Update, 18.9.2023
Ich verwende keine Online-Passwortmanager und auch keine Browser-Add-Ons für Passwortmanager, auch nicht bei KeePassXC. Wie sich zeigt, nicht ganz zu unrecht. ProtonPass hält die Passwörter im Hauptspeicher, auch wenn man die App geschlossen hat. Das bedeutet, dass diese angegriffen werden können.
Besonders ärgerlich für mich ist das beschriebene Verhalten von Proton zum ProtonPass Passwortmanager, unten beschrieben. Und die Tatsache, das auch Bitwarden nicht anders agiert.
Update, 6.9.2023
Ein sehr guter Artikel, über den ich heute gestolpert bin, zeigt sehr deutlich, warum ich mit meiner Skepsis zu Passwortmanagern, die über ein Browser-Add-On verfügen, nicht so falsch liege. Der Artikel beschreibt zwar eher, dass Firmen wie Google, Amazon, Facebook oder Citibank Passwörter „in plain text“, also ganz normal, ohne Hash oder sonstige Verklausulierung, in dem HTML Code der Webseite speichern (oder auch Kreditkartendaten und andere unwichtige Informationen). Doch geht er auch auf Passwortmanager ein. Damit der Passwortmanager effektiv arbeiten kann, benötigt er JavaScript. Ein zusätzliches Skript könnte dieses Feld aber auslesen und so an Ihr Passwort gelangen. Für uns sieht das Feld nach „******“ aus, aber für ein JavaScript Programm ist das egal, es kann den Wert dahinter als normalen Text lesen. Daher sollten Sie sehr gut aufpassen, welche Add-Ons Sie installieren.
However, for password managers to function effectively, they require access to password fields via JavaScript. This necessity creates an inherent security vulnerability. While the password fields may appear obscured to users, any JavaScript code running on the page, including potentially malicious scripts, can access these fields and read their values. This interaction between password managers and these vulnerabilities presents a trade-off between usability and security. While password managers improve usability and promote better password practices, their operation necessitates JavaScript access to password fields that inherently creates a security risk.
https://arxiv.org/pdf/2308.16321.pdf
Ab hier beginnt wieder der eigentliche Artikel.
Apples iOS enthält einen eigenen Passwortmanager namens Schlüsselbund (Keychain), den ich aber nicht empfehle. Ich habe keine Probleme mit deren Verschlüsselung und Sicherheit, aber es gibt keine plattformübergreifenden Funktionen (für Android, Linux, Windows, …), und iCloud ist für die Synchronisierung erforderlich. Wenn Sie Ihr iPhone verlieren, könnten Sie Ihre Kennwörter verlieren. In der Vergangenheit habe ich über Passwörter und Passwortmanager in einer Serie geschrieben. Vielleicht lesen Sie dort nochmal nach.
Wichtig ist die Unterscheidung zwischen Offline- und Online-Passwortmanager. Die meisten Kursteilnehmer verwenden Online-Passwortmanager, weil das einfach, effizient und in vielen Fällen sehr sicher ist.
Als Online-Passwortmanager empfehle ich
Bitwarden
Wenn Sie eine einfache und kostenlose Lösung suchen, die Ihre Passwörter mit jedem Computer oder Mobilgerät synchronisiert, dann ist Bitwarden meiner Meinung nach die beste Wahl für Sie. Erfreulicher Weise grinsen mich bei diesem Thema die Kursteilnehmer an: Viele verwenden Bitwarden schon.
Bitwarden ist im kostenlosen Paket völlig ausreichend. Das Produkt wird regelmässig auditiert und die Firma ist sehr transparent. Aber wie Sie an LastPass gesehen haben, nichts im Internet ist wirklich sicher. Auch wenn bei LastPass vieles zusammengekommen ist, für mich gilt einfach immer: Alles was im Internet passiert, wird irgendwann öffentlich. So auch die Passwörter. Sehen Sie sich Have I been Pwned an. 12 Mrd Einträge.
Wenn Sie ein extremes Interesse an Ihrer Privatsphäre haben und nicht möchten, dass diese Daten verschlüsselt auf deren Servern gespeichert werden, dann ist eine Offline-Option meiner Meinung nach besser für Sie.
KeePassXC
Daher verwende ich persönlich KeePassXC auf meinen Desktop-Systemen und teile die Passwortdatei mit jedem mobilen Gerät, das ich verwende, manuell. Das heisst, Sie kopieren die Passwortdatei via Kabel oder anderen Methoden auf Ihr iPhone. Auf iPhones verlasse ich mich auf Strongbox. Strongbox bietet einen kostenlosen und verschiedene Bezahlmodelle an. Probieren Sie es aus.
Wieso jetzt beides? Ganz einfach: Es gibt KeePassXC nicht für Mobilsysteme. KeePassXC ist die App, aber das Datenbankformat für die Passwörter liegt im sog. KeePass Format vor, das als sehr sicher gilt. Daher gibt es KeePass als Programm, KeePassXC, auf Android KeePassDX und viele andere. Eben auch Strongbox, dass dieses Datenbankformat lesen kann.
Da ich das iPhone aber nur noch als Zweitphone besitze (siehe Einführung), ist der Nutzen für Strongbox für mich auf dem iPhone nur noch sehr eingeschränkt wertvoll. Vor meiner GrapheneOS Zeit habe ich Strongbox und KeePassXC verwendet.
Strongbox öffnet alle KeePassXC-Datenbanken (die enthalten Ihre Passwörter). Nach der Installation von Strongbox aus dem App Store starte ich die Anwendung und wähle „Don’t Use Autofill“ und „Let’s Go“. Ich ziehe es vor, Passwörter nach Bedarf zu kopieren und einzufügen, anstatt das Betriebssystem dies für mich tun zu lassen. Als Nächstes kopiere ich meine KeePassXC-Datenbank auf das iPhone, zum Beispiel über eine Kabelverbindung zum Computer (siehe auch Kapitel 9 Datenübertragung). Nach dem Kopieren sollten Sie die Datei in Strongbox sehen. Ich öffne die Datenbank und gebe das Passwort ein. Ich ziehe es vor, meine mobile Version der Kennwörter „schreibgeschützt“ zu halten und Änderungen bei Bedarf von meinem Laptop aus vorzunehmen, daher aktiviere ich diese Option, während ich mich auf diesem Bildschirm befinde.
Warum? Weil ich sonst manchmal neue Passwörter und Kontem am Rechner und ein anderes Mal am iPhone eingebe und dann ein Problem mit der Synchronizität habe. Daher sind Tools wie Bitwarden gut, aber nicht mein Schutzprofil.
Sie können die Zeitspanne, in der die Datenbank ohne Passworteingabe freigeschaltet bleibt, je nach Ihrem Komfort gegenüber dem manuellen Aufwand anpassen. Sie können auch eine PIN festlegen, um die Datenbank auf Ihrem mobilen Gerät zu entsperren, wenn Sie ein absurd langes Passwort haben. Für Offline-Nutzer ist Strongbox meiner Meinung nach die beste Option. Ich ermutige Sie, die kostenlose Version zu testen und herauszufinden, ob Sie die kostenpflichtigen Funktionen oder die Strongbox Zero-Option (eine minimalistische Version) benötigen.
Proton Pass
Seit ein paar Monaten gibt es als Passwortmanager Proton Pass. Vom selben Hersteller wie Proton Mail und Proton VPN. Ich vertraue Proton, ich denke, was Sicherheit angeht, wissen sie, was sie tun. Ich habe Proton Pass für iOS und in Verbindung mit dem Mac ausprobiert und werde noch nicht gänzlich umsteigen, sondern es weiter beobachten.
Für mich sind die Vorteile:
- Open Source
- Sehr gefällige Benutzerschnittstelle (Bitwarden wirkt für mich ein wenig altbacken)
- Eine fantastische Integration von E-Mail Aliasen, die das Verwalten stark vereinfacht
- Ein sehr gutes Browser AddOn
Was spricht für mich dagegen?
- Ich habe in meinen Passwortmanagern oftmals noch andere, schützenswerte Informationen. Dafür finde ich Proton Pass nicht gut geeignet.
- Es gibt noch keine Desktop App. Die reine Browserintegration ist für mich zu wenig. Wie auf dem iPhone hätte ich gerne eine App.
- Auf einem Mac gibt es keine Integration mit Safari.
- Kein YubiKey zum Schützen der Datenbank.
Außerdem bin ich mit meiner bisherigen Lösung sehr zufrieden.
Passkey
Einige meiner Kursteilnehmer kommen seit Kurzem in den Kurs und wenn ich beginne, über das Thema Passwörter zu sprechen, dann gibt es den ein oder anderen Teilnehmer, der den Kopf schüttelt und sagt: „Kalter Kaffee. Es gibt Passkey, da brauchen wir keine Passwörter mehr.“
Passkey basiert auf Technik, die es schon seit vielen Jahren gibt. Ja, es wird die altbekannten Passwörter ablösen. Aber welche Anbieter bieten Passkey heute schon an? Apple beispielsweise noch nicht. Erst mit dem Update auf iOS 17. Eine wahrscheinlich unvollständige Liste zeigt an, wer dabei ist. Da sehen Sie auch, wer fehlt. Wenn Sie noch nie davon gehört haben, können Sie sich testweise schon mal auf Passkey vorbereiten. Die Seite simuliert das, was Ihnen in Zukunft auf den Seiten angeboten wird. Probieren Sie es aus, gewöhnen Sie sich daran, Sie werden die Vorzüge und die Bequemlichkeit zu schätzen lernen.
Wenn Passkey flächendeckend zur Verfügung steht und ich die Keys auch zwischen unterschiedlichen Systemen (Android und iOS beispielsweise) austauschen kann, melde ich mich wieder.