Passwort-Safe: Just A Little Light

Wie ein Passwort-Safe grundsätzlich funktioniert, habe ich im letzten Teil dieser Passwort-Serie vorgestellt. Heute möchte ich tiefer in die Materie einsteigen und eine erste Empfehlung für einen Passwort-Safe aussprechen.

Wie heißt es mitunter so schön blöd: „Aus gegebenen Anlass“. Bei uns ist jetzt auch so ein Anlass gegeben.

John Perry Barlow ist am 7. Februar 2018 gestorben. Er ist 70 Jahre alt geworden. Den Passwort-Fans dieses Magazins ist John jetzt bereits zweimal begegnet: 1990 gründete John nämlich das EFF.

---

Neue Stellenangebote

		Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice
		Journalistin als Kommunikationsexperte Social Media / Content Marketing (m|w|d) Süwag Energie AG in Frankfurt a.M.
		Journalist*in als Pressesprecher*in Social Media / Content Marketing (m|w|d) Süwag Energie AG in Frankfurt a.M.

Alle Stellenanzeigen

---

Ähh – EFF, was war das gleich nochmal? Eine amerikanische Privatorganisation für Datensicherheit und Privatsphäre. Ich habe es in diesem Sonderbeitrag kurz beschrieben. Wir verdanken dem EFF unter anderem die „Würfel-Methode“. Damit kann man sichere Passwörter erzeugen.

Und außerdem war John in seiner Jugend Songwriter der Greatful Dead. Meiner Generation muss man diese Kultband der 70er und 80er Jahre nicht vorstellen. Die etwas Jüngeren können die „Dead“ rein zeitlich irgendwo zwischen Beatles und Eminem einordnen. Für die Dead hat John den Song, der hier den Titel gibt (Begegnung Nr. 2), geschrieben: „Just A Little Light“ – nur eine kleines Licht.

Damit komme ich zum eigentlichen Thema: Ja, es stimmt, eine bessere Lösung als einen Passwort-Safe finden wir derzeit nicht für das wachsende Problem der immer unerinnerbareren und unterschiedlichen Passwörter multipliziert mit der rasant steigenden Zahl unserer Online-Konten. Auf diesem Klavier werde ich hier noch etwas weiter klimpern.

Aber es stimmt eben auch: Mehr als eine kleine Erleichterung, ein kleines Licht im Dunkeln sind diese Software-Tools alle nicht.

Alle Online-Konten erfassen, lauter verschiedene und gute Passwörter zuordnen, das Ganze gelegentlich sichern und einiges mehr, muss jeder immer noch selbst erledigen. Passwort-Safes sind kein allseits heilendes Wunderwerkzeug. Just A Little Light.

So klein ist das Licht außerdem gar nicht!

Ein Passwort-Safe ist nämlich nicht einfach nur das kleinste Übel unter vielen schlechten Möglichkeiten. Er hat durchaus nennenswerte Vorteile:

• Sie bieten die beste Verschlüsselung, die man derzeit öffentlich bekommen kann. Alle Passwort-Safes, über die ich hier berichte, verwenden die AES- oder Rijndael-Methode mit der maximalen Schlüssellänge von 256 Bits. Dieses Verfahren gilt als sehr sicher und ist derzeit der sogenannte Gold-Standard der öffentlich verfügbaren Verschlüsselungsmethoden.
• Sie können beliebig viele Passwörter aufnehmen, haben unbegrenzten Speicher. Limits können nur durch das Speichermedium gesetzt werden, aber das ist sehr theoretisch.
• Sie sind portabel. Entweder ist der Passwort-Safe eine lokale Datenbank beim Nutzer. Dann kann dieser sie zum Beispiel auf einen Stick ziehen. Oder der Speicherort ist eine Cloud, dann loggt man sich an einem Ort mit sicherem Internet-Zugang ein.
• Sie haben einen Passwort-Generator, der sehr lange und sehr sichere Passwörter erzeugt. Man muss sich nicht mit verrückten Reimen, Würfel-Methoden und dergleichen rumquälen. Man muss sich nur das Master-Passwort merken.
• Sie ermöglichen am PC die Eingabe von Kennung und Passwort via Drag-and-Drop. Man zieht sie mit der Maus in die jeweiligen Felder. Das ist einerseits bequem angesichts immer länger werdender Passwörter mit sinnleeren Zeichenfolgen. Es ist aber auch ein guter Schutz gegen Keylogger. Keylogger speichern heimlich alle Tastatur-Anschläge und können so auch sichere Passwörter hacken.
• Sie bieten zusätzlich zur eigenen Verschlüsselung in der Regel noch eine 2FA-Option. Der zweite Faktor (neben dem Master-Passwort) kann etwa ein JPEG auf einem Stick sein. Die 2FA (Zwei-Faktor-Authentifizierung) erhöht die Sicherheit des Passwort-Safes noch einmal erheblich.
• Sie geben einen Ablage-Rahmen vor und helfen so, das Durcheinander der Online-Konten ein wenig aufzuräumen. Sie schaffen Ordnung.

