FAUmac

der Blog des FAUmac-Teams

Inhalt

Passwortmanager – Sechs Programme im Kurzüberblick

Viele Leute nehmen für jeden Login ein und das selbe unsichere Kennwort – sehr beliebt ist der Name des eigenen Kindes mit Geburtsdatum (z.B. max1982). Klar, dieses kann man sich gut merken, jedoch bietet es kaum Sicherheit. Zu einem kann dieses mit „Social Engineering“ leicht herausgefunden werden und auch bei sogenannten „Brute-Force-Attacken“ (schnelles Durchprobieren von verschiedenen Kennwörtern) ist dieses nicht besonders widerstandsfähig. Eine Alternative wäre nun für jeden Login ein sicheres Kennwort (Jad82=“73hhsgfi“%!Q….) zu nutzen, allerdings kann man sich so eines selten für jeden Zugang merken. Abhilfe schaffen Passwortmanager. So musst du dir lediglich ein starkes Kennwort („Masterpassword“) merken mit dem deine eigentlichen Passworte verschlüsselt sind. Oftmals können diese auch weitere Dokumente sicher ablegen – aber dazu später mehr.

Im Internet findet man unzählige Passwortmanager und es wird mittlerweile oft betont, wie sinnvoll es wäre, einen solchen zu nutzen. Da man im Netz schnell den Überblick verliert welche Software etwas taugt und welche Funktionen diese bieten, zeige ich dir eine kleine Auswahl von sechs Passwortmanagern für den Mac mit einer jeweils kleinen Beschreibung über deren Funktionen, Kosten und groben Funktionsweise.

Ein Tipp von uns: Der YouTuber Ben Jenkins beschreibt die grundlegende Funktion eines Passwortmanagers auf eine einfache schöne Weise – allerdings nur auf englisch. Das Video findest du hier: https://youtube.com/watch?v=IgCHcuCw_RQ

Bevor es losgeht

Ich empfehle, sich vor der Nutzung einer dieser Programme, auf den Websites der Entwickler genauer zu informieren, da ich hier nicht alle Features und Funktionen auflisten kann. Einfachheitshalber beschreibe ich auch nicht die genauen Verschlüsselungsmethoden oder deren Algorithmen. Die meisten bieten eine sehr ausführliche Dokumentation (White Papers), in denen die Funktionsweise der Datenübertragung zwischen Gerät und Server sowie der verwendeten Verschlüsselung dargelegt wird. Sollte ein Passwortmanager so etwas nicht bieten, würde ich von der Nutzung dieses Passwortmanagers abraten.

Letztendlich bleibt zu sagen, dass sich die meisten Passwortmanager nur noch im Detail unterscheiden, da die Funktionen oft sehr ähnlich oder sogar identisch sind. Somit bleibt es am Ende deiner eigenen Präferenz überlassen, für welches Programm du dich entscheidest.

Ich persönlich habe mich nach langem Überlegen für 1Password(.eu) entschieden, da dessen Features meinen Anforderungen am besten gerecht werden und mir wichtig ist, dass meine Daten, wenn, auch auf deutschen Servern gespeichert werden.

1Password / 1Password Account

AgileBits bietet mit 1Password eine grafisch sehr ansprechende, benutzerfreundliche Oberfläche zum Management von Passwörtern, Notizen, Zahlungsmethoden und anderen. Wie der Name schon impliziert benötigt man nur noch ein Passwort für alle persönlichen Daten. Das Konzept, dass sich die meisten Passwortmanager zunutze machen, ist auch hier Programm und wird tadellos umgesetzt. Das Unternehmen kommt aus Toronto (Kanda) und zeigt immer wieder viel Liebe für’s Detail.

