Was ist es?

Das Leben sammelt jede Menge Passworte: Der private Computer, der Arbeitsrechner, der eMail Account, ein Account für Microsoft (Teams, eMail), Google und Meta (Facebook, Instagram). Die sollen natürlich alle passende Sicherheitskriterien erfüllen, zum Beispiel sollte ein Passwort jeweils mindestens ein Sonderzeichen, ein Buchstabe und eine Zahl enthalten. Andererseits dürfen aber keine Sequenzen oder logischen Reihen vorkommen.

Diese Passworte möchten wir uns natürlich alle merken. Und offensichtlich sollten sie auch verschieden sein, sonst bringen Passworte nichts.
Ein kleiner Disclaimer an dieser Stelle: Ein Passwort wie “Facebook_2023!” ist nicht sicher!

Die Lösung der IT-Welt sind Passwort-Manager bzw. Passwort-Datenbanken: Ein Programm, in dem wir alle unsere Passworte an einem Ort ablegen können.

Generelle Funktionsweise

Die Grundidee eines Passwort-Managers kann man mit einer einfachen Excel-Liste vergleichen: In jeder Zeile haben wir einen Benutzernamen, ein Passwort dazu, vielleicht noch einen Kommentar.

Der wichtigste Unterschied ist aber die Sicherheit: Eine Excel-Liste kann eine dritte Person problemlos auch lesen. Die Passworte im Manager werden verschlüsselt gespeichert, so dass man sie nur dann lesen kann, wenn man das sogenannte Master-Passwort kennt.

Potentiale und Gefahren

  • Alle Daten liegen an einem zentralen Ort. Bei einem gut sortierten Passwort-Manager muss man keine Passworte mehr suchen.
  • Alle Daten liegen an einem zentralen Ort.
    Das ist auch das größte Problem an Passwort-Managern: Wenn er gestohlen wird, ist die gesamte Online-Identität zugleich weg. Eine wichtige Antwort auf dieses Problem ist die Nutzung von 2-Faktor-Authentifizierung; diese werde ich in einem eigenen Artikel besprechen.
  • Copy-und-Paste: Die Passworte dürfen jetzt gerne lange und kompliziert sein. Im Allgemeinen müssen sie nämlich nur noch aus dem Passwort Manager kopiert und in die richtige Applikation eingefügt werden.
    Kleine Notiz am Rande: Das stimmt so nur in einer perfekten Welt. Vermutlich wird man hin und wieder nicht darum herum kommen, ein Passwort auch mal abzutippen. Das passiert aber bestenfalls nur sehr selten, so dass ich das gerne in Kauf nehme. Und wenn ich ein Passwort öfters eingeben muss, merke ich mir auch komplizierte Passworte.
  • Das Erinnern an Passworte: Ich muss nicht mehr raten, wie mein Passwort denn lauten könnte. Übrig bleibt das Merken von einem letzten Passwort, nämlich dem Master Passwort.
    Das ist natürlich eine ideale Darstellung der Sache und wird sich so nicht durchsetzen lassen. Persönlich kenne ich aktuell vier aktuelle Passworte, die ich mir merke und die ich regelmäßig tippe. Der Rest steht in meinem Manager und ich kann andere Passworte nicht einmal teilweise benennen. Eines davon ist mein Passwort Manager. Die anderen stehen auch im Manager, als Backup.
  • Passwort Generator: Ich muss mir nicht einmal mehr Gedanken machen, wie das Passwort für einen Account lauten könnte. Der Manager übernimmt auch das für mich.
  • Erreichbarkeit: Hier gibt es zwei Parteien. Die einen meinen, dass die Online-Erreichbarkeit des Passwort Managers quasi eine Einladung zum Hack ist, und der Manager nur offline vorhanden sein sollte. Die andere Partei nutzt einen Online-Manager als Basis und hat auf seinen Geräten nur jeweils eine Kopie davon.
    Beide Seiten haben ihre Berechtigung. Ein Online-Manager ist immer auch ein Risiko, da er natürlich leichter gestohlen oder übernommen werden könnte. Dagegen bietet er aber den sehr wesentlichen Komfort, von überall jederzeit auf seine Passworte zugreifen zu können.
    Ein relevanter Punkt hierzu ist auch das Teilen auf andere Computer. Wenn die Datenbank auf mehreren Geräten zugänglich sein soll, bietet sich eine Server-Lösung (ein Online-Passwort Manager) an; anderenfalls müsste die Datenbank häufig kopiert werden und man muss auf Konflikte achten.

Die konkreten Features und Funktionen einzelner Manager möchte ich an dieser Stelle nicht diskutieren, das würde den Rahmen sprengen. Viele der Funktionalitäten überschneiden sich sowieso und im Allgemeinen spielt es keine Rolle, welches Programm jetzt genau verwendet wird.

Meine Empfehlungen

  • KeePass: Meine Empfehlung für einen lokalen Manager. Hierbei wird tatsächlich auf dem eigenen Rechner eine Datei erzeugt, in der alle Passworte gesichert werden. Beachte: Ich habe KeePassXC verlinkt - das ist eine Weiterentwicklung von KeePass.
  • Bitwarden - Ein Online-Passwort Manager. Die Passworte liegen auf einem zentralen Server und auf jedes Gerät kann eine Kopie davon geladen werden. Die Daten können nur dann verändert werden, wenn der Server online ist.

Es gibt unzählige weitere Möglichkeiten für Passwort-Manager. Diese alle aufzulisten würde den Rahmen meines Blogs sprengen, für eine gute Übersicht möchte ich daher auf Reddit (englisch) verweisen.

Was gibt es noch zu beachten?

  • Sichere Passworte verwenden! Der beste Passwort-Manager nutzt nichts, wenn die Passworte nicht gut sind.
    Der eingebaute Passwort-Generator ist gerne zu verwenden!
  • Das Master-Passwort muss wirklich sehr kompliziert sein. Wenn das jemand errät, ist die gesamte Online-Identität auf einmal weg.
  • Wie schon weiter oben geschrieben: 2-Faktor-Authentifizierung ist bei einem Online-Passwort-Manager im Allgemeinen möglich und ein Muss für ausreichende Sicherheit.