In den letzten Jahren geriet der Passwort-Manager LastPass immer wieder in schlechte Schlagzeilen. Die Firma entwickelt Passwort-Manager für diverse Plattformen, die über zentrale Server miteinander synchronisiert sind. Als Mitte 2015 Kriminelle den Passwort-Hauptdatenspeicher kopierten, kam jedoch zum Glück kein Nutzer zu Schaden. Anfang Januar 2016 wurden diverse Bugs gefunden , die seitdem behoben wurden, Mitte 2016 konnte LastPass mit einem Autofill-Tool ausgetrickst werden (ebenfalls behoben) oder bot eine Angriffsfläche für Phishing, was mittlerweile aber ebenfalls nicht mehr möglich ist. Erst vor ein paar Wochen wurde eine neue Schwachstelle in einer Browser-Erweiterung gefunden und berichtigt.
Schlüsselbund-Alternativen für Mac und iPhone
Das klingt im ersten Moment ziemlich erschreckend. Die meisten dieser Bugs wurden jedoch von Sicherheitsforschern für LastPass entdeckt und wurden auf dem freien Markt nie ausgenutzt, die vielen Nutzer von LastPass waren keiner Bedrohung ausgesetzt.
Doch wenn Sie nun denken, dass 1Passwort von AgileBits in Sachen Sicherheit wesentlich stärker aufgestellt sein muss, weil in der Vergangenheit keine ähnlichen Vorfälle über den Passwort-Manager gemeldet wurden, liegen Sie leider falsch. LastPass und AgileBits haben sich für ähnliche Wege ihrer Produkte entschieden, wenngleich Sie sich in Ihrer Benutzung stark voneinander unterscheiden.
Sicherheits-Tester haben verschiedene Probleme bei Plug-Ins von LastPass gefunden, allerdings nicht im zentralen Speicher. 1Password verfolgt eine andere Strategie auf der Seite der Browser-Erweiterungen, was es gegenüber von potentiellen Angriffen weniger empfindsam macht.
Für welche Philosophie entscheiden Sie sich?
1Password wurde ursprünglich ausschließlich als eine freistehende Version verkauft, welche lokal oder mit Cloud-Services synchronisiert werden kann. Diese Option besteht zwar immer noch, unter macOS muss der Anwender dafür allerdings 65 US-Dollar zahlen; iOS- und Android-Apps sind kostenlos, bieten allerdings ein paar In-App Premium Updgrade-Features an.
Mittlerweile müssen Einzelpersonen bis zu 36 US-Dollar, Familien von bis zu fünf Personen sogar 60 US-Dollar zahlen; darüber hinaus gibt es noch spezielle Angebote für größere Familien und Unternehmen. Alle aktuellen Versionen von Apps auf allen Plattformen sind innerhalb des Kaufpreises enthalten. Daten zentral zu speichern und diese über eine Webseite oder die nativen Apps zugänglich zu machen, ist optional; eine lokale Synchronisierung (über WiFi und Ordner) sowie Cloud-Sync via Dropbox und iCloud bleiben für lokale Speicherungen ebenfalls erhalten.
LastPass steht kostenlos zum Download zur Verfügung und bietet für Einzelpersonen für einen Dollar pro Monat eine Premium-Option, mit welcher der Anwender neben zusätzlichem Support auch Passwörter teilen kann. Für Unternehmen gibt es Sonderkonditionen. Alle LastPass-Versionen haben jedoch gemeinsam, dass die Daten über ihre Server synchronisiert werden.
Ohne alle existierenden Passwort-Manager-Apps, die eine zentrale Speicherung oder Synchronisierung ermöglichen, überprüft zu haben: Archive, die über das Internet angesteuert werden können, bieten eine größere Gefahr gehacked zu werden als jene, die von einem Nutzer kontrollierten System verwaltet werden.
Die absoluten Grundlagen für zentralen Schutz sind:
- Alle Daten, die zentral gespeichert, gesendet und empfangen wurden, werden durch ein vom Nutzer festgelegtes Passwort geschützt
- Der genutzte Service kennt Ihr Passwort nicht
- Der genutzte Service hat keinen Zugriff auf Ihre Daten und kann somit auch keine verloren gegangenen oder gelöschten Daten wiederherstellen
- Ein zusätzliches Verschlüsselungselement befindet sich in einem Account-Login
Unter Berücksichtigung dessen ist es für Kriminelle so gut wie unmöglich, gestohlene Daten zu rekonstruieren und zu entschlüsseln.
Der größte Unterschied zwischen 1Password und LastPass ist die Tatsache, dass 1Passworts lokales Element ein separater „Secret Key“ ist, der nur unter nativer Software geteilt und in der Web App genutzt werden kann. Für 1Passwort ist dieser Schlüssel ein zweiter Sicherheitsfaktor, weil dieser nur lokal generiert und niemals übermittelt wird. LastPass verlässt sich auf einen Nutzernamen und Passwort sowie einem einzigartig generierten Faktor, welcher zur Identifikation des Geräts dient und gleichzeitig den gleichen Login von einem anderen Gerät schützt. 1Password ermöglicht dem Nutzer die Gerätebestätigung über das Scannen eines QR-Codes. LastPass nutzt wiederum ein E-Mail-basiertes Verifizierungssystem, welches darüber hinaus eine Zwei-Faktor-Authentifizierung für mehr Sicherheit erlaubt.
Wenn Sie 1Password nicht mit zentral gesicherten Passwörtern nutzen, sondern nur lokale Vaults, kann man nicht genau sagen, ob dies sicherer ist als gespeicherte Daten auf 1Password.com oder LastPass. Selbst wenn Sie es mit Dopbox oder iCloud synchronisieren und eine andere Person sich Zugang zu diesen Accounts und Ihrem 1Password Vault verschaffen kann, würden diese letztendlich immer noch das von Ihnen generierte Vault-Passwort benötigen. Um an dieses Passwort zu gelangen, müssten Kriminelle mittels Malware ein Erkennungsprogramm für Tastenanschläge auf Ihrem Computer installieren.
So sicher wie ein Safe in Ihrem Haus
Wieso sollten Sie einen Safe in Ihrem Haus haben, den theoretisch jeder knacken kann? Stattdessen sollten Sie lieber einen Safe haben, der sich im Falle eines Raubs auf keinen Fall öffnen lässt – ganz egal, mit welchen Methoden man das versucht.
Letzteres ist der Fall bei den zwei Anbietern, die mit zu den größten Firmen im Geschäft des Passwort-Managements gehören. Ihre Entscheidung für eine zentrale Sicherheit und sogenannte End-Point-Verschlüsselung (sofern sie gut eingebunden ist) lindern das Sicherheitsrisiko fast gänzlich. Letztendlich liegt es an Ihnen, wie stark das gewählte Passwort ist.
Die größte Gefahr, die Sie sich selbst aussetzen können, ist der Fehler, das selbe Passwort für eine oder mehr Seiten zu verwenden und gleichzeitig noch eine schwache Verschlüsselungstechnik zu verwenden. Ein Passwort-Manager lässt Sie ein starkes Passwort erstellen, ist gleichzeitig resistenter gegenüber Hackerangriffen und wählt ein individuelles Password für jede Seite und Account aus – und eliminiert somit die größte Schwachstelle in den Sicherheitsvorkehrungen.