Seite auswählen

Open Source Password Manager verwenden: Warum ist das sinnvoll?

password-managerOpen Source-Software beruht auf dem Prinzip des frei einsehbaren Quellcodes, der es Entwicklern und Entwicklerinnen ermöglicht, an der Software Veränderungen vorzunehmen. Damit eine Software der heute gültigen Definition von „Open Source” entspricht, muss es weiters gestattet sein, sie beliebig kopieren, verbreiten und nutzen zu dürfen – das gilt auch für die veränderte und weiterentwickelte Form. Das Prinzip des offenen Quellcodes und die Mitarbeit zahlreicher Personen an der Verbesserung der Programme bietet eine vielfach höhere Sicherheit als jene proprietärer Software, die nicht einfach verändert werden kann und sich daher der Kontrolle durch Nutzer und Entwickler entzieht.

Es liegt auf der Hand, dass ein Password-Manager, der dieser ständigen Kontrolle unterliegt, weniger Spielraum für potenzielle Angreifer bereithält: In diesem höchst sensiblen Bereich, in dem der Verlust oder die Korrumpierung persönlicher Daten als Worst-Case-Szenario betrachtet werden muss, ist Open Source deshalb auf jeden Fall der Vorzug zu geben.

Password Manager: Die digitale Gedächtnisstütze

Für den durchschnittlichen User, die durchschnittliche Userin ist es heute kaum mehr möglich, sich sämtliche verwendeten Passwörter zu merken. Und, so paradox das klingen mag: Das ist auch gut so.

Wenn wir bedenken, wie viele Accounts pro Person in Europa im Schnitt im Einsatz sind und davon ausgehen, dass für jeden Account ein einzigartiges, komplexes und damit sicheres Password verwendet werden sollte, wäre eine solche Gedächtnisleistung mehr als eine Sensation: Eine Untersuchung zum World Password Day 2017 ergab 78 Online-Accounts für den deutschen Durchschnittsnutzer, Briten brachten es auf 113, Franzosen auf 127 und US-Amerikaner sogar auf stolze 150 Konten. Angesichts der Tatsache, dass die meisten gehackten Accounts auf schlecht geschützte oder fahrlässig in Klartext gespeicherte Passwörter zurückgehen, liegt die Notwendigkeit eines eigenen Passworts für jeden Account klar auf der Hand: Ein einzelnes kompromittiertes Passwort würde alle damit gesicherten Accounts gefährden.

Nun ist es aber auch nicht ratsam, sich um die 100 Wort- und Zahl-Kombinationen mit den zugehörigen Accountdaten in einen Notizblock zu schreiben oder ohne weitere Verschlüsselung am eigenen Rechner zu speichern. Was also tun? Es bietet sich die Verwendung eines digitalen Password-Managers an. Eine Übersicht über die wichtigsten Password-Manager mit Open-Source-Lizenzierung, ihre jeweiligen Features und Besonderheiten findet sich in der folgenden Zusammenstellung:

Pass

Pass gilt als der „Standard Unix Password Manager”, was eher eine etwas Verwirrung stiftende Eigenbeschreibung als die Tatsache, dass Pass ausschließlich mit Unix Tools arbeitet, darstellt. Dennoch: Pass basiert auf Verschlüsselung mit GPG (GNU Privacy Guard) und das bedeutet, dass sich nicht nur Passwörter, sondern im Prinzip fast alles damit schützen lässt.

Angelegt werden die verschlüsselten Daten in einem Ordner, der wiederum die verschiedenen mit GPG verschlüsselten Ordner und Dateien enthält. Pass ist in allen bekannten Distributionen wie Debian, Ubuntu, Fedora enthalten und kann einfach aufgerufen werden. Achtung: Die Command-Ebene sollte für eine sinnvolle Nutzung beherrscht werden – Durchschnittsanwender werden mit anderen Password-Managern wohl mehr Freude haben.

