Passwort-Manager Apps für Android und iOS (40)





Möchtest Du auch unterwegs, auf Smartphone oder Tablet, Zugriff auf Deine Passwörter haben und gute Passwörter erzeugen und sicher verwahren?



Subscribe on Android



Sichere Passwörter

Hast Du für Dich bereits für sichere Passwörter als den wichtigsten Schutz Deiner Daten entschieden?

Dann weisst Du, gute Passwörter sollten

  • lang
  • zufällig und 
  • einmalig sein.

Lang, um nicht durch Ausprobieren gefunden werden zu können.
Zufällig, damit Wörterbuchangriffe oder systematisches Probieren nicht zu Erfolgen für den Hacker führt.
Einmalig, damit ein z.B. durch einen Einbruch bei einem Dienstleister verlorenes Passwort nicht alle Deine Benutzerkonten gefährdet.

Zum Erzeugen und Speichern von Passwörtern nutzt Du am besten einen Passwortmanager. Der hilft nicht nur dabei, wirklich gute Passwörter zu erzeugen. Du kannst Sie damit auch sicher aufbewahren.

Ich empfehle gerne die Programme KeePass beziehungsweise KeePassXC. Die haben allerdings den „Nachteil“, dass sie nur auf deinem Rechner zu Hause laufen, auf deinem Laptop oder auf deinem Desktop-PC.


Passwort-Manager Apps für unterwegs

Möchtest Du auch unterwegs, auf Smartphone oder Tablet, Zugriff auf Deine Passwörter haben und gute Passwörter erzeugen und sicher verwahren?

Die Frage ist dann natürlich immer, welchem Produkt traut man da, wie wählt man das richtige aus?

In dieser Folge schauen wir uns an

  • worauf bei Auswahl von Passwort-Manager Apps zu achten ist,
  • welche Passwort-Manager-Apss in der engeren Auswahl sind und warum und
  • natürlich erhältst Du Tipps zum sicheren Umgang mit Deinen Passwörtern auf deinen Mobilgeräten.

Auswahl von Passwort-Manager Apps

Worauf solltest du bei der Auswahl deiner Passwortmanager-Apps für deine Mobilgeräte achten?

Im Wesentlichen sind für mich da zwei Punkte wirklich wichtig.

  • Zum einen der Unterschied zwischen kommerzieller oder offener Software
  • und auf der anderen Seite, wo werden deine Daten gespeichert?

Offene Software für mehr Vertrauen

Was verstehe ich unter offener Software?

Offene Software ist typischerweise als Open Source bezeichnet, das heißt, der Quellcode, der Programmcode ist einsehbar. Das heißt jetzt nichts anderes, als dass ein Entwickler den Programmcode so ins Netz stellt, dass andere Entwickler sich den anschauen können und wenn sie wollen, halt auch die App wirklich aus diesem Programmcode direkt erzeugen können.

Oder aber du kaufst halt die App ganz normal im App Store.

Der Vorteil offener Software – Transparenz

Der Vorteil von, diesen Quellcode ins Netz stellen, ist halt genau dieser, andere Entwickler können es sich anschauen. Je nachdem wie groß das Projekt ist, arbeiten auch andere Entwickler daran mit, es schauen sich andere Leute das an.

Der Vorteil ist einfach, da kann nichts drin verborgen werden. Das heißt natürlich nicht, dass jede Zeile immer von hunderten von anderen Entwicklern angeguckt wird und das heißt natürlich auch nicht, dass da keine Fehler drin versteckt sein können oder vielleicht auch böse Absichten. Aber das ist viel, viel schwieriger, als wenn du den Einblick nicht hast, sondern einfach nur dem vertrauen musst, was du ganz normal im App Store runterlädst.

100%ige Sicherheit gibts nicht

Natürlich kannst du dir auf eine einfache Art und Weise auch nicht sicher sein, ob die Version, die du aus dem App Store runterlädst, genau der Version entspricht, wo der Programmcode auf dem Server liegt.

Aber du hast zumindest eine Chance reinzuschauen und es gibt eine Community, die reinschauen könnte, die zum Teil auch reinschaut.

F-Droid: für Android eine echte Alternative zum Google Play Store

Bei kommerziellen Angeboten bleibt dir nur blindes Vertrauen. Was sehr interessant ist und das ist ein echter Vorteil von Android, es gibt dort mit dem F-Droid einen App Store alternativ zum Google Play Store, wo genau solche Open Source Apps bereitgestellt werden, die von einer Community überprüft werden, dass sie halt Qualitätsstandards genügen. Das ist eine super Sache.

Das heißt, wenn du Android benutzt, solltest du dir diesen F-Droid Store auf jeden Fall anschauen. Da findest du tolle Software, die zum Teil wirklich nicht nur mithalten kann mit kommerziellen Angeboten, sondern die auch wirklich überflügelt.

Und du hast ein ganz anderes Sicherheitsgefühl, weil diese Programme einen offenen Quellcode haben und von einer Community angeschaut werden.

sowas fehlt Apple

Ist ein ganz klarer Vorteil von Android gegenüber Apple, muss man sagen, bei Apple verlässt du dich halt ganz auf das Review der Apps von Apple. Was auch wichtig ist, nur weil ein Programm einen offenen Quellcode hat oder anbietet, heißt das nicht automatisch, dass es umsonst sein soll.

Es gibt durchaus auch Apps, die einen offenen Quellcode zur Verfügung stellen und gleichzeitig für die Apps dann halt Geld nehmen, weil die Entwickler müssen ja auch von irgendwas leben, stecken viel Zeit da rein, die sie vielleicht normalerweise für andere Projekte verwenden würden.

Unterstütze offene Software

Deshalb kann ich dir nur ans Herz legen, auch wenn du kostenlose, in Anführungszeichen, Programme verwendest, überlege dir, ob du spendest an das Projekt oder dass du zum Beispiel eine Premiumfunktion kaufst, auch wenn du sie nicht unbedingt brauchst. Und dann kaufst du sie halt mal für einen Monat, bezahlst vielleicht irgendwie ein paar Euro und unterstützt damit ein Projekt. Das ist immer noch billiger als die Abo-Modelle von diesen ganzen kommerziellen Anbietern.

Die Nachteile „normaler“ Software

Denn damit kommen wir zu der zweiten Variante. Gegenüber der offenen Software gibt es halt closed Source, ganz normal kommerzielle Software, wo du nur eine App runterladen kannst und tolle Werbeversprechen von dem Anbieter entsprechend hast.

Da bleibt nur blindes Vertrauen

Das Problem ist nicht unbedingt, dass diese Software schlecht sein muss, ganz im Gegenteil, da arbeiten ja auch gute Leute dran, das Problem ist: Du hast keine Chance es zu überprüfen und niemand hat die Chance es zu überprüfen, außer mit sehr, sehr viel Einsatz und Aufwand und wirklich mehr so durch den Rücken, durch die Brust ins Auge. Aber nicht so leicht wie bei diesen Open-Source-Anwendungen, wo man sich den Quellcode angucken kann.

Wie ehrlich sind Firmen, wenn es um Geld geht?

Der andere Punkt ist natürlich Vertrauen in das Geschäftsmodell. Wenn ein Open-Source-Projekt von vielen Leuten überprüft werden kann, ist vielleicht die Wahrscheinlichkeit, dass Sicherheitslücken bekannt werden, eine ganz andere als wenn die Existenz einer Firma von diesem einen Produkt abhängt.

Denn wenn du dir jetzt überlegst, stell dir vor, einer von diesen Passwortmanagern, die Firma, die brummt, hat Millionen und Abermillionen von Kunden, macht richtig Schotter damit, und dann kommt da eine riesengroße Sicherheitslücke raus, dass wirklich alle die Kunden ein ganz gewaltiges Problem haben.

Wie sehr glaubst du, ist diese Firma motiviert, damit offen und ehrlich umzugehen, wohlwissend, dass alles, was sie sagen, dafür vermutlich sorgen wird, dass es diese Firma hinterher nicht mehr gibt?

Ich würde mal die Vermutung in den Raum stellen, die Begeisterung ist da auf Geschäftsführungsebene einigermaßen übersichtlich das transparent zu machen.

