Der beste Passwortmanager?

Lachen ist gesund. Eine ernst gemeinte Frage, die auch ernst beantwortet wurde, aber auch lustige Antworten wurden gegeben...wobei, war das lustig gemeint!?

Jemand fragt nach dem besten Passwortmanager.

Eine Liste von Passwortmanagern:

Viele Menschen bewerten, in der Cloud gehostete, Passwortmanager sehr positiv, weil der Komfort sehr hoch ist und die Passw├Ârter auf jedem Ger├Ąt immer sofort synchronisiert sind.

Ich selber war sogar mal Kunde von 1password, habe das Produkt aber aufgegeben, weil die Desktopsoftware so langsam war und mir ab und zu Passw├Ârter ├╝berschrieben hat. Sie hatten gerade auf Electron umgestellt und die neue Software enthielt noch einige nervige Fehler. F├╝r mich war das Grund genug es aufzugeben. Ich hatte ihnen zwar mehrere Monate Zeit gegeben die Fehler zu beheben, aber daraus wurde nichts.

Auch die Webbrowser Extension von 1password war zu der Zeit sehr langsam, oder funktionierte manchmal gar nicht.

Sicherlich waren die Vorschl├Ąge f├╝r Excel und Notepad scherzhaft gemeint, aber ich bin mir sicher, dass einige Menschen wirklich ihre Passw├Ârter so verwalten :D.

Was ist denn nun der beste Passwortmanager?

Das muss man leider f├╝r sich selbst beantworten. Die Cloudl├Âsungen wie 1password und Bitwarden sind angeblich sehr sicher und bieten einen hohen Komfort. Man hat da aber nicht die volle Kontrolle ├╝ber die Passwortdatenbanken. Wenn der Cloudanbieter "gehackt" wird, kann es sein, dass man keinen Zugriff mehr auf seine Passw├Ârter hat.

Lokale Passwortmanager wie KeepassXC haben den Nachteil, dass man sich selber um die Synchronisation k├╝mmern muss, wenn das eine Anforderung ist. Im Firmenumfeld ist sowas wie KeepassXC sicher eher ungeeignet.

In der Firma w├╝rde man vermutlich eher Bitwarden oder Vaultwaren selbst hosten und das den Mitarbeitern zur Verf├╝gung stellen. Bei Bitwarden ben├Âtigt man daf├╝r jedoch eine Enterprise-Lizenz. Die Features der Enterprise-Lizenz lassen sich aber sehen und erscheinen f├╝r den Firmeneinsatz sinnvoll. Privat braucht man das nat├╝rlich nicht :).

Seine Passw├Ârter im Webbrowser zu speichern ist aber eindeutig die unsicherste Variante. Weder Firefox, Chrome noch Edge speichern die Passw├Ârter sicher genug.

Das Microsoft-Sicherheitsteam selbst beschreibt in einem Artikel, dass der Kennwortmanager in Edge vor Version 114 deaktiviert werden soll, da er als unsicher eingestuft wurde. Ab Version 114 (aktuelle Version: 120) kann man den Kennwortmanager aber aktiviert lassen. Man kann in Edge jetzt auch konfigurieren, dass vor jedem Zugriff eines Passworts eine Authentifizierung erforderlich ist, aber dieses Feature ist nicht standardm├Ą├čig aktiviert.

Microsoft selbst dr├╝ckt sich aber eigenwillig kritisch aus. So wird darauf hingewiesen, dass der Edge Kennwortmanager folgende Probleme hat:

Sie weisen aber darauf hin, dass Microsoft ein vertrauensw├╝rdiges Unternehmen ist usw...ich vertrau denen einfach, ist doch klar :).

Microsoft empfiehlt Firmen es sich gut zu ├╝berlegen, ob die Benutzer den Kennwortmanager benutzen d├╝rfen. Unter anderem wird empfohlen die Browsererweiterungen zu blockieren, oder einzuschr├Ąnken.

Microsoft betont, dass der Computer nicht komprimittiert sein darf, da sonst die M├Âglichkeit besteht alle Passw├Ârter auszulesen. Wenn eine Schadsoftware mit den Rechten des Benutzers ausgef├╝hrt wird, k├Ânnen alle Passw├Ârter ausgelesen werden. Aber Microsoft beruhigt damit, dass die Nutzung von Microsoft Defender dieses Szenario erst gar nicht eintreten l├Ąsst. Mmh.

Lustigerweise erw├Ąhnt Microsoft den geschlossenen Quellcode ihrer Software als einen Vorteil. Vermutlich, weil dann niemand nach Fehlern suchen kann :). Security by Obscurity!?

Der beste Passwortmanager ist ein Schl├╝ssel!

Microsoft selbst unterst├╝tzt physikalische Schl├╝ssel. Sie erlauben sogar das Accountpasswort zu entfernen, nachdem man seine Schl├╝ssel hinterlegt hat.

Google unterst├╝tzt mittlerweile auch solche Schl├╝ssel wie den YubiKey oder ihren eigenen Titan, l├Ąsst die Benutzer ihr Accountpasswort aber noch nicht entfernen, wie schade.

Diese Art sich zu authentifizieren steht aber bei vielen Websites gar nicht zur Verf├╝gung. Im besten Fall kann der Schl├╝ssel als zweiter Faktor genutzt werden, jedoch ben├Âtigt man weiterhin ein Passwort.

Eine andere Art der Authentifizierung sind PassKeys. Diese kann man auf Ger├Ąten wie Windows-Laptops oder Smartphones hinterlegen, aber auch auf Googles Titan Schl├╝ssel (bis zu 250 St├╝ck). Leider ist aber auch das noch nicht verbreitet.

Nun denn, immer sch├Ân die Passw├Ârter in Notepad oder Excel speichern ;) (nein! bitte nicht!)!

Autor: Andreas Schipplock, Erstellt: 1/20/24, 12:12ÔÇ»PM, Aufrufe: 318