AgileBits bietet mit 1Password Account auch eine fertige Lösung zum Synchronisieren der Passwörter zwischen allen Geräten über deren eigenen Cloud-Dienst an – natürlich komplett verschlüsselt. Eine Anmeldung kann über ein Webinterface erfolgen sowie über deren Anwendungen. Bei 1Password Account wird der Account zusätzlich zum jeweiligen Masterpasswort mit einem Secret Key geschützt, der bei einer Erstanmeldung auf einem neuen Gerät abgefragt wird.

Hier ist anzumerken, dass es zwei verschiedene 1Password Accounts gibt. Der eine 1Password.com, der US Amerikanische und Kanadische Server nutzt und 1Password.eu, deren Server in Frankfurt am Main untergebracht sind. Interessant zu wissen für alle Leser, denen der Standort ihrer Daten wichtig ist.

1Password bietet für ihren Cloud-Dienst unter anderem eine Zwei-Wege-Authentifizierung, automatische Backups, Synchronisation zwischen mehreren Geräten, getrennte Tresore für bspw. Arbeit, Privates und Familie, einen ‚Travel Mode‘, der alle lokal gespeicherten Tresore für einen bestimmten Zeitraum löscht (dies soll einen Grenzübergang ermöglichen, ohne das mögliche Zollbeamte zugriff auf die Tresore erhalten können) und natürlich ein Browser Plug-In für das Ausfüllen auf der Formulare auf Webseiten. Ein Nachteil ist jedoch, dass 1Password Account derzeit nur in englischer Sprache bereitsteht.

Wer möchte kann 1Password natürlich auch mit lokalen Tresoren bzw. unabhängigen Tresoren nutzen, jedoch empfehlen die Entwickler die Nutzung der 1Password Accounts. Eine Synchronisierung über mehrere Geräte hinweg kann bei unabhängigen Tresoren über die iCloud oder andere Cloud-Dienste erfolgen. Bei unabhängigen Tresoren ist die Nutzung in deutscher Sprache möglich. Wichtig: wer einen 1Password Account nutzt, kann natürlich ebenfalls unabhängige Tresore erstellen sowie nutzen.

Wer 1Password Account testen möchte, kann dies 30 Tage lang kostenfrei tun, danach wird das Profil eingefroren – ein Zugriff auf bereits angelegte Daten ist aber weiterhin möglich. Wer den Dienst nutzen möchte, muss für einen persönlichen Account ca. 4,50€/Monat zahlen. Alternativ gibt es ‚1Password Family‘ für aktuell 5.65€/Monat. Hier sind 5 Nutzer inklusive, weitere Nutzer sind möglich (1.00€/Monat und Mitglied) – hier erhält z.B. die Familie einen gemeinsamen Tresor; auch Gäste können eingeladen werden. Die Abrechnung erfolgt jährlich (Bei monatlicher Abrechnung sind die Preise etwas teurer). Wer einen 1Password Account nutzt, für den sind alle aktuellen Anwendungen inklusive. Wer die Cloud-Lösung nicht nutzen möchte, sondern gerne unabhängig von einem Abo sein will, kann die Clients auch ohne Abo erwerben.

so sieht 1password aus

KeePass / MacPass

Der Open-Source Passwortmanager KeePass, 2003 von Dominik Reichl entwickelt und ursprünglich für Linux und Windows erschienen, ist mittlerweile auch als „MacPass“ für macOS verfügbar. Das Design ist sehr schlicht und einfach gehalten, jedoch verbergen sich dahinter zahlreiche nützliche Funktionen. Das alles natürlich kostenfrei.

Vorweg ist zu sagen, dass KeePass/MacPass komplett offline arbeitet und alle Dateien auf dem Gerät selbst speichert, als Verschlüsselung stehen AES, ChaCha20 und TwoFish zur Verfügung – weitere können via Plug-Ins hinzugefügt werden. MacPass kommt mit einigen nützlichen Optionen, wie den Support von KDB und KDBX Dateien, einem Passwortgenerator, ein setzbares Ablaufdatum für Passwörter, einer Änderungshistorie und einiges mehr. Allerdings bietet MacPass keine mobile App, sondern ist lediglich für MacOS verfügbar.

