Es ist schon so eine Sache mit den Passwortmanagern. Einerseits möchte man diese natürlich verwenden, da man ja für jeden Dienst ein eigenes Kennwort benutzt, andererseits vertraut man dann all seine Daten einem einzelnen Dienst an. Nun habe ich sehr viele verschiedene dieser Passwortmanager ausprobiert, und leider ist noch keiner hundertprozentig das, wonach ich suche. Im folgenden möchte ich mal ein wenig über ein paar Berichten, die ich bereits ernsthaft ausprobiert habe, für meinen persönlichen Produktiveinsatz.

LastPass

LastPass [1] war der erste, den ich hier ausprobiert habe, und gerade während ich diese Zeilen schreibe, benutze ich diesen erneut, aber diesmal habe ich weitere Einschränkungen gefunden. Ich habe zunächst die Premium-Version getestet, doch bin ich nach Ablauf des Gratis-Monats bei der kostenlosen Variante geblieben. Alles in allem finde ich die Software ziemlich gut. Auf allen von mir verwendeten Geräten und Betriebssystemen kann ich auf meine Passwörter zugreifen, automatisches Ausfüllen funktioniert auch tadellos. Man kann Passwörter generieren, automatisch speichern, mit wenigen Klicks auch alte Kennwörter ändern.

Zudem bekommt man hinweise, wenn man Kennwörter mehrfach verwendet oder wenn diese kompromittiert wurden und dies bekannt ist. Sehr gut! Auch die Browser-Integration, das Design, alles passt eigentlich. Auch dass die Daten auf den Servern des Anbieters gespeichert werden ist okay, ich habe bei der Firma ein gutes Gefühl, so dass ich dazu bereit war.

Allerdings, wo viel Licht ist, ist auch Schatten, und jetzt muss ich leider erklären, warum der Passwortmanager für mich nicht zu gebrauchen ist. Ich kann hier nämlich nicht, wie ich es erhofft hatte, ein Kennwort für viele URLs speichern. Ich kann ‚gleichwertige Domains‘ konfigurieren, bei mir beruflich läuft nur alles unter einer Domain, jedoch verschiedene Subdomains. Und für 20 verschiedene Subdomains habe ich in Summe drei verschiedene Accounts. Da ein Kennwort händisch ändern muss ja früher oder später schief gehen, da ich dann die Zugangsdaten duplizieren muss.

Dadurch kann ich LastPass leider nicht dauerhaft produktiv einsetzen. Schade, denn sonst fand ich die Software sehr gut.

Bitwarden

Da man als IT-Fachkraft ja ohnehin zu Paranoia neigt, habe ich mich eines Tages entschlossen, mir einen persönlichen Server mit Bitwarden [2] aufzusetzen. Endlich alle Passwörter an einem Ort. Zudem ist es freie Software, was immer gut ist. Und das auf meinem privaten Server in meinem Keller. Klingt gut, oder? Etwas zu gut, um wahr zu sein eigentlich.

Dank Docker war die Software schnell installiert, Addons für alle Browser waren schnell konfiguriert und selbst die iOS-App war flugs einsatzbereit. Auch der CSV-Import meiner Zugangsdaten war problemlos erledigt. Schön! Leider funktioniert das automatische Ausfüllen nicht, und die Server-Software war extrem ressourcenhungrig. Eine Software, die ganz in Ordnung war, aber schnell wieder abgeschafft wurde, weil eben doch nicht so ganz das, was ich gesucht habe.

Pass: The Standard Unix Password Manager

Kommen wir jetzt zu meinem bisherigen Favoriten: Pass [3]. Pass hat keine Weboberfläche, dafür gerade auf Linux/Unix ein tolles, intuitives Kommandozeileninterface. Für die Verschlüsselung der Einträge kommt PGP zum Einsatz, die Synchronisation erledigt git. Da ich ohnehin einen privaten git-Server betreibe, bietet sich das an.

Das tolle jedoch ist, es gibt eine richtig gut funktionierende App für iOS. Schlicht, wenig Eyecandy, aber dafür zuverlässig, schnell und übersichtlich. Die Browserintegration unter Linux ist leider eine Krücke, funktioniert zwar, benötigt aber eine zusätzliche Anwendung. Und unter Windows hatte ich leider wenig Erfolg – schade!

Dafür bietet Pass mir alle Features, die ich brauche, zusammen mit einem effizienten Interface.

Update: 1password

Nun hatte ich die Gelegenheit, 1password [4] noch ausgiebig zu testen. Es scheint in der Tat so, als kann dieser Anbieter mit allem dienen, was ich bei LastPass vermisst habe. Sogar einen Client für die Kommandozeile gibt es. Der Funktionsumfang ist sehr gut. Allerdings fehlt hier eine kostenlose Version, und je nach Angebot geht es hier doch schnell ins Geld.

Update: Fazit

Ich werde wohl bei Pass bleiben. Wie verwaltet Ihr Eure Passwörter? Ich habe hier inzwischen, nachdem ich sehr viel herumprobiert habe, ein paar für mich wichtige Erkenntnisse gewonnen. Dennoch bleibt am Ende der wichtigste Punkt offen, den ich im Rahmen dieses Artikels auch nicht überprüfen konnte: kann man den Anbietern vertrauen? Öffnen sie ihre Datenbanken für Behörden? Wie gut schützt man Eure Daten? Wie wird reagiert, wenn mal was schief geht?

Meist sind Passwortmanager proprietäre Software, und damit fällt es schwer, diese zu auditieren. Daher wird wohl Pass meine Wahl bleiben. Es ist flexibel und mächtig genug. Es setzt auf bewährte Techniken zum Schutz der Daten und zur Synchronisation. GPG ist mir deutlich lieber, als eine vom Anbieter selbst implementierte Verschlüsselung, und eine Synchronisation über GIT zusammen mit einem eigenen GIT-Server funktioniert über viele Geräte hinweg. Selbst Konflikte lassen sich leicht lösen. Lasst mich doch wissen, wenn ihr mehr über mein Setup wissen möchtet.

[1] https://lastpass.com/
[2] https://bitwarden.com/
[3] https://www.passwordstore.org/
[4] https://1password.com/

One thought on “Passwortmanager

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.