Als Digital Native haben wir unzählige Online Services, um unser privates und berufliches Digitales Leben zu meistern. Dazu gehören Email-Provider, Bank- und Kreditkartenkonten, Social Media, Musik- und Film-Streaming-Services, Apple- und Google-Services, Firmenzugänge und Firmen-Applikationen, Einkaufen über Amazon und eBay, Paketverfolgung über DHL und andere Paket- und Postdienste, Food- und Imbisslieferservices und vieles anderes.
Seit Corona ist aufgrund der Social Distancing-Maßnahmen jeder unmittelbar zum Digital Native geworden. Läden und Restaurants waren geschlossen, direkte Treffen und soziale Kontakte waren nicht möglich. Die Kommunikation lief nunmehr über digitale Medien, wie Smartphones, Tablets und Computer. Dabei werden Services genutzt, die entweder auf den Geräten schon installiert waren, oder die wir kurzfristig installiert haben, weil sie uns gute Dienste im täglichen digitalen Miteinander leisten können.
Für alle diese Services benötigt man heutzutage Accounts bei den verantwortlichen Service Providern und damit verbunden natürlich auch sichere Login-Informationen. Sichere Passwörter für jeden Account sind unerlässlich. Ein zweiter Faktor (2FA) ist dann noch besser. Das habe ich schon in einem Artikel im Jahr 2019 (Link) dokumentiert.
Die schiere Anzahl an Online-Services führt schon dazu, daß jede auf Papier geschriebene Passwort-Sammlung mit der Zeit etwas unübersichtlich wird. Nichtsdestotrotz ist das immer noch die sicherste Möglichkeit der Dokumentation, solange diese Liste nicht in andere Hände kommt, oder verloren geht. Einen großen Nachteil hat diese Dokumentation natürlich schon – man sollte sie auf keinen Fall außerhalb der eigenen vier Wände mitnehmen und auch dort an einen sicheren Ort ablegen. In unseren mobilen Zeiten ist es also schon schwierig, wenn man nach seinen Login-Daten gefragt wird und man gerade unterwegs ist ohne Zugriff auf diese Daten.
Password Manager als Lösung
Welche andere Lösungen gibt es? Im Smartphone offen als Notiz speichern und dann eine eigene Art Verschlüsselung anwenden, damit die Passwörter nicht von anderen dekodiert werden können? Zum Beispiel jeder niedergeschriebene Buchstabe auf den nächsten im Alphabet umsetzen, jede Zahl um eine Ziffer reduzieren? Ja, einen solchen Algorithmus habe ich mal eine Zeit lang selbst angewendet. Nur um später mal festzustellen, daß diese Notizen natürlich auch in der iCloud landen können und im schlimmsten Fall jedem zur Verfügung stehen, der meinen iCloud-Account hackt? Oder mein iPhone klaut und Zugriff auf meine Daten erhält. Das war mir auf Dauer zu gefährlich und auch zu unflexibel.
Damit war klar, daß ich eine Lösung benötigte, die folgende Kriterien erfüllt: eine Password Manager-App, die
- komfortabel alle Passwörter, sicheren Notizen, wichtigen Nummern und Informationen speichert,
- flexibel um zusätzliche Felder erweiterbar ist,
- sichere Passwörter vorschlägt,
- ein Masterpasswort zum Zugriff auf die Daten erfordert,
- nach dem Zero-Knowledge-Prinzip funktioniert, das heißt, daß nur der Nutzer das Masterpasswort kennt und niemals der Hersteller, oder dieses in der App selbst gespeichert wird,
- eine lokale Synchronisierung über das WLAN ermöglicht,
- auf keinen Fall die Passwort-Datei in die Cloud oder in einen sicheren Bereich auf den Servern der Hersteller hochlädt,
- höchste Ansprüche an die Verschlüsselung der Daten erfüllt.
Eine Marktbeobachtung hat gezeigt, daß die am Markt verfügbaren Password Manager (Link) ausgereift sind, und fast alle Anforderungen erfüllen. Nur in Details sind die einzelnen Apps unterschiedlich. Auch die kommerziellen Modelle, vom Kauf bis zum Abo, sind unterschiedlich.
Ich persönlich habe mich bereits vor vielen Jahren für 1Password entschieden. Da ich vor allem Mac Nutzer bin war 1Password eine der ersten und besten Password Manager auf der Apple-Plattform. Auch gab es damals schon Applikationen für die iOS-Geräte und diese konnten die Daten mit dem Mac über einen WLAN-Server zuverlässig synchronisieren. Später gab es auch eine Apple Watch App, die mir sehr gute Dienste leistet. Das ganze Paket war damals nicht günstig, aber die Lösung hatte mich überzeugt.
Ab diesem Zeitpunkt habe ich all meine Passwörter für Logins zu Webseiten, Bankdaten, sichere Notizen, Kreditkarten, Email-Konten, WLAN-Router, Software-Lizenzen und sonstige andere wichtige Informationen in 1Password verwaltet. Insgesamt 589 Einträge sind gelistet. 1Password informiert mich über unsichere Passwörter, alte Passwörter und Services, die mittlerweile als gehackt gelten und damit ein Passwortwechsel zu empfehlen ist.
Gerade die Anbindung an die Apple Watch ist unglaublich komfortabel und flexibel im Zugriff. Meine persönliche Erfahrung basiert aktuell auf 1Password Pro 7.5.1.
Welchen Password Manager kann ich empfehlen?
Für mich persönlich habe ich 1Password gefunden und werde es in der Kauf-Version weiter nutzen. Die aktuell verfügbaren Software-Lizenzen sind rein Abo-basiert. Ab 2,65€ zzgl. MWSt pro Monat für eine Single-User-Lizenz bis 4,75€ zzgl. MWSt pro Monat für eine Familienlizenz sind die persönlichen Abos zu beziehen. Für Teams und Firmen gibt es zu anderen Tarifen auch Lizenzen.
Für meine Freundin habe ich nach einem Password Manager gesucht, der alle Anforderungen erfüllt und trotzdem kostenfrei ist. Die einzige App, die dies erfüllt ist Sticky Password (Link). Mit der Einschränkung, daß nur ein Gerät genutzt werden kann. Sollen mehrere Geräte über WLAN-Server synchronisiert werden, dann ist ein kostenpflichtiger Tarif erforderlich. Dieser kostet dann 26,95€ pro Jahr. Selbst dieses Angebot ist günstiger als mein persönlicher Favorit 1Password.
Weitere Empfehlungen bei der Benutzung von Password Manager Apps
Ich habe ein paar wichtige Erfahrungen in der Benutzung von Logins und Password Managern gemacht:
- schreibt euch unbedingt das Masterpasswort für den Password Manager auf einen Zettel und legt diesen an einen sicheren Ort ab. Dies ist unbedingt erforderlich, denn mir ist es passiert, daß ich wegen Touch ID und Face ID das Masterpasswort nicht mehr eingeben mußte. Ich habe es fast vergessen. Dann habe ich überlegt, daß ich dieses auch in der App speichere, aber das ist ein Widerspruch zum Zero-Knowledge-Prinzip;
- gebt niemals zu den Sicherheitsfragen (z.B. „wie hieß Dein erster Hund“, „wie ist der Mädchenname Deiner Mutter“) die richtigen Antworten ein. Das ist alles andere als sicher. Ich verstehe nicht, warum Sicherheitsfragen immer noch als Sicherheitskriterium angesehen wird. Alle diese Antworten lassen sich relativ leicht durch Social Engineering herausfinden. Ich persönlich beantworte diese Fragen immer total falsch und dokumentiere Frage und Antwort im Password Manager;
- nehmt immer lange und komplizierte Passwörter. Der Password Manager hilft euch bei der Erstellung und später auch bei der Verwendung dieser Passwörter. Es dauert zwar länger ein 14-stelliges Passwort mit allen möglichen Sonderzeichen einzugeben, aber das ist der Preis für Sicherheit;
- manchmal kann man nicht alle Sonderzeichen für Passwörter verwenden auf einigen Webseiten. Banken sind manchmal unrühmliche Beispiele dafür. Das ist ärgerlich, aber nicht zu ändern. Passt dann manuell die Sonderzeichen an, wenn der Passwort Manager das nicht anbietet;
- passt auf, daß der Password Manager nicht von anderen eingesehen werden kann, wenn er einmal geöffnet ist. Bitte bedenkt, in dieser App stecken alle eure Geheimnisse und die sollen geheim bleiben;
- deshalb vermeidet die komfortable Synchronisation über Cloud oder Server der Hersteller;
- achtet darauf, daß die Geräte, auf denen die Password Manager App gespeichert ist, virusfrei sind. Es hilft euch nicht, wenn ihr zwar alle eure Geheimnisse in der App sicher verwahrt habt, die Passwörter aber von einem Virus über die Zwischenablage ausgelesen werden können, oder direkt über Live-Screenshots eingesehen werden können. Oder schlimmer noch – direkt auf die Server der Angreifer wegkopiert wird;
- und als letzter Tip: sorgt für Backups, damit ihr Sicherungskopien von den Daten habt und auf ältere Versionen im Notfall zugreifen könnt. Ein solcher Notfall kann auch Malware sein, die eure Daten verschlüsselt (Ransomware).