Das Glas ist also ganz klar halb voll!

Von Kröten und Ängsten

Die fehlende Hälfte besteht allerdings aus diesen Kröten:

• Das Master-Passwort muss irgendwie „erstellt“ werden. Weil man es erinnern soll, ist hier ein Passwort-Generator nicht so geeignet. Er erzeugt Sachen wie es#xn;3GGrGvu8#S.LT*. Sehr schwer, zu erinnern. Besser geht es mit den im letzten Beitrag vorgestellten Methoden (Songtext, Würfeln, Knittelvers).
• Die erste Einrichtung dauert nun mal. 15 Minuten sollte man für das technische Set-up schon ansetzen – und dabei nicht Game of Thrones gucken. Man muss sich konzentrieren. Für das initiale Anlegen der einzelnen Konten sollte dann nochmal eine gute Stunde eingeplant werden. Jedes Tool hat seine eigene Logik und Ordnung. Da findet man nicht immer sofort rein.
• Später im laufenden Betrieb geht es zwar im Prinzip ganz schnell. Aber auch das will erstmal „verinnerlicht“ werden. Es ist eben neu und anders als bisher. Manchen Auto-Funktionen misstraut man anfangs vielleicht auch ein wenig.
• Wer sein Master-Passwort dann doch irgendwann verschlampt, hat die A-Karte gezogen. Einzige Hilfe: Es steht noch irgendwo auf einem Zettel an einem absolut sicheren Ort. Bankschließfach wäre so ein Ort, kostet aber. Kühlschrank ist billiger, aber nicht ganz so gut.

Und dann gibt es noch einige weitere Sorgen bis Ängste. Ob sie berechtigt sind, ist völlig egal. Eine Last sind sie auf jeden Fall. Und wer will schon behaupten, dass all dies völlig ausgeschlossen ist:

• Trotz richtigem Master-Passwort geht das Teil doch nicht auf. Oder irgendwas anderes an dem Passwort-Safe geht kaputt. Jedenfalls sind alle meine Schlüssel verloren.
• Irgendein Hacker kommt trotz aller digitalen Blei-Plomben doch rein und ich steh nackt im eisigen Wind.
• Irgendein Geheimdienst oder eine Heimatschutzbehörde hat den Safe-Hersteller verpflichtet, eine „Backdoor“ einzubauen. Dann können zumindest diese Spiogenten in meinem Geheimsten rumfummeln.
• Der Safe-Hersteller verdient nicht genug und macht den Laden dicht. Mein toller Safe wird nicht mehr gepflegt und weiterentwickelt. Nach spätestens zwei Jahren ist er ein veraltetes Sicherheitsrisiko.

Ja, kann alles theoretisch sein. Aber sehr viel wahrscheinlicher ist doch, dass die eigene bisherige 17-Zettel-Methode demnächst in die Hose geht.

Passwort-Safes im Vergleich

In den letzten zwölf Monaten habe ich diese drei Vergleiche gefunden, die mir besonders seriös erscheinen.

• Gut ein Jahr alt ist der Vergleich von fünf Passwort-Safes der Süddeutschen Zeitung. Vorgestellt werden Lastpass, 1Password, KeePass, Dashlane und Enpass. Eine klare Empfehlung findet man hier nicht. Für jedes Produkt werden aber kurz Einrichtung, Bedienung, Funktionsumfang und Sicherheit beschreiben. Auch der Preis wird genannt, aber Vorsicht: Hier kann sich einiges getan haben.
• Der vergleichende Test der Stiftung Warentest kostet 1,50 Euro. Dafür sind aber auch neun Produkte unter der Lupe: Dashlane, True Key, Keeper Security, Lastpass, 1Password, SafeInCloud, Key Premium, Password Manager und Enpass. Die ersten vier dieser neun sind nach dem Test empfehlenswert.
• Der Golem-Vergleich aus dem Oktober 2017 beschäftigt sich mit vier Kandidaten: KeePass, Lastpass, 1Password und Dashlane. Hiernach haben alle vier ihre speziellen Stärken, auch Golem spricht keine klare Empfehlung aus. Ein paar Minuspunkte muss 1Password einstecken: Die 2FA für das Master-Login fehlt. Dashlane kommt in dem Artikel recht gut weg.

Ich empfehle, alle drei Artikel zu lesen. Die 1,50 Euro für den Test der Stiftung Warentest solltest du ebenfalls springen lassen.

Auf dieser Basis stellst du dir dann eine kurze Liste von drei Kandidaten zusammen. Und die probierst du alle aus. Kostet nichts: Entweder sie sind sowieso umsonst oder es gibt einen 30-Tage-Schnupper-Monat.