Das ist halt bei transparenten offenen Projekten, wo viele Leute vielleicht auch daran mitarbeiten, wie zum Beispiel diesem KeePass-Projekt, ein ganz anderer Schnack, da werden Sicherheitslücken deutlich transparenter gehandhabt. Also ganz klar, für mich eindeutig bei solchen Applikationen: Guck, dass du offene Software verwendest und nicht diese rein kommerzielle geschlossene Software.

Wo werden Deine Daten gespeichert?

Aber ich hatte gesagt, ein weiterer Punkt für die Auswahl von Apps ist: Wo werden deine Passwörter gespeichert?

Die Cloud bringt vor allem dem Hersteller Geld

Immer mehr wird der Trend vor allen Dingen bei diesen kommerziellen Passwortmanager-Apps, deine Passwörter in der Cloud, das heißt auf dem Rechner des Anbieters zu speichern.

Natürlich hat das Vorteile, denn wenn deine Passwörter alle an einer Stelle sind, dann kannst du von allen Geräten diese Passwörter verändern, sie werden immer aktuell sein. Das ist super, das ist ganz toll, praktisch.

Die Frage ist: Brauchst du das wirklich?

Und die Frage solltest du dir wirklich sehr genau stellen.

Sicherheitsrisiko: Viele Passwörter in einer Cloud

Denn das Sicherheitsrisiko ist ein ganz anderes, als wenn du deine Passwörter als Datei verwaltest und selber synchronisierst. Denn es liegen alle Passwörter von allen Kunden dieser großen Passwortmanager-Anbieter auf deren Server.

Das heißt, wenn es ein Ziel im Internet gibt, das für Kriminelle spannend ist, dann sind das vermutlich deren Server.

Das Praktische, das du dir da einkaufst, kaufst du dir mit einem gigantischen Sicherheitsrisiko ein, weil wirklich da vermutlich tagtäglich nicht nur zehn oder hunderte von Kriminellen anklopfen und versuchen an diese Daten zu kommen, weil das ist wirklich, das Ding zu knacken und an die Passwörter zu kommen, ist so ein bisschen wie der heilige Gral.

Jetzt könnte man meinen, Mensch, da arbeiten ja gute Leute, das wird schon nicht passieren. Es ist aber so, da gibt es immer wieder Zwischenfälle und Probleme bei den Passwortanbietern.

Aber sowas kommt immer mal wieder vor und ist natürlich auch verständlich, weil wie gesagt, da liegen vermutlich nicht nur Millionenwerte, wenn man diese Passwörter mal in Geld übersetzt.

Und du musst dir immer die Frage stellen: Wie würde eine Firma mit einem ernsthaften Zwischenfall umgehen? Würden die offen und ehrlich sich hinstellen und sagen: Leute, haben wir Scheiße gebaut. Oder vielleicht haben wir auch keine Scheiße gebaut, sondern es ist halt einfach dumm gelaufen, das kann ja alles passieren. Die Frage ist, wie transparent geht so eine Firma damit um?

Überlasse Deine Passwörter keiner Firma

Die Frage ist jetzt: Was ist die Alternative zur Cloud der Anbieter?

Die Antwort darauf ist eigentlich recht einfach.

In Deiner eigenen Cloud kannst Du die Passwörter synchronisieren

Die Alternative ist eine App, deren Verschlüsselung gut ist und von vielen Leuten als gut befunden wurde, deine Passwörter als eine verschlüsselte Datei auf deinem Rechner speichert oder die du über die Cloud zum Beispiel mit deinem Handy synchronisierst und die du zusätzlichen mit einem zweiten Schlüssel, einer sogenannten Schlüsseldatei, dazu mehr auch in Folge 11 über Passwörter und Folge 12 über Passwortmanager, die du zusätzlich mit einer Schlüsseldatei absicherst.

Denn der Vorteil von diesem, du hast die Passwortdatei, deine Passwortdatenbank in deiner eigenen Cloud, ist, es ist nicht mehr gezielt, dass jemand nach deinen Passwörtern sucht. Natürlich kann immer noch jemand dein iCloud, dein Google Drive, dein OneDrive, deine Dropbox hacken, das kann passieren und dann kann auch jemand an deine Passwortdatei kommen.

Deine Schlüsseldatei gehört nicht in die Cloud

Aber wenn du das mit der Schlüsseldatei vernünftig machst, dann ist der zweite Schlüssel, der gebraucht wird, selbst wenn jemand dein Passwort abhören könnte, dann ist der zweite Schlüssel woanders. Den legst du ja nicht in dieselbe Cloud, das macht keinen Sinn, sondern den musst du natürlich ganz woanders haben und nur zum Dekodieren zusammenführen.

Das heißt du hast ein ganz anderes Risiko, dass jemand an deine Passwortdatei kommt und nicht wie bei diesen großen Passwortmanager-Anbietern mit ihren Cloudangeboten, wo alle Passwörter auf einem Server liegen.

Man muss natürlich sagen, ich habe eben den Vorteil einer zentralen Lösung, wenn alles in der Cloud auf dem Rechner eines Anbieters liegt, dann sind die Passwörter immer aktuell, dann gibt es keine Konflikte, wenn 10 Geräte gleichzeitig darauf zugreifen, dann weiß der Server, was er damit zu tun hat.

Nutze verschiedene Passwort-Datenbanken

Wenn du Dateien zum Beispiel in deinem Cloud-Verzeichnis irgendwo liegen hast und verschiedene Mobilgeräte und dein Laptop greifen auf die gleiche Datei zu, dann kannst du dir damit die Datei natürlich auch kaputtmachen. Das heißt, du musst ein bisschen vorsichtig damit umgehen und musst halt gucken, dass du nicht gleichzeitig darauf zugreifst.

Aber die Frage ist wirklich: Wie oft kommt es vor, dass du von unterwegs Passwörter erstellst, die du gleichzeitig in der Datenbank auf dem Rechner geöffnet hast? Das kann man relativ gut, also sowohl im Bekanntenkreis als auch bei mir selber, durch ein bisschen Disziplin hinkriegen.

Eine Lösung ist immer: Du hast eine eigene Datenbank für dein Mobiltelefon, dein Handy zum Beispiel, und wenn du wirklich unterwegs ein Passwort erzeugen musst und das finde ich, kommt sehr selten vor, weil es auf dem Handy auch nicht wirklich Spaß macht, dann speicherst du das in dieser extra Datenbank, denn diese Datenbank, die du mit deinem Rechner zuhause synchronisierst, da sind die Passwörter drin, die du ganz normal schon angelegt hast. Und wenn du mal ein neues anlegst, speicherst du das in dieser extra Datenbank und du überträgst das hinterher. Das ist relativ einfach. Und der Preis für dieses deutlich Mehr an Sicherheit ist halt die Disziplin, die du ja ein bisschen fahren musst.

Denn so toll die ganzen Features immer klingen, du musst dich halt fragen: Sind sie es mir wirklich wert? Brauche ich sie wirklich? Und bin ich bereit, den Preis, die Sicherheit dafür zu zahlen?

Empfehlung von Passwort-Manager Apps:

Wenn wir uns jetzt angucken, welche Apps gibt es denn, dann hat natürlich das, was ich jetzt hier erzähle, keinen Anspruch auf Vollständigkeit. Es gibt unendlich viele Apps, es gibt auch viele freie Apps und die sind mit Sicherheit zum Teil auch gut, manche mehr, manche weniger, aber es gibt ein paar, die wirklich herausstechen und die in der Community wirklich gerne genommen werden.

Die Kriterien für mich:

  • Open Source, also offene Applikation, nicht notwendigerweise kostenlos und
  • sie sollen mit KeePass kompatibel sein.

Ich möchte KeePass beziehungsweise KeePassXC auf dem Rechner haben und gleichzeitig auf Mobilgeräten eine App, die mit den Dateien umgehen kann.

Wie gesagt, offen heißt nicht unbedingt kostenlos. Oft könnt ihr die Programme zwar kostenlos runterladen und benutzen, manchmal müsst ihr für die Apps Geld bezahlen, und trotzdem überlegt euch, ob ihr spendet oder mal eine Premiumversion kauft und sie dann nur kurz benutzt, einfach um die Autoren zu unterstützen.

Also überlegt euch, ob ihr da nicht ein bisschen Geld investiert. Vergleicht es vielleicht mal mit den Abo-Angeboten von diesen großen Passwortmanagern, die man so in der Werbung findet, was ihr da im Jahr bezahlt und überlegt euch, wenn ihr davon irgendwie ein paar Prozent an die freien und die offenen Programme spendet, dann kommt ihr billiger weg und das Projekt lebt weiter.

