Ich empfehle regelmäßig, dass die Leute eine Art Passwortverwaltungssystem verwenden, mit dem sie schwer zu knackende Passwörter (egal ob kurz und kompliziert oder lang und leicht zu merken) für jede Website und jeden Dienst eindeutig festlegen können, und mit dem sie diese Passwörter auch überall eingeben können, wo sie sie brauchen.
Lowell Nelson hat mir vor ein paar Wochen eine E-Mail geschickt, in der er sich fragt, warum ich mich so sehr für Optionen von Drittanbietern wie 1Password, Dashlane und LastPass interessiere, wo Apple doch selbst eine robuste, plattformübergreifende Lösung hat, die auch eine Synchronisierung ermöglicht: Schlüsselbund. (Keychain beschreibt eher den OS X-Teil, während iCloud Keychain die geräteübergreifende Synchronisierung und die Verwendung mit iOS ermöglicht.)
Es ist eine großartige Frage, und ich ziehe es vor, den Leuten nicht zu raten, einen kostenpflichtigen Dienst zu kaufen (sei es eine einmalige Gebühr oder ein Abonnement), es sei denn, der Nutzen dieses Dienstes ist so hoch, dass er die Kosten aufwiegt.
Lassen Sie uns die Details durchgehen. Da ich 1Password und LastPass ausgiebig getestet und untersucht habe, verwende ich sie als Vergleichsgrundlage. Sie sollten in der Lage sein, in den FAQs oder Funktionsbeschreibungen jeder hinreichend robusten Alternative Antworten auf jeden der unten aufgeführten Punkte zu finden.
Während Apples Schlüsselbund, 1Password und LastPass alle andere Arten von Daten sicher speichern können, sind Passwörter das zuverlässigste Element, das über ein ganzes Ökosystem und plattformübergreifend verwendet werden kann.
Wie sicher sind Ihre Daten?
Ein Passwort-„Safe“ muss die Passwörter, nun ja, sicher halten, und zwar in drei Hauptbereichen:
-
Daten im Ruhezustand auf einem Gerät. Passwörter sollten auf einem Gerät so gesichert sein, dass niemand außer dem Besitzer darauf zugreifen kann.
-
Auf Servern gespeicherte Daten. Es sollte für einen Angreifer schwierig oder unmöglich sein, auf in der Cloud gespeicherte Passwörter zuzugreifen und sie zu entschlüsseln.
-
Daten, die während der Synchronisierung oder zwischen dem webbasierten Zugang und dem Endgerät übertragen werden. Eine starke Verschlüsselung sollte verhindern, dass ein Schnüffler neue Einträge, Abrufe und Aktualisierungen sowie interaktive Sitzungen entschlüsseln kann.
Keychain und iCloud Keychain sind in dieser Hinsicht verdammt robust. OS X und iOS müssen entsperrt werden, um Keychain-Einträge zu füllen, und die App Keychain Access von OS X erfordert ein Administrator- oder Benutzerkennwort, um Passwörter zu entsperren und anzuzeigen. Mit Touch ID oder einem Passcode in iOS und FileVault 2 in OS X sind Passwörter auch dann sehr sicher, wenn Sie heruntergefahren (OS X) oder gesperrt (iOS) sind. iCloud Keychain verwendet eine gerätebasierte Verschlüsselung, die verhindert, dass Apple Ihre Passwörter entschlüsseln kann (oder dazu gezwungen wird).
1Password und LastPass verwenden eine „teure“ Passphrasen-Verschlüsselungsmethode für Ihre lokal gespeicherten Datenbanken, so dass ein Cracker, selbst wenn er sie in die Hände bekommt, nur sehr, sehr langsame Brute-Force-Passwortversuche unternehmen kann. LastPass hat dies nach einem Hack unbeabsichtigt getestet: Es gab keine Berichte über entsperrte Passwort-Tresore.
LastPass synchronisiert alles über seine Server, verschlüsselt aber mit Schlüsseln, die nur den Benutzern bekannt sind. 1Password synchronisiert über Dropbox und andere Cloud-basierte Dienste (und verlässt sich dabei auf deren Sicherheits- und Verschlüsselungsmethoden im Ruhezustand) sowie über seine Zusatzabonnements für die gemeinsame Nutzung mit Familien- oder Teammitgliedern, sperrt aber alles mit benutzereigenen Schlüsseln.
LastPass und die Team- oder Familienoptionen für 1Password ermöglichen Ihnen auch den Zugriff über einen Webbrowser und verwenden eine browserbasierte Entschlüsselung anstelle einer nativen Client-Software; die Unternehmen besitzen Ihre Schlüssel nicht. Die Abhängigkeit vom Browser birgt jedoch eine Schwachstelle. Malware und andere browserbasierte Angriffe machen Browser im Vergleich zum Sicherheitsniveau von nativen Anwendungen und Cloud-Synchronisierung viel anfälliger. Safari-Schwachstellen in iOS und OS X werden regelmäßig entdeckt (obwohl nur sehr wenige in freier Wildbahn zu sehen sind), und Sie könnten versucht sein, von einem unbekannten Computer mit einem anderen Betriebssystem auf Ihre Kennwörter zuzugreifen.
Wie einfach ist das System zu verwenden?
Ein Kennwortsystem muss leicht aufrufbar sein. Wenn das nicht der Fall ist, werden Sie es nicht konsequent nutzen, denn das liegt in der menschlichen Natur. Schlimmer noch: Wenn Sie es für jemand anderen installieren, um dessen Sicherheit zu verbessern, wird er es wahrscheinlich gar nicht benutzen, wenn es nicht ständig daran erinnert und supereinfach ist.
Keychain wird von Apple hauptsächlich dazu verwendet, sich Passwörter für bestimmte Felder auf Webseiten zu merken und Passwörter für einen automatischen Abruf und zur Umgehung in seiner Software (wie AirPort Admin im Betriebssystem) oder mit Software von Drittanbietern zu speichern, die Apples Keychain-Hooks verwendet. In mobilem und Desktop-Safari funktioniert Keychain sehr gut, vom Vorschlagen eines starken Passworts über das Speichern bis hin zur Möglichkeit, es wieder abzurufen oder andere gespeicherte Alternativen zu verwenden.
Aber während es in OS X sehr nützlich ist, da mehr Entwickler es übernommen haben und es Keychain Access für direkte Nachforschungen und Abrufe gibt, muss man in iOS zu Einstellungen > Safari > Passwörter gehen, um Passwörter anzuzeigen, zu bearbeiten oder (ganz nach unten wischen) hinzuzufügen. Außerdem können Sie den Schlüsselbund in Apples Anmeldedialogen, die nicht für das Internet bestimmt sind, nicht aufrufen, was ihn für allgemeine Zwecke nutzlos macht. Und obwohl man sich ein Passwort ausdenken kann, wenn man es braucht, ist es umständlich zu erreichen und kann nur auf einer entsprechenden Webseite abgerufen werden.
Apple hat ab iOS 8 Erweiterungen hinzugefügt, mit denen 1Password, LastPass und andere Tools in Safari und anderen Apps aufgerufen werden können. Viele iOS-Apps, die ich verwende, sind direkt mit der API von 1Password verbunden, die den direkten Aufruf ermöglicht. Im schlimmsten Fall kann ich zu LastPass oder 1Password wechseln, um das Passwort zu finden, es zu kopieren und dann zurück zur App zu wechseln und es einzufügen.
Sie können die App auch verwenden, um sichere Passwörter zu erstellen, die bei der Erstellung gespeichert, automatisch synchronisiert und in die Zwischenablage kopiert werden, um sie in anderen Apps zu verwenden.
Die plattformübergreifende Situation ist viel schlimmer. Apple stellt iCloud Keychain nicht außerhalb seiner eigenen Betriebssysteme zur Verfügung. 1Password und LastPass (und andere Apps) sind auf einer Vielzahl von wichtigen Plattformen verfügbar und bieten außerdem browserbasierten Zugriff (standardmäßig bei LastPass und als Abonnementoption bei 1Password).
iCloud Keychain hat keinen Mechanismus zur gemeinsamen Nutzung mit anderen Personen – ein Teil der fortlaufenden Erzählung, die ich seit Jahren darüber diskutiere, dass Apple seine Systeme nicht von Grund auf so konzipiert, dass sie erkennen, dass Menschen in Gruppen und als Familien arbeiten. (Von den Problemen mit der Familienfreigabe wollen wir gar nicht erst anfangen.)
Die meisten Kennwortsysteme verfügen über einen Mechanismus zur Weitergabe von Geheimnissen an andere, die ein Konto haben. 1Password ermöglicht die direkte Übertragung ohne Abonnement oder, seit kurzem, den selektiven gemeinsamen Zugriff von Mitgliedern von Geschäfts- und Familiengruppen. LastPass bietet dies seit Jahren an, da die Daten zentral gespeichert werden.
Wählen Sie zwischen den beiden Systemen
Wenn Sie Passwörter fast ausschließlich auf Websites verwenden, nur iOS und OS X nutzen und es Ihnen nichts ausmacht, sich Passwörter zu merken und einzutippen, die Apple für seine Dienste verlangt, ist Keychain mit iCloud Keychain die richtige Wahl. Wenn nicht alle diese Bedingungen erfüllt sind, lohnt sich die Investition in ein Kennwortverwaltungssystem.
Update: In einer früheren Version dieses Artikels hieß es, dass iOS keinen Zugriff auf gespeicherte Kennwörter oder eine Möglichkeit zur Erstellung neuer Kennwörter bietet. Dies ist der Fall; es ist nur in den Einstellungen versteckt.