Passwortmanager

Passwortmanager kommen in der Diskussion meiner Lieblingsthemen irgendwo direkt nach Antivirenprogrammen. Zwar werden sie nicht so oft als Schlangenöl bezeichnet oder mit einem lapidaren „ich nutze Brain Exe“ abgetan. Von der Leidenschaft gibt es hier jedoch ähnliche Themen wie z.B. „wer Passwörter in der Cloud speichert, dem kann nicht mehr geholfen werden“ oder „an meine Haut lasse ich nur Wasser und Keepass“. Das ist manchmal recht unterhaltsames Gebashe, oftmals aber auch leider nicht sonderlich hilfreich bzw. konstruktiv.

Und so habe ich mir eben vorgenommen, die aktuelle Entwicklung einmal wieder anzusehen und ein paar Passwortmanager nach meinen (doppelt unterstrichen) Kriterien abzuklopfen. Dabei sind mir folgende Aspekte wichtig, wobei die Reihenfolge erst einmal beliebig und nicht nach Wichtigkeit sortiert ist:

1. Open Source

Oft lese ich Fragen über die Seriosität eines Anbieters oder wie man sicher gehen kann, dass ein Anbieter nicht dies oder das mit den ihm anvertrauten Daten anstellt. Und ja, hier hilft nur eine Community, die eben überprüfen kann, was mit den Daten letztlich passiert. Insofern ist mir das Thema wichtig, aber ich betrachte es aus diversen Gründen auch nicht als Ausschlusskriterium. Denn ich weiß eben, dass eine erfolgreiche Software auf verschiedene Arten hergestellt werden kann (und teilweise muss).

2. Autofill

Das automatische Ausfüllen der Felder Benutzername und Passwort ist das Komfortfeature für mich schlechthin. Und hier kann man als Hersteller so einiges falsch machen. Das fängt mit so vermeintlich einfachen Dingen an, wie dem Erkennen der Domäne. Ich erinnere mich da an Diskussionen mit eingebetteten iFrames fremder Domänen, deren Login-Felder dennoch vom Passwortmanager eifrig ausgefüllt wurden. Oder Felder, die der Passwortmanager gar nicht erkennt. Oder nur teilweise. Und dann müssen natürlich auch verschiedene Plattformen ähnlich gut unterstützt werden. Will man die eigenen Passwörter schließlich mindestens auf einem Computer und einem Smartphone nutzen.

3. MFA

Dient der Passwortmanager neben den Login-Daten noch als Authenticator, ist die nächste Kontroverse vorprogrammiert. Einerseits ist es bequem, andererseits kann es ja auch nicht Sinn der Sache Zwei-Faktoren-Authentifizierung sein, wenn beide Faktoren auf dem selben Endgerät in der selben Anwendung sind. Das fühlt sich ja schon merkwürdig an.

4. Stabilität der Anwendungen

Man liest erstaunlich oft, dass ein Passwortmanager gar nicht erst lädt. Oder dass er ständig abstürzt. Das ist bei jeder Software ärgerlich. Bei sicherheitsrelevanter Software mache ich mir aber gleich auch noch Gedanken, was sonst noch so wackelig implementiert wurde. Meist sinkt mein Vertrauen in die Software mit jedem Bug.

5. Formulare ausfüllen

Das korrekte Ausfüllen von Formularfeldern gehört zwar nicht zu den Kernaufgaben eines Passwortmanagers. Aber es ist ein praktischer Nebeneffekt, wenn Programme nicht nur die Login-Felder richtig identifizieren, sondern auch gleich beim Ausfüllen der restlichen Felder mithelfen. Zudem speichern Passwortmanager beim Login oft nicht nur die Login-Daten, sondern alles, was darüber hinaus angegeben wurde. Und das ist wiederum im Rahmen der Hoheit über die eigenen Daten ein durchaus wichtiges Sicherheitsfeature.

6. E-Mail-Aliase

Nicht zuletzt der kürzliche Leak von unfassbar vielen Hacks hat gezeigt, dass man auch die eigene E-Mail-Adresse schützen sollte. Hilfreich sind dafür Tools in Passwortmanagern, die für jeden Login nicht nur ein individuelles Passwort, sondern gleich auch einen einzigartigen E-Mail-Alias anlegen lassen. Und egal wie viele man anlegt, die Nachricht wird meist an die „richtige“ E-Mail-Adresse weitergeleitet, um eben diese nicht zu verbrennen. Und dieses Feature hält in immer mehr Passwortmanagern Einzug.

7. Für Familien nutzbar?

Wir kennen das, meist ist einer in der Familie der „freiwillige“ Admin für alle anderen. Und da ist es eben hilfreich, wenn man diese Hackordnung auch in einem solchen Tool verankert. Wie und wie gut das jeweils gemacht wurde, ist oft schwer zu ermitteln. Ich lese oft nur, 1Password sei das Beste für Familien. Aus eigener Erfahrung gehört das ebenso zu nachgeplapperten Marketingweisheiten, wie „Airpods Pro“ sollte man nicht mit Android nutzen und Autos müssen von Matchbox sein.

8. Support

Wenn es um die Sicherheit sensitiver Daten geht, braucht man im Ernstfall schnell kompetente Hilfe. Die Firmen wissen das und werben oft mit Support rund um die Uhr. Deshalb schaue ich bei Passwortmanagern immer danach, wie leicht es mir persönlich fällt, Hilfe zu bekommen. Meist geht es mir dabei um Fragen wie den Zugriff auf meine Daten, die Verwendung bestimmter Apps oder Fehler beim Autofill.

9. Preis

So viele Passwortmanager es auch am Markt gibt, die Preise sind ebenso divers und reichen von kostenlos, über kostenlos mit Feature-Einschränkungen, bis hin zu Kosten von zirka 100,- Euro pro Jahr bei sogenannten Familien-Abos. Und für gute Software gebe ich gerne auch Geld aus. Nur sollte der Preis gerade bei den beliebten Abos schon verhältnismäßig bzw. vernünftig sein. Also das Preis-/Leistungsverhältnis sollte stimmen.

10. Alleinstellungsmerkmal

Und zu guter Letzt schaue ich mir Passwortmanager auch dahingehend an, ob sie ein Alleinstellungsmerkmal haben. Also vielleicht etwas, mit dem einen die Produktmanager vom Hocker hauen wollen. Und ob es mich vom Hocker gehauen hat, das überprüfe ich dann erst einmal.

Aber bevor ich mit dem ersten Kandidaten anfange, zwei Fragen in die Runde:

Falls ihr einen Passwortmanager nutzt, welchen nutzt ihr denn und warum?
Was ist euch sonst noch im Zusammenhang mit Passwortmanagern wichtig?

KeePassXC oder Keepass wobei XC moderner ist und man auch Extra Felder hat für andere Autofills.

https://www.youtube.com/watch?v=9dqesnt8Jjo

Danke JanaMaria. Ja, KeePass oder KeePass XC ist für viele User ausreichend oder tatsächlich die einzige akzeptable Lösung. Ich persönlich suche allerdings nach einem Tool mit zugegebenermaßen ein paar Funktionen, die meiner Bequemlichkeit entgegenkommen. Heute habe ich mir endlich mal einen Passwortmanager angeschaut, den ich schon lange einmal testen wollte:

NordPass

1. Open Source

Nein, Open Source ist NordPass leider nicht.

