Passwortmanager ja oder nein?

Ich empfehle meinen Mandanten einen Passwortmanager einzusetzen. Wir alle benötigen Zugänge zur digitalen Welt. Die Schlüssel sollten dabei sicher sein. Sind sie aber meist nicht. Daher schildere ich meine Erfahrungen mit dem unkomplizierten Einsatz eines Passwortmanagers.

Eigentlich hatte ich keinen Nerv, mich mit einem Passwortmanager zu beschäftigen. Doch die Nutzung war und ist zu meinem Erstaunen tatsächlich recht simpel. Hätte ich das gewusst, hätte ich viel früher begonnen, den Passwortmanager einzusetzen.

Wir alle wissen, dass wir komplexe Passwörter benutzen sollten. Also nicht so etwas wie „Bonny=lieb99“, sondern eher „xPe(jelmc$KüMks“. Zudem sollte bei verschiedenen Systemen natürlich auch immer ein anderes Passwort zum Einsatz kommen. Manchmal werden Mitarbeiter in Firmen sogar gezwungen, genau so vorzugehen. Mich verwundert es nicht, wenn dann am Bildschirm ein Zettel mit den wichtigsten Passwörtern angeheftet ist.

Aber wie kann man den Prozess sicherer Passwörter managen? In der Tat ist ein Passwortmanager eine gute und vor allem einfache Lösung. Wer Motivation braucht, überprüft einfach einmal bei have i been pwned , ob E-Mail-Adresse mit Passwort schon kompromittiert ist.

 

Welchen Passwortmanager nehmen?

Testberichte und Blogs über die verschiedensten Anbieter gibt es genug. Ich habe mich nach Durchsicht verschiedenster Testberichte für den Avira Passwortmanager entschieden. Dafür gab es fünf Gründe:

1. Ein verlässliches Unternehmen steht hinter der Software: Warum soll ich meine Passwörter an ein Unternehmen geben, das noch nicht einmal ein Impressum angibt? Und davon gibt es tatsächlich ziemlich viele!
2. Datenspeicherung im europäischen Rechtsraum: Warum sollen meine Passwörter in den USA gespeichert werden? Dort ist Datenschutz quasi nicht existent. Da helfen auch die süßesten Marketingsiegel nichts. Ein Freund formuliert es so. „Bei Huawei vermutet man die Datenabschöpfung; bei den USA weiß man es.“
3. Ein Instrument für alle Systeme: Der Passwortmanager soll also auf dem iPhone oder iPad genauso funktionieren wie auf dem PC. Oder auf einem Android-Gerät, das ich mir irgendwann in der Zukunft mal anschaffen werde.
4. Unkompliziert ist wirklich wichtig: Passwortmanager sind für Leute gedacht, die keine Computer-Nerds sind und sich eine einfache Handhabung wünschen.
5. Es bringt mir eine zusätzliche Erleichterung: Sprich ich kann auf Webseiten oder in Apps direkt auf meine Passwörter zugreifen.

Den Werbespot mit süßem Boxer habe ich übrigens erst viel später entdeckt. Aber ein süßer Boxer alleine ist kein Erfolgsrezept

 

Mit Avira falsch angefangen

Leider machte ich den Fehler, die Avira Software herunterzuladen. Wie man den Passwortmanager installiert, ist auf der Avira Webseite leider etwas unglücklich dargestellt. Man muss nämlich gar nichts groß installieren. Nur einmal registrieren. Dann nur noch Plug-in für den Browser installieren und die App auf dem Handy / Tablet installieren und dort anmelden.

Diese Reihenfolge hat bei mir beim Avira PWM gut funktioniert

1. Registrieren
2. Bisherige Passwortabspeicherung im Browser abschalten.
3. Bisherige Passwortspeicherung auf dem iPhone abschalten.
4. Plug-in für Browser installieren und sich dort anmelden.
5. App auf mobilen Geräten installieren und sich dort anmelden.
6. In der Avira App bei iPhone und iPad in Einstellungen „Passwörter automatisch ausfüllen“ anstellen und Anleitung folgen. Ich habe zudem Gesichtserkennung für die App erlaubt.
7. Stück für Stück Passwörter umstellen. Dabei schlägt der PWM auch sichere Passwörter vor.

Bei der automatischen Eingabe der Passwörter ist Aufmerksamkeit wichtig. Denn recht viele Webseiten sind nicht sauber programmiert. Sie trennen nicht klar zwischen dem Eingabefeld „altes Passwort“ und „neues Passwort“ bzw. „Passwort bestätigen“.

Übrigens, wenn man sich in bei einer Webseite unter verschiedenen Benutzernamen anmeldet, dann wird dies sauber getrennt gespeichert. Beim Anmelden kann ich mir das gewünschte Konto mit einem Klick aussuchen.

Ich habe mich übrigens am Ende für die kostenpflichtige Version entschieden. Da erhält man u. a. Optimierungsvorschläge und Hinweise, ob eine Webseite oder E-Mailadresse gehackt wurde.

 

Ist Avira Passwortmanager überhaupt sicher?

Manchmal gibt es ja in Unternehmen die Bestrebung, einem guten Produkt eine neue Richtung zu geben. Ganz Schlaue kommen dann auf Ideen, die letztendlich ein gutes Produkt verschlechtern. So m. E. geschehen auch beim Avira Passwort Manager. Die schlaue Person kam auf die Idee, beim Plugin ein Pop-Up zu installieren. Am Tag des Passworts nervte das Ding den ganzen Tag. Keine Möglichkeit das nervige Ding abzustellen. Und leider lief das Pop-Up des Passwortmanagers tagelang.

Avira müsste doch wissen, dass Menschen, die eine bezahlte Version des Passwortmanagers installiert haben, sich sehr wohl mit dem Thema Sicherheit auseinandersetzen. Wenn es dann noch so dilettantisch umgesetzt ist und nicht abgeschaltet werden kann, dann kommen grundsätzliche Zweifel auf. Meine Zweifel:

• Wie kommt ein Management überhaupt darauf, so etwas zuzulassen? Muss ich künftig zum Valentinstag, Muttertag oder am Tag des geschnittenen Brotes mit nervigen Pop-Ups rechnen?
• Wenn man nicht in der Lage ist, ein Pop-Up so zu programmieren, dass es abstellbar ist bzw. aufhört, ist dann die Passwort-Software mit all meinen gespeicherten Passwörtern, überhaupt sicher? Müsste ein Passwortmanager nicht über eine Vielzahl von Qualitätssicherungsstufen verfügen?
• Erstaunlich war auch die Tatsache, dass der Support von Avira nur ein extrem kleines Zeitfenster von wenigen Stunden anbietet. Die Antwort vom recht ahnungslosen Avira Support kam erst Tage später.

Ich bin also durchaus etwas skeptischer geworden.