Ein paar kritische Gedanken zu Passwortmanagern. Wie früher schon erwähnt, wenn diese auf Ihrem Rechner liegen und Sie kein Backup haben, dann kann ein Ransomware-Angriff den Zugriff versperren und sie haben keine Alternative. Das nächste Risiko ist das Passwort für die Passwortdatei, den Manager. Alle Ihre Passwörter sind mit einem Passwort geschützt. Wer dieses Masterpasswort kennt, hat alle Ihre Passwörter. Werden Sie gehackt oder vergessen am Flughafen kurz sich auszuloggen, dann geht es schnell. Für Sie bedeutet das, dass dieses Passwort sehr gut, sehr komplex sein muss. Und Sie müssen es sich merken. Das ist einer der drei Fälle, sich ein komplexes Passwort zu merken. Aus eigener Erfahrung kann ich Ihnen sagen: Wenn Sie diesen Weg gehen, geben Sie das Passwort zur Passwortdatenbank so oft ein, egal wie komplex Sie es wählen, dass Sie es es schnell auswendig kennen, es dauert ein wenig und die ersten Eingaben sind nervig, aber dann haben Sie es.
Ein weiteres Risiko ist, dass KeePassXC und viele anderen Programme Open Source sind. Ich bin ein grosser Fan von Open Source weil es bedeutet, dass viele kluge Köpfe sich den Code ansehen können und es schnell bekannt wird, wenn der Code nicht sicher ist. Ausserdem sagen alle Sicherheitsprofis: Sichere Software muss Open Source sein. Denken Sie an die Diskussion zur Corona-App.
Hacker jedoch können das zu Ihrem Vorteil nutzen. Sie nehmen den Source Code von github, modifizieren ihn so, dass er beispielsweise das Masterpasswort der Passwortdatenbank an die Entwickler sendet, wenn Sie es eingeben. Wenn jemand Ihr System gehackt hat, ohne dass Sie es merken, dann kann er vielleicht mit der Passwortdatenbank in dem Moment nichts anfangen, aber er kann modifizierte Software installieren und so an das Passwort gelangen. Er ersetzt das Programm durch seines ohne dass Sie das merken.
Sie haben oben gelesen, dass ich nicht gegen das Aufschreiben von Passwörter bin. Wenn Sie sie dann in einen Safe schliessen. Ausserdem sollten Sie das Passwort nicht so aufschreiben:
Deutsche Bank: User: Max Mustermann Passwort: NoWomanNoCry sondern ersetzen Sie Deutsche Bank mit etwas anderem, wie zum Beispiel TwinTowers und das Passwort vielleicht in KeineFrauliebtMich. Oder kürzer. Etwas, was Sie sich vorstellen können. Unser Gehirn ist etwas ganz wunderbares und kann sich Dinge, die aussergewöhnlich sind, sehr gut merken. Trotzdem sollten Sie diesen Zettel nicht scannen und auf Facebook posten.
Für mich überwiegen trotz allen Risikens die Vorteile eines Open Source Passwortmanageres wie KeePassXC.
Anekdote am Rande:
Ich habe mal ein Team geleitet und einer meiner Mitarbeiter hatte eine „Kladde“, ein kleines Büchlein mit allen seinen Passwörtern im Schreibtisch. Als ich zufällig an seinem Tisch vorbei ging hatte er die Kladde vor sich liegen und geöffnet. Ich sprach ihn an:
„Russisch?“ Er hatten alle Einträge in russisch in die Kladde geschrieben.
„Ja, so sind meine Passwörter sicher und ich muss sie mir nicht merken.“
„Aha. Dein Passwort für die Bank ist also XXXX?“
Ich habe selten ein so verdutztes Gesicht gesehen.
Damit ist die Serie über Passwörter abgeschlossen.