Testsieger der Passwort Manager für Anwälte und Andere

Testsieger der Passwort Manager für Anwälte und Andere

Stand 18.08.2020

Warum braucht man einen Passwortmanager?

Solange es noch noch kein hardwarebasiertes, automatisches Anmelden gibt (FIDO2), müssen wir alle noch Passwörter verwenden, um uns einzuloggen. Da wir idealerweise für jedes Login ein eigenes Passwort einsetzen, ist so ein Tool sehr hilfreich, wir wir im Folgenden sehen werden. Schliesslich verwalten sie für uns sicher und bequem alle zu sichernden Informationen (nicht nur Passwörter!).

Sind Passwort-Manager sicher?

Ja, weil Sie komplexe Passwörter individuell für jede Webseite generieren. Und weil sie vom PC generiert werden, haben die nichts mit Ihrer Person zu tun.

Sind Passwörter per se sicher?

Das ist wie in der Juristerei, das kommt darauf an…ob der jeweilige Anbieter ihr Passwort als Hash oder im Klartext hinterlegen. Die Begrenzung der Länge ist ein Indiz dafür, dass es im Klartext abgelegt wird, denn ein Hash-Wert ist immer gleich lang. Ist letzteres der Fall, kann der Administrator vor Ort das Passwort auslesen. Oder es können – wie schon oft geschehen – Hacker die Datenbank knacken und Ihr Passwort abfischen. Und weil das so oft passiert sollten Sie kein Passwort für mehrere Dienste verwenden! Um sog. „Brute-Force“-Attacken abzuwehren benötigt ein sicheres Passwort mindestens zwölf Zeichen, noch besser sechzehn!

Welches ist mein wichtigstes Passwort?

Wenn man ein Passwort vergessen hat, kann man es meist neu generieren lassen. Es wird dann an ihre Email geschickt und das alte Passwort zurückgesetzt. Deshalb ist Ihr Email-Account der sensibelste Punkt. Dort benötigen Sie ein besonders sicheres und langes Passwort. Denn wer über Ihre Emails verfügen kann, sendet sich einfach die Logins dorthin und verfügt damit über den Zugang zu vielen Ihrer Webseiten und Apps.

Wie funktioniert ein Passwort-Manager?

Ein Passwort-Manager (PM) gibt Ihre Zugangsdaten (Credentials) im Anmeldeformular bei Online-Portalen automatisch ein (Optional). Natürlich kann man sich auch selbst einloggen und die Passwörter aus dem PM kopieren. Aber das ist unnötig umständlich.

Der PM ist wie eine Passwort-Sammlung. Sie wir mit einem Master-Passwort gesichert. Dieses entspricht einem Generalschlüssel.

Wo speichert ein Passwortmanager meine sensiblen Daten?

Die bequemste Lösung ist die Ablage der verschlüsselten Datei in der Cloud, denn damit können Sie über alle Geräte hinweg synchronisiert auf Ihre Logins zugreifen. Einige Anbieter betreiben dafür ihre eigenen Server. Wenn Sie diese automatische Synchronisation wünschen, kommen Sie nicht um die Cloud herum. Das ist jedoch kein Problem, denn eine professionell gemanagte Cloud ist auf jeden Fall sicherer als jeder Rechner und jedes Device in Ihrer Kanzlei! Das gilt übrigen auch für alle anderen Daten, die sie in Ihrer Kanzlei speichern. Durch die Verschlüsselung der Daten vor dem übertragen ist diese Lösung auch sicher.
Sollten Sie beharrlich anders vorgehen wollen, so können Sie mit „KeePass“ die Daten bei sich lokal speichern. Müssen dann aber immer manuell die Datei auf jedes Gerät spielen, wenn Sie ein neues Kennwort eingegeben haben. Es wir dann aber nicht lange dauern und es gibt Differenzen, denn man legt ja von allen Geräten aus neue Logins an. Irgendwann weiß man nicht mehr, welche Datei die aktuelle ist. Und dann verliert man Passwörter. Deshalb erscheint mir diese Lösung nicht praktikabel.

Warum kann ich nicht meine Passwörter einfach im Browser speichern?

