Jaa, ich weiss, ich hätte längstens über Fido2 schreiben müssen. Dieses Thema steht auch weit oben auf meiner Liste. Und nein, es würde nicht bedingen, dass ich zum Hundehalter werde. Fido2 ist ein (mutmasslich) brauchbares Konzept, wie man Passwörter zum Verschwinden bringt. Man braucht einen Sicherheitsschlüssel wie den Solo Key, der per USB und NFC funktioniert und auf Kickstarter innert zwanzig Minuten finanziert worden war.
Also, versprochen: Dieses Video (oder Post) kommt irgendwann im Beitrag Ein Blick in die passwortlose Zukunft. Heute geht es um den klassischen Weg des Log-ins im Netz, der bekanntermassen mit Benutzernamen und Passwort erfolgt. Apple eine Menge getan, um es komfortabler zu gestalten und den Umgang mit den Passwörtern zu vereinfachen.
Einen der Tricks habe ich neulich im Beitrag Automatische Passwortabfüllung vorgestellt. Nebst dem erkläre ich im Video auch die nützlichen Funktionen, um Passwörter zu teilen – per Airdrop oder mit WLAN sogar automatisch.
So klappt es mit den sicheren Passwörtern!
Auf die Gefahr hin, dass ich hier die alte Diskussion nach dem besten Passwortmanager wieder befeuere: Ich zeige im Video die im Beitrag Erstklassiger Passwortmanager fürs iPhone und den Mac vorgestellte App Kypass. Ich nutze den, weil ich seit Jahren unter Windows Keepass benutze (Ein überfälliger Umstieg, Passwort-Safe für Windows, Mac und iOS ) und sich dieses Programm für mich bewährt hat.
Mir ist aber absolut bewusst, dass die Geschmäcker verschieden und das Angebot gross ist. Wenn man sich nach den Vor- und Nachteilen der einzelnen Apps erkundigt, landet man womöglich bei der Übersicht von «PC Mag» im Beitrag Passwort-Safe für Windows, Mac und iOS.
Hier schwingen Dashlane und Keeper Security oben aus – letzteres ist eine Lösung, die ich selbst bislang noch nie getestet habe. Bei Dashlane gefällt die Warnfunktion, wenn im Darknet kompromittierte Accounts auftreten, plus das eingebaute VPN. Das würde ich lieber nicht im Passwortmanager drin haben, sondern separat nutzen wollen. Bei Keeper gibt es eine Methode zur sicheren Passwortübertragung. Auch das ist nützlich, wenn man es braucht – was bei mir nicht der Fall ist.
Grosse Verbreitung ist ein Nachteil
Bei Techradar.com fällt das Urteil etwas anders aus. Dashlane und Keeper Security sind zwar auch oben platziert, aber auf Platz eins landet Lastpass, u.a. wegen der Unterstützung für Zwei-Faktor-Authentifizierung und Speichermöglichkeit für unbegrenzt viele Passwörter.
Ein interessanter Nachteil wird auch erwähnt: Da Lastpass sehr populär ist, sei es auch ein interessantes Angriffsziel für Cyberkriminelle. Das stimmt natürlich. Ein Passwortmanager mit wenig Anwendern beschränkt die Zahl der möglichen Opfer automatisch. Trotzdem wird man nicht den Passwortmanager nutzen wollen, der Frank Hobbyhacker zu seiner persönlichen Belustigung zwischen Feierabend und Tagesschau zusammengecodet hat.
Hier bei Wired gewinnt 1Password, vor allem auch wegen der Integration mit vielen mobilen Apps. Und hier gefällt dem Autor der Travel Mode: Damit kann man sensible Daten vom Gerät löschen und nach dem Grenzübertritt wiederherstellen.
Grenzbeamte können die Entsperrung des Telefons auf Verdacht hin verlangen
Falls ein Grenzbeamter Zugriff auf diese Daten fordern sollte, kann man sie nicht herausrücken, weil sie nicht auf dem Gerät vorhanden sind. Man kann sich fragen, ob das eine notwendige oder eine übertriebene Sicherheitsmassnahme ist. Hier wird geschrieben, dass US-Grenzbeamte eine Entsperrung des Telefons auch ohne hinreichenden Tatverdacht (probable cause) verlangen und das Telefon durchsuchen könne.
Watson.ch hat 2017 in einem leicht alarmistischen Artikel (Wer in die USA reist, muss mit dem Schlimmsten rechnen) zum Beispiel empfohlen, das Facebook-Konto zu löschen. Und die «Computerwoche», die auch als Quelle für Watson dient, schreibt von Willkür beim US-Zoll:
Die Kontrolleure an der Grenze brauchen keine Beweise, um Notebooks und andere elektronische Geräte zu untersuchen; nicht einmal ein Anfangsverdacht für illegales Verhalten ist nötig. Bei jedem Grenzübertritt haben Zollmitarbeiter das Recht, alle Gegenstände im Besitz des Reisenden zu kontrollieren. Wenn sie wollen, können alle Dateien und Informationen kopiert werden.
Ich kenne niemanden, dem das so passiert wäre – aber es scheint vorzukomen. «The Register» schrieb im April, der ehemalige Mozilla-Technikchef Andreas Gal sei bei seiner Ankunft in San Francisco für drei Stunden befragt worden, nachdem sein Telefon und seinen Laptop nicht habe entsperren wollen (Gal erzählt die Geschichte selbst auf Medium.com).
Zufall – oder nicht?
Er stellt die Vermutung auf, die Überprüfung sei womöglich gar nicht so zufällig gewesen:
My past work on encryption and online privacy is well documented, and so is my disapproval of the Trump administration and my history of significant campaign contributions to Democratic candidates. I wonder whether these CBP programs led to me being targeted.
CBP steht übrigens für United States Customs and Border Protection.
Zurück zu den Passwort-Managern: Und angesichts dieser Berichte ist der Travel Mode eine Funktion, die 1Password bei Vielreisern einen unbestreitbaren Vorteil verschafft.
Es bleibt als Erkenntnis, dass das Resultat eines Vergleichs von Passwortmanagern von den Massstäben abhängt, die man anlegt – und das wundert auch nicht, weil die Kernfunktionen bei allen die gleichen und bei allen absolut brauchbar sind. Darum macht den Ausschlag, was man als Zusatzfeatures benötigt und schätzt. Und das ist dann eine individuelle Angelegenheit.
Beitragsbild: Wieso hat die Matrix eigentlich keinen Passwortschutz? (Pixel2013/Pixabay, Pixabay-Lizenz)