Datenschutz bei Passwortmanagern häufig dürftig

Nach heftiger Kritik hat Bitwarden mittlerweile die meisten Skripte von Dritten aus seiner Webseite entfernt, die potenziell auf die Passwörter zugreifen konnten. Übrig bleiben nun Skripte von Zahlungsdienstleistern wie Stripe, die immerhin auf Veränderungen überprüft werden.

Stellenmarkt
  1. IT-Systemelektroniker/-in / Systeminformatiker/-in / Kommunikationselektroniker/-- in für ... (m/w/d)
    Universitätsklinikum Tübingen, Tübingen
  2. IT Systemadministrator (m/w/d)
    htp GmbH, Hannover
Detailsuche

Die Android-App enthält weiterhin mit Google Firebase Analytics und einem Crash Reporter von Microsoft zwei Trackingdienste, wie mittels Exodus festgestellt werden kann. Die Plattform untersucht Android-Apps auf Bibliotheken von gängigen Trackingdiensten. Zudem wird auf den Push-Dienst Firebase Messaging von Google gesetzt. All diese Dinge würden wir eigentlich nicht in Open-Source-Apps erwarten. Bei Dashlane und Lastpass sieht es übrigens noch schlimmer aus.

Etwas besser soll es bei der F-Droid-Version von Bitwarden aussehen, welche allerdings nicht standardmäßig in F-Droid zu finden ist. Hier muss zuerst das Repository von Bitwarden zu F-Droid hinzugefügt werden. Anschließend kann der Passwortmanager installiert werden. Bei diesem funktioniert allerdings nur das manuelle Syncing, da Googles Firebase Messaging entfernt wurde. Eine iOS-Version von Bitwarden steht ebenfalls zur Verfügung.

Datenschutz und Sicherheit mit Keepass und KeepassXC - dafür weniger Komfort

Mit den Passwortmanagern Keepass (Test) und KeepassXC (Test) lassen sich die Passwörter in einer verschlüsselten Container-Datei ablegen, deren Speicherort die Nutzer selbst bestimmen. Eine Onlineverbindung ist nicht notwendig. Trackingdienste sind nicht vorhanden. Entsprechend gelten die Passwortmanager als besonders sicher und datenschutzfreundlich, allerdings mit Abstrichen beim Komfort. Sofern gewünscht, müssen sich die Nutzer selbst um ein Syncing der Passwortcontainer kümmern, beispielsweise über eine Nextcloud oder einen anderen Cloud-Dienst.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. AZ-104 Microsoft Azure Administrator
    13.-16. Dezember 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Keepass und KeepassXC sind nicht nur dem Namen nach ähnlich, sie sind auch weitgehend kompatibel. Das ältere Keepass setzt auf Microsofts .Net-Plattform und wurde von KeepassXC beziehungsweise dessen Vorgänger KeepassX auf Qt portiert, um auch unter Linux lauffähig zu sein. Beide Programme laufen jedoch seit langem auf allen gängigen Betriebssystemen.

Import von Lastpass zu Keepass und KeepassXC mit Hindernissen

Auch hier lassen sich die Zugangsdaten von Lastpass importieren, allerdings mit deutlich mehr Gefrickel. In beiden Fällen muss zuerst die Software installiert werden, die von den jeweiligen Projektwebseiten Keepass.info beziehungsweise Keepassxc.org oder bei Linux aus den Paketquellen bezogen werden kann.

Zuerst müssen auch hier die Passwörter wie oben beschrieben aus Lastpass exportiert, anschließend jedoch als .csv-Datei abgespeichert werden. Da die Datei die Passwörter im Klartext enthält, sollte der Speicherort mit Bedacht gewählt und die Datei nach dem Import wieder gelöscht werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bei Keepass muss nach dem Start der Software zuerst eine verschlüsselte Passwortdatenbank angelegt werden. Hierbei sollte die Schlüsselableitungsfunktion von AES-KDF auf das sicherere Argon2 abgeändert werden. Wurde die Passwortdatenbank angelegt, kann die CSV-Datei importiert werden, dabei muss die Option Lastpass (CSV) ausgewählt werden. Anschließend finden wir unsere Passwörter aus Lastpass in der Passwortdatenbank wieder. Allerdings nicht in der gleichen Sortierung. Kreditkartendaten und Adressen werden jedoch nicht von Keepass unterstützt.

Bei KeepassXC können wir direkt den Import der CSV-Datei auswählen und legen im Zuge des Imports eine eigene Datenbank an. Allerdings werden die Felder von Lastpass nicht den richtigen Feldern von KeepassXC zugeordnet. Entsprechend müssen wir hier in einem Import-Fenster nachhelfen.

Nachdem wir die Option Erster Name enthält Feldname aktiviert haben, müssen wir die einzelnen Spalten von Lastpass den Feldern von KeepassXC zuordnen: Beispielsweise Password zu Passwort. Das geht zwar schnell von Hand, nervig ist es trotzdem. Anschließend finden wir auch in KeepassXC unsere Passwörter wieder. Kreditkarten und Adressen werden ebenfalls übernommen, allerdings landen alle Daten in den Notizen des jeweiligen Eintrages, so dass auch KeepassXC keine extra Kreditkartenablage besitzt noch ein Adressbuch ist. Letztere lassen sich ohnehin besser außerhalb eines Passwortmanagers verwalten.

Hauptsache ist, dass ein Passwortmanager genutzt wird

Ob Lastpass trotz seiner vielen Sicherheitslücken und der Änderung des kostenlosen Accounts weiter genutzt oder auf Bitwarden, Keepass und KeepassXC oder ein anderen Passwortmanager gewechselt wird, muss letztlich jeder für sich selbst entscheiden. In zwei ausführlichen Tests von 2020 (KeepassXC, Bitwarden) und 2017 (Keepass, Dashlane, 1Password und Lastpass) haben wir etliche Passwortmanager getestet, bei denen für jeden der richtige dabei sein sollte - obgleich wir KeepassXC/Keepass aus Datenschutzgründen und Bitwarden für Komfortbedürftige empfehlen - schon allein, weil beide Open Source sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Passwortmanager: Das letzte Mal Lastpass verwenden
  1.  
  2. 1
  3. 2


Jakelandiar 22. Feb 2021

Tatsächlich stimmt das nicht. KeepassXC bietet einige Feature die Keepass nicht hat oder...

skyynet 22. Feb 2021

Mit Sicherheit ;-)

chris.g.127 22. Feb 2021

Meine Nextcloud läuft in einem eigenen Jail. Trotzdem käme ich nie im Traume darauf, dort...

lestard 22. Feb 2021

Ich benutze KeepassXC und habe die Passwort-DB auch mit Git verwaltet. Aber es kommt doch...

Truster 22. Feb 2021

ich habe mir dafür eine winzige Nextcloud Instanz gebaut und erfüllt den gleichen Zweck...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. Wochenrückblick: Moderne Lösungen
    Wochenrückblick
    Moderne Lösungen

    Golem.de-Wochenrückblick Eine Anzeige gegen einen Programmierer und eine neue Switch: die Woche im Video.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. NFTs: Valve verbannt Blockchain-Spiele und NFTs auf Steam
    NFTs
    Valve verbannt Blockchain-Spiele und NFTs auf Steam

    Nach einer Regeländerung sind Blockchain-Spiele nicht mehr auf Steam erlaubt. Konkurrent Epic will dies aber offenbar erlauben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /