Open Source vs. proprietäre Passwort-Manager

Heutzutage haben wir alle eine große Anzahl von Abonnements für Online-Konten und -Dienste. Damit diese Konten sicher sind, muss jedes von ihnen ein eindeutiges, robustes Passwort haben. Außerdem müssen wirklich starke Passwörter kompliziert sein, was bedeutet, dass sie extrem schwer zu merken sind.

Passwort-Manager-Sperre

Die beste Lösung ist ein Passwort-Manager, der speziell dafür entwickelt wurde, sich alle Ihre Passwörter in Ihrem Namen zu merken. Durch die Verwendung eines Passwort-Managers können Sie für jedes einzelne Online-Konto starke, einzigartige Passwörter einrichten, ohne sich die Mühe machen zu müssen, sich alle zu merken.

Allerdings ist nicht jeder Passwort-Manager gleich, und es gibt einige wichtige Dinge zu beachten, wenn es um die Auswahl eines Dienstes geht.

Passwort-Manager – kann man ihnen vertrauen?

Bei der Auswahl eines Passwort-Managers gibt es einige Hauptüberlegungen, die diese Dienste mehr oder weniger wünschenswert machen. Eine der wichtigsten davon ist, ob die Software Closed oder Open Source ist.

Closed-Source-Software ist urheberrechtlich geschützt und so lizenziert (urheberrechtlich geschützt), dass es niemandem gestattet ist, sie zu verwenden, zu modifizieren oder zu verbreiten. Darüber hinaus ist Closed-Source-Software so gesperrt, dass es unmöglich ist, den Code zu analysieren (ohne direkten Zugriff durch den Entwickler zu erhalten).

Wenn der Code für einen Passwort-Manager Closed Source ist, kann keine Prüfung durch Dritte stattfinden, und es ist unmöglich, Behauptungen seines Entwicklers zu überprüfen. Das bedeutet, dass Sie dem Entwickler des Passwort-Managers vertrauen müssen, wenn er Ihnen mitteilt, wie Daten vom Passwort-Manager gespeichert oder übertragen werden.

Jedes Mal, wenn ein Passwort-Manager Closed Source ist, wissen Sie einfach nicht, ob der Dienst so sicher ist, wie der Entwickler behauptet, und es könnte Ihre Privatsphäre und Sicherheit gefährden.

Sehen Sie sich unsere bevorzugten Passwort-Manager an.

Open Source – der Goldstandard

Obwohl es möglich ist, den Quellcode für jedes Programm online zu veröffentlichen (z. B. auf Github), ist der Code dadurch verfügbar, aber nicht unbedingt “Open Source”. Open Source-Software muss nicht nur für Audits verfügbar sein, sondern muss auch offen sein Source-Lizenz, die der Open-Source-Definition entspricht.

Software, die diesen strengen Standards entspricht, muss frei weitergegeben werden können, uneingeschränkten Zugriff auf den Quellcode bieten und alle zehn Definitionen einhalten, die Quellcode als „Open Source“ charakterisieren. Software, die diesen Standards entspricht und für die der Ersteller alle seine Rechte mit einer Creative Commons-Lizenz (CCL) aufgegeben hat, ist wirklich Open Source.

Open-Source-Software kann von jedem Dritten geprüft werden. Dies ist für den Datenschutz und die Sicherheit von entscheidender Bedeutung, da Sicherheitsexperten (oder jeder, der möchte) den Code analysieren und überprüfen können, ob Fehler, Schwachstellen oder absichtliche Hintertüren vorhanden sind. Es bedeutet auch, dass alle Behauptungen über Verschlüsselungsstandards, Schlüsselverwaltung, wie Daten an Unternehmensserver übertragen oder wie Daten zwischen Geräten synchronisiert werden – tatsächlich überprüfbar sind.

Es ist auch erwähnenswert, dass öffentlich verfügbarer Code zwar nicht unbedingt „Open Source“ in der strengsten Definition des Begriffs ist, aber für Sicherheits- und Datenschutzzwecke dennoch zufriedenstellend ist. Dies liegt daran, dass Sicherheitsexperten immer noch die Quelle analysieren und überprüfen können Code für den Dienst.

Andere wichtige Überlegungen

Wie Sie sehen können, ist Open Source Vs. Closed Source ist ein wichtiger Aspekt bei der Auswahl einer Datenschutzsoftware. Wenn es jedoch um Passwort-Manager geht, gibt es wohl etwas anderes, das genauso wichtig ist (und untrennbar mit der Closed-Source/Open-Source-Debatte verbunden ist).

