Passwörter raus aus der US-Cloud – aber wohin? | c't uplink

Es ist ein Interessenkonflikt. Passwortmanager vereinfachen einem
das Leben, weil man mit Ihnen mehr oder weniger komfortabel für
jedes (Online-)Konto ein eigenes und sicheres Passwort vergeben
kann. So kann man hunderte Passwörter einsetzen, ohne ein
fotografisches Gedächtnis zu besitzen. Gleichzeitig aber bietet man
eine sehr attraktive Angriffsfläche, gerade Online-Passwortmanager,
die die Passwörter via Server zwischen mehreren Endgeräten
synchronisieren. Dieser Datenschatz erweckt auch das Interesse von
Behörden. Populäre Passwortmanager – Bitwarden, LastPass, Dashlane
– aus den USA kommen oder von dortigen Firmen entwickelt werden.
Und US-Behörden könnten mit Verweis auf Cloud Act und Foreign
Intelligence Surveillance Act (FISA) Zugriff auf die Daten
verlangen. Eine aktuelle Untersuchung der ETH Zürich zeigte zudem,
dass trotz Ende-zu-Ende-Verschlüsselung unter bestimmten
Bedingungen Passwörter abgreifbar sein können – etwa wenn der
Server manipuliert wird. Manch einer wird sich daher fragen, ob man
die eigenen Passwörter nicht vielleicht in souveränere Gefilde
umzieht. Welche Alternativen es gibt und wie sinnvoll die sind,
diskutieren die c’t-Redakteure Jan Schüßler und Niklas Dierking in
der neuen Folge von c’t uplink mit Moderator Keywan Tonekaboni. Jan
Schüßler hat fünf Passwortmanager getestet, die entweder aus Europa
stammen und/oder Open Source sind – sowohl cloud-basierte Dienste
als auch lokale Lösungen wie KeepassXC/KeepassDX. Niklas Dierking
hat Passbolt auf einem eigenen Server installiert und ordnet die
Erfahrung im Vergleich zu VaultWarden ein. Die drei c’t Redakteure
vergleichen Komfort, Kosten und Sicherheitskonzepte der
verschiedenen Alternativen. Außerdem gibt das Team praktische Tipps
für den Umstieg von einem Passwortmanager zum anderen, erklärt
Synchronisierungswege über Syncthing oder Nextcloud und warnt vor
typischen Stolperfallen bei der Migration.