Password Manager - warum benötige ich sowas wirklich?

Password Manager – warum benötige ich sowas wirklich?

Als Digital Native haben wir unzählige Online Services, um unser privates und berufliches Digitales Leben zu meistern. Dazu gehören Email-Provider, Bank- und Kreditkartenkonten, Social Media, Musik- und Film-Streaming-Services, Apple- und Google-Services, Firmenzugänge und Firmen-Applikationen, Einkaufen über Amazon und eBay, Paketverfolgung über DHL und andere Paket- und Postdienste, Food- und Imbisslieferservices und vieles anderes. Dafür brauchen wir Password Manager.

Seit Corona ist aufgrund der Social Distancing-Maßnahmen jeder unmittelbar zum Digital Native geworden. Läden und Restaurants waren geschlossen, direkte Treffen und soziale Kontakte waren nicht möglich. Die Kommunikation lief nunmehr über digitale Medien, wie Smartphones, Tablets und Computer. Dabei werden Services genutzt, die entweder auf den Geräten schon installiert waren, oder die wir kurzfristig installiert haben, weil sie uns gute Dienste im täglichen digitalen Miteinander leisten können.

Für alle diese Services benötigt man heutzutage Accounts bei den verantwortlichen Service Providern und damit verbunden natürlich auch sichere Login-Informationen. Sichere Passwörter für jeden Account sind unerlässlich. Ein zweiter Faktor (2FA) ist dann noch besser. Das habe ich schon in einem Beitrag im Jahr 2019 dokumentiert.

Inhaltsverzeichnis

Wie sammle und dokumentiere ich Passwörter sicher?

Die schiere Anzahl an Online-Services führt schon dazu, daß jede auf Papier geschriebene Passwort-Sammlung mit der Zeit etwas unübersichtlich wird. Nichtsdestotrotz ist das immer noch die sicherste Möglichkeit der Dokumentation, solange diese Liste nicht in andere Hände kommt, oder verloren geht. Einen großen Nachteil hat diese Dokumentation natürlich schon – man sollte sie auf keinen Fall außerhalb der eigenen vier Wände mitnehmen und auch dort an einen sicheren Ort ablegen. In unseren mobilen Zeiten ist es also schon schwierig, wenn man nach seinen Login-Daten gefragt wird und man gerade unterwegs ist ohne Zugriff auf diese Daten.

Ein ganz einfacher Passwortmanager. Die offline-Variante als Excel-Liste — Auch so kann man Passwörter dokumentieren. Ausgedruckt ist das vielleicht die sicherste Passwortliste, aber nicht überall verfügbar

Password Manager als Lösung

Welche andere Lösungen gibt es? Im Smartphone offen als Notiz speichern und dann eine eigene Art Verschlüsselung anwenden, damit die Passwörter nicht von anderen dekodiert werden können? Zum Beispiel jeder niedergeschriebene Buchstabe auf den nächsten im Alphabet umsetzen, jede Zahl um eine Ziffer reduzieren? Ja, einen solchen Algorithmus habe ich mal eine Zeit lang selbst angewendet. Nur um später mal festzustellen, daß diese Notizen natürlich auch in der iCloud landen können und im schlimmsten Fall jedem zur Verfügung stehen, der meinen iCloud-Account hackt? Oder mein iPhone klaut und Zugriff auf meine Daten erhält. Das war mir auf Dauer zu gefährlich und auch zu unflexibel.

Anforderungen an eine sichere Lösung

Damit war klar, daß ich eine Lösung benötigte, die folgende Kriterien erfüllt: eine Password Manager-App, die

komfortabel alle Passwörter, sicheren Notizen, wichtigen Nummern und Informationen speichert,
flexibel um zusätzliche Felder erweiterbar ist,
sichere Passwörter vorschlägt,
ein Masterpasswort zum Zugriff auf die Daten erfordert,
nach dem Zero-Knowledge-Prinzip funktioniert, das heißt, daß nur der Nutzer das Masterpasswort kennt und niemals der Hersteller, oder dieses in der App selbst gespeichert wird,
eine lokale Synchronisierung über das WLAN ermöglicht,
auf keinen Fall die Passwort-Datei in die Cloud oder in einen sicheren Bereich auf den Servern der Hersteller hochlädt,
höchste Ansprüche an die Verschlüsselung der Daten erfüllt.

Eine Marktbeobachtung hat gezeigt, daß die am Markt verfügbaren Password Manager ausgereift sind, und fast alle Anforderungen erfüllen. Nur in Details sind die einzelnen Apps unterschiedlich. Auch die kommerziellen Modelle, vom Kauf bis zum Abo, sind unterschiedlich.

1Password

Ich persönlich habe mich bereits vor vielen Jahren für 1Password entschieden. Da ich vor allem Mac Nutzer bin war 1Password eine der ersten und besten Password Manager auf der Apple-Plattform. Auch gab es damals schon Applikationen für die iOS-Geräte und diese konnten die Daten mit dem Mac über einen WLAN-Server zuverlässig synchronisieren. Später gab es auch eine Apple Watch App, die mir sehr gute Dienste leistet. Das ganze Paket war damals nicht günstig, aber die Lösung hatte mich überzeugt.

Ab diesem Zeitpunkt habe ich all meine Passwörter für Logins zu Webseiten, Bankdaten, sichere Notizen, Kreditkarten, Email-Konten, WLAN-Router, Software-Lizenzen und sonstige andere wichtige Informationen in 1Password verwaltet. Insgesamt 589 Einträge sind gelistet. 1Password informiert mich über unsichere Passwörter, alte Passwörter und Services, die mittlerweile als gehackt gelten und damit ein Passwortwechsel zu empfehlen ist.

Gerade die Anbindung an die Apple Watch ist unglaublich komfortabel und flexibel im Zugriff. Meine persönliche Erfahrung basiert aktuell auf 1Password Pro 7.5.1.

Welchen Password Manager kann ich empfehlen?

Für mich persönlich habe ich 1Password gefunden und werde es in der Kauf-Version weiter nutzen. Die aktuell verfügbaren Software-Lizenzen sind rein Abo-basiert. Ab 2,65€ zzgl. MWSt pro Monat für eine Single-User-Lizenz bis 4,75€ zzgl. MWSt pro Monat für eine Familienlizenz sind die persönlichen Abos zu beziehen. Für Teams und Firmen gibt es zu anderen Tarifen auch Lizenzen.

Sticky Password als günstige oder kostenlose Alternative zu 1Password — Sticky Password (Quelle: stickypassword.com)

Für meine Freundin habe ich nach einem Password Manager gesucht, der alle Anforderungen erfüllt und trotzdem kostenfrei ist. Die einzige App, die dies erfüllt ist Sticky Password. Mit der Einschränkung, daß nur ein Gerät genutzt werden kann. Sollen mehrere Geräte über WLAN-Server synchronisiert werden, dann ist ein kostenpflichtiger Tarif erforderlich. Dieser kostet dann 26,95€ pro Jahr. Selbst dieses Angebot ist günstiger als mein persönlicher Favorit 1Password.

Weitere Empfehlungen bei der Benutzung von Password Manager Apps

Ich habe ein paar wichtige Erfahrungen in der Benutzung von Logins und Password Managern gemacht.

Masterpasswort

Schreibt euch unbedingt das Masterpasswort für den Password Manager auf einen Zettel und legt diesen an einen sicheren Ort ab. Dies ist unbedingt erforderlich, denn mir ist es passiert, daß ich wegen Touch ID und Face ID das Masterpasswort nicht mehr eingeben mußte. Ich habe es fast vergessen. Dann habe ich überlegt, daß ich dieses auch in der App speichere, aber das ist ein Widerspruch zum Zero-Knowledge-Prinzip.

Sicherheitsfragen

Gebt niemals zu den Sicherheitsfragen (z.B. „wie hieß Dein erster Hund“, „wie ist der Mädchenname Deiner Mutter“) die richtigen Antworten ein. Das ist alles andere als sicher. Ich verstehe nicht, warum Sicherheitsfragen immer noch als Sicherheitskriterium angesehen wird. Alle diese Antworten lassen sich relativ leicht durch Social Engineering herausfinden. Ich persönlich beantworte diese Fragen immer total falsch und dokumentiere Frage und Antwort im Password Manager.

Länge der Passwörter

Nehmt immer lange und komplizierte Passwörter. Der Password Manager hilft euch bei der Erstellung und später auch bei der Verwendung dieser Passwörter. Es dauert zwar länger ein 14-stelliges Passwort mit allen möglichen Sonderzeichen einzugeben, aber das ist der Preis für Sicherheit.

manchmal kann man nicht alle Sonderzeichen für Passwörter verwenden auf einigen Webseiten. Banken sind manchmal unrühmliche Beispiele dafür. Das ist ärgerlich, aber nicht zu ändern. Passt dann manuell die Sonderzeichen an, wenn der Passwort Manager das nicht anbietet;

For your eyes only

Passt auf, daß der Password Manager nicht von anderen eingesehen werden kann, wenn er einmal geöffnet ist. Bitte bedenkt, in dieser App stecken alle eure Geheimnisse und die sollen geheim bleiben.

Deshalb vermeidet die komfortable Synchronisation über Cloud oder Server der Hersteller.

Schützt euch vor Viren

Achtet darauf, daß die Geräte, auf denen die Password Manager App gespeichert ist, virusfrei sind. Es hilft euch nicht, wenn ihr zwar alle eure Geheimnisse in der App sicher verwahrt habt, die Passwörter aber von einem Virus über die Zwischenablage ausgelesen werden können, oder direkt über Live-Screenshots eingesehen werden können. Oder schlimmer noch – direkt auf die Server der Angreifer wegkopiert wird.

Backups

Und als letzter Tip: sorgt für Backups, damit ihr Sicherungskopien von den Daten habt und auf ältere Versionen im Notfall zugreifen könnt. Ein solcher Notfall kann auch Malware sein, die eure Daten verschlüsselt (Ransomware).

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wp_api	past	No description
wp_api_sec	past	No description

Cookie	Dauer	Beschreibung
Google APIs		Die Chrome Management API ist eine Reihe von Diensten, die es Chrome-Administratoren ermöglichen, Chrome OS und Chrome Browser anzuzeigen. Betreiber: Google LLC Privacy URL: https://policies.google.com/privacy?hl=de Serverstandort: Mountain View, Santa Clara County, Kalifornien, Vereinigte Staaten von Amerika Drittanbieteranfragen: jnn-pa.googleapis.com
Google Fonts		Das ist ein Schriftendienst von Google. Die Fontdateien werden dabei vom Google Server bezogen. Betreiber: Google LLC Privacy URL: https://policies.google.com/privacy?hl=de Serverstandort: Mountain View, Santa Clara County, Kalifornien, Vereinigte Staaten von Amerika Drittanbieteranfragen: fonts.googleapis.com
Gravatar		Gravatar ist ein Dienst zur Bereitstellung weltweit Avatare. Betreiber: Automattic Inc. Privacy URL: https://automattic.com/privacy/ Serverstandort: 60, 29th Street, Suffolk County, New York, 11798, Vereinigte Staaten von Amerika Drittanbieteranfragen: 1.gravatar.com; 0.gravatar.com;2.gravatar.com
Jetpack		Jetpack ist ein kostenloses WordPress-Plugin, das Photon (ein globales CDN für Bilder), Betriebszeitüberwachung, Brute-Force-Schutz, Tools zur Steigerung des Datenverkehrs, Single Sign-On, Verwaltung mehrerer Sites und automatische oder Bulk-Plugin-Updates ermöglicht. Betreiber: Jetpack, Inc. Privacy URL: https://jetpack.com/support/privacy/ Serverstandort: Avenida del Sur, Boca Chica, Santo Domingo, 15700, Dominikanische Republik Drittanbieteranfragen: i0.wp.com; pixel.wp.com; stats.wp.com; s0.wp.com; jetpack.wordpress.com; i1.wp.com; i2.wp.com
Pinterest		Pinterest ist eine Online-Pinnwand für Grafiken und Fotografien mit optionalem sozialen Netzwerk inclusive visueller Suchmaschine. Betreiber: Pinterest Inc. Privacy URL: https://policy.pinterest.com/de/privacy-policy Serverstandort: Pinterest, 651, Brannan Street, South of Market, San Francisco, Kalifornien, 94017, Vereinigte Staaten von Amerika Drittanbieteranfragen: widgets.pinterest.com; log.pinterest.com; assets.pinterest.com
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.
Twitter		Twitter ist ein Mikrobloggingdienst. Betreiber: Twitter, Inc. Privacy URL: https://twitter.com/en/privacy Serverstandort: The Midway, 900, Marin Street, Port of San Francisco, San Francisco, Kalifornien, 94124, Vereinigte Staaten von Amerika Drittanbieteranfragen: platform.twitter.com; syndication.twitter.com
wpcom_highlander_3pc_check	session	WordPress ist ein freies Content-Management-System von Automattic Inc. für Blogs und Websites. Sitz des Anbieters: USA Privacy URL https://de.wordpress.org/about/privacy/ Cookies: wpcom_highlander_3pc_check, .wordpress.com s.w.org; public-api.wordpress.com; videos.files.wordpress.com

Cookie	Dauer	Beschreibung
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
u	1 year	This cookie is used by Bombora to collect information that is used either in aggregate form, to help understand how websites are being used or how effective marketing campaigns are, or to help customize the websites for visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_234708561_1	1 minute	Set by Google to distinguish users.
_ga_SP1XYLMNP5	2 years	This cookie is installed by Google Analytics.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Dauer	Beschreibung
ab	1 year	Owned by agkn, this cookie is used for targeting and advertising purposes.
Aweber		AWeber bietet E-Mail-Marketing-Software, die Newsletter-E-Mail-Versand, Autoresponding und RSS-to-E-Mail-Konvertierungsfunktionen umfasst. Betreiber: AWeber Systems, Inc. Privacy URL: https://www.aweber.com/privacy.htm Serverstandort: Chalfont, Bucks County, Pennsylvania, Vereinigte Staaten von Amerika Drittanbieteranfragen: widgets.wp.com
CMID	1 year	Casale Media sets this cookie to collect information on user behavior, for targeted advertising.
CMPRO	3 months	CMPRO cookie is set by CasaleMedia for anonymous user tracking, and for targeted advertising.
CMPS	3 months	CMPS cookie is set by CasaleMedia for anonymous user tracking based on user's website visits, for displaying targeted ads.
Datr	2 years	Facebook uses this cookie to provide fraud prevention.
DSID	1 hour	This cookie is set by DoubleClick to note the user's specific user identity. It contains a hashed/encrypted unique ID.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin. connect.facebook.net; facebook.com; static.xx.fbcdn.net; scontent.xx.fbcdn.net; external.xx.fbcdn.net
Google		Die hier gezeigten Cookies / Drittanbieteranfragen werden für die verschiedensten Google Services wie z.B. DoubleClick, Adwords, Adwords Remarketing/Retargeting, Ads, Ads Conversion Tracking, uvm. verwendet. Eine genaue Zuordnung ist daher nicht möglich. Betreiber: Google LLC Privacy URL: https://policies.google.com/privacy?hl=de Serverstandort: Mountain View, Kalifornien, Vereinigte Staaten von Amerika Drittanbieteranfragen: google.com
Google Ads		Das Werbenetzwerk von Google. Entweder handelt es sich um Anzeigen, Remarketing oder Tracking-Services. Der Service kann auch ein Teil eines anderen Services sein, der z.B. per iFrame eingebettet wurde (z.B. YouTube). Betreiber: Google LLC Privacy URL: https://policies.google.com/privacy?hl=de Serverstandort: Mountain View, Kalifornien, Vereinigte Staaten von Amerika Drittanbieteranfragen: googleads.g.doubleclick.net; static.doubleclick.net
GStatic		Ein Content-Delivery-Netzwerk, um Google-Inhalte zu verteilen. In der Regel handelt es sich hier um einen Teil eines anderen Services (z.B. Google Fonts oder YouTube) Betreiber: Google LLC Privacy URL: https://policies.google.com/privacy?hl=de Serverstandort: Mountain View, Santa Clara County, Kalifornien, Vereinigte Staaten von Amerika Drittanbieteranfragen: fonts.gstatic.com; gstatic.com
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
KADUSERCOOKIE	3 months	The cookie, set by PubMatic, registers a unique ID that identifies a returning user's device across websites that use the same ad network. The ID is used for targeted ads.
KTPCACOOKIE	1 day	The cookie, set by PubMatic, registers a unique ID that identifies a returning user's device across websites that use the same ad network. The ID is used for targeted ads.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
PREF	8 months	YouTube uses it to store user preferences
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
Twitter Images		Twitter Images ist ein Plug-in zum Teilen von Blogposts auf Twitter. Sitz des Anbieters: USA Drittanbieteranfragen: cdn.syndication.twimg.com; pbs.twimg.com
uuid	3 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
_ir	session	This is a Pinterest cookie that collects information on visitor behaviour on multiple websites. This information is used on the website, in order to optimize the relevance of advertisement.