Pass Download: https://www.passwordstore.org/

KeePass

KeePass ist ein Password-Manager, der auf der GPLv2 (GNU General Public License Version 2) basiert. Er wurde für Windows konzipiert, ist aber auf OS X und Linux ebenfalls einsetzbar. Mobile Versionen sind für Android, iOS und Windows Phone verfügbar.

KeyPass gilt trotz einer Sicherheitslücke bei der automatischen Update-Funktion vor einigen Jahren – durch eine ungesicherte Verbindung zum Update-Server war eine Man-in-the-Middle-Attacke möglich – als sehr sichere Software.

Der große Vorteil: Im Gegensatz zu ähnlichen Programmen funktioniert KeePass, ohne dass ein Nutzerkonto eingerichtet werden muss – die Daten werden nicht in einer Cloud, sondern lokal gespeichert. Sie können ohne großen Aufwand exportiert oder über einen USB-Stick auf anderen Geräten verwendet werden. Es ist möglich, mehrere Datenbanken für unterschiedliche User anzulegen, die jeweils mit einem eigenen Master-Password gesichert werden. Der Speicherort kann frei gewählt werden und es wird dem Anwender zugleich empfohlen, eine Sicherungskopie anzulegen – eine sinnvolle Option, um bei Verlust eines USB-Sticks wieder auf die gespeicherten Daten zugreifen zu können.

KeyPass gilt für viele nach wie vor als der beste und sicherste Password-Manager. Kleine Nachteile sind jedoch, dass die Verwendung auf Firefox oder Chrome nur über zusätzliche Apps funktioniert und die Benutzeroberfläche ohne Nachinstallation nur auf Englisch verfügbar ist.

KeePass Download: https://keepass.info/

KeePassXC

KeePassXC ist eine erneuerte und erweiterte Version von KeePass. Sie wurde von Entwicklern aus der Community betrieben, nachdem die plattformunabhängige Variante KeePassX eingestellt wurde.

Dabei fügten sie zahlreiche neue Features hinzu: So erlaubt KeePassXC zeitabhängige Einmalpasswörter, ist als Browser-Add-on für Chrome, Firefox, Vivaldi und Chromium verfügbar, und die verwendeten Verschlüsselungsalgorithmen wurden auf den letzten Stand gebracht.

Von diesen Neuerungen abgesehen, unterscheidet sich KeyPassXC nicht wesentlich von seiner Vorgängerin, einzelne bestehende Features – wie der Passwordgenerator, der nun auch die Passwortstärke anzeigt – wurden jedoch verbessert.

KeePassXC Download https://keepassxc.org/

Passbolt

Passbolt ist ein als Community-Lösung kostenfreier, für Geschäftskunden jedoch kostenpflichtiger Open Source Password-Manager, der ebenfalls auf der Verschlüsselungssoftware OpenPGP/GnuPGP aufgebaut ist.

Er wurde speziell für die Arbeit in Teams entwickelt und kann entweder auf einem eigenen Server oder in einer externen Cloud gehostet werden. Passbolt konzentriert sich daher auf Funktionen, die in Teams oft Verwendung finden, wie E-Mail Clients und Chatprogramme.

In den kostenpflichtigen Versionen stehen sogenannte „Premium Features” zur Verfügung, die unter anderem den Import und Export von kdbx- und csv-Dateien, eine Multifaktor-Authentifizierung oder die Verschlüsselung von Ordnern erlauben. Außerdem steht Passbolt in den kostenpflichtigen Varianten auch als mobile Version zur Verfügung.

Passbolt Download: https://www.passbolt.com/

Clipperz

Clipperz ist ein cloudbasierter Password-Manager, der bereits seit 2007 im Einsatz ist. Seine Anwendung ist denkbar einfach: Es gibt nichts zu installieren, daher sind keine Updates oder sonstige Servicemaßnahmen notwendig.