Das können Sie zusätzlich tun, so wie ich das auch nutze. Es ist übrigens sicherer als man denkt. Schliesslich tippt man dann die Logins nicht mehr ein, sie werden als nicht über die Tastatur übertragen. Das schliesst einen Weg des abfischens aus.
Allerdings hilft Ihnen das nur, wenn Sie überall den gleichen Browser verwenden. Und es hilft auch nur beim Einloggen auf Webseiten, nicht in Apps. Zudem können Sie damit keine weiteren Zugänge speichern (Safe, Kreditkartendaten,…).

Für welchen Anwalt lohnt sich ein Passwort-Manager?

Ein Passwort-Manager ist ein „must have“ für jeden Anwalt der sich

  • auf diversen Plattformen anmeldet
  • der sich nicht für jedes Login individuelle, komplexe Passwörter merken kann
  • der bisher stets das gleiche Passwort nutzt

Die Ersteinrichtung geht fast automatisch von statten, denn immer, wenn Sie sich einloggen, meldet sich Ihr PM und fragt Sie, ob er tätig werden soll. Aber bis sie alle Passwörter gespeichert haben, dauert es natürlich…

Stiftung Warentest: Welcher Passwort-Manager ist gut?

14 Passwort-Manager-Programme wurden von der Stiftung Warentest getestet. Alle PM liessen sich auf mehreren Geräten, wie z.B. Computern, Handys und Tablets nutzen. Es gibt sie auch für verschiedene Betriebssysteme wie Windows, Apple, Linux).

Folgende Kriterien flossen in den Test mit ein:
  • Sicherheitsfunktionen
  • Konzept
  • Handhabung in der Praxis
  • Funktionsumfang
  • Datenschutz
  • Nutzungsbedingungen und AGB
Das Stiftung Warentest Ergebnis bei den Passwort-Managern:

Drei der 14 getesteten Programme bzw. Apps schneiden gut ab:

  1. Keeper Security (eingeschränkte Free-Version, Vollversion: kostenpflichtig)
  2.   AgileBits 1Password (eingeschränkte Free-Version, Vollversion: kostenpflichtig)
  3. KeePass (Kostenlos)

Allerdings sind die Tests von Warentest oft nur bedingt brauchbar. Ein weiterer Test von den echten Profis in der c’t 15/2020 empfiehlt u.a. die folgenden Apps:

Fast alle Produkte lassen sich in einer kostenlosen Version nutzen, mit weniger Bequemlichkeit. Zum testen aber ausreichend!

Gibt es alternative Passwortspeicher, die offline und ohne Cloud auskommen?

Wer partout nicht möchte, dass Passwörter auf dem Smartphone oder in der Cloud landen, kann eine NFC-Passwortkarte von PIN-Safe nutzen. „NFC“ steht für die Near Field Communication Funktion vieler aktueller Smartphones. Diese kann Daten über die Rückseite des Handys per Funk austauschen. Da diese nur wenige cm weit reicht, kann es nicht von außen „mitgelesen“ werden.

In diese Karten pflegt man über eine App die zu sichernden Daten ein. Diese werden dann ausschliesslich (und durch die „Ct“ nachweislich bestätigt) auf der Karte verschlüsselt (256 Bit AES) abgelegt. Man kommt an die Daten nur mit dem zugehörigen, entsperrten Smartphone, der App und der Karten PIN (max. 10 Ziffern) für die App, sowie mit der Karte heran.  Und so sieht die App aus:

Eine zweite Karte erhalten Sie dazu, sie dient als Backup. Es werden dabei wirklich KEINE Daten auf dem Smartphone oder gar in der Cloud abgelegt.  Das bedingt allerdings auch, dass man nur sehr wenige, rudimentäre Daten speichern kann, da so eine Karte nur ca. 10-20 sichere Logins speichern kann.  Wenn aber Sicherheit Vorrang hat, ist die PIN-Safe eine Alternative.