2. Autofill

Das Ausfüllen von Login-Daten funktioniert in den meisten Fällen problemlos. Per Standard füllt NordPass keine gefundenen Felder einfach aus. Man muss hingegen in die Felder klicken und den vorgeschlagenen Eintrag auswählen. Ich habe so ein oder zwei harte Kandidaten, deren Loginmaske von kaum einem Passwortmanager richtig getroffen wird. Auch NordPass bekommt es leider nicht hin. Zusammenfassend funktioniert Autofill gut und ist damit brauchbar.

Unter iOS ist das Ausfüllen aber etwas merkwürdig. Man geht auf eine Seite, NordPass erkennt den Login und bietet ihn an. Und wenn man ihn auswählt, will NordPass vor dem Ausfüllen noch eine Bestätigung per Biometrie.

3. MFA

MFA ist für mich bei NordPass komplett verwirrend. Überall wird damit geworben und ich dachte, das beziehe sich darauf, dass man Logins mit 2FA abspeichern kann und dann ein OT generiert wird. NordPass meint mit MFA aber, dass man seinen eigenen NordPass-Account so schützen kann. Für Logins schreibt NordPass auf manchen Seiten, dass man externe Auth-Apps nutzen kann. Und das wird so formuliert, als ob es sich hierbei um ein besonderes Feature handelt. Die Business- und Enterprise-Variante bietet hier offenbar mehr, ist für meine Zwecke aber nicht relevant.

4. Stabilität der Anwendungen

Ich hatte keinerlei Abstürze oder Freezes. Allerdings erscheint mir das Autofill etwas laggy. Aber das ist nicht weiter schlimm.

5. Formulare ausfüllen

Hier kann man ein Item nutzen, das sich „Personal Info“ nennt. Das funktioniert prima und ist wirklich flexibel und performant:

image549×1257 42.3 KB

6. E-Mail-Aliase

Falls man seine Haupt-E-Mail nicht verbrennen will, bietet NordPass das Feature an, on demand Alias-E-Mails zu erstellen. Einmal aktiviert, kann man beim Registrieren also entscheiden, ob man einen Alias oder die E-Mail-Adresse des NordPass-Accounts nutzen will:

E-Mails an die sogenannte „email mask“ werden dann automatisch an die E-Mail-Adresse des NordPass-Accounts weitergeleitet. Im Account kann man die „email masks“ dann verwalten, d.h. aktivieren, deaktivieren und löschen:

image1070×287 40 KB

Oder auch bei Bedarf einfach neue erstellen.

Etwas dämlich war hier übrigens, dass NordPass das Kennwort-Feld nicht erkannt hat. So konnte man zwar eine email mask, aber aus dem Formular heraus kein Passwort generieren.

7. Für Familien nutzbar?

Für Familien ist NordPass eigentlich ganz gut geeignet. So gibt es in der Browseranwendung eine einfache Funktion, mit der man zwischen den Accounts umschalten kann:

Allerdings benötigt der „Familien-Admin“ hier alle User-Rechte inklusive Account-Name und -Passwort. Apropos: NordPass verlangt neben einer E-Mail und einer Passphrase für den Passwortmanager auch immer einen verknüpften Nord Account. Das ist so eine Art zentrale ID für alle anderen Anwendungen wie NordVPN oder NordLocker. Ein kompletter Login besteht also immer aus Benutzername und Passwort für den Nord Account und erst danach kann man sich mit E-Mail und Passphrase in NordPass einloggen. Sorry, aber in meinen Augen disqualifiziert sich NordPass dadurch für Familien komplett. Eigentlich schade, da es ganz gute Ansätze gibt und Nord auch ein Pricing für Familien anbietet.

8. Support

Ich habe den Chat-Support in Anspruch genommen, der schnell verfügbar, freundlich und gut informiert war. Sehr angenehm finde ich, dass man direkt beim Login nicht nur Anpassungen vornehmen, sondern auch Feedback geben kann:

9. Preis

NordPass gehört eher zu den günstigeren Passwortmanagern am Markt. Vor allem wegen des aggressiven Marketings gibt es immer wieder Coupons und Angebote, die den offiziellen Preis noch weiter drücken. Ich finde, dass das Preis-/Leistungsverhältnis ganz stimmig ist.

Die kostenlose Variante ist aber nur sehr eingeschränkt nutzbar. Wird man doch immer von allen anderen Geräten abgemeldet, wenn man sich an einem anmeldet.

10. Alleinstellungsmerkmal

NordPass ist erstaunlich full featured. Es gibt im Umkehrschluss kaum etwas, das ich vermissen würde. Aber auch eben nichts, was ich so oder so ähnlich nicht bereits bei einem anderen Passwortmanager gesehen habe. Etwas ungewöhnlich finde ich den Notfallkontakt. Dem kann man Zugriff auf NordPass geben, falls man diesen selber aus irgendeinem Grund nicht mehr hat. Das hat zumindest nach meinem Dafürhalten nicht jeder Passwortmanager.

Fazit

NordPass ist erstaunlich erwachsen geworden. Aber dennoch bin ich immer wieder auf Funktionen gestoßen, die mir im Alltag ein „meh“ entlockt haben. Vor allem das merkwürdige Einloggen und die fehlende 2FA für Logins sorgen aber dafür, dass es nicht das Tool meiner Wahl wird. Auch habe ich eher durch Zufall erfahren, dass man maximal 200 email masks anlegen kann. Das ist für Gelegenheitsnutzer sicher ausreichend, für mich jedoch absolut nicht.

Was suchst du denn überhaupt für einen PM? Scheinbar alles und garnichts… Mit deiner herangehensweise hast du in zwei Jahren noch keinen für dich gefunden.

Wenn Autofill nicht funktioniert dann liegt es entweder an der URL im PM oder einer schlecht programmierten Webseite.

Was hat das mit die Funktion mit Email Aliassen für einen Sinn? Die meisten Email Anbieter erlauben nur eine begrenzte Anzahl von Aliassen und wenn jedesmal ein neue Alias erstellt wird, streikt irgendwann das Mailprogramm. Aber ich versteh nicht ganz, was das im PM zu suchen hat…

Für Familien nutzbar heißt, das für jedes Mitglied eine separate DB angelegt wird und im Normalfall hat jede DB ein eigenen Login, den nur das jeweilige Mitglied weiß. Und zusätzlich vielleicht noch eine Haupt-DB wo alle drauf zugreifen… Ist jetzt kein ultimatives Special Feature.

Was du vielleicht meinst, sind die Business PM, die auf einem Server installiert werden.Auf dem Clients sind dann nur die Agents, die anhand der Anmeldung in der Domäne erkennen, welche DB aktiviert werden muss. Zusätzlich gibts dann noch diverse Regeln die man erstellen kann. Ist für Home Nutzung weniger relevant…

Wie oft nutzt du denn den Support einer Software, explizit PM, dass das für dich ein wichtiges Feature ist? Bei den OpenSource Varianten kann man meist bei Github Fragen stellen oder Probleme diskutieren. Da bekommt man sogar oftmals eine vernünftigere Antwort, als bei den teueren Passwort Managern wo ein Support irgendwelche vorgefertigten Antworten schreibt.

Komischerweise sind die Passwort Manager, die meist empfohlen werden umsonst. Warum soll ich dann Geld ausgeben, wenn die freien Alternativen es auch tun.

Scheinbar weißt du selber nicht so richtig was du willst…

KeepassXC
Alles andere ist nur überfrachtete Software, mit Funktionen die wo man eigentlich gar nicht braucht. Am Ende ist es nur ein Passwort Manager… Alle Gimmicks die darüber hinausgehen, machen die Sofware fehleranfälliger, instabiler und pflegebedürftiger.

Wenn du mit KeepassXC nicht zufrieden bist, dann nehm Dashlane oder Bitwarden…

Danke für Deine Meinung.

Meine Einführung habe ich mit folgendem Satz begonnen:

Danach kommen zehn Aspekte, die ich jeweils in einem Abschnitt erläutere. Wie Du danach auf das Narrativ kommen kannst, ich wüsste nicht, wonach ich suche, erschließt sich mir logisch nicht.

Ich habe eher den Eindruck, dass Du hinsichtlich Passwortmanagern andere Präferenzen hast. Das ist in Ordnung - und zwar in beide Richtungen.

Aber nun zum nächsten Kandidaten:

Proton Pass

1. Open Source

Proton Pass ist, wie der Name schon vermuten lässt, der Passwortmanager der Macher von Proton Mail in der Schweiz, der Proton AG. Wie auch Proton Mail ist auch Proton Pass quelloffen. Allerdings gab es hier in der Vergangenheit auch Kritik. Und damit meine ich nicht die Zusammenarbeit der Proton AG mit den Strafverfolgungsbehörden. Vielmehr gab es schon bei Proton Mail den Vorwurf, dass der Code des Back-Ends nicht veröffentlicht wurde. Auch dass die Login-Daten unverschlüsselt im Hauptspeicher liegen, wurde nicht zuletzt auch hier auf tarnkappe.info diskutiert.

2. Autofill

Ich habe das ausfüllen von Login-Feldern als mittelmäßig empfunden. Auch hat es bei mir einen rechten Lag, also ob im Hintergrund erst der SAP-Server anlaufen muss (Metapher aus dem Business-Leben, man sehe es mir nach…). Manchmal hat Proton Pass gar keinen Login zuordnen können, obwohl ein passender Login mit passender Domäne tatsächlich vorhanden war:

Auch nach dem erneuten Anlegen des Login direkt aus dem Anmeldedialog heraus, änderte sich das Verhalten nicht.

3. MFA

Proton Pass hat für die 2FA einem integrierten Authentificator, der 2FA-Codes zusammen mit den Logins speichert und diese automatisch anzeigt und ausfüllt. D.h. wenn das Feld korrekt erkannt wird, was leider nicht immer der Fall ist.

4. Stabilität der Anwendungen

Gerade weil ich mit den Anwendungen rund um Proton Mail so gute Erfahrungen gemacht habe, hat mich dieser Punkt bei Proton Pass recht erstaunt. Denn ich habe dauerhaft die Erfahrung gemacht, dass Proton Pass so instabil ist bzw. schlecht performt, dass ich schon gar nicht in der Lage wäre, das Programm nachhaltig effizient zu nutzen. Das fängt beim für mich laggy Autofill an, geht aber bis hin zu einer im Loop befindlichen Passwortgenerierung:

Ich habe mir beim Warten einen Tee gemacht. Und als nach zirka 10 Minuten sich noch immer nichts geändert hat, habe ich den Prozess abgebrochen. Weitere Versuche kamen zum selben Ergebnis. Am schlimmsten war es jedoch, wenn ich die Anwendung im Browser-Tab öffnete. Hier beendete sich die Anwendung regelmäßig mit einer Fehlermeldung:

Das ist besonders ärgerlich, da Proton Pass keine Windows- oder iOS-Anwendung hat und man manche Einstellungen nur in dieser Web-App vornehmen kann. Aktuell bekomme ich beim Aufruf nur diese Fehlermeldung und komme nicht einmal kurz in die Anwendung.

5. Formulare ausfüllen

Proton wirbt auch damit, dass Proton Pass Formulare ausfüllen kann. Entgegen anderer Passwortmanager fehlt dafür aber die Item-Kategorie „Identität“ oder ähnliches. Mir ist deshalb nicht ganz klar, wie das Ausfüllen funktionieren soll.

6. E-Mail-Aliase

Für diese Funktion hat Proton den Anbieter SimpleLogin gekauft. Wer wie d0m1ng0 wissen will, wofür das gut ist, kann sich auf deren Homepage darüber informieren. Ob man so etwas braucht, ist allerdings eine sehr individuelle Frage.

Registriert man sich, kann man jedenfalls sehr bequem einen Alias generieren:

Hier sieht man auch gleich, welcher Anbieter im Hintergrund werkelt. Denn SimpleLogin erstellt per Standard Alias-Adressen mit der Domain der Seite, auf der der Login erstellt wurde. Auch die Verwaltung der Alias-Adressen ist im Browser-Plugin ganz ordentlich gelöst:

Wobei das SimpleLogin in der eigenen App noch ein wenig komfortabler gelöst hat.

7. Für Familien nutzbar?

Ein Dashboard für die Familienverwaltung sehe ich bei Proton Pass nicht. Man kann einzelne Passwörter oder Tresore freigeben. Eine zentrale Verwaltung von Familienkonten oder deren Tresore und Zugriffsrechte gibt es aber offenbar nicht. Hier kommt es wohl auch immer auf die Familie an, wie tiefgreifend die Rechte des Familienadmins reichen sollten.

8. Support

Proton Pass bietet zahlreiche Kontaktmöglichkeiten an. Je nachdem, wo man sich gerade befindet, werden jedoch nur bestimmte Kontaktoptionen angezeigt. Am vollständigsten war die Auflistung meiner Meinung nach in der Browser-Erweiterung:

Spannend fand ich den Punkt „Hilf uns, besser zu werden“. Hier landet man bei Github. Einen Support-Chat habe ich nicht gefunden.

9. Preis

Es gibt eine kostenlose Variante, die jedoch so weit eingeschränkt ist, dass ich lieber eine andere Lösung verwenden würde. Spannend wird es erst bei der einzigen kostenpflichtigen Variante. Die hat früher 4,99 EUR gekostet und wurde nun auf 1,99 EUR reduziert. In meinen Augen werden 4,99 EUR auch weder dem Programm an sich, noch dem Marktvergleich gerecht. Als dritte Option wird einem Proton Unlimited angeboten. Hier handelt es sich jedoch nicht um ein Preismodell für Proton Pass, sondern um ein Komplettangebot mit allen Diensten von Proton, bei denen Pass einfach mit dabei ist.

10. Alleinstellungsmerkmal

Proton hat mit dem Kauf von SimpleLogin so gutes Marketing betrieben, dass manche Rezensionen im Netz noch heute davon sprechen, dass nur Proton Pass Aliasse anbietet. Das ist aber nicht korrekt, da mindestens 1Password als auch Bitwarden das ebenfalls unterstützen. Als richtig gut und ungewöhnlich komfortabel empfand ich bei Proton Pass eigentlich nur den Import-Vorgang. Beschränken sich manche Tools auf den Import einer CSV, importieren nur einen Teil der Information oder werfen alles (inklusive Archiv und Trash) in einen Tresor, lässt Proton Pass sogar eine Steuerung der Daten zu:

image742×604 43.4 KB

Das war ein Testimport von 1Password nach Proton Pass. So vorbildlich würde ich mir jeden Import wünschen.

