Kryptische, lange Passwörter und für jeden Login Bereich ein eigenes. Als normaler Mensch kann man sich das einfach nicht merken. Und man hat ja auch wirklich besseres zu tun.
Das Speichern und Synchronisieren der Passwörter über den Webbrowser (z.B. mit Chrome oder Firefox) ist nicht sicher genug. Verschafft sich jemand Zugriff auf den PC, lassen sich gespeicherte Passwörter im Browser mit einem Klick im Klartext anzeigen. Bei Firefox kann man das umgehen, indem man ein Master Passwort setzt. Bei Chrome (der ja mittlerweile einer der drei meistverwendetsten Browser ist) geht das bis heute leider nur eingeschränkt.
Deswegen sind wir froh, dass es Programme gibt, die die Verwaltung der Passwörter übernehmen. Die einzigen beiden die für uns in Frage kommen, sind KeePass und LastPass.
Beide haben Vorteile und Nachteile. Welches im Einzelfall besser ist, hängt davon ab, wie und wo man seine Passwörter verwenden will. Und womit man sich am wohlsten fühlt :-).
KeePass Password Safe
KeePass ist ein Open Source Programm zur Verwaltung von Passwörtern. Darüber gespeicherte Passwörter werden in einer verschlüsselten Datenbank abgelegt. Für den Zugriff auf die Datenbank muss man sich ein Masterpasswort merken. Das Programm wird lokal auf einem Rechner installiert. Die Datenbank kann auch auf einem Netzlaufwerk liegen. Es gibt Browsererweiterungen, die das Ausfüllen von Formularen im Webbrowser erleichtern. So muss man Passwörter nicht per Hand aus der Datenbank in die Anwendung kopieren. Die Datenbank lässt sich auch über einen Cloud-Dienst wie Dropbox synchronisieren.
Pro
- Datenhoheit: Die Passwörter werden im eigenen Hoheitsbereich auf den eigenen Rechnern gespeichert. Im Gegensatz zu manchen Cloud-basierten Diensten werden die Daten nicht auf fremden Servern gespeichert.
- Open Source: KeePass ist eine Open Source Software. Der Quellcode ist offen einsehbar. Mögliche Fehler oder Sicherheitslücken können so von jedem Fachkundigen schnell festgestellt und geschlossen werden.
Contra
- Browsererweiterungen funktionieren nicht immer zuverlässig: Es gibt zwar Erweiterungen für gängige Browser. Nach einem Update des Browsers kann es aber vorkommen, dass sie erst mal nicht mehr funktionieren. Bis die Erweiterungen an die neue Version angepasst werden, kann es manchmal ein wenig dauern.
- Umständliche Handhabung: Die Installation und Handhabung von KeePass ist nicht ganz so einfach. Normale Endbenutzer (ich denke da besonders an die Generation meiner Eltern) haben an KeePass deswegen nicht ganz so viel Freude. Es eignet sich deswegen eher für technisch versiertere Anwender. Aber selbst Alexander hatte damit 2013 so wenig Spaß, dass er sich nach einer Alternative umgesehen hat.
- Passwörter nicht überall verfügbar: Es gibt zwar auch Erweiterungen für manche mobile Endgeräte. Aber leider nicht für alle. Um auf die Datenbank mit den gespeicherten Passwörtern zugreifen zu können, muss die verschlüsselte Datenbank mit einem Synchronisierungsdienst wie Dropbox zwischen den Geräten synchronisiert werden. Und da wird es dann wieder für technisch nicht so fitte Anwender zu kompliziert.
LastPass
LastPass ist ein webbasierter Synchronisierungsdienst für Passwörter. Die Passwörter werden lokal ver– und entschlüsselt. Nur die Datenbank wird zwischen den verschiedenen Endgeräten synchronisiert. Für fast alle aktuellen und nicht mehr ganz so aktuellen Browser gibt es Erweiterungen. Login-Formulare werden von diesen Erweiterungen automatisch erkannt und mit den hinterlegten Zugangsdaten ausgefüllt. Es gibt außerdem Apps für die meisten mobilen Betriebssysteme.
Pro
- Einfache Installation und Verwendung: LastPass lässt sich auch für Laien sehr einfach einrichten. Man lädt die Browser-Erweiterung herunter, legt sich ein Benutzerkonto an und kann sofort loslegen. LastPass erkennt die meisten hinterlegten Login-Bereiche automatisch und bietet das Ausfüllen (ziemlich) zuverlässig an.
- Zwei-Wege Authentifizierung verwendbar: Als zusätzlichen Schutz des Master-Passwortes bietet LastPass die Möglichkeit einer Zwei-Faktor-Authentifizierung an. Man kann verschiedene Dienste verwenden. Es gibt die Wahl zwischen Google Authenticator, YubiKey, Toopher, Duo Security oder Transakt. Neben der Eingaben des Master-Passwortes ist so noch ein weiterer Schritt nötig, bevor man auf die Passwörter zugreifen kann.
Contra
- Synchronisierung über fremde Server: Die Synchronisierung und Zurverfügungstellung der Passwörter passiert über die LastPass-Server. Es wird aber nicht das Passwort im Klartext übertragen, sondern nur die vorher verschlüsselte Datenbank. Die Ver- und Entschlüsselung passiert lokal (Vorsicht: Der Text wurde wohl mit Google Translate übersetzt…).
- Einige Funktionen nur in der kostenpflichtigen Premium-Version verfügbar: Die Apps für mobile Betriebssysteme sind z.B. nur in der Premiumversion (für $12 im Jahr) verfügbar.
- Keine echte Open Source Software: Der Quellcode ist nicht einsehbar. Man muss dem Unternehmen hinter LastPass vertrauen, dass die Software auch wirklich nur das macht, was sie soll und das die Daten wirklich nur lokal ver- und entschlüsselt werden. Einige der Erweiterungen können aber im Nicht-Binär-Modus gestartet werden. Dann ist ihr Quellcode einsehbar.
Fazit
Beide Lösungen haben ihre Vor- und Nachteile. Für uns ist der Weg über KeePass und der Synchronisierung der Datenbank aber zu aufwändig. Ob man sich mit einem webbasierten Passwortdienst wohl und vor allem sicher fühlt, muss aber jeder für sich selbst entscheiden.