Elf Apps im Test Das sind empfehlenswerte Passwort-Manager für iOS

Logins, PINs, Zugangscodes: Niemand kann sich all die Passworte merken. Passwort-Manager helfen, den Überblick zu bewahren. Das Fachmagazin "c't iPhone" hat die Sicherheit von elf Apps getestet.

Von Thomas Kaltschmidt

Heise

Der einfachste und sicherste Passwort-Manager ist das gute, alte Papiernotizbuch - heißt es häufig. Zu Hause mag das sogar stimmen. Denn da ist die Gefahr, dass es gestohlen wird, gering. Unterwegs ist so ein Büchlein aber riskant: Kommt es abhanden, sind die Daten darin ohne Probleme einzusehen.

Die eiserne Grundregel lautet: Sichern Sie jeden Zugang mit einem individuellen, nicht zu kurzen Passwort. Datentresor-Programme helfen bei der Generierung und Ablage solcher Passwörter.

Ein Datentresor für iPhone, iPad oder Mac schützt die Kennworte dagegen durch Verschlüsselung und ein zentrales-Kennwort - zumindest sollte es so sein.

Das Fachmagazin "c't iPhone" hat solche verschlüsselten Passwort-Datenbanken getestet. Hier die Ergebnisse im Überblick.

1. Synchronisierung

Das Angebot an Passwort-Safes ist riesig. In Test waren insgesamt elf im App Store gut bewertete iOS-Apps.

  • Plattformunabhängig: SecureSafe Online und LastPass sind primär Webdienste, die über den Browser oder über iOS-Clients auf die Daten des Servers zugreifen.
  • Apps für viele Systeme: Wallet 4i unterstützt neben Mac, iOS und Windows auch Android und Kindle Fire.
  • Windows und OSX: Vier Apps bieten zusätzlich eine Mac- und Windows-Variante und ermöglichen es, die Daten zu synchronisieren: 1Password, iPIN, Wallet 4i (auf dem Mac Wallet 4X genannt) und DataVault. Die Windows-Varianten haben wir nicht genauer unter die Lupe genommen, die Ergebnisse sollten jedoch mit der Mac-Versionen vergleichbar sein.
  • OSX: Keychain2go gibt es für OS X und iOS, dabei ist die Mac-Variante nur der Vermittler ohne weitere Zusatzfunktionen. Es überträgt die Daten zum iOS-Pendant und zu anderen Macs. Da Keychain2go die abgesicherte Datenablage der System-Keychain nutzt, hat man mit dem Programm Schlüsselbundverwaltung auch auf dem Mac Zugriff auf die sensiblen Daten.
  • Nur auf einem Gerät: Die iOS-Apps Private Pal, MiniKeepass, Mein geheimer Ordner und Safe verteilen die Daten zwar nicht automatisch auf verschiedene Geräte, bieten dafür jedoch andere interessante Funktionen.

2. Sicherheit - vertrauen Sie nicht Apple!

Analog zu einem realen Tresor ist die wichtigste Frage, wie gut ein Software-Safe vor unberechtigtem Zugriff schützt. Da ist der Entwickler in der Pflicht. Beim Anbieter sollten ohne große Mühe Informationen darüber zu finden sein, wie das Sicherheitskonzept aussieht. Beispielsweise mit welchem Algorithmus die App die Daten verschlüsselt, wo und wie sie Daten ablegt und sichert. Herrscht zu diesem Thema Funkstille, sollte man misstrauisch werden.

Begnügen Sie sich nicht damit, dass Apple die Apps vor Freigabe im Store genau geprüft hat. Es sind schon genügend schwarze Schafe durchgekommen. Wir haben alle Programme auf iOS und OS X einem Sicherheitscheck unterzogen und geprüft, ob innerhalb der benutzten Speicherbereiche sowie der iOS- und Mac-Keychain lesbare Daten auftauchen, die ein Hacker etwa mit einem Sniffer abgreifen könnte.

Der Super-GAU wäre, das Masterpasswort, also den Generalschlüssel, der alle Türen öffnet, zu verlieren. Für die Checks diente uns unter anderem die Open-Source-Software KeychainViewer, die nur auf per Jailbreak geknackten Geräten läuft. Mit ihr warfen wir einen Blick auf die Datenbank der iOS-Schlüsselbundverwaltung, die normalweise nicht einsehbar ist. Darüber hinaus haben wir die Dateispeicherbereiche der Apps gescannt und den IP-Netzwerkverkehr mit Wireshark beobachtet. Letzteres war vor allem bei LastPass, SecureSafe Online und bei Apps mit automatischer Synchronisation von Belang, welche die Inhalte grundsätzlich über das Internet schicken.

Apps, die durch diesen Test fallen, sollte man tunlichst meiden. Umgekehrt bedeutet es allerdings nicht, dass bei Apps, die ihn bestanden haben, absolute Sicherheit besteht. Dazu ist das Thema zu komplex. Man kann lediglich davon ausgehen, dass die Entwickler die grundlegenden Hausaufgaben gemacht haben.

3. Warnung vor "mein geheimer Ordner"

Eine unsichere App erkennt man nicht etwa anhand ihrer Note, die andere Nutzer im App-Store hinterlassen haben: Die iOS-App "Mein geheimer Ordner" von Red Knight Interactive erreicht bei 115 Stimmen eine Gesamtwertung von guten vier Sternen. Mit den in der App-Beschreibung inflationär verwendeten Begriffen wie "sicher", "geheim" und "Kennwort-geschützt" wiegt man sich schnell auf der sicheren Seite.

Das Ergebnis unseres Checks fällt aber erschreckend aus: Man könnte seine sensiblen Daten genauso gut ans schwarze Brett hängen. Passwörter, Texte und Fotos werden unverschlüsselt und lesbar auf dem Flashspeicher abgelegt. Ein Mac-Tool wie iExplorer reicht, um Bilder und Texte selbst ohne Jailbreak vom iPhone zu pflücken. Wir fragten beim Entwickler nach, wie das Sicherheitskonzept aussieht. Die - immerhin ehrliche - Antwort: Man hoffe, in einem zukünftigen Update Verschlüsselung einzubauen. Aktuell können wir vor dieser App nur warnen - weshalb wir auf sie nicht weiter eingehen.

4. Anerkannte, öffentliche Verschlüsselungsverfahren

Die anderen Kandidaten zeigten im Sicherheitscheck keine Auffälligkeiten. Die Programme setzen auf anerkannte Chiffrierungstechniken wie AES-128 oder AES-256.

Besonders sicher will es Private Pal machen. Der Inhalt ist nicht nur über das Masterkennwort geschützt, man kann jeden Eintrag mit einem weiteren, individuellen Passwort versehen. Nahezu alle Inhalte werden zudem in zwei Verfahren verschlüsselt, neben AES-256 setzt Private Pal auf selbst entwickelte Methoden, die der Entwickler Miocool "PPRE-1" und "PPEE-256" nennt. Er schreibt, die Sicherheit wäre besonders groß, weil diese Verfahren nicht veröffentlicht würden. Das ist natürlich Unsinn, weil so kein Mensch beurteilen kann, wie gut diese Algorithmen wirklich sind. Im Gegenteil: Die Überlagerung von zwei Verfahren kann die Sicherheit sogar verringern. Nicht-öffentliche Chiffrierungsverfahren sind grundsätzlich abzulehnen, daher erhält Private Pal in puncto Sicherheit nur die Note "ausreichend".

1Password verschlüsselt seine Daten mit AES. Es fiel aber auf, dass Metadaten eines Eintrages unverschlüsselt bleiben, darunter die Felder Titel, Ort, Type sowie das Erstellungs- und Änderungsdatum. Der Entwickler AgileBits erklärt in der Dokumentation, dass dies für eine schnelle Suchfunktion nötig sei, um relevante Felder nicht erst entschlüsseln zu müssen. Für die Synchronisierung über die iCloud, die bislang aber nur für iOS-Geräte eingesetzt wird, kommt hingegen ein neues Cloud-Keychain-Design zum Einsatz, darin sind auch die Metadaten verschlüsselt oder wenigstens verschleiert, so AgileBits.

5. Verschlüsselung auf dem Mac

Eine Schwäche leisten sich 1Password und LastPass bei der automatischen Browser-Login-Funktion auf dem Mac. Das benötigte Plug-in für Safari & Co. gestattet den Zugriff auf die gespeicherten Anmeldedaten nach Eingabe des Masterkennwortes. Überraschenderweise mussten wir es bei Neustart des Browsers jedoch nicht erneut eingeben. Eine fremde Person könnte sich an den Rