Passwörter gehören bei der Nutzung von Onlinediensten zum Alltag: E-Maildienste, Onlineshopping, Social Media etc. nutzen sie. Zur Verwaltung der Kennwörter kommen häufig Passwortmanager zum Einsatz. Aber wie sicher sind diese Programme? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollte es wissen und hat untersucht. Fazit des BSI: Es gibt Luft nach oben, aber klare Empfehlung zur Verwendung von Passwortmanagern.
Passwortmanager stellen laut BSI eine Möglichkeit zur Passwortverwaltung dar und leisten somit einen signifikanten Beitrag zur Absicherung von Online-Konten. Aufgrund der Sensibilität der in Passwortmanagern gespeicherten Daten bestehen allerdings hohe Anforderungen an deren IT-Sicherheit. Zur Prüfung der Umsetzung dieser Anforderungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik in den Blick genommen und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwortmanagern untersucht.
Es gibt Verbesserungsbedarf
Wie bei jeder anderen Software gibt es auch bei einzelnen Passwortmanagern Verbesserungsbedarf, schreibt das BSI in seiner Auswertung. Drei von zehn der untersuchten Passwortmanager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht.
Dies erhöht prinzipiell die Angriffsfläche auf Seiten des Herstellers, die durch ergänzende kompensatorische Maßnahmen mitigiert werden muss. Nutzende müssen diesen zusätzlich ergriffenen Maßnahmen vertrauen.
Dein Passwort in der Cloud
Bei cloud-basierter Speicherung der Daten im Passwortmanager sollten Verbraucherinnen und Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren, rät das BSI. Diese Informationen finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.
Rat: Kein Grund auf Passwortmanager zu verzichten
Auch wenn das BSI die gegenwärtigen Lösungen für verbesserungswürdig hält, sieht es trotz Defiziten keinen Grund, auf Passwortmanager zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Das BSI argumentiert: Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte.
Der Abschlussbericht IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.
Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibt die Empfehlung des BSI klar: Passwortmanager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein.
Die Untersuchung des BSI ermöglicht es, sich vor der Auswahl eines Passwortmanagers gründlich über die Funktionalitäten und Sicherheitsmerkmale ihrer präferierten Anwendung zu informieren. Hierfür enthält der Abschlussbericht eine tabellarische Darstellung für Verbraucherinnen und Verbraucher. Es ist zu beachten, dass regelmäßige Programmaktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind. Verbraucherinnen und Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwortmanager stehen auf der Website des BSI zur Verfügung.
Hersteller bessern nach
Im kooperativen Herstellerdialog des BSI haben mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es ist erfreulich, dass sich nach der Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI austauschten. Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwortmanager voranzubringen, schreibt das BSI.
Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren, rät das BSI. Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptografie sowie den Softwareentwicklungsprozess und die darin eingesetzten Schutzmechanismen. Diese Art von Transparenz ermöglicht detailliertere Überprüfungen und erhöht somit das Vertrauen von Verbraucherinnen und Verbrauchern.
BSI-Empfehlungen an Hersteller
Auf Basis der Untersuchungserkenntnisse empfiehlt das BSI den Herstellern stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die BSI TR-02102-1 bietet eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi.
Das BSI unterstreicht die Schlussfolgerungen für die Branche: Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln.
Datenschutzrechtliche Relevanz bei Passwortmanagern
Die Nutzung eines Passwortmanagers hat für Verbraucherinnen und Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) die vom BSI ausgewählten Passwortmanager einer datenschutzrechtlichen Prüfung unterzogen. Hierfür hat die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse der Untersuchungen durch das BSI und der VZ NRW sind in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus" zusammengefasst.
MVP: 2013 – 2016
Betr. "Im kooperativen Herstellerdialog des BSI haben mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es ist erfreulich, dass sich nach der Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI austauschten.":
Ich mag schon in der Wäsche keinen Weichspüler, in Sachen Informationssicherheit wird er zur Farce. Man kann das alles nicht mehr ernst nehmen.