Vor der Hochzeit solltest du mit dem neuen Partner einfach ein bisschen rumspielen, um zu sehen, wie der sich so anfühlt. Das ist besser als jeder Vergleichsbericht.

Doch bevor du das machst, lies erst noch das hier:

Meine Empfehlung

Die Prüf- und Bewertungskriterien in den hier vorgestellten Vergleichen sind alle gut, wichtig und ernst zu nehmen. Meine wichtigsten Checkpunkte sind allerdings diese hier:

1. Preis

Die geizigen Deutschen schielen meist zuerst auf die Kosten. Das ist hier wirklich unpassend. Es geht um die Sicherheit deiner Konten und Daten! Drei oder sechs Euro im Monat sind da wirklich gut angelegt. Ich empfehle zwar am Ende ein Produkt (KeePass), das gratis ist. Aber das Preis-Argument spielt für mich dabei überhaupt keine Rolle – und sollte es für dich auch nicht.

2. Deutsche Sprache

1Password ist alternativlos in Englisch und bei LastPass ist die Übersetzungsmaschine auch über die obersten zwei Schichten nicht hinausgekommen. Wer ein Produkt zu 100 Prozent in deutscher Sprache braucht, ist bei Dashlane, Kasperskys Password Manager oder Enpass besser aufgehoben.

3. Komfort

Wir sind alle bequem. Aber bei Sicherheits-Themen stelle ich diesen Wunsch etwas zurück. Angenommen, du musst über einen Fluss voller Krokodile. Am Ufer liegen drei Boote, ein einfaches, aber solides Ruderboot, ein High-Tech-Sport-Racer und ein mega-bequemes Boot mit Sitzheizung und Servolenkung – welches nimmst du? Das Ruderboot ist leider weg, das hab‘ ich nämlich schon!

Klar, nicht alles was hinkt, ist ein Vergleich, aber ein bisschen passt es doch. Zu viele verdeckte Prozesse, die irgendetwas im Hintergrund machen, das ich nicht genau kontrolliere, sind mir jedenfalls unheimlich. Jeder zusätzliche Automatismus ist ein potenzielles Einstiegs-Fenster für unerwünschten Besuch.

4. Cloud-Speicher

Viele Anbieter speichern die verschlüsselten Daten in der Cloud. Die gehört zum Passwort-Safe mit dazu. Das ist gut, denn es schützt gegen Datenverlust, ermöglicht eine einfache Synchronisation zwischen verschiedenen Geräten und macht ganz generell mobil. Der Passwort-Safe ist überall, wo das Internet ist.

Aber es ist schlecht, wenn ich wieder an böse Dienste und andere Schlawiner denke. Clouds werden gelegentlich gehackt. Insbesondere im Zusammenspiel mit meinem letzten Stichwort ist das durchaus relevant.

5. Open Source

„Open Source“ bedeutet bei Software, dass der komplette Code, früher hätte man „Programm“ gesagt, offen und für jedermann zugänglich verfügbar ist. Das ist durchaus seriös, wie man zum Beispiel hier lesen kann.

In einer Open-Source-Lösung kann es keine eingebauten Geheim-Funktionen geben, das würde sofort auffallen. Die berühmten „Backdoors“, die gerade die US-Regierung so energisch von Software-Herstellern fordert, um böse Machenschaften aufdecken zu können, kann es in einer Open-Source-Lösung nicht geben. Bei anderen Produkten schon, und wenn dann die Daten in einer US-Cloud liegen …

Alle, die den gleichen Verfolgungswahn wie ich haben, sollten deshalb KeePass ganz oben auf ihre Liste setzen. Weil ich das Produkt am Ende sogar für überlegen halte, werde ich es auch in den folgenden Beiträgen genauer vorstellen.

Zunächst wird es dabei um die Einrichtung gehen. So geht das. Das und das sollte man einstellen. So bekommt man eine deutschsprachige Version und noch einiges mehr. KeePass bietet nicht gerade viel Support – Open Source eben. Doch wenn man über die ersten Klippen rüber ist, ist alles wirklich sehr einfach.

Später komme ich dann noch zu einigen Ergänzungen und Ausbau-Optionen. Ob das in einen Beitrag passt, weiß ich noch nicht. Es bleibt spannend.

An den Abschluss stelle ich heute die erste Zeile aus John Barlows „Just A Little Light“: „Well, there ain’t nobody safer than someone who doesn’t care.“ So kann man’s natürlich auch sehen.

⇐ Zu Teil 4 | Zu Teil 6 ⇒

Auch interessant:

• Passwort-Safes: So einfach wie ein Adressbuch
• Sichere Passwörter und wie man sie erstellt
• 8 Fakten zu Passwörtern, die du kennen solltest
• 3 Passwort-Management-Methoden für sicherere Passwörter