Der beste Passwortmanager?

Lachen ist gesund. Eine ernst gemeinte Frage, die auch ernst beantwortet wurde, aber auch lustige Antworten wurden gegeben...wobei, war das lustig gemeint!?

Jemand fragt nach dem besten Passwortmanager.

Eine Liste von Passwortmanagern:

  1. Bitwarden
  2. 1password
  3. KeepassXC und KeePass2Android
  4. Notepad
  5. Enpass
  6. Vaultwarden
  7. Excel 🤯
  8. Zettel und Stift 🤯
  9. Der vom Webbrowser
  10. Microsoft Authenticator (ja, der kann auch Passwörter)
  11. S-Trust von der Sparkasse
  12. Heylogin
  13. pass (basiert auf gnupg)
  14. Keeper
  15. Dashlane
  16. Strongbox
  17. Kaspersky Password Manager 🫣
  18. LastPass 🥵
  19. ProtonPass von ProtonMail
  20. Schlüsselbund (Apple, Gnome, ...)

Viele Menschen bewerten, in der Cloud gehostete, Passwortmanager sehr positiv, weil der Komfort sehr hoch ist und die Passwörter auf jedem Gerät immer sofort synchronisiert sind.

Ich selber war sogar mal Kunde von 1password, habe das Produkt aber aufgegeben, weil die Desktopsoftware so langsam war und mir ab und zu Passwörter überschrieben hat. Sie hatten gerade auf Electron umgestellt und die neue Software enthielt noch einige nervige Fehler. Für mich war das Grund genug es aufzugeben. Ich hatte ihnen zwar mehrere Monate Zeit gegeben die Fehler zu beheben, aber daraus wurde nichts.

Auch die Webbrowser Extension von 1password war zu der Zeit sehr langsam, oder funktionierte manchmal gar nicht.

Sicherlich waren die Vorschläge für Excel und Notepad scherzhaft gemeint, aber ich bin mir sicher, dass einige Menschen wirklich ihre Passwörter so verwalten :D.

Was ist denn nun der beste Passwortmanager?

Das muss man leider für sich selbst beantworten. Die Cloudlösungen wie 1password und Bitwarden sind angeblich sehr sicher und bieten einen hohen Komfort. Man hat da aber nicht die volle Kontrolle über die Passwortdatenbanken. Wenn der Cloudanbieter "gehackt" wird, kann es sein, dass man keinen Zugriff mehr auf seine Passwörter hat.

Lokale Passwortmanager wie KeepassXC haben den Nachteil, dass man sich selber um die Synchronisation kümmern muss, wenn das eine Anforderung ist. Im Firmenumfeld ist sowas wie KeepassXC sicher eher ungeeignet.

In der Firma würde man vermutlich eher Bitwarden oder Vaultwaren selbst hosten und das den Mitarbeitern zur Verfügung stellen. Bei Bitwarden benötigt man dafür jedoch eine Enterprise-Lizenz. Die Features der Enterprise-Lizenz lassen sich aber sehen und erscheinen für den Firmeneinsatz sinnvoll. Privat braucht man das natürlich nicht :).

Seine Passwörter im Webbrowser zu speichern ist aber eindeutig die unsicherste Variante. Weder Firefox, Chrome noch Edge speichern die Passwörter sicher genug.

Das Microsoft-Sicherheitsteam selbst beschreibt in einem Artikel, dass der Kennwortmanager in Edge vor Version 114 deaktiviert werden soll, da er als unsicher eingestuft wurde. Ab Version 114 (aktuelle Version: 120) kann man den Kennwortmanager aber aktiviert lassen. Man kann in Edge jetzt auch konfigurieren, dass vor jedem Zugriff eines Passworts eine Authentifizierung erforderlich ist, aber dieses Feature ist nicht standardmäßig aktiviert.

Microsoft selbst drückt sich aber eigenwillig kritisch aus. So wird darauf hingewiesen, dass der Edge Kennwortmanager folgende Probleme hat:

  1. Es besteht ein Cloud-Expositionsrisiko
  2. Browsererweiterungen stellen ein Risiko dar
  3. Die Passwortdatenbank wird mit dem Windows-Login entsperrt

Sie weisen aber darauf hin, dass Microsoft ein vertrauenswürdiges Unternehmen ist usw...ich vertrau denen einfach, ist doch klar :).

Microsoft empfiehlt Firmen es sich gut zu überlegen, ob die Benutzer den Kennwortmanager benutzen dürfen. Unter anderem wird empfohlen die Browsererweiterungen zu blockieren, oder einzuschränken.

Microsoft betont, dass der Computer nicht komprimittiert sein darf, da sonst die Möglichkeit besteht alle Passwörter auszulesen. Wenn eine Schadsoftware mit den Rechten des Benutzers ausgeführt wird, können alle Passwörter ausgelesen werden. Aber Microsoft beruhigt damit, dass die Nutzung von Microsoft Defender dieses Szenario erst gar nicht eintreten lässt. Mmh.

Lustigerweise erwähnt Microsoft den geschlossenen Quellcode ihrer Software als einen Vorteil. Vermutlich, weil dann niemand nach Fehlern suchen kann :). Security by Obscurity!?

Der beste Passwortmanager ist ein Schlüssel!

Microsoft selbst unterstützt physikalische Schlüssel. Sie erlauben sogar das Accountpasswort zu entfernen, nachdem man seine Schlüssel hinterlegt hat.

Google unterstützt mittlerweile auch solche Schlüssel wie den YubiKey oder ihren eigenen Titan, lässt die Benutzer ihr Accountpasswort aber noch nicht entfernen, wie schade.

Diese Art sich zu authentifizieren steht aber bei vielen Websites gar nicht zur Verfügung. Im besten Fall kann der Schlüssel als zweiter Faktor genutzt werden, jedoch benötigt man weiterhin ein Passwort.

Eine andere Art der Authentifizierung sind PassKeys. Diese kann man auf Geräten wie Windows-Laptops oder Smartphones hinterlegen, aber auch auf Googles Titan Schlüssel (bis zu 250 Stück). Leider ist aber auch das noch nicht verbreitet.

Nun denn, immer schön die Passwörter in Notepad oder Excel speichern ;) (nein! bitte nicht!)!