Fazit

Ich wollte diese Anwendung mögen. Alleine schon, weil ich mit Anwendungen von Proton immer gute Erfahrungen gemacht habe. Ich mag auch diese reduzierte Oberfläche, die damit schön übersichtlich ist. Leider patzt ProtonPass gerade bei den für mich zentralen Eigenschaften eines Passwortmanagers: Stabilität und Autofill. Vor allem das ständige Abstürzen der Web-App hinterlässt nicht nur einen schlechten Eindruck, sondern verhindert die vollständige Nutzung der Anwendung. Damit ist Proton Pass für mich raus.

OK, man muss dir hoch anerkennen, dass du dir die Mübe machst, verschiedene Passwort Manager zu testen. Zumal deine beiden Testurteile/Bewertungen auf jeden Fall objektiver, ausführlicher und neutraler sind, als auf den meisten anderen Seiten.

Wenn du alle durch hast, wirst du aber sich zu dem Fazit kommen, dass alle ihre Schwächen und Stärken haben. Die perfekte Software gibt es nicht… Schon alleine beim Funktionsumfang und der Usability unterscheiden sich ja alle irgendwie, weil jeder das Alleinstellungsmerkmal haben will. Man muss sich ja auch von der Konkurrenz unterscheiden, damit das eigene Produkt verkauft wird.

Als Kritik möchte ich aber anmerken, dass einige deine Testkriterien (Punkt 1 bis 10) Funktionen sind, die überhaupt nichts zur Qualität und Sicherheit eines PM aussagen. Viele dieser Punkte haben alle Passwort Manager, nur auf ihre eigene Art und Weise umgesetzt.

Wichtiger ist z.B. welche Verschlüsselungstechnologien in einem PM integriert sind. Welche Verschlüsselungsalgorithmen (AES, Rijndael, TwoFish, ChaCha, Serphent, Salsa…) kann man auswählen?
Welche Schlüsselableitungs- und Hashfunktion sind enthalten (Argon, AES…)? Kann man die Durchläufe einer Verschlüsselung auswählen?

Gibt es Schutz vor Wöterbuchangriffe? Wie generiert der PW-Generator die Passwörter? Gibt es einen Schutz des RAM-Speichers? Kann man Schlüsseldateien nutzen (Token, USB-Dongle, SD-Card…)
Gibt es einen Keylogger-Schutz (separate Tastatur z.B.)?

Ich denke, diese Punkte sind bei einem Passwort Manager ausschlaggebend und nicht wieviel unterschiedliche Sachen man damit machen kann. Was nützt mir ein PM, der wo alles bereitstellt und jede noch so erdenktliche Option integriert hat, aber veraltete oder mißerable Sicherheitsfunktionen hat.

Wichtig ist auch die Frage, ob die komplette DB mit allen Daten (inkl. Kopfzeile und Notizen) oder nur die Passwörter und Anmeldename verschlüsselt sind. Und wie ist der MasterKey geschützt? Wie lange liegt dieser nach Entsperrung offen im Speicher.
In welchem Format kann die DB gespeichert werden?
Gibt es für Android und iOS Apps?

Es ist nunmal ein Sicherheitsprogramm, daher sollte man auf die Sicherheitsfunktionen großen Wert legen.

Das ist ein wichtiger Punkt mit vielen validen Argumenten. Allerdings habe ich hier die Perspektive des Produktmanagements eingenommen. Let me explain: Wie Du korrekt ausführst, sind bei einem Passwortmanager sicherheitsrelevante Aspekte wichtiger als solche, die eher mit der User Experience zusammenhängen. Allerdings unterscheidet man im Produktmanagement zwischen erwartbaren Produkteigenschaften und solchen, die Begeisterung auslösen. Also solche, die letztlich über das Erwartbare hinausgehen. Dieses Erwartbare sind für mich die Sicherheitsstandards, die jedes Programm erfüllen muss, das ich auch nur in Erwägung ziehe. Darüber hinaus sind mir bei meinen Versuchen Themen wichtig, die sich auch oft nicht auf der Homepage des Herstellers nachlesen lassen. Clevere Import- und Exportfunktionen, gut gemachte Verwaltung von Alias-Adressen oder wie gut in meinem Surfumfeld die Autofill-Funktion oder das Ausfüllen von Formularen funktioniert. Dinge, die mich eben als User begeistern, weil sie neben den Mindest-Sicherheits-Standards mein Leben erleichtern und mich zur Nutzung des Programms motivieren.

Wenn du alle durch hast, wirst du aber sich zu dem Fazit kommen, dass alle ihre Schwächen und Stärken haben. Die perfekte Software gibt es nicht…

Das ist wahr. Letztlich ist es aber wie immer im Leben: man schaut sich die Optionen an und nimmt dann das, was den eigenen Präferenzen am nächsten kommt.

Deshalb lass mich mal schauen, wie das beim nächsten Kandidaten ist:

Bitwarden

1. Open Source

Ja, Bitwarden ist Open Source. Da auch das Back-End eingeschlossen ist, kann man alternativ auch den Server selbst hosten. Viele machen das z.B. in einem Docker-Container auf einem Synology-NAS.

2. Autofill

Das Ausfüllen von Login-Feldern war seit Markteinführung von Bitwarden mein persönliches Sorgenkind. Denn es hat lange nicht zuverlässig funktioniert und trotz meiner wiederholten Versuche über Zeit änderte sich nichts daran. Bei meinem aktuellen Versuch war ich aber erstaunt, denn verglichen mit allen bisherigen Kandidaten fühlte sich das Ausfüllen sehr responsiv an. Auch gab es bei meinen schwierigen Webseiten keinerlei Probleme:

Zusammenfassend funktionierte damit Autofill besser als bei jedem anderen Passwortmanager, den ich je ausprobiert habe. Mit diesem Ergebnis hatte ich nicht gerechnet. Auch wenn man anmerken muss, dass Bitwarden hier sehr aggressiv vorgeht. D.h. das Programm füllt manchmal zu viel aus, als zu wenig.

Das gilt allerdings nur für den Desktop-Browser. Mobil sieht es leider noch etwas durchwachsen aus. So erkennt Bitwarden Anwendungen nicht und selbst wenn man die Logindaten manuell überträgt, aktualisiert Bitwarden den Login nicht mit einem Link zur App. Dazu kommt noch die schlechte Unterstützung im Browser, sei es Safari unter iOS oder Chrome unter Android. Hat man mehrere Logins für eine Seite, schlägt Bitwarden einfach den ersten Login vor. Wählt man dann einen anderen Login (was unter iOS recht kompliziert gelöst wurde), und die Loginseiten sind nach Benutzername und Passwort getrennt, so wählt man zum Beispiel auf den Benutzernamen des vierten Logins. Darauf nimmt Bitwarden aber nicht das dazugehörige Passwort, sondern bietet völlig ignorant einfach wieder die Liste aller vorhandenen Logins an.

3. MFA

TOTP unterstützt Bitwarden. Man kann den 2FA-Code direkt mit jedem Login abspeichern und beim Login ausfüllen lassen. Allerdings handelt es sich dabei um eine Premium-Funktion. D.h. in der kostenlosen Variante ist sie nicht verfügbar.

