Passwordmanager

1Password

Ich nutze schon seit geraumer Zeit 1Password und war bisher damit immer zufrieden. Allerdings gibt es mittlerweile einige Gründe, die für einen Umstieg auf etwas anderes sprechen (rein subjektiv, jeder kann die Dinge anders bewerten):

• Die Kosten: man wechselt von dem normalen "Ich kaufe eine Software"-Modell zum "Ich miete eine Software"-Modell. Was ja verständlich ist, aber die Preise erhöhen sich da dramatisch. die OSX-Version
• Es gibt keine Lifetime Lizenz. D.h. ich muss ein Abo abschließen, wenn ich die 1Password V8 nutzen will!
• Die beiden Punkte wären ja auch noch zu verschmerzen, wenn damit nicht auch der Quasi-Online-Zwang kommt. Klar, ist kein Zwang, ich kann mich ja entscheiden, die Features nicht zu nutzen, für die ich bezahlt habe. Und meine Passwörter, egal wo, online zu speichern, zusammen mit tausenden oder Millionen anderer? Was das ganz besonders spannend für Hacker macht. Ich verzichte...
• Und zu guter letzt wurden neue "Features" eingebaut, die irgendwie nur noch nerven. So blendet die 1Password-Erweiterung für Safari jetzt bei jedem Formular quasi einen Eingabedialog ein - und meisten so, dass man das Feld nicht mehr bedienen kann. Das war früher mal besser.

Aber man sollte nicht außer acht lassen, was alles gut ist an 1Password:

• eindeutig der "hübscheste" der Passwortmanager
• die Bedienung ist simpel auch der Sync funktioniert tadellos
• guter Support in den Browsern und auch in iOS

Wohin wechseln?

Also, es ist an der Zeit mal nach einem vernünftigen Passwortmanager zu suchen. Dabei ist (mir) folgendes wichtig:

• Offline! Der soll mir irgenwo ein File hinlegen, dass ich öffnen kann auch wenn das Internet gerade nicht geht. Und im idealfall evtl. sogar ohne die Software! Das ist quasi zur Zeit überhaupt nicht mehr möglich zu finden, so gut wie alle Passwortmanager funktionieren nur noch online.
• Möglichkeit zu syncen über z.B. iCloud, oder DropBox oder Mega - aber bitte verschlüsselt! Wenn der Password-Store verschlüsselt auf dem iCloud drive liegt, sollte das eigentlich schon reichen
• Einigermaßen brauchbare Oberfläche - wobei ich da gerne auch die Shell meine (s.u.)
• iOS-Client! Und da sollte auch der Sync funktionieren.
• und es sollte möglich sein, die Daten von 1Password mehr oder minder vollständig zu importieren. Ich habe hier so einige Daten drin, eben nicht nur Passwörter. Das machts nicht gerade einfacher.

Der Import von Daten aus 1Password kann auf mehr oder minder 2 Arten funktionieren:

1. export/import des "1Password-Export-Format" namens 1pif. Das ist zu empfehlen, den dann sind auch Anhänge mit enthalten
2. export/import im CSV oder Tab-Separierten-Text Formats. Dabei können Informationen verloren gehen. Insbesondere die Anhänge, aber auch mit bestimmten Datentypen wird der Export schwierig.

Das Problem bei der 2. Variante ist, dass sie die Felder stark unterscheiden zwischen den verschiedenen Typen:

• eine Kreditkarte hat eine PIN aber nicht zwingend ein Passwort
• Ein Bankkonto hat gar kein Passwort, aber einen Eigentümer
• Ein Login benötigt eine URL

Die Felder sind deswegen unterschiedlich und der Import ist somit echt schwierig. Die einzige einigermaßen brauchbare lösung ist, dass man die Kategorien einzeln exportiert mit den für diese Art wichtigen Felder und die dann im "Empfängerprogramm" entsprechend zuweist.

Kandidaten

Mit diesen Voraussetzungen bleiben gar nicht so viele übrig, da ich auch die ausschließe die auch einen Offlinemodus haben. Da kann ich davon ausgehen, dass die bald komplett auf den Online-Zug aufspringen werden.

Aber ein paar Sind dann doch übrig geblieben:

KeePassXC

Das ist eines der Programme aus der KeePass-Familie. Die sind alle opensource und relativ mächtig. Allerdings auch relativ hässlich. Außerdem können sie so einiges leider nicht.

Die Security-Features lassen kaum was zu wünschen übrig, so kann man z.B. ein ein Key-File definieren, den Verschlüsselungsalgorithms festlegen, die BitBreite und und und... das ist wirklich vorbildlich, wenn auch komplex.

Die meisten KeePass clients bieten überhaupt keinen Import für 1Password-Dateien an, bei KeePassXC gibt es zwar einen import von "1Password Vaults", aber ich habe keine Ahnung, was ich da auswählen muss, damit er was importiert. Ich habe es nicht ans gehen gebracht.

Aber es gibt auch so einige Clients für iOS und Erweiterungen für die meisten Browser.

Der Import von CSV-Dateien geht aber und schon stößt man an andere Grenzen: ich habe es nicht geschafft, die verschiedenen Dateien, die ich exportiert habe in die selbe Datenbank zu importieren. Beim Import wird jedes mal eine Neue DB erzeugt. Vermutlich stelle ich mich da etwas an, aber das viel größere Problem ist, dass viele Dinge gar nicht richtig importiert werden können, da alles als Passwort gesehen wird.

Man kann zwar theoretisch eigene Felder anlegen, aber das geht nur für jeden einzelnen Eintrag und nicht z.B. für eine Gruppe und nicht beim Import. Da ist man gef...

Fazit

Pro: Security-Features, Client Vielfalt, OpenSource Con: Optik von super grausig bis hässlich, Import von Nicht-Passwortdaten nicht wirklich möglich, import von 1Passwort nicht einfach möglich

Deshalb habe ich nach ein paar Tagen rumprobieren von KeePass dann doch Abstand genommen. Insbesondere, weil ich die Daten schlicht nicht rein bekommen habe.

Enpass

Enpass hatte ich wohl schon mal vor Ewigkeiten gekauft - und zum Glück, denn als ehemaliger "Pro"-User komme ich jetzt in den Genuss von Enpass ohne ein Abo abschließen zu müssen.

Grundsätzlich ist das allerdings eher negativ zu bewerten, auch hier ist man wieder zum Abo Modell gewechselt und wollte nur seine bestehende Kundenbasis nicht vergraulen. Wer weiß, ob das so bleibt und ob sich das nicht irgendwann ändert. So ähnliche Aussagen kennen wir auch von 1Passwort und ein paar Jahre später war das auch nix mehr wert.

Die Kosten sind bei Enpass aber auch im Abo deutlich günstiger als bei 1Password (ca. die Hälfte) und es gibt (noch) eine Lifetime Lizenz! Da Enpass komplett offline funktioniert, ist er auf jeden Fall eine Überlegung wert. Ich habe auch nichts davon gelesen, dass die irgendeinen Onlineservice anbieten wollen über den dann irgendwelche Funktionen nur als Abo zu bekommen sind. Also insofern ist das noch eine gute Alternative, auch wenn man kein Pro-User ist.

Was die Security Betrifft sind wir hier auch vorne mit dabei, da auch hier eine Schlüsseldatei genutzt werden kann, was die Sicherheit noch mal erhöht (die könnte man z.B. auf einem gesicherten USB-Storage ablegen oder so).

Eine Synchronisation gibt es auch. Diese funktioniert nicht über einen eigenen Server sondern über iCloud, Dropbox und ähnliche Dienste.

Auch kann man mehrere "Tresore" (engl. Vaults) anlegen, um z.B. Arbeit von Privat zu trennen.

Und da sind wir auch schon bei einem Haken: für die Synchronisation über iCloud von 2 Tresoren benötigt man 2 iCloud Accounts. Das ist etwas seltsam, aber hat wohl Technische Hintergründe. Das ist für mich nicht wirklich wichtig, diese Funktionalität habe ich auch bei 1Password nie genutzt, ich kann mir aber vorstellen, dass es für einige ein NoGo ist.

Der Import der Daten von 1Passwort lief... gelinde gesagt kompliziert:

• die Export-Datei im 1PIF-Format wurde von enpass nicht erkannt. Da hat sich wohl mal was geändert, denn diese 1pif-Dateien sind keine Dateien sondern Verzeichnisse (ähnlich der Foto-Mediathek oder so).
• man muss die Daten aus dem 1pif-Verzeichnis herauskopieren (rechtsklick -> Paketinhalt anzeigen), enpass dann das Verzeichnis nennen in dem diese Dateien liegen.
• das hat aber bei mir nicht für alles geklappt ("nichts zum importieren gefunden"). Ich musste wieder alle Kategorien gesondert exporteren, dann ging es.

Jetzt habe ich alle Daten aus 1Password in Enpass, inkl. der Attachments und der Bankkontos oder Notizen!

Fazit

Pro: Günstiger als 1Password, Lifetime Lizenz, Import von 1Password funktioniert inkl. der Nicht-Passwort-Datentypen, iOS Clients, Gute Unterstüztung für Browser, iCoud Sync Con: die Optik könnte besser sein, manchmal ziemlich langsam, Abo Modell - wer weiß, wie lange die Lifetime Lizenzen noch funktionieren, Seltsame iCloud-Bindung an den Account, manchmal extrem langsam (suche dauert länger als 5sek)

Enpass ist wirklich eine Überlegung wert und ich werde mir den Passwortmanager noch eine Weile ansehen. Aber im Moment ist er einer meiner Favoriten.

Secrets

Auch eine nette App, direkt aus dem Appstore und bietet auch ein iOS Pendant. Die Preise sind ein-Mal-Preise, kein Abomodell. Secrets sieht auch recht ansprechend aus, ist schon hübscher als Enpass.

Secrets funktioniert auch wirklich super flott, deutlich schneller als Enpass.

Der Sync mit iOS lief problemlos.

Der Import der 1Passwort-Daten lief problemlos, ein Browser-Plugin existiert auch, der Sync funktioniert über die iCloud. Alles in allem ein echt solider Passwortmanager.

Allerdings konnte ich auf der Webseite nur wenig über die Funktionsweise von secrets herausfinden. Es scheint komplett offline zu funktionieren und bei Bedarf über die iCloud zu synchronisieren. Wie und welche Verschlüsselungen eingesetzt werden, wir auch nicht erwähnt. Überhaupt hat die Seite nur wenig Informationen.

Fazit

Pro: nette GUI, schnell, einfach zu bedienen, ein mal Zahlung Con: es fehlen ein paar Entry-Typen, die Suchen sind etwas eingeschränkt, das BrowserPlugin kann zwar logins ausfüllen, aber nicht abspeichern

Super unproblematisch zu nutzen, gibt es kostenlos im App-Store und kann mit einer Einmalzahlung zu "pro" gemacht werden. Die iOS-App kostet das selbe.

pass - Unix passwordstore

Das ist man ein "sonderling" unter den Passwortmanagern, aber ein wirklich interessanter. pass ist eigentlich nichts weiter als ein Shellscript. Aber eines, dass es in sich hat. Da muss ich aber ein wenig ausholen.

GPG

der "Gnu Privacy Guard" entstand vor einigen Jahren als OpenSource pendant zu "PGP" (Pretty good privacy) und wird insbesondere beim Versenden von Emails gerne genutzt.

GPG oder PGP setzen dabei auf das sogenannte "Public Key" Verfahren. Dabei hat man nicht einen, sonder 2 Schlüssel. Mit einem der Schlüssel (public key) kann man verschlüsseln und mit dem Gegenstück entschlüsseln. Damit kann jeder den einen Schlüssel bekommen (daher der name Public Key) und Daten/Texte verschlüsseln, die nur mit dem zugehörigen Private Key entschlüsselt werden können.

Diese Funktionalität macht sich pass jetzt zu Nutze: es nutzt die commandline version von gpg um die Passwörter sicher zu verschlüsseln.

Dabei werden die Passwörter mit dem Public Key verschlüsselt, ähnlich einer Email an mich. Ich bin der einzige, der den zugehörigen Private Key hat und nur ich kann diese passwortdateien entschlüsseln.

Die Verschlüsselungsverfahren die GPG zu Grunde liegen gelten auch nach jahren noch als extrem sicher und sind somit den anderen, symmetrischen Verschlüsselungsverfahren (wie z.B. AES256) in diesem Fall überlegen.

Wenn man also GPG für das sichere ablegen von wichtigen Informationen nutzen will, geht das auch ohne Hilfsmittel einfach "so". Das Kommandozeilenwerkzeug nimmt einfach irgendeinen Text und verschlüsselt ihn mit dem public key - so machen das auch die Mailer, die GPG unterstützen.

Diese Tools nutzt nun pass um Passwörter sicher abzulegen. Und das klappt erstaunlich gut. Aber eben nicht nur das. Dadurch dass Pass ja quasi "nur" mit verschlüsselten Textdateien hantiert, kann man beliebigen Inhalt abspeichern. Einzige Regel: die Erste Zeile ist das passwort, danach kann man Felder im Format Name: Wert angeben. Mehrzeilige Werte gehen auch mit:

Wichtig ist, sich an diese Syntax zu halten, dann kann man auch die Pass-App für Ios nutzen. Es gibt wohl auch Implementierungen für Android.

Für die Synchronisation nutzt pass das eigentlich für Entwickler gedachte git. Da gibts zig öffentliche Server, oder man legt sich irgendwo seinen eigenen an. Geht auch gesichert über SSH oder sonstige Mechanismen, kann einfach gebackupt werden. Und ist komplett transparent. Das schöne dabei ist, dass man automatisch eine Historie der Passwörter bekommt und man - wenn man sich mit git auskennt - jederzeit einen alten Stand wiederherstellen kann. Auch lässt sich damit der Passwort-Store mit anderen teilen. Da sind auch kompliziertere Setups möglich mit mehreren Sub-Git-Repositories um z.B. gemeinsame Passwörter in der Firma von den privaten zu trennen etc.

Das ist überhaupt das, was mir an pass am besten gefällt: es speichert sensible Daten und da ist es nur natürlich von Vorteil, wenn es auf Standards aufsetzt, die bekannterweise sicher sind. Und ich habe mehr freiheiten, also sonst irgendwo...

Theoretisch kann ich mit diesem Ansatz alles gesichert ablegen. Und wenn ich möchte, lege ich meinen Private Key auf ein USB-Drive und voila - keiner Kann dran, es sei denn, das USB Drive ist angeschlossen.

Die Bedienung in der Kommandozeile ist natürlich etwas umständlich (aber auch praktisch, wenn man in der Shell mal ein Passwort braucht). Aber es gibt einige Tools, die einem Helfen, die Passwörter einzugeben. Ich selbst habe einen Workflow für Alfred geschrieben, der einem dabei hilft, pass zu bedienen und die Passwörter zu finden, die man braucht.

Der Import in 1Password war auch so eine Sache... eigentlich nicht möglich. Ich habe mir auch da geholfen und ein kleines Script geschrieben, dass eine von 1password exportierte 1pif-Datei importiert.

Fazit

Pro: OpenSource, nutzt bekannte Standards, sehr mächtig, iOS Support, sehr flexibel, sehr sicher Contra: komplexes setup, Benutzung nicht wirklich einfach, kaum iOS Support, Keine echte GUI, Sync Infrastruktur muss man erst aufsetzen, ohne Erfahrung in der Shell ist davon eher abzuraten

Man kann sagen, pass ist eindeutig nix für Anfänger. Aber die Technologien und die Möglichkeiten sprechen für sich. Ich werden auch pass eine weile nutzen.

offline? Sonst noch wer?

Es ist erstaunlich, wie schwer das mittlerweile geworden ist, einen Passwortmanager zu finden (oder überhaupt irgendeine Software) die nicht nur noch online funktioniert.

Ich habe eine Weile rumgesucht, es gibt noch ein paar andere offline Passwortmanager, die können auch online. Dummerweise funktioniert dann halt vieles nicht, was nur online geht.

Oder sie haben wieder nur ausschließlich das Abo Modell... es ist schade...

Ich glaube ja nicht, dass meine oben genannte Auswahl komplett ist, aber es scheint so als gäbe es kaum noch weitere, ernstzunehmende Alternativen. Was ich wirklich schade finde. Der Trend gefällt mir nicht wirklich.

Ich werde die beiden Alternativen zu 1Password mal weiter nutzen, evtl. auch pass noch um einige Funktionen erweitern. Insbesondere ein Browser-Plugin fehlt leider noch. Das wäre sehr praktisch...