In diesem Blogbeitrag möchte ich euch vorstellen was Passwortmanager sind und warum man diese nutzen sollte. Außerdem werde ich einige Passwortmanagerdienste vergleichen.
Warum Passwortmanager?
Jeder kennt es, man erstellt sich irgendwo einen Account und nimmt entweder ein Passwort, welches man sich gut merken kann und auch auf anderen Seiten verwendet, oder man nimmt ein Passwort, welches man schnell vergisst. Monate später sitzt man wieder da und überlegt sich, welches Passwort man damals für diese Seite verwendet hatte.
Wer dasselbe Passwort auf verschiedenen Diensten verwendet, kennt sein Passwort zwar, aber es existiert eine andere und größere Gefahr:
Es kommt oft vor, dass Webseiten unsere Daten nicht richtig schützen. Wenn Angreifer an Daten wie Passwörter, E-Mail-Adressen und Geburtstage kommen, werden diese im Internet verkauft und andere versuchen wiederum sich damit massenhaft auf Webseiten einzuloggen. Man nennt das ganze Credential Stuffing. Dadurch bekommen sie Zugriff auf viele Accounts, da die meisten Leute unsichere und auf vielen Seiten dasselbe oder sehr ähnliche Passwort benutzen.
Information
Vor allem gefährlich ist es, wenn das Passwort des E-Mail-Accounts geleakt wird. Damit haben dann andere Personen uneingeschränkten Zugriff auf alle Dienste, auf denen du dich mit dem E-Mail-Account registriert hast.
Das solche Passwortleaks nicht gerade selten vorkommen, kann man sehr gut an ’;–have i been pwned? sehen. Vor Kurzem wurde wieder ein Leak von Gravatar gefunden, bei welchem 113 990 759 Accountdaten öffentlich auffindbar sind. Insgesamt sind in der Datenbank 11 721 252 754 Accounts, deswegen ist es sehr wahrscheinlich das auch Accountdaten von dir dabei sind.
Passwortmanager können dort sehr gut Abhilfe leisten: In einer Passwortdatenbank werden alle Daten, mit denen man sich auf Webseiten einloggen kann, sicher verschlüsselt gespeichert. Damit hat man immer schnellen Zugriff auf alle Passwörter und man muss sich nur noch ein einziges Passwort merken – das Masterpasswort, welches man zum Entsperren der Datenbank braucht. Da man sich nun die Passwörter selbst nicht mehr merken muss, kann man lange, zufällige Passwörter verwenden, welche direkt in dem Passwortmanager erstellt werden können.
Passwortmanager-Vergleich
Nun fragst du dich bestimmt, was Passwortmanager sind. Wo bekommt man diese her und was kosten sie? Da habe ich eine gute Nachricht. Es gibt sowohl kostenpflichtige als auch kostenlose Dienste. Ich werde hier versuchen die Vor- und Nachteile der Dienste aufzuzeigen und eine kleine Vergleichsliste zu erstellen.
| Features/Programme | KeePassXC | LastPass | 1Password | BitWarden | KeePass2 |
|---|---|---|---|---|---|
| Linux/Mac/Android | Ja | Ja | Ja | Ja | Ja |
| Open Source | Ja | Nein | Nein | Ja | Ja |
| Preis | Kostenlos | Kostenlos/Premium | 35,88 USD/Jahr | Kostenlos/Premium | Kostenlos |
| Cloud Speicherung | Nein | Ja | Ja | Ja/SelfHosted | Nein |
| Audits | Eigene Audits/Open Source | Unbekannt | Ja/mehrere | Ja/mehrere | Ja |
Information
Ich habe sorgfältig recherchiert, trotzdem sind die Infos ohne Gewähr
Da sich Preise ändern können, sind dies nur Daten vom 22.12.2021
Mein persönlicher Favorit ist KeePassXC. Er ist Open Source und kostenlos, bietet keine Cloud-Speicherung an und läuft auf Linux einwandfrei. Für mich ist t3 atsächlich aber auch das Fehlen der Cloud-Speicherung ein Bonus. Und wenn ich meine Passwortdatenbank auf anderen Geräte brauche, habe ich einen USB-Stick oder auch meine eigene Cloud. Der Vorgänger KeePass hat auch einige positive Bewertungen bekommen und wurde vom Bundesamt für Sicherheit in der Informationstechnik empfohlen.
Update
Wie sich rausgestellt hat: War meine Sorge was Cloud Speicherung betrifft, nicht ganz unbegründet. Denn LastPass hat Accountdaten verloren.
LastPass ist zum Beispiel nicht Open Source. Ich konnte leider auch keine Informationen zu Security Audits finden. Dieser Dienst ist kostenlos, aber hat dadurch auch eingeschränkte Funktionen. Die Premium-Version kostet 2,90 EUR im Monat. Das sind 34,80 EUR im Jahr und es wird eine 30-tägige Testversion angeboten. LastPass gehört zur Firma LogMeIn, die in den USA ihren Sitz hat.
1Password ist auch nicht Open Source, kostet ca. 36,00 USD im Jahr und bietet eine Testversion über 14 Tage hinweg an. Es speichert dabei die Daten in einem Webdienst, genauso wie LastPass, sodass diese überall für den Nutzer verfügbar sind.
BitWarden ist Open Source und bietet auch mehr Funktionen als KeePassXC. Es ist kostenlos nutzbar und bietet auch die Möglichkeit die Webdienste selber zu hosten. Zudem gibt es eine inoffizielle Version, die Rust als Programmiersprache nutzt. Diese kann man auf GitHub finden. Wenn man nicht selbst hosten will oder kann, lassen sich für 10,00 USD im Jahr weitere Funktionen freischalten.
Du fragst dich bestimmt, wie man Passwortmanager bedient. Dies erkläre ich in einem YouTube-Video anhand von KeePassXC: [Anleitung Bedienung KeepassXC][]
Sicheres Masterpasswort
Essenziell für die Sicherheit einer Passwortdatenbank ist die Wahl eines sicheren Masterpasswortes.
Wichtig!
Dieses Masterpasswort darfst du nicht vergessen, es muss aber sehr sicher sein! Wenn du das Passwort vergisst, verlierst du den Zugriff auf deine Datenbank.
Ich erstelle für solche Dinge oftmals ein Passwort nach dem Diceware-Verfahren. Dafür nimmt man eine Liste mit sehr vielen Wörtern und würfelt immer 5 Zahlen. Dann sucht man sich das Wort aus der Liste und wiederholt das Ganze. Dies macht man mindestens 5-mal bis man ein Passwort hat, welches sicher ist und sich einfach merken lässt.
Bei 5-mal Würfeln, erhalte ich zum Beispiel die Zahlen 5 - 4 - 6 - 2 - 1, dann
suche ich diese Zahlen auf der Wörterliste und erhalte das Wort:
soft
Dieser Vorgang wird wiederholt. Beispiel: plop
In unserem Fall wird dieser Vorgang sechsmal wiederholt. Mit Sonderzeichen wird
dieses Passwort generiert:
soft.plop.lynx.sweat.bedim.arm
Es ist deutlich einfacher sich diese fünf Wörter zu merken, als ein
beispielsweise von KeePassXC erstelltes Passwort:
gw2WWK43dFkPmjKEnJ2vyEnRMkdWeXYMzHLKEuJ4UK
Das Masterpasswort wird zum erstellen der Passwortdatenbank verwendet. Dieses Passwort sollte dringend notiert und auswendig gelernt werden. Nur du darfst es wissen!
Fazit
Ob du nun Passwortmanager nutzen willst, liegt natürlich ganz bei dir, aber ich kann es nur empfehlen, es zumindest mal auszuprobieren. Denn jeder kennt es: Wir machen Dinge, die wir nicht tun sollten, nur weil wir keine besseren Alternativen kennen. Mit einem Passwortmanager lassen sich einige Vorteile kombinieren und der Alltag im Internet wird angenehmer und vor allem bei richtiger Nutzung um einiges sicherer.