanager benutzen, es gibt reichlich Alternativen.

  • Eingebauter Passwortmanager der Browser. Ja, schön bequem. Aber halt unsicher und erste Wahl für einen Angriff, zumal kaum jemand auf Firefox ein Master-Passwort setzt oder auf Chrome ein anderes Passwort für die PW-Sync nimmt als das Google-Passwort. Es gilt, wie stets: Am sichersten fahren Sie mit einer „Exoten“-Lösung…
  • Alle merken. Wer’s kann …
  • Gelbe Haftnotizen am Bildschirm: Nun, äh: vielleicht keine sooo gute Idee.
  • Notizbuch. Sehr gut, sehr sicher. Aber man darf es nicht verlieren, sollte es also nirgends mitnehmen. Am Firmen-Arbeitsplatz hat es nichts zu suchen.
  • Passwort-Memorierhilfen: siehe etwa Mnemonizer
  • Excel/Word-Datei mit Passwortschutz: Besser als nix.
  • Krypto-Notizprogramme: Auch sehr gut, nützlich, praktisch, aber halt nicht portabel und crossplatform.
  • Adressverzeichnis des Handys. Gaaanz schlecht!
  • Fingerabdruckscanner: Biometrische Erkennung ist sehr zuverlässig … aber nicht im 3-Dollar-Bauteil-Bereich an Consumer-Elektronik. Billig-Fingerabdruckscanner sind eine prima Komfortfunktion auf einem anderweitig gut gesicherten System, aber eben nur das.
  • Passwortcloaker. Nette Idee: Man gibt ein leicht zu merkendes, unsicheres Passwort wie ichbeiamazon ein – Passwortcloacker zerhackstücken es und übergeben etwas daraus live erzeugtes wie 37s$&ad%Z%§37$& an Amazon. Beispiel: PasswordMaker (nicht ausprobiert) und Cloakpass (verdächtig, siehe Kommentar). Wär aber nix für mich.

Das könnte dich auch interessieren …