KeePass bzw. MacPass empfiehlt sich für Benutzer, die kein Geld ausgeben wollen (oder können), ihre Daten komplett offline pflegen und den Wert von Funktion über den von Design stellen.

So sieht MacPass aus

Dashlane

Dashlane ist seit 2011 auf dem Markt und ist neben dem modernen Look und Design auch reich an Funktionen.

Auf der übersichtlichen, gut strukturierten Nutzeroberfläche des Passwortmanagers finden sich selbst unerfahrene Benutzer schnell zurecht.

Auch um Sicherheit muss man sich als Benutzer kaum Sorgen machen, solange man sich nicht daran stört, dass alle Daten auch verschlüsselt auf den – mit Amazon Web Services (AWS) betriebenen – Servern von Dashlane liegen und nicht nur lokal. Als Verschlüsselungsalgorithmus dient hier AES-256. Das Masterpasswort zum Entschlüsseln der Datenbank bleibt beim Benutzer.

Der Vorteil, dass Dashlane online operiert, macht Synchronisation möglich. So können Anwender ihre Daten automatisch über PC, Handy und andere Geräte rund um die Uhr über das Netz abgleichen und aktualisieren.

Allerdings bringt das einen Onlinezwang mit sich. So wird immer eine Internetverbindung benötigt um auf die verschlüsselten Daten zugreifen zu können. Also falls mal kein Internet zur Verfügung steht, gibt es keine Möglichkeit sich in Dashlane einzuloggen und auf seine Daten zuzugreifen.

An Funktionen bietet Dashlane die Möglichkeit, nicht nur Passwörter zu speichern, sondern mithilfe der „Brieftasche“ auch Bezahlmöglichkeiten, wie Kreditkarten. Ebenfalls kommt Dashlane mit zwei-Faktor-Authentifikation, Passwortgenerator, automatischer Passwortänderung, einer Benachrichtigungsfunktion bei einem Breach von Kundenkonten, einem Auto-Fill-In Browser Plug-In und das alles verschlüsselt hinter einem Masterpasswort.

Dashlane bietet ebenfalls eine Premium Version für $3.33/Monat, welches das Tool um die Möglichkeit eines automatischen Backups, bevorzugtem Support und eine U2F Authentifizierung erweitert.

Die Basisversion von Dashlane ist kostenlos.

So sieht Dashlane aus

LastPass

LastPass hat in der Basisversion kein Tool, sondern operiert allein im Browser als Plug-In.

Unterstützt werden Mozilla Firefox, Google Chrome, Internet Explorer, Microsoft Edge, Opera und Safari. Das Design ist dem vom Dashlane sehr ähnlich, ebenfalls in einer sehr benutzerfreundlichen, gut strukturierten Oberfläche gehalten, was es unerfahrenen Benutzern erleichtert sich zurecht zu finden.

An Features bietet LastPass ebenfalls eine zwei-Wege Authentifikation, Synchronisation mehrerer Geräte, Passwortgenerator und die Möglichkeit Kreditkarten o.ä. zu speichern.

Nebenbei bietet der Hersteller auch entsprechende Apps im AppStore und Google Play Store an, zwischen denen die Daten Plattformübergreifend synchronisiert werden.

Auch hier gilt, ohne Internet kein Zugriff, da die Datenbanken allein – verschlüsselt – auf Servern von LastPass gespeichert werden. LastPass verwendet hier AES-256, PBKDF2 SHA-256 und salted Hashes zum Verschlüsseln der Daten.

Ein weiteres kleines Manko gibt es allerdings, so fehlt teilweise die deutsche Übersetzung in der Bedienoberfläche.

Ab der Premiumversion für $2/Monat gibt es auch eine Desktopanwendung.