Hier können Sie bei Amazon mehr über die PIN-Safe Karte erfahren und sie direkt erwerben:

Folgendes sollten Sie bei der Nutzung solcher Karten bedenken:

  • Geht das verbundene Smartphone kaputt oder verloren, haben Sie keinen Zugriff mehr auf die Karte, weil diese nur ein ein Smartphone gekoppelt wird. Die Seriennummer (IMEI) des Handys dient nämlich als Lizenzschlüssel und (nur) der Aktivierungscode wird online von der App überprüft. Bewahren Sie deshalb die Logins in Papierform oder als PDF auf einem USB Stick zuhause an einem sicheren Ort auf, um im Verlustfall wieder auf diese zurückgreifen zu können.
  • Bewahren Sie die Karte stets in der beiliegenden Hülle auf, weil sie dann vor dem auslesen durch Dritte geschützt ist.

Fazit zur PIN-Safe:

Die PIN-Safe Karte ersetzt den Zettel im Geldbeutel, ist sicher und preiswert, bietet aber nicht den Funktionsumfang von den anderen, auf dieser Seite beschriebenen, Passwortmanagern. Sie können eine PIN-Safe hier erwerben.

Kostenpflichtiger oder kostenloser Passwort-Manager?

Sie sind Anwalt und haben einen guten Stundensatz. Wenn Sie bei jedem einloggen nur 30 sec. sparen, dann können Sie sich ausrechnen, wie schnell sich ein bequemer PM rechnet. Die kostenlosen Varianten sind zu kompliziert und unhandlich. Zudem werden Sie Jahre mit dem Programm leben. Da lohnt es sich schon auf ein renommiertes Produkt zu setzen, welches weiterentwickelt wird. So etwas geht nicht kostenlos. Genauso wenig wie kostenlose Rechtsberatung.
Noch wichtiger: Sie wollen auf jedem Device den gleichen PM mit synchronen Daten haben – das geht nur mit den Pro Versionen zuverlässig. Also investieren sie ca. 60 Euro im Jahres-Abo und nehmen Sie einen guten Passwort-Manager.

Keine Passwörter mehr vergessen und zurücksetzen. Holen Sie sich Dashlane. KOSTENLOS. 

Wie prüfe ich, ob mein Passwort gehacked wurde?

Überprüfen Sie das, in dem Sie auf haveibeenpwned.com nur ihre Emailadressen eingeben. Sie erhalten dann automatisch an Ihre Emailadresse Nachricht, wenn und für welche Webseite das Passwort gehacked wurde

Was, wenn ich mein Master-Passwort vergesse?

Das MÜSSEN Sie ausschliessen! Wenn Sie es verlieren oder vergessen, kommen Sie nie mehr an die Daten heran. Also: notfalls Aufschreiben und (auch für die Erben) sicher im Safe hinterlegen. Z.B. bei den Notfallunterlagen, die Sie hoffentlich angelegt haben. Aber das ist wieder ein anderes Thema 😉

Wie werden meine Logins noch sicherer?

Nutzen Sie, wo immer es geht, die sog. „Zwei-Faktor-Authentifizierung„. Dazu laden Sie sich einfach kostenlose Apps auf Ihr Smartphone, welche Ihnen einen zweiten Wert aktuell berechnen, der nur für wenige Sekunden gültig ist. Diesen geben Sie dann zusätzlich zu den Logindaten ein. Da dieser Wert von Ihrem Smartphone kommt, kann ein Dritter mit Ihren Logindaten nichts anfangen. Er scheitert an dieser generierten Zahl. Diese Apps heißen z.B. „Authy“ oder auch Google Authenticator.  Auch Microsoft bietet einen an.

Erreiche ich mit einem Passwortmanager absolute Sicherheit?

Solange es Passwörter gibt, existiert auch keine 100% Sicherheit. Ich bin allerdings schon seit 1984 online unterwegs, habe schon BTX-Banking Mitte der 80er gemacht. Seit 1995 bin ich Internetunternehmer. Noch nie wurde ich gehackt. Wenn man die o.g. Punkte beherzigt, wird es für Hacker extrem aufwändig. Die Sicherheit ist damit größer, als dass Ihr Auto gestohlen oder Ihre Wohnung aufgebrochen wird.

Lesen sie mehr über  sichere Kanzlei-IT.

Wenn Sie regelmäßig auf dem aktuellen Stand bleiben wollen, dann abonnieren Sie doch einfach unsere Anwaltsnews:

Beitrags-Navigation


Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .