Social Media

So testest du deinen Passwort-Safe richtig

Hacker Sicherheit Passwort Hack Safer Internet Day
geschrieben von Peter Apel

Eigentlich wollte ich hier jetzt KeePass vorstellen, Schritt für Schritt und ganz einfach. Eigentlich. Aber im letzten Beitrag hatte ich eine Empfehlung ausgesprochen, wie man den Passwort-Safe findet, der am besten zu einem passt.

So ungefähr lautete die Empfehlung:

  • Lies ein paar Tests aus 2017 und 2018, zum Beispiel von Golem oder von der Stiftung Warentest.
  • Stelle dir daraus eine kurze Liste deiner zwei oder drei Favoriten zusammen. Alle, vor denen nicht direkt gewarnt wird, sind schon mal auf jeden Fall besser als gar nichts. Klar, die Top 3 sind natürlich die besonders heißen Kandidaten.
  • Mache mit jedem von denen deinen eigenen Test. Das kostet nichts. Entweder, die Dinger sind sowieso umsonst oder der erste Monat ist gratis.

Mein Grund: Nichts gegen all die hochwissenschaftlichen Prüf-Kriterien und Messlatten: entscheidend ist am Ende aber doch, ob du mit dem Teil klarkommst! Dein Testergebnis entscheidet.

Testen, aber wie?

Das klingt ja alles gut und schön, aber wie testet man denn einen Passwort Safe? Gute Frage.

Wenn du sowas noch nie gemacht hast, dann habe ich hier ein paar Tipps für dich, wie du das Ganze angehen kannst. Das ist kein Pflichtprogramm, aber so eine Orientierungs-Linie. Ganz planlos sollte man jedenfalls nicht loslaufen. Die Mühe, die man sich beim Testen macht, soll nicht verpuffen, sondern am Ende was bringen.

Die Vorstellung von KeePass muss darum also noch eine Woche warten, jetzt wird erstmal selbst getestet.

Und da muss man nun zugeben: Testen ist nicht jedermanns Ding. Manche mögen das ganz gern, aber andere kriegen dabei irgendwo grüne Pickel. Wenn du also mehr zur zweiten Gruppe gehörst: mach dich nicht verrückt! Passwort-Safe ist Pflicht, aber Testen absolut nicht.

Nimm einfach eine Empfehlung aus der Gruppe der vielen öffentlichen Berichte und Vergleiche, drei habe ich ja hier vorgestellt. Wenn es ein leidlich unabhängiger Artikel war, werden die ersten alle gut zu gebrauchen sein.

So, nun geht’s aber wirklich los.

Der Ablauf

Bei unserem Test gehen wir „sequentiell“ und nicht parallel vor. Aha, und was heißt das konkret?

Angenommen, es sollen insgesamt drei Produkte getestet werden, Produkt, A, B und C. Wir fangen dann mit A an und machen den Test ganz zu Ende, nur mit A. Und wenn wir damit fertig sind, ist B dran. Und danach C. Wir testen nicht mehrere Produkte gleichzeitig.

Jeder Test wird zwischen 30 und 50 Minuten dauern, zu Beginn etwas länger, später geht es schneller. Wer drei Passwort-Safes testen will, sollte also etwa zwei Stunden einplanen. Die kannst du aber auf mehrere Tage verteilen, etwa indem du jeden Tag ein Produkt ausprobierst.

Es stimmt, in diesen zwei Stunden könnte man auch viele andere interessante Dinge machen. Doch die Auswahl des geeigneten Passwort-Safes ist vielleicht deine wichtigste IT-Sicherheits-Entscheidung der nächsten fünf Jahre. Da sind diese zwei Stunden dann doch nicht verplempert.

Kein Business-Test

Wer so ein Stück Software übrigens für ein Unternehmen sucht, vielleicht als IT-Verantwortlicher, der wird Kriterien-Listen, ein Punktesystem und dazu eine Excel-Tabelle erstellen. Doch das ist nicht unsere Welt hier. Wir suchen Safes für die Privatfrau und den Privatmann. Die haben andere Anforderungen und mit dem Testen auch kaum Erfahrung.

Und ganz wichtig: das Argument: „Passwort-Safe X gefällt mir aber nun mal nicht!“ ist hier durchaus zulässig. Dem Chef kann man sowas ja nicht so gut sagen.

So solltest du konkret vorgehen

Es geht los, bevor es losgeht. Im Geschäftsbereich würde man sagen: erstmal schaffen wir uns eine Testumgebung. Die Testumgebung für diesen kleinen Privatkunden-Test ist aber sehr einfach.

E-Mail-Adresse zum Testen

Zu allererst brauchst du nämlich eine eigene E-Mail-Adresse für deine Tests. Nichts Besonderes, die Domain ist wirklich ziemlich schnuppe. Wozu das? Du solltest im Test nicht gleich mit deinen richtigen Online-Konten loslegen.

Wenn du drei Safes testest, wirst du mindestens zwei später nicht benutzen. Die haben dann trotzdem richtige Login-Daten von dir und schicken dir außerdem laufend Informations-Mails aka Werbung? Nicht gut.

Ich finde die E-Mail-Adressen bei gmail.com recht praktisch und habe für meine Testzwecke petertesting18@gmail.com angelegt. So in der Art könnte auch deine Adresse aussehen. Doch natürlich gehen auch alle anderen Freemail-Provider.

Notizen machen

Ein kleiner Zettel, Evernote, OneNote, Word oder was auch immer sollte beim Test bereitliegen: Irgendwo und irgendwie willst du dir doch Notizen machen. Mach das möglichst zeitnah, also gleich, wenn du was feststellst, was du gut oder weniger gut findest.

Deine Notizen können später aussehen wie Hund, völlig egal. Wichtig ist nur, dass du am Ende noch erinnerst, was du beim Test alles erlebt hast. Man vergisst sowas sonst schneller, als man denkt.

Die Installation beobachten

Wie wertschätzend oder zynisch ein Hersteller mit seinen Kunden umgeht, merkt man oft gleich am Anfang. Also beobachte schon die ersten Installationsschritte.

Der Test von Produkt A beginnt ja damit, dass du auf die Webseite gehst, das Produkt runterlädst und dann installierst. Schau den Schritten, die du dabei gehen musst, aufmerksam zu und beurteile, ob dir das gefällt.

  • Ist die Webseite und der Leistungsumfang des Passwort-Safes klar und verständlich?
  • Verstehst du, welches Paket zu welchem Preis zu haben ist?
  • Wieviel musst du schon beim Test von dir erzählen? Anbieter, die etwa schon mal vorab die Kontoverbindung wissen wollen, wären mir suspekt.
  • Läuft der Installations-Prozess sauber und störungsfrei ab?
  • Wird versucht, noch schnell was Anderes mit zu installieren, Virenschutz oder ähnliches? Hat was von Wegelagerei, finde ich.

Masterpasswort

Dieses große, wichtige, mega-geheime Passwort muss sicher angelegt werden. Für Dritte darf es keinen Weg geben, irgendwie doch an dieses Passwort zu kommen. Insbesondere die Methoden, ein vergessenes Passwort selbst wieder zu finden, sind alle nur eingeschränkt zu empfehlen.

  • Sogenannte „Sicherheits-Fragen“ (Mädchenname der Mutter etc.) sind schon mal nicht sicher. Freunde und Verwandte kommen mit Raten viel zu weit. Es ist durchaus nicht gesagt, dass der böse Datenklauer in Korea oder Russland lebt. Vielleicht lebt er in der Wohnung nebenan.
  • Die Vertrauensperson, die für den Notfall das Masterpasswort erhält, ist ebenfalls nicht sicher. Sie kann versterben oder schlimmer: man trennt sich von ihr, vielleicht im Streit. Wer denkt dann gleich an das vor Jahren übergebene Masterpasswort?
  • Das ausgedruckte Sicherheitsblatt für den Safe, auf dem das Passwort steht, ist gar nicht sicher. Es ist ja eben in Klarschrift an den Drucker gesendet worden. Nur wenn das Passwort hier ganz analog von Hand eingetragen wird, ist dieser Weg okay. Dann ist es sogar meine Empfehlung: ein handschriftlicher Zettel im Banksafe.

2FA für den privaten Gebrauch

Es muss die Möglichkeit der 2-Faktor Authentifizierung bestehen, darauf solltest du bestehen. Was 2FA ist, habe ich hier vorgestellt.

2FA haben nahezu alle Produkte, aber bei einigen ist das Verfahren eher auf die Anforderungen eines Unternehmens mit 100 oder mehr Mitarbeitern ausgelegt. Du solltest prüfen, ob die angebotene 2FA-Methode für dich als Privatperson verständlich erklärt und leicht einzusetzen ist.

  • Wenn die Voraussetzung zum Beispiel ein spezielles „Token“ ist, musst du erstmal dieses Token beschaffen. Vielleicht stellt das für dich eine Hürde dar.
  • Wenn die 2FA-Methode ein hier kaum bekannter amerikanischer Standard ist, solltest du sicherstellen, dass du jemand kennst, der dir im Notfall hilft.

Im Prinzip genügt für deine privaten Anforderungen eine kleine Datei auf einem Stick.

Oberfläche anschauen

Manche finden ein Web-Interface aufgeräumt, das anderen chaotisch erscheint. Wie ist es hier konkret für dich?

  • Kannst du dich schnell orientieren?
  • Erkennst du, was wo zu finden ist, verstehst du die „Struktur“?
  • Verstehst du die Ausdrücke?
  • Gefallen dir die Farben?