So sieht LastPass aus

Keeper Security

Keeper bietet im Vergleich zu vielen anderen Passwortmanagern keine kostenfreie Version, so gibt es Lizenzen für Einzelpersonen (29,99€/Jahr), für Familien (59,99€/Jahr) und für geschäftliche Nutzung (30€/Jahr pro Benutzer).

Die Software ist als Web-, Desktop- und mobile App für Windows, Mac, Linux, iOS, Android verfügbar. Im Vergleich zu Dashlane oder Lastpass werden hier die Benutzerdaten komplett lokal gespeichert und nur auf Wunsch des Nutzers Sicherungskopien in der sog. „Cloud Security Vault“ (Cloudlösung von Amazon AWS) gespeichert.

Die Browser-Erweiterung ist für Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge und Safari verfügbar.

Die Benutzeroberfläche wirkt zu Beginn sehr übersichtlich und aufgeräumt, allerdings fehlt eine vorgegebene Struktur und die Möglichkeit Favoriten hinzuzufügen, was die Datenbank bei größerer Datenmenge schnell unübersichtlich macht. Wer Freude an eigenen Ordnerstrukturen hat, sollte hierbei jedoch keine Probleme haben.

Im Vergleich zu anderen Passwortmanagern gibt es bei Keeper Security recht wenig Möglichkeiten zur individuellen Anpassung, das Design ist hier eher zweckmäßig gehalten.

Die Features sind auf das Wichtigste reduziert, so gibt es einen Passwortgenerator, eine Import&Export Funktion, eine Backuplösung und eine Two-Factor Authentification.

Keeper punktet vor allem mit vielen Hilfsmöglichkeiten, sowohl über die Website als auch über den Reiter „Hilfe“ in der Applikation finden Hilfesuchende das Benutzerhandbuch, eine FAQ-Anleitung, Video-Tutorials und mehr komplett verfügbar in deutscher Sprache.

So sieht Keeper Security aus

Enpass

Enpass ist eine kostenfreie Software, die keine Anmeldung benötigt und alle Daten lokal auf den verwendeten Geräten verschlüsselt. Das Programm bietet jedoch auch die Möglichkeit einer Cloud Synchronisation mit iCloud, Dropbox, OwnCloud, GoogleDrive, One Drive und Box, somit ist der Benutzer nicht an Server des Softwareherstellers gebunden und kann eigene, oder andere Clouddienste verwenden.

Ebenfalls beinhaltet Enpass einen Passwortgenerator, einen „Wearable Support“ für Apple Watch oder vergleichbare Gerate auf Android Basis, die es ermöglicht Passwörter und Pins auf den wearables anzuzeigen. Es bietet die Möglichkeit Bilder und andere Dateien bis 200 kB in der Datenbank zu verschlüsseln und automatisch Backups zu erstellen, die auf dem Gerät, oder in der Cloud abgelegt werden.

Enpass bietet eine portable Nutzung an, bei der die Daten auf bspw. einem USB-Stick verschlüsselt liegen und somit keine wichtigen Daten auf dem benutzen Rechner hinterlassen werden.

Als Verschlüsselungsmechanismus wird AES-256 verwendet.

Enpass ist sehr Anwenderfreundlich, so bietet die Software viele Einstellungsoptionen und vergleichsweise umfangreiche Hilfsoptionen zu Onlinehilfen, FAQ-Bereich und Forum. Allerdings ist das Programm nur in englischer Sprache verfügbar und bietet keine Übersetzungen.

Der Passwortmanager ist für iOS, Android, Windows UWP, macOS, Windows PC, Linux, Portable und Chromebook verfügbar.

Enpass ist kostenfrei, allerdings begrenzt die App für mobile Geräte die Einträge auf 20 Stück, wer keine Limitierung möchte kann sich die Pro-Version in den entsprechenden Stores für 9.99$/Gerät kaufen.

So sieht Enpass aus