4. Stabilität der Anwendungen

Die reine Stabilität ist hervorragend. Ich hatte nie einen Freeze, Absturz oder ungewöhnliche Wartezeiten.

5. Formulare ausfüllen

Das Ausfüllen von Formularen ist ein „mixed bag“. Bitwarden hat ein Item namens „Identität“. Auf Seiten mit Formularfeldern wird mir jedoch keines dieser Felder angeboten. D.h. das Programm erkennt nicht, welches Item in der Datenbank für den aktuellen Fall geeignet sein könnte. Man kann jedoch mit der rechten Maustaste das Kontextmenü verwenden und eine geeignete Identität manuell auswählen. Dann werden die Formularfelder auch ganz ordentlich ausgefüllt.

6. E-Mail-Aliase

Ja, auch Bitwarden unterstützt Aliasse und zwar wahlweise von AnonAddy, SimpleLogin oder Firefox Relay. Einmal eingerichtet, kann man beim Anlegen eines neuen Logins im Feld „Benutzername“ rechts das Reload-Icon Anklicken und man bekommt einen Alias generiert. In meinem Fall habe ich SimpleLogin verwendet:

image364×591 38.4 KB

Man generiert dann auf dieselbe Weise ein Passwort und speichert den neuen Eintrag dann ab. Diese Login-Daten trägt man dann in das Registrierungsformular ein. D.h. hier erfolgt die Anlage nicht erst im Formular, sondern anders herum.

Leider habe ich keine integrierte Möglichkeit zur Verwaltung der Aliasse gefunden. Wahrscheinlich kann man das also nur auf den Seiten des verwendeten Anbieters machen.

7. Für Familien nutzbar?

Es gibt die sogenannte Familienorganisation für bis zu sechs User. Diese erlaubt das Teilen von Items und eine unbegrenzte Anzahl von Sammlungen. Darüber hinaus ist die Verwaltung von Familien aber recht eingeschränkt.

8. Support

Einerseits muss ich Bitwardens Hilfeseiten loben. Selten habe ich so gut gemachte Anleitungen gelesen. Wie zum Beispiel die Seiten über die Generatoren für Benutzer und Passwörter. Allerdings konnte ich über Jahre keine Lösung für meine Probleme mit dem Autofill finden. Und hier war kein Supportkanal von Bitwarden auch nur annähernd hilfreich.

9. Preis

Es gibt eine kostenlose Version, die aber leider kein 2FA für die Logins anbietet. Das bekommt man zusammen mit zahlreichen weiteren, nützlichen Features für gerade einmal 10,- Euro im Jahr. Das ist angesichts der umfangreichen Funktionen und der Qualität der Anwendung eigentlich nur noch als Schnäppchen zu bezeichnen. Der Familientarif kostet 40,- Euro im Jahr. Das ist zwar auch noch günstig, lohnt sich meines Erachtens aber nur, wenn man drei oder besser fünf Leute damit versorgen will. Denn zwei User kann man auch so schon kostenlos Items teilen lassen (also zum Beispiel Organisationen bzw. Tresore:

Es gibt noch Tarife für Teams bzw. Organisationen. Aber das soll hier nicht Thema sein.

10. Alleinstellungsmerkmal

Das Alleinstellungsmerkmal von Bitwarden ist sicher die Möglichkeit, das Back-End selbst zu hosten. Für Teams gibt es noch solche Features wie den Secret Manager. Aber das nur als Kommentar. Für mich ist das erst einmal kein Thema.

Fazit

Ich hadere nach wie vor mit dem GUI von Bitwarden. Es wirkt auf mich recht undurchdacht und nicht gerade intuitiv. Es ist zwar reine Spekulation, aber das Programm wirkt auf mich, als erfolge die Entwicklung nicht Management-, sondern Feature-basiert. D.h. nicht Use Cases stehen im Vordergrund, sondern die iterative Entwicklung von Einzelfeatures. Diese sind auch meist beeindruckend implementiert, d.h. performant und meist über den aktuellen Standard hinaus entwickelt. Ein gutes Beispiel ist die Alias-Funktion. Kein mir bekanntes Produkt am Markt unterstützt so viele verschiedenen Anbieter. Dennoch wirkt die Implementation unrund und nicht zuende gedacht. Dennoch, Bitwarden wäre ein heißer Kandidat, mein nächster Passwortmanager zu werden. Wären da nicht noch immer die Unzulänglichkeiten beim Autofill mobiler Geräte.

Ich weiß nicht ob Sicherheitssoftware, die sensible, persönliche Nutzerdaten verwaltet anhand begeisternden Produkteigenschaften gewertet werden sollte. Usability sollte klar über der User Experience stehen.

Als Beispiel nenn ich mal das speichern von Ausfülldaten für Formulare (Kreditkarte, Adresse, Name). Im Sicherheitsaspekt ist es nicht ratsam, Passwort- und Logindaten in der selben Datenbank, bzw. Passwort Manager zu speichern, wie Formulardaten.

Sollte wider Erwarten doch mal die DB komprimitiert werden, dann hat der Kaperer deine Logins und gleichtzeitig auch die Zahlungsdaten und Adresse. Das wäre für den User der Super GAU. Hat man aber Ausfülldaten in einer anderen DB oder noch besser, gar nicht erst gespeichert, dann hat der „Hacker“ nur die Logins, die man ohne Probleme ändern kann. Kann aber erstmal weniger Schaden anrichten.

Wenn man das ganze aus Sicht der Experience betrachtet, wird der Nutzer mit einem Sicherheitsrisiko konfrontiert. Deswegen sollte die Software gar nicht erst sowas anbieten (Ausfüllen von Formulardaten). Eigentlich sollte schon der normale Menschenverstand dafür sorgen, dass ich nirgends Formulardaten für Autofill speichere.Wenn es dem Nutzer allerdings in der Software angeboten wird, denkt man sich nix dabei und vertraut darauf.

Klar kann man behaupten, dass der PM und die DB absolut Safe sind und somit sollte es keine Probleme mit dem Speichern dieser Daten geben. Allerdings sind Benutzer, die unbedingt ihre Formulare per Autofill ausgefüllt haben wollen, von Haus aus etwas nachlässig. Dazu gehört dann auch ein Passwort für die DB, was total primitiv ist, lässt sich ja gut merken. Und so kann man dann ohne weiteres durch ausprobieren, das PW rausfinden und bekommt als Belohnung alles auf dem Tablett serviert.

Also, es sollte ein absolutes No-Go sein, Logindaten gemeinsam mit Ausfülldaten an einem zu sichern… Wer nicht in einer Komfortzone sitzt, nimmt sich lieber 5 Minuten länger Zeit für das raussuchen der Bankdaten (Kreditkarte, Geldkarte…) und das separate ausfüllen der einzelnen Felder. Wobei es ja sowieso die Regel ist, wenn man schonmal wo was bestellt hat, die Adresse im Profil auf der Webseite schon gespeichert ist. Nur eben nicht die kompletten Zahlungsdaten.

Das beste Beipiel für Sicherheitssoftware die falsches Augenmerkt auf User Experience legt sind unsere allseits bekannten Antivirenprogramme, mittlerweile so überladen das es nicht mehr AV sondern Security Suiten und Total *** genannt werden. Hauptsache es ist alles dabei, was scheinbar wichtig zu sein scheint und den Kunde falsche Versprechungen macht, aufgrund endlos vieler Optionen und Module. Am Ende ist es dann so, dass diese AV-Programme mehr schaden anrichten, als das was sie nützen. Die meisten Sicherheitsexpertenn raten ja von solchen Programmen ab, weil Fumktionsüberfluss die Sicherheit nur vortäuscht und Probleme erst dadurch entstehen.