Online-Konto im Internet

Jetzt wird es ernst. Du registrierst dich bei einer Online-Seite und meldest dich da später mit Hilfe des Passwort-Safes an. Such dir hier eine Seite, die dich noch nicht kennt, bei der du noch nicht registriert bist.

Ein neues Online-Konto anlegen

Besonders einfach ist die Registrierung etwa bei den Webseiten von TV-Sendern, Sat1, RTL, arte und so weiter. Registriere dich auf einer dieser Seiten mit deiner Testmail-Adresse.

Im Anschluss müssen diese Registrierungsdaten noch im Passwort-Safe angelegt werden. Das sind sinnvolle Fragen zu diesem Schritt:

  • Ist die Stelle für ein neues Online-Konto, für einen neuen Eintrag leicht zu finden?
  • Ist diese Erfassung einfach und klar, versteht man schnell, was wohin soll?
  • Erfolgt sie vielleicht sogar automatisch oder halbautomatisch, als Vorschlag? Gefällt dir diese Automatik?
  • Wieviel Zeichen sind für das Passwort möglich? Nach neuem NIST Standard sollten es mindestens 64 sein. Ist das hier der Fall?
  • Gibt es nervige Pflichtfelder, die du gerne erstmal leer lassen möchtest?
  • Einige Passwort-Safes geben eine „Kategorie“ vor, einen Ordner-Namen. Bei einem TV-Sender würde vielleicht „Unterhaltung“ passen oder „Medien“. Ist das leidlich sinnvoll aufgebaut? Passen diese Schubladen in den „Schrank“, der dir so vorschwebt?
  • Gibt es einen Hinweis, wie sicher oder schwach dein Passwort ist?
  • Kannst du dir da auch ein neues, stärkeres backen lassen? Ist also ein Passwort-Generator zur Hand?

Beim neuen Online-Konto anmelden

Du hast dich jetzt bei, sagen wir: Sat1 registriert und die Login-Daten im Passwort-Safe gespeichert. Sat1 hat dir eine Verifizierungs-Mail geschickt und du hast das bestätigt. Gehe nun wieder auf die Sat1-Seite und klicke auf „Anmelden“.

  • Vielleicht will der Passwort-Safe hier gleich selbst die Login-Daten eintragen. Wie automatisch und sozusagen ohne dein Zutun erfolgt das? Wird dir das aufgezwungen oder kannst du den Ablauf steuern? Ist es dir so, wie es ist, gerade recht?
  • Ist der ganze Ablauf einfach, klar und verständlich?

Mobile Nutzung und Synchronisation ausprobieren

Wenn du den Passwort-Safe auch mobil nutzen willst auf Handy oder Tablet, sind das wichtige Fragen:

  • Kann der Passwort-Safe das überhaupt, gibt es eine mobile App?
  • Gibt es sie für dein mobiles Betriebssystem, meist Android oder iOS (Apple)?
  • Funktioniert die App für dich verständlich? Ist sie übersichtlich und klar?
  • Wird der gesamte Desktop-Inhalt des Passwort-Safes synchronisiert oder zumindest alle für dich wichtigen Teile?
  • Funktioniert diese Synchronisation für dich zufriedenstellend? Du solltest also zum Beispiel versuchen, dich auch vom Handy aus bei Sat1 anzumelden. Wurden die Login-Daten vom Desktop richtig übernommen?

Beispiel-Konten ohne URL anlegen

Bis jetzt hast du den Passwort-Safe bei Online Konten, die eine URL hatten (ich habe hier immer das Beispiel von Sat1 genommen) getestet. Aber es gibt auch andere Login-Situationen, etwa für eine Kreditkarten-PIN. Testen kann man die meist nicht, aber du kannst schauen, ob sich diese Konten leicht und nachvollziehbar anlegen und später auch wiederfinden lassen.

Andere Konten ohne URL sind auch die Benutzer-Konten diverser Geräte; TV, Heizung, Auto, Garagentor. Da kommt ja in Zukunft auch noch einiges mehr auf uns zu.

Gut aufgehoben in einem Passwort-Safe sind außerdem Daten persönlicher Dokumente wie Perso-Nummer, Führerschein-Nummer, die Fahrgestellnummer des Autos und Vieles mehr.

Die Fragen zu alledem sind:

  • Ist die Erfassung solcher Daten ohne URL oder ohne eigentliches Konto, einfach und klar strukturiert? Sind diese Daten leicht wieder zu finden?
  • Können auch Bilder, z.B. vom Perso, erfasst werden? Sind mehrere Anlagen pro Eintrag möglich?
  • Falls es eine Cloud-Lösung ist: Welche Speicherplatz-Beschränkungen gibt es?