Passwort-Manager App für Android:

Da gibt es unter Android ein Programm, das einen sehr guten Ruf genießt, das ist KeePassDX oder KeePass Deluxe. Das findet ihr in diesem angesprochenen F-Droid Store.

KeePass DX


Passwort-Manager App für iOS:

Unter iOS gibt es so zwei, die gerne genommen werden, das eine ist KeePassium, das andere ist Strongbox. Auch das sind Open-Source-Programme.

KeePassium
StrongBox




Tipps für sicher Passwörter unterwegs

Wie versprochen ein paar Tipps, damit du sicher mit deinen Passwörtern auf deinen Mobilgeräten umgehen kannst.

Tipp 1: Benutze eine Passwort-Manager App

Ganz klar Tipp Nummer 1, das Thema der Folge: Benutze auch auf deinem Handy, auf deinem Tablet einen Passwortmanager, und zwar einen guten Passwortmanager, ich habe dir ja ein paar zur Auswahl vorgestellt.

Tipp 2: Wähle ein gutes Passwort für Deine Passwort-Manager App

Dann ganz wichtig: Benutze für deine Passwortdatenbank ein gutes Passwort, und zwar ein Passwort, das du dir merken, das du tippen kannst, das aber trotzdem gut ist und nicht einfach ist.

Tipp 3: Verlass Dich nicht nur auf Biometrie

Verlass dich nicht auf Biometrie, um deinen Passwortsafe zu schützen.

Wenn du dein Handy mit dem Fingerabdruck oder mit Face ID entsperrst, dann sollte das nicht auch der Schlüssel zu deiner Passwortdatenbank auf dem Handy sein.

Da muss mindestens eine gute PIN davor oder lieber doch immer das vernünftige Passwort. Denn wenn es ein Problem mit deinem Fingerabdruck gibt, dann ist auch dein Passwortsafe gleich von diesem Handy weg und das ist eine Sache, das willst du entkoppelt haben, das darf nicht dasselbe Angriffsszenario sein, Handy knacken und Passwortsafe knacken.

Tipp 4: Verwende einen Schlüsseldatei als 2. Faktor

In dem Fall auch wichtig: Benutze diese Schlüsseldatei, die KeePass anbietet. Das heißt, du brauchst, um deine Passwörter zuzugreifen, nicht nur das Passwort für deine Passwortdatenbank, für deinen Passwortmanager, sondern du brauchst auch diese Schlüsseldatei irgendwo auf dem Rechner beziehungsweise auf dem Handy.

Und die darfst du auf keinen Fall nebeneinander ablegen, weil sonst hat der Angreifer natürlich beide Dateien sofort.

Also lege nicht Schlüsseldatei und Passwortdatenbank in dieselbe Cloud.

Tipp 5: Nimm nicht alle Passwörter mit

Last but not least, vielleicht ein organisatorischer Weg, um die Sicherheit deutlich zu erhöhen:

Überlege dir, welche Passwörter du unterwegs wirklich brauchst.

Brauchst du wirklich hunderte von Passwörtern, alle, die du jemals angelegt hast? Oder reichen dir vielleicht das obligatorische, was weiß ich, Social-Media-Passwort und ein Shopping-Passwort und du hast vielleicht zehn, zwanzig Stück, die du in eine eigene Datenbank machst, aufs Handy tust, sodass der Schaden, wenn wirklich was auf dem Handy passiert, weil das trägst du halt immer mit dir rum, das kann natürlich geklaut werden, es können die unmöglichsten Sachen passieren, wenn du da den Schaden reduzierst, limitierst, indem du weniger Passwörter mitnimmst, kannst du natürlich schon deutlich vorbeugen.

Ähnliche Artikel

Adblocker auf dem Handy (54)

Handy-Tracker: die unsichtbare Gefahr auf deinem Smartphone & was du tun kannst (53)

Mobile Tracker: Was machen Werbe-IDs auf deinem Smartphone? (52)

F-Droid – Alternativer Open-Source-App-Store für Android (51)

Leave a Reply 0 comments

←Previous post Next post→