Das trifft dann aber auch auf Passwort Manager zu, die wo Entwickler immer mehr einbauen, zwecks Verkaufsargument, aber den eigentlichen Sinn dieser Software aus den Augen verlieren. Es ist nie gut, Sicherheit mit Umsatz und Abheben von der Konkurrenz durch Funktionsüberfluss gleichzusetzen.

Die am meisten empfohlenen Passwort Manager, Verschlüsselungsprogramme etc… sind Open Source, kosten max. ein Kasten BIer für den Entwickler und konzentrieren sich nur auf die wesentlichen Funktionen, aber das dafür halt umso besser.

Ein weiterer Nachteil ist, je größer und umfangreicher ein Programm ist, desto weniger Code ist für die Nutzer einsehbar (Open Source vs. Closed Software). Es muss nicht immer zum Nachteil sein, allerdings hat es mehr Vorteile wenn der Code komplett offenliegt, weil so viel mehr Fehler entdeckt und behoben werden können.

Eine Webseite wie Tarnkappe ist nicht dafür zuständig Programme und schon gar nicht deren Funktionsumfang und User Experience zu testen und zu bewerten. Dafür gibt es PC Welt, Chip und Computer Bild.

Danke für Deine Ausführungen. Ganz logisch finde ich das aber nicht.

1. Warum sollte ich Ausfülldaten per se nicht mit den Logindaten speichern? Erstens verwende ich Logins für Fake-Identitäten, die ich notfalls verbrennen kann. Und zweitens, selbst wenn ich echte Kontaktdaten oder ähnliches speichern würde, was ist der Unterschied zu denselben Daten, an die man dann auch kommt, wenn man z.B. die Logindaten zu einem Onlinehändler hat, wo die Lieferadresse meist im Profil steht? Nein, entweder man vertraut der Sicherheit eines Anbieters oder nicht. Das ist dann aber eine Ja/Nein-Antwort und eine persönliche Grundsatzentscheidung.

2. Ja, mögliche Sicherheits-Issues werden statistisch mehr, je größer bzw. komplexer der Code ist. Aber wo zieht man da die Grenze? Und nein, nur weil die GUI hübsch ist, muss ein Programm nicht per se weniger sicher sein. Auch ist Usability Teil der User Experience. Insofern kann ich das Argument nicht nachvollziehen.

3. Warum sicherheitsrelevante Software nicht begeistern darf, ist mir schleierhaft. Jedes Produkt kann in seiner Domäne begeistern oder auch nicht. Das kann Dir persönlich egal sein, ist aber dann subjektiv und nicht allgemeingültig. Lass uns einfach festhalten, dass wir beide hier unterschiedliche Präferenzen haben.

4. „Eine Webseite wie Tarnkappe ist nicht dafür zuständig…“: der Satz lässt mich grübeln und schmunzeln. Woher nimmst Du das Recht zu definieren, wofür Tarnkappe zuständig ist? Und vor allem „zuständig“, das ist doch hier keine Behörde. Und zu guter Letzt berichte ich hier über meine persönlichen Erfahrungen und nicht im Auftrag der Website. Und für Erfahrungsberichte, die einem persönlich nicht passen, gibt es eine tolle Erfindung: lies etwas anderes, wenn Du fremde bzw. die Meinungen Deiner Mitmenschen nicht tolerieren kannst oder willst.

1.Die Adresse ist hinterlegt, aber nicht die kompletten Zahlungsdatenn. Entweder werde diese gar nicht gespeichert oder nur die letzten paar Ziffern der Kreditkarte z.B… Für den Zahlungsvorgang muss man dann die komplette KK-Nummer eingeben.
Bei Adressen ist es ja egal, ob die jemand fremdes in die Hand bekommt. Mir geht es hauptsächlich um das Autofill der Zahlungsdaten und vielleicht auch noch Handynummer, Geburtsdatum usw.

Da ich ja die Logins habe und zusätzlich alles persönliche was bei der Speicherung der Formulardaten anfällt, kann ich dann deine Shopping-Accounts kapern, Zeug per Kreditkarte bestellen und für die Autorisierung deinen Banking Account nutzen. Vorher log ich mich noch bei deinem Mobilfunk Provider ein und leite die Anrufe/Nachrichten deiner Nummer an meine Weiter und schon kann ich mich autorisieren.

Egal was du darüber denkst, aber es ist nunmal fahrlässig seine Kreditkarten- und Geburtsdatum sowieo Handynummer in der selben DB des PM zu speichern. Nur weil man zu bequem ist, diese Daten per Hand einzugeben.

2.-3. Keiner hat gesagt, dass die Software nicht begeistern soll… Und überhaupt, was ist das für ein Begriff? Ich nutze doch keine Sicherheitssoftware, die mir Freude und Spass macht, sondern damit ich mich sicher fühle. Da kann die von mir aus noch so primitiv aussehen, hauptsache sie bietet Schutz. Und dafür brauch ich nunmal keine Gimmicks, die das Programm fehleranfälliger machen, da es mehr Möglichkeiten für Exploits gibt.

4.Du beharrst auf deinen Standpunkt ohne Kritik anzunehmen… Und wenn man Verbesserungsvorschläge macht, ziehst du stur dein Ding weiter durch. Also nicht ich bin das Problem, sondern du.
Ich hatte lediglich nur angemerkt, dass du wichtige Punkte bei deinen Tests oder Reviews vergisst. Weil eine Sicherheitssoftware nich aus überfüllten Funktionen und Gimmicks bestehen, sondern seiner Funktion gerecht werden soll. Und dazu gehört nunmal der Punkt der vorhandenen Verschlüsselungsarten, Hashalgorithmen und andere harte Sicherheitsfeatures.

Das ignorierst du geschickt und ziehst dein Ding weiter durch. Aber so ist nunmal deine Beurteilung von Passwort Managern nicht hilfreich, bzw. nicht viel aussagend. Sowas kann ich auch auf jeder anderen Testseite lesen.

Was du machst ist Marketing, aber keine objektiven Tests von Sicherheitsaspekten einer Sicherheitssoftware.

Kannst ja mal auf diesen Webseiten schauen, wie deren Autoren PW Manager vorstellen und was deren Kriterien sind, dann siehst du auch was ich ungefähr meine…

https://www.privacy-handbuch.de/handbuch_21j4.htm
https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager

Schade. Am Anfang dachte ich noch, Du bekommst die Kurve noch. Aber dann bist du von Argumenten in persönliche Anfeindungen geschlittert. Ich weiß, andere Meinung als ebenfalls valide zu betrachten, ist schwer. Vielleicht lernst Du das noch, aber vielleicht auch nicht. Beides ist okay.

Auf dem Niveau möchte ich jedoch nicht weiter diskutieren.

Deshalb weiter zum nächsten Kandidaten:

1Password

1. Open Source

Nein, 1Password ist nicht Open Source. Darüber hinaus gibt es seit Jahren Kritik, eben seit für die Entwicklung der 1Password-Clients auf Electron gesetzt wurde. Die Kritik reicht von einem Aufblasen des Codes über schlechte Performance bis hin zu Sicherheitsbedenken.

2. Autofill

Kritik gibt es z.B. in den Rezensionen des Google Play Stores oft auch wegen eines nicht funktionierenden Autofills. Eine Kritik, die ich persönlich auf keiner Plattform nachvollziehen kann. Ja, es gibt einige wenige Seiten, auf denen das Autofill nicht funktioniert. Im Vergleich zu den anderen mir bekannten Passwortmanagern funktioniert Autofill bei mir überdurchschnittlich gut.

3. MFA

Mit jedem Login ist auch eine (wenn vorhanden) 2FA ablegbar. Der Einmalcode ist dann direkt unter dem Kennwort des Logins zu sehen:

Dieser wird beim Autofill eines Logins automatisch in den Zwischenspeicher geladen, füllt sich aber in das Feld auch automatisch ein. Ich habe nicht ein einziges Mal Probleme mit dieser Funktion erlebt.

4. Stabilität der Anwendungen

Abstürze habe ich noch bei keinem Client erlebt. Und auch Freezes kamen noch nicht vor. Ganz selten dauert es etwas, bis man sich über die Browsererweiterung anmelden kann. Aber insgesamt kann ich mich über die Stabilität von 1Password nicht beschweren.

5. Formulare ausfüllen

Auch das Ausfüllen von Formularen, z.B. beim Registrieren in einem Webshop mit Vorname, Nachname, Adresse usw., funktioniert gut. 1Password erkennt oft auch die Art der Formularfelder und bietet dann lediglich Identitäten zum Ausfüllen an:

Aber natürlich funktioniert das Ausfüllen nicht immer 100%ig. Manchmal werden die falschen Felder ausgefüllt oder 1Password erkennt ein Feld gar nicht als relevant. Insgesamt ist das Ausfüllen von Formularen aber so gut gelöst, dass es eine Arbeitserleichterung darstellt.

6. E-Mail-Aliase

1Password arbeitet mit Integrationen und hat sich hinsichtlich der Verwendung von Aliassen für Fastmail entschieden. Fastmail will eigentlich eine Alternative zu den großen E-Mail-Providern sein, bei denen Mail, Kontakte, Kalender und Co. zwar kostenlos sind, man selber aber sprichwörtlich das Produkt ist. Fastmail bietet aber auch die Erstellung von sogenannten „email masks“ an. Nachdem man die Integration online in den Integrations-Einstellungen vorgenommen hat, kann man direkt beim Anlegen eines neuen Accounts einen Alias generieren und nutzen lassen:

Die generierte Adresse besteht dann aus zufällig generierten Worten bzw. Werten, gefolgt von der Domain von Fastmail:

Verwalten kann man die Aliasse nur bei Fastmail und dort nur in den Einstellungen:

image763×651 102 KB

Seitens 1Password gibt es im Online-Account nur einen Link zu Fastmail. Das Limit für „masked emails“ liegt übrigens bei 1000.

7. Für Familien nutzbar?

Ja, 1Password wirbt mit einem Familien-Tarif und bietet tatsächlich etwas mehr an, als nur das Sharen von Passwörtern und Tresoren. Als Familienorganisator kann man sämtliche Tresore verwalten, ebenso die Konten im Familienverbund, natürlich die Abrechnung zentral vornehmen und bei Problemen weiterhelfen. Zum Beispiel wenn ein Familienmitglied sich aus dem Account ausgesperrt hat. Auch kann man pro User über die Liste der „Vertrauenswürdigen Geräte und Browser“ auch ein wenig ein Auge darauf haben, ob alles mit rechten Dingen zugeht.

8. Support

Der Support von 1Password ist recht durchwachsen. Zwar gibt es zahlreiche Hilfeseiten und der persönliche Support per E-Mail ist stets freundlich und relativ schnell. Allerdings kam ich auch hier selten bei wirklichen Problemen nicht weiter. Auch wird man zum Melden von Seiten, auf denen Autofill nicht funktioniert, immer wieder motiviert. Ich habe aber noch nie erlebt, dass sich dadurch etwas zum Positiven verändert hat. Auch bei Requests, die Programmfeatures betreffen, habe ich bisher nur Rückmeldungen bekommen, die sich mit „das ist halt so“ zusammenfassen lassen. Insgesamt bin ich mit dem Support also mäßig zufrieden.

9. Preis

Die Preise sind recht hoch. Auf der Website kostet ein Einzelaccount aktuell 2,99 USD und ein Familienaccount 4,99 USD. Beides bei jährlicher Abrechnung und zuzüglich Mehrwertsteuer. Ich persönlich empfinde vor allem den Preis für den Einzelaccount als etwas zu hoch. Ein Familienaccount könnte sich je nach Anzahl der Familienmitglieder lohnen. Fünf kann man insgesamt anlegen, was 1,- EUR netto für jedes Familienmitglied macht.

10. Alleinstellungsmerkmal

Vor vielen Jahren war 1Password noch ein Vorreiter in Sachen Passwortmanagement. Mittlerweile haben zahlreiche Konkurrenten aber deutlich aufgeholt. Und so sind manche Features von 1Password heute nichts außergewöhnliches mehr. Dazu haben teilweise fragwürdige Produktentscheidungen, wie der Einsatz von Electron, der Cloud-Zwang oder die Einführung des Abo-Modells dafür gesorgt, dass sich ehemalige Kunden nicht nur woanders umschauen, sondern richtig sauer waren und teilweise noch sind.

Dennoch merkt man 1Password die langjährige Erfahrung an. So erkennt das Programm oft, was der Anwender machen will und verhält sich entsprechend. Ein kleines, aber im Alltag angenehmes Beispiel ist, dass beim manuellen Einfügen von Logindaten das Programmfenster nicht bei jedem Hin und Her wieder zur Hauptübersicht zurückspring. Vielmehr bleibt der gewählte Account sichtbar, bis man mit dem manuellen Einfügen fertig ist. Hier merkt man, wie sorgfältig Anwendungsfälle analysiert, verstanden und implementiert wurden. Und das sieht man selten bei Passwortmanagern.

Fazit

1Password verdient einen Spitzenplatz bei den Passwortmanagern. Es hat ein gutes Featureset, das einwandfrei implementiert wurde. Die Anwendungen sind responsiv und haben eine gute User Experience. Bis auf einen Vorfall mit dem Support-System sind mir auch keine Hacks bekannt, bei denen User-Daten abhanden gekommen sind. Wenn ich mir etwas wünschen könnte, dann einen etwas günstigeren Preis und ein besserer, d.h. wirksamerer Kundensupport.

Ich hab Dich weder persönlich beledigt, noch angegriffen. Aber scheinbar bist Du leicht reizbar, dünnhäutig und nicht kritikfähig.Du nimmst Verbesserungsvorschläge nicht an und bleibst stur bei Deiner Linie… Das ist keine Diskussionsgrundlage.

Deine Reaktion zeigt mir nur, dass Du es leider nicht verstehst, was ich geschrieben habe. Oder nicht verstehn willst, weil Du glaubst dass jegliche Kritik ein Angriff auf Deine Person ist.

Deine Meinung ist nicht valide, sondern nur eine individuelle Feststellung, die von Dir persönlich als unwiderlegbar dargestellt wird.

Das sind übrigens alle mir bekannten Passwortmanager, die über die Funktion zur Erstellung eines E-Mail-Alias beim Anlegen von Logins verfügen. Wenn jemandem noch ein weiterer Passwortmanager mit diesem Feature bekannt ist, gebt gerne Bescheid. Dann schaue ich mir diesen Kandidaten auch noch an!

Ohne den Thread gelesen zu haben:

KeepassXS = Alle Probleme gelöst

Bin kein IT-Freak, sondern nutzte die IT hauptsächlich in meinem Beruf als Ingenieur im Anlagenbau. Inzwischen im (Un)-Ruhestand, suche ich zwar weiter nach Projekten, bin nun aber mehr politisch (links) und als Musiker unterwegs. Bisher nutzte ich nur nur den Google Password-Manager und bin Opfer einer Lücke/ eines Bugs bei Google geworden.

Das BSI schrieb dazu in seinem Newsletter vom 18.01.2024

9. Riskantes Google-Sicherheitsleck
   Eine Schwachstelle bei Google bereitet Fachleuten Kopfzerbrechen. Malware wie Lumma, Rhadamanthys, Risepro oder Meduza manipuliert Login-Cookies und gewährt Hackern dadurch dauerhaften Zugang. Selbst wenn Nutzende ihr Passwort ändern, können sich Betrüger durch die abgefangenen Cookies selbstständig neue Passwörter generieren und Zugang zu Online-Diensten verschaffen. Google selbst hält sich bisher bedeckt und verweist auf die Abmeldung in der Geräteverwaltung. Zur Absicherung gegen die Trojaner empfiehlt sich – neben dem aktiven Log-off nach jeder Verwendung eines Google-Dienstes – eine Multi-Faktor-Authentisierung und die regelmäßige Überprüfung aller Konto-Aktivitäten.
   Quelle (u.a.): https://www1.wdr.de/nachrichten/google-dienste-schieb-100.html

Symantec Norton 360 und MalwareBytes Anti-Malware sind seit Jahren mein persönlicher Standard, aber auch diese Kollegen haben irgendwas geträumt.

Genau am 12.01.2024 bin ich Opfer dieser Lücke geworden. Google redet sich ja auch nur heraus, z.B.: aktives Log-Off kann man nicht leisten, wenn man ständig online ist. Zumindest auf Mobilgeräten (Handy) ist das die Regel. 2FA ist möglich und war eingerichtet, ist aber bei Google nicht grundsätzlich gefordert. In diesem speziellen Fall hat 2FA auch nicht geholfen.

Das Resultat:
Ca. 30 Accounts waren in der Folge gehackt, google selbst, t-online, yahoo, facebook, twitter (X), linkedin, SourceForge, github … etc. pp. Inzwischen konnte ich mit immensem Arbeitsaufwand überall neue Passwörter vergeben und - wo möglich - 2FA einrichten.

Nur bei FratzeBook ist mir das bis heute nicht gelungen. Der dortige Support ist so lausig, dass ich mich dort eigentlich nur noch verabschieden will. Aber in meinem dortigen account „RolBorch“ stehen haufenweise Beiträge, Fotos, diverse Links mit einer Historie von mehr als 10 Jahren.

Ich überlege, Google zu verklagen und auch gegen den mangelnden Support bei Facebook vorzugehen. Das wird nicht ohne anwaltliche Hilfe gehen.

Ich bin für Eure Meinung und Eure Tipps im voraus dankbar.
Bitte keine Kommentare mit dem Titel oder Inhalt „selbst schuld“.

Also so ärgerlich das auch ist, was genau ist Deine Frage?

Grundsätzlich hast Du ja schon angemerkt, dass es hier ohne die Hilfe eines Anwalts nicht geht. Und selbiger wird Dir auch weitaus relevantere Tipps geben können, als wir hier aus der Ferne.

Meine Gedanken: hier geht es um die beiden Fragen Schaden und Produkthaftung. Also welcher Schaden ist Dir konkret entstanden und wie hat sich Google im Rahmen der Produkthaftung verhalten. Hier gibt es solche Themen wie Fahrlässigkeit, State-of-the-Art oder bewusstes Hinnehmen von nachweislich bekannten Sicherheitslücken.

Dafür benötigt man nach meiner Erfahrung einen langen Atem.

Danke, Tandeki. Meine eigentlichen Fragen hatte ich gar nicht formuliert, nur meinen Frust über google und Facebook runtergeschrieben. Ja, es geht um Produkthaftung, Internet-Sicherheit, Datenschutz etc. Hier nun die Fragen:

1. Ratet Ihr mir, mich endgültig vom Google Password-Manager zu verabschieden? Sind die hier vorgestellten Tools in der Lage, die Passwörter aus google zu importieren?
2. Wer kann mir helfen, meinen Facebook-Account wieder herzustellen?
3. Ein Tipp bzgl. Anwalt wäre gut. Ich denke bisher an Solmecke und Kollegen wbs.law
   Dieser Kollege wirbt ja eifrig. Hat jemand Erfahrungen mit dieser Kanzlei? Oder überhaupt mit einer Klage gegen die Internet-Riesen?

Viele sehen diese Bezeichnung als Beleidigung an. So auch ich.

Willkommen im Club. Damit sind wir hier in der Minderheit.

Ich würde es einfach dabei belassen und akzeptieren, dass Big Tech Unternehmen aus den USA mehr Macht haben als die EU oder irgendwelche Bürger in ihren Mitgliedsstaaten. Hättest von vornherein keine Google Produkte verwenden sollen „selbst schuld“

Naja der Google Passwort Manager war hier ja nicht das Problem. Aber ich würde davon abraten, Google Produkte zu verwenden, wenn man irgendwie Datenschutzinteressen hat.

Wenn deine Passwörter im Google Manager tatsächlich mißbraucht wurden, würde ich gar nicht erst versuchen, die Passwörter in ein anderen Manager zu importieren. Am besten, du legst soweit es geht, überall einen neuen Account an. Bei Online Shops ist es etwas schwierig, wegen deiner Adresse, die ja bereits in einem anderen Account hinterlegt ist, aber bei den einfachen Seiten, wo du keine Adresse angeben musst (Foren, Downloadportale, Github, Blogs, etc) würde ich an deiner Stelle schon einen neuen Account mit Wegwerf-Email Adressen anlegen.

Und als PW-Manager kannst du KeepassXC nehmen, der kostet nix, ist Open Source und ziemlich sicher.

Die Idee Google zu verklagen, hatten sicher andere vor dir schon. Wird ein Kampf gegen Windmühlen, also spar die lieber das Geld und die Energie und vermeide Google in Zukunft, soweit es geht.

Ich sags mal so: Wenn ich der Meinung bin, den Betreiber einer Software verklagen zu müssen, werde ich in der Konsequenz sein (fehlerhaftes) Produkt kaum noch weiterhin verwenden wollen! (IMO)

Jeder Fachanwalt für Internetrecht könnte dir final bei deinem Vorhaben rechtlich helfen. Die Kanzlei muss aber erstmal überhaupt gewillt sein, ein solches Mandat zu übernehmen! Natürlich geht es der Kanzlei dabei in erster Linie um die Erfolgsaussichten bei einer solchen Klage, die eher gering ausfallen werden…
Ohne eine entsprechende Rechtsschutzversicherung, die so etwas explizit abdeckt, würde ich da gar nicht erst mit anfangen wollen!