Kann der Safe angepasst werden?

Gerade bei der Organisation der Konten kann man nicht jeden Geschmack treffen. Nimm zum Beispiel ein Konto bei Google. Gehört es zur Kategorie E-Mail (Gmail), zu Social Media (G+), zu „Maps“ oder zu einem der anderen Services von Google?

In welche dieser Schubladen sollen die Google-login-Daten gelegt werden? Doppeltablage ist doof, weil wenn sich was ändert, muss man an jedem Ablageort die Änderung wiederholen.

Solche Beispiele gibt es viele. Die Fragen sind:

  • Wie flexibel ist der Passwort-Safe, sich auf deine Sichtweise, deine Ordnung im Safe einzustellen? Kannst du auch weitere Schubkästen hinzufügen und andere, die du nie nutzt, verschwinden lassen?
  • Kannst du der Erfassungsmaske für Online-Konten weitere Felder hinzufügen, etwa das Datum der nächsten Passwort-Änderung oder ein Feld „soll vererbt werden an“? Einige Safes haben solche Felder schon fest angeschraubt, aber andere eben nicht. Kann man hier selbst „schrauben“?

Die Hilfe anwenden

Ist die Hilfe wirklich eine Hilfe? Suche mal einige Themen, zum Beispiel „2FA“ oder „Speicherplatz“.

  • Wie gut sind die Antworten inhaltlich?
  • Sind sie verständlich geschrieben?
  • Wenn die Anwendung in Deutsch ist – ist es die Hilfe auch?
  • Hilft die Hilfe dir?

Den Test beenden

Es gibt noch viele weitere Checkpunkte, etwa zu weiteren Funktionen und zu Alarmen. Aber dann wird diese Liste uferlos.

Nach meiner Erfahrung nutzt man auch Vieles, was zunächst recht schick aussieht, später im Betrieb dann doch nicht mehr. Die hektische Praxis ist meist einfach und schnörkellos.

Wichtiger ist es, dass du daran denkst, deinen Test auch sauber zu beenden, wenn du zu einem Ergebnis gekommen bist.

Nicht genutzte Software wieder deinstallieren

Zum einen sollten die Safes, die dir nicht so gefielen, wieder gelöscht werden. Ich benutze für solche Aufgaben gern CCleaner, weil der schnell auch Einträge im Autostart und Add-Ons im Browser findet.

Ich würde übrigens auch den Sieger entfernen. Du hast ihn ja zunächst mit einem Testaccount eingerichtet. Wenn du jetzt mit einer neuen E-Mail-Adresse kommst, kann das im Life-Betrieb zu Kuddelmuddel führen.

Setze mit deinem Sieger noch einmal frisch auf, jetzt kennst du ihn ja schon. Alles wird wie am Schnürchen laufen.

Verwendete Passwörter ändern

Und solltest du zur Vereinfachung im Test nicht nur Spiel-Konten bei Sat1 & Co sondern richtige Konten verwendet haben, dann empfiehlt es sich, bei diesen Konten diese Passwörter jetzt zu ändern. Die Passwort-Safes sind sicher mustergültige Engel, wenn es um den Schutz ihrer bestehenden Kunden geht. Doch wie sie mit verlorenen Alt- oder Schnupper-Kunden umgehen, ist nicht so transparent.

Der nächste Beitrag

Im nächsten Beitrag wird es jetzt wirklich nur noch um KeePass gehen, meine Empfehlung zum Passwort-Safe. Das Komische ist: KeePass glänzt nicht an jeder Stelle. Nicht alle meine Checkpunkte hier erfüllt KeePass mit Bravour.

Du wirst selber aber auch feststellen: den 100%-Winner gibt es nicht. Irgendwas ist immer ein wenig doof. Darum muss sich jeder selbst mit diesem Thema kurz auseinandersetzen und prüfen, welche Jacke ihm am besten passt.

Ich werde versuchen zu erklären, was mir besonders wichtig war.

Stay tuned!


Deine Jobbörse in der Digital-Welt

Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!

Über den Autor

Peter Apel

Peter Apel ist seit über 20 Jahren in Sachen Internet aktiv, ein Experte der ersten Stunde. Als Autor und Sprecher richtet er sich in erster Line an den ganz normalen Nutzer. Mit digitalen Identitäten und Passwortsicherheit beschäftigt er sich schon lange. Besonders ausführlich behandelt er die Themen „sicherer Umgang mit Online Konten“ und „Passworte“ in seinem Buch „Mein Recht im Netz“, das bei der Stiftung Warentest erschienen ist. Dort ist auch sein Einsteiger-Buch "Facebook" erschienen, ebenfalls an normale Internet-Nutzer gerichtet. In seinem Blog stellt er regelmäßig Neuigkeitern zu diesen und weiteren Themen vor.

Kommentare

Kommentieren