Passwort-Manager gibt es in zwei Varianten; Dienste, bei denen Sie Ihre eigenen Passwörter verschlüsseln und nur Sie sie entschlüsseln können. Und Dienste, bei denen Sie einen Dritten damit beauftragen, Ihre Passwörter für Sie zu verschlüsseln (und für die der Dritte den Schlüssel besitzt, der zum Entschlüsseln der Passwörter in Ihrem Namen verwendet wird).

Das Online-Speichern Ihrer Passwörter gilt in Bezug auf die Benutzererfahrung als hervorragend, da Passwörter von jedem Gerät aus zugänglich sind. Und wenn diese Passwörter mit Ende-zu-Ende-Verschlüsselung gespeichert werden, gilt diese Implementierung als sicher, da nur der Benutzer die Befugnis hat, seine Passwörter zu entschlüsseln.

Wenn Ihre Passwörter auf Unternehmensservern gespeichert sind, erhöht dies natürlich das Risiko, dass sie gehackt werden könnten (ein Hacker könnte beispielsweise einfach Ihr Master-Passwort erraten). Dieses Risiko ist jedoch äußerst gering, solange Ihr Master-Passwort sowohl einzigartig als auch komplex ist und/oder Sie eine Schlüsseldatei oder eine andere Form der Zwei-Faktor-Authentifizierung (2FA) verwenden.

Es ist erwähnenswert, dass Ihr Konto niemals wiederhergestellt werden kann, wenn ein Passwort-Manager echte End-to-End-Verschlüsselung (E2EE) bereitstellt. Denn nur Sie haben die Macht, mit Ihrem Hauptschlüssel auf Ihre Passwörter zuzugreifen. Wenn Sie Ihren Hauptschlüssel verlieren, werden Sie für immer von Ihren Passwörtern ausgeschlossen. Dies könnte einige Benutzer beunruhigen, die befürchten, ihr Master-Passwort zu verlieren oder zu vergessen. Es ist jedoch eigentlich ein Zeichen für einen besseren Passwort-Manager.

Wer einen wirklich sicheren Passwort-Manager wünscht, entscheidet sich besser für einen Dienst, der nie wiederhergestellt werden kann und für den nur er den Hauptschlüssel besitzt. Um wirklich vertrauenswürdig zu sein, sollte die Software eines Passwort-Managers außerdem Open Source sein.

Wie bereits erläutert, ist es unmöglich zu überprüfen, ob ein Passwort-Manager eine der zuvor genannten Arten ist, wenn es sich um eine geschlossene Quelle handelt. Infolgedessen ist es unmöglich zu überprüfen, ob ein Closed-Source-Passwort-Manager Ihren Hauptschlüssel nicht heimlich an Dritte weitergibt.

Jeder Closed-Source-Passwortmanager, der behauptet, E2EE zu haben, könnte theoretisch die Passwortsammlung jedes Benutzers im Auftrag der NSA zusammenstellen. Auch wenn dies unwahrscheinlich erscheinen mag – es ist eine Möglichkeit – wenn der Passwort-Manager Closed Source ist.

Closed-Source- vs. Open-Source-Passwortmanager

Nachfolgend haben wir eine Liste beliebter Passwort-Manager zusammengestellt, damit Sie sehen können, ob sie Closed oder Open Source sind. Viele der Closed-Source-Passwort-Manager auf dieser Liste haben einen ausgezeichneten Ruf, und einige können je nach Bedrohungsmodell eine gute Option für Sie sein.

Wir empfehlen jedoch weiterhin nicht wiederherstellbare Open-Source-Manager für alle, die das allerbeste verfügbare Sicherheitsniveau wünschen.

  • Sticky Password – Geschlossene Quelle
  • KeePass – Open-Source
  • LastPass – Geschlossene Quelle
  • Enpass – Geschlossene Quelle
  • 1Password – Geschlossene Quelle
  • Dashlane – Geschlossene Quelle
  • Hüter – Geschlossene Quelle
  • Passwort-Safe – Open Source
  • SafeInCloud – Geschlossene Quelle
  • Gnome-Schlüsselanhänger – Open Source
  • Roboform – Geschlossene Quelle
  • Myki – Geschlossene Quelle
  • Bitwarden – Open-Source
  • Bestanden – Open Source