Neben der Kostenfreiheit ist die absolute Anonymität ein großes Plus: Um eine Account zu eröffnen, reicht ein frei wählbarer Username und ein Passwort – persönliche Daten müssen keine angegeben werden.

Clipperz bietet die üblichen Funktionen wie zeitbasierte Einmalpasswörter, Import- und Export von Daten, eine mobile Version für die meisten Smartphones und die Möglichkeit, eine Offline-Kopie in Form eines einfachen HTML-Files zu erstellen, die auf einem externen Laufwerk gespeichert werden kann.

Clipperz Download: https://clipperz.is/

Padlock

Padlock ist der Minimalist unter den Password-Managern: Eine einfache Benutzung ohne langwierige Einarbeitung in die Funktionen der Software, die schnelle und unkomplizierte Synchronisierung auf allen gängigen Plattformen, Kostenfreiheit und eine ansprechende Oberfläche sprechen für sich.

Wer sich nicht mit unzähligen Features auseinandersetzen will, aber eine gute Performance und Usability sucht, ist mit Padlock auf der sicheren Seite.

Padlock Download: https://padlock.io/

LessPass

LessPass arbeitet auf einer gänzlich anderen Basis als die meisten Password-Manager: Hier werden keine bestehenden oder neu generierten Passwörter gespeichert, sondern mithilfe der Daten von Website, Login, Master-Passwort und diversen optionalen Informationen ein einmaliges Passwort zusammengesetzt – durch diese Offline-Funktion ist eine Synchronisierung unterschiedlicher Geräte nicht notwendig.

Damit ist LessPass eine gute Option für alle, die sich regelmäßig auf unterschiedlichen Devices einloggen müssen, ohne ihren Password-Manager auf einem USB-Stick mit sich zu tragen oder eine cloudbasierte Lösung in Anspruch nehmen zu müssen.

LessPass Download: https://lesspass.com/

Bitwarden

Bitwarden läuft auf Windows, macOS und Linux und besticht durch eine extreme Bandbreite an kompatiblen Browsern: Neben Chrome, Safari und Edge lässt er sich in Firefox, Opera, Brave, Vivaldi und sogar in den Tor Browser integrieren. Mobil ist Bitwarden sowohl auf Android als auch auf iOS verfügbar. Auch hier besteht die Möglichkeit, am eigenen Server zu hosten oder alternativ die Cloud von Bitwarden zu verwenden.

Vorteilhaft ist weiters die übersichtliche, sympathisch gestaltete und leicht zu bedienende Benutzeroberfläche. Ein kleiner Nachteil besteht in der nicht ganz reibungslos verlaufenden Integration von Passwortänderungen und in der Tatsache, dass die Benutzeroberfläche zwar ohne weitere Installation auf Deutsch verfügbar ist, die meisten Hilfeseiten jedoch nur in englischer Sprache vorhanden sind.

Der persönliche Gebrauch von Bitwarden ist für bis zu fünf User kostenlos, für Business-Teams und Unternehmen bestehen sehr kostengünstige Angebote – ab 3 US$ pro Teilnehmer ist man dabei. Bonus für Interessierte: Wer selbst mitmachen will, kann die Bitwarden-Entwickler direkt über Chat kontaktieren oder seine Fragen im eigenen Online-Forum stellen.

Bitwarden Download: https://bitwarden.com/

Auf einen Blick

Open Source Password-Manager ermöglichen die Verwendung sicherer und einzigartiger Passwörter auf jedem bestehenden Account, ohne sich mehr als ein starkes Master-Passwort merken zu müssen. Neben der Speicherung in einer Cloud bieten die meisten Tools auch die Möglichkeit, selbst zu hosten oder den Datenbestand auf einem externen Speichermedium aufzubewahren. Zahlreiche Features wie die Verschlüsselung von Dateien und Ordnern, Password-Generatoren und das Erstellen zeitbasierter Einmalpasswörter runden das Angebot der meisten Password-Manager ab.