Vor ein paar Wochen schrieb hier ein Forist in Bezug auf das BSI sinngemäss 'Papiere schreiben können sie'. Wohl wahr, z. B. das via (1) erreichbare Dokument BSI TR-02102-1. Da reiht sich eklektisch eine Binse an die andere und die ersten 18 Seiten bestehen aus einem Lexikon, das vermutlich der Werkstudent in Vorbereitung auf seine Bachelorarbeit erstellen durfte. Man stelle sich vor, analog würde eine Bundesbehörde den Unternehmen der Luft- und Raumfahrt entgegentreten, um ihnen klar zu machen, wie man sichere Flugzeuge baut – undenkbar.
Das BSI muss zur Prüf- und Zulassungsbehörde analog dem KBA mit seinen Typgenehmigungen und Typprüfungen werden – sonst wird das nichts mehr.
–
(1) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html
Wahrscheinlich brauchts dann für den PawoManager auch wiederum ein Passwort^^. Seit 30 Jahren bin ich online unterwegs und mir reichten stets meine Grauen Zellen oder ein handgeschriebener Zettel aus, um meine Passwörter zu "verwalten")
Tja, jeder wie er mag. Ein Zettel reicht irgendwann nicht aus, wenn ein Konzept verfolgt wird, das für jeden Internetpunkt (Einkaufen, Dienstleistung, Identität, Medienkonsum, etc) eine individuelle E-Mail und ein entsprechend sicheres Passwort verwendet wird :-)
…Jeder wie er mag….eben. Dass subjektive Aussagen keine Allgemeinempfehlung darstellen sondern sich am persönlichen Bedarf orientieren, muss nicht immer extra erwähnt werden. Und der Zettel reicht mir prinzipiell aus (ebay, fb, paypal etc.) Fürs onlinebanking nutze ich natürlich einen Tan-Generator oder ich bekomme einen Code auf das Handy. Und wenn ich lese, dass drei von zehn der untersuchten PW-Manager Passwörter in einer Weise speichern, die Herstellen theoretisch den Zugriff ermöglicht, wirft das zumindest die Frage auf, ob der Handzettel mitunter nicht doch die bessere Alternative ist ;)
Wie macht dein "handgeschriebener Zettel" OTP?
OCR-Handscanner.
Ein temporär gültiges Einmalpasswort bekomme ich entweder aufs Handy oder per email übermittelt. Das merke ich mir (Graue Zellen) oder geh nach der c/p-Methode vor. Dazu brauch ich doch keinen PW-Manager!?
Zumindest mit KeyPass ist es jedesmal eine freudige Überraschung, wenn ich damit ein Login auf einer Website schaffe:
Oft werden die Eingabefelder für Login-Name oder Passwort auf einer Website nämlich schlicht nicht erkannt. Auch machen sich viele Webdesigner einen Spaß daraus, das Login möglichst schikanös zu gestalten, also die Eingabe auf mindestens zwei Seiten zu verteilen, nach dem Namensfeld mit Tab/Enter auf ihre „Passwort vergessen?"-Seite weiterzuleiten und einen am liebsten zwischendrin noch ein dreifaches GoogleCaptcha lösen lassen.
Das wird natürlich mit besonderer Sicherheit und Schutz vor Bots begründet. Aber wenn Passwort-Manager deswegen scheitern, führt das eben doch zum manuellen Login mit einem leicht zu merkenden Allzweck-Paßwort.
Sorry, aber auf solchen Seiten würde ich mich nie registrieren – so toll oder wichtig kann überhaupt gar nichts sein, dass man sich da anmelden muss…
Du würdest dann darauf verzichten, weil die Anmeldeseite des Cloud-gemanageten Enterprise-Antivirus eine etwas ungewöhnliche Anmeldeprozedur erfordert?
Einmal mit Profis…
Betr. "Cloud-gemanageten Enterprise-Antivirus" mit "dreifaches GoogleCaptcha":
Wie bitte? Um welche Produkte geht es, bitte Beispiel.
Ich empfinde es als zu unsicher eine fremde Software in meinem Passwort Manager suchen zu lassen.
Mit KeypassXC hat das bei mir immer sehr gut funktioniert.
Die Implementierung und Schwierigkeiten von KeyPass(XC) haben mich vor mehreren Jahren dazu genötigt, auf die selbst gehostete Variante (Vaultwarden) von Bitwarden zu wechseln. Ein Synchronisieren der Key-Datenbank entfällt auch. Ebenso ist es auch ohne aktive Verbindung möglich, den Tresor, Passwörter und Generator weiterzunutzen, lediglich bei der Speicherung eines neuen Eintrages muss die Verbindung zum Server bestehen. Das Ganze wird automatisch über den Browser (Add-on) upgedatet, ebenso über den Playstore und via Watchtower. Das BSI hat KeePass und Bitwarden im letzten Jahr durchleuchtet und den Entwicklern mögliche Schwachstellen aufgezeigt, welche umgehend in beiden Systemen geschlossen wurden.
Ich bin mit der Konstellation sehr zufrieden. KeePass ist mit der Optik und Usability für mich nicht mehr zeitgemäß.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Codeanalyse-KeePass-Vaultwarden_241014.html
Dem kann ich nur zustimmen. Wer selber die Möglichkeit hat in einer kleinen VM ein Linux zu hosten und sich dort mit Docker beschäftigt kann schnell die Kombi Portainer, Nginx Proxy und Vaultwarden aufsetzen und den Bitwarden Clienten auf seinen Endgeräten nutzen. Läuft auch bei mir seit Jahren und ist ziemlich wartungsfrei. Gelegentliche manuelle Updates oder über Watchtower sind recht schmerzfrei.
Das kann man z.B. auch auf einer NAS (Synology oder Qnap) mit aufsetzen oder auch auf einem Raspbery installieren. Bei mir läuft das unter Hyper-V auf einem Windows Server, der eh immer an ist. Braucht nicht viel Resourcen.
"Auch machen sich viele Webdesigner einen Spaß daraus, das Login möglichst schikanös zu gestalten, also die Eingabe auf mindestens zwei Seiten zu verteilen, nach dem Namensfeld mit Tab/Enter auf ihre „Passwort vergessen?"-Seite weiterzuleiten …"
Das ist kein Problem, man kann die Prozedur einfach anpassen:
Autotype-Standardsequenz überschreiben, z. B.
{USERNAME}{ENTER}{DELAY 1000}{TAB}{TAB}{TAB}{TAB}{PASSWORD}{ENTER}
für den neuen Telekom-Zugang
Beim Delay muss man ggf. etwas spielen.
Man kann KeePass je Seite mitteilen wie es sich beim Auto-Ausfüllen verhalten soll.
Ob es also mit Enter oder Tab zum Kennwort springen soll und/oder ob es x Sekunden warten soll für eine Anmeldung auf 2 Seiten.
Alles kein Problem..
Zitat:
"Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren, rät das BSI. Diese Informationen finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen."
—
Der Hersteller kann doch schreiben was er will und dann trotzdem etwas ganz anderes machen.
Er kann schreiben, alles ist perfekt verschlüsselt und absolut sicher, während es tatsächlich gar nicht verschlüsselt ist und er die Daten an Dritte weiter gibt.
Sowas kann man nur schwer nachweisen und wenn er im Auftrag der NSA handelt bleibt er auch straffrei.
2.
"Bitwarden" wird im BSI-Bericht nur 1 mal erwähnt als Listeneintrag, aber ohne irgend einen weiteren Text.
Kennt das BSI das Problem bei Bitwarden nicht?
"Bitwarden Desktop 2024.09.0" war die letzte saubere vertrauenswürdige Version.
In den folgenden Versionen konnte der Quellcode nur noch mit Hilfe eines vorher nicht notwendigen SDK kompiliert werden, das ein closed-Source BinärBlob enthielt und die Lizenz war nicht mehr GPL.
Aufgrund dessen ist Bitwarden damals aus F-Droid rausgeflogen.
Nach Userprotesten gab es eine etwas seltsame Rückkehr zu Open Source, indem man das SDK änderte, aber die Abhängigkeit zu diesem blieb bestehen. So ein SDK kann auch mal etwas aus dem Internet nachladen und das dann reinlinken. Zudem gab es eine überspezifische Erklärung mit Hinweis auf etwaige zukünftige Änderung.
Dieses Produkt halte ich nicht für vertrauenswürdig.
In so einem reingelinkten Binärblob kann man alles mögliche verstecken, was die Sicherheit kompromittiert.
Puh, FUD oder Hanlon's Razor?
Es gab niemals einen "closed-Source BinärBlob" oder gibt es da eine Quelle?
der Benutzer brjsp startete mit dem Titel "Desktop version 2024.10.0 is no longer free software" diesen Github-Thread: https://github.com/bitwarden/clients/issues/11611#issuecomment-2436287977. Er begründet seinen Titel in seinem ersten Posting kurz und sachlich.
Hintergrund ist eine Lizenzänderung des SDK. Es war nie closed source, es war nie ein Binärblob, es war zu jeder Zeit einsehbar, es war immer open-source. Was es nicht mehr war, ist FOSS (Free and Open Source Software) und da es notwendig zum Kompilieren von Bitwarden Desktop war, dieses auch nicht mehr.
Drei Tage später meldet sich der CTO und Gründer von Bitwarden in dem Thread zu Wort und sagt: Ja, das war ein Fehler. Wir kümmern uns drum.
Weitere vier Tage später schreibt er dann, dass sie aus dem einen Nicht-FOSS-SDK, zwei SDKs gemacht haben, ein FOSS-SDK für das Kompilieren des kostenlos nutzbaren Bitwarden-Clients und ein Nicht-FOSS-SDK für das Kompilieren des nur gegen Bezahlung nutzbaren Bitwarden-Clients.
Deswegen hat z.B. Arch Linux einen GPL-3.0-only Bitwarden Client im Extra-Repository (https://archlinux.org/packages/extra/x86_64/bitwarden/) den die selbst aus den Quellen (https://github.com/bitwarden/clients/tree/main/apps/desktop) kompilieren.
Das wäre sonst nicht möglich.
"Cloud Act" kommt nicht vor in der BSI Veröffentlichung, nun denn…
Speicherung der Paßwöter in der Cloud ist ein absolutes No-Go. Und eine Wiederherstellenoption sollte es grundsätzlich auch nicht geben, denn das ist m. E. eine Backdoor. Wer nicht selbst auf seinen Paßwortsafe aufpassen kann, hängt sicher auch seinen Wohnungsschlüssel an ein öffentlich zugängliches Schlüsselbrett. Wenn der Bericht, der neue Standard des BSI ist, dann wäre es besser diese Einrichtung zum Jahresende aufzulösen. Ein Jammer was hier kommuniziert wird. Das BSI ist zwischentzeitlich auf dem Niveau der Heilpraktiker in puncto (Un-)Seriosität angekommen.
… und alle Informationen vom BSI im DIN-A4-Office-Format zum herunterladen (und ausdrucken). Will man mit einem Internetsystem ohne GUI auf die Informationen zugreifen, geht gar nix mehr.
So sind hier bei mir die meisten Informationen gar nicht zugänglich, weil ich noch nicht einmal einen PDF-Reader installiert habe und meine Office-Arbeiten im Texteditor laufen und die Daten damit auf jedem modernen System ohne zusätzliche Software lesbar sind (und auch einfach ausgedruckt oder auf dem Brailledisplay angezeigt werden können).
Wer z. B. schon einmal ein Arch Linux installiert hat, kommt vom Terminal eher nicht mehr los. Auf eine GUI wird ganz verzichtet. Und mit Entwicklern kommuniziert man ohnehin nur im Textformat.
Aber heutige Internetnutzer kennen sich ja gar nicht mit der Technik aus …
Es bleibt sehr viel Luft nach oben!
Bei aller Abneigung gegen Behördendokumente, aber es ist überhaupt kein Problem, das Dokument mit z.B. poppler in eine sehr gut lesbare Textdatei zu konvertieren.
Ansonsten kann auch das BSI nichts dafür, dass du meinst, nur auf dem Terminal arbeiten zu wollen. Das ist in etwa so, wenn jemand auf einen Wechsel besteht, anstatt einfach Bargeld zu akzeptieren.
Ich kann das nachfühlen. Einem OSS Softwerker kräuseln sich da die Zehennägel. Das Papier wurde bestimmt mit einem proprietären System verfaßt. Wenigstens kein M$ Format. Die haben vermutlich noch nie was von MarkDown, Typst oder gar Latex gehört. Mausschubser eben.
Das Leben für euch Kommandozeilenjockeys wird immer schwerer.
Vor einigen Jahren konntet ihr die Linuxbastion noch gegen die Mausschubser verteidigen. Irgendwann überrennen sie euch noch im Arch-Linux mit Lynx und LaTex.
;-)
Das Internet ist nun mal so wie es heute ist. Da ist ein PDF vom BSI, dass vielleicht ein paar Leute sensibilisiert und vom Paswort 123 oder qwertz wegbringt schon ein Schritt nach vorn.
Nicht jeder, der ein Auto fährt, will auch wissen, wie es unter der Haube funktioniert. Kann man schlecht finden, aber interessiert viele nicht.
Betr. "Das Leben für euch Kommandozeilenjockeys wird immer schwerer.
Vor einigen Jahren konntet ihr die Linuxbastion noch gegen die Mausschubser verteidigen.":
Da lachen ja die Hühner. Von Jeffrey Snover, dem Schöpfer der PowerShell: „It was a mistake to think that GUIs ever would, could, or even should, eliminate CLIs."
Gilt heute gerade in Sachen Sicherheit mehr denn je; man sehe sich nur die Werkzeugsammlungen forensischer Linux-Distributionen an.
Was haltet ihr vom Pleasant Password Server. Ist on prem und quasi die Multiuserversion für Keepass
Das liest sich sehr gut. Ich wollte eh nächstes Jahr mal ein Vaultwarden-Installation auf Proxmox in Angriff nehmen. Da werde ich den hier wohl vorher testen. Danke für den Tipp.
Naja, läuft nur auf einem IIS (Voll oder die kleene Variante), als DB SQLlite oder Postgress, ich glaube die DB vom MS nimmt er auch. Ist m.E. etwas lahm. Wirkt an vielen Ecken und Enden gebastelt. Aber sonst funzt er. Läuft bei uns ohne Netzzugang hinter einer FW über ein VPN erreichbar.
Wir haben auch gerade einen Test am am Laufen. Uns hat das Thema AD-Integration und Benutzerschulung (die mit dem Keepass Client quasi nicht benötigt wird) zugesagt
Ich bin weder mit der Meldung hier noch bei Heise und Golem zufrieden. Ist alles recht viel allgemeines Geplänkel um diese Passwortmanager. Aber mit 1-2 Ausnahmen werden nicht mal die getesteten Produkte genannt, noch werden die gefundenen bzw. geschlossenen Schwachstellen dieser Passwortmanager genannt.
Vielleicht habe ich aber auch einfach inzwischen zu hohe Ansprüche an diesen Blog. Muss ich halt doch den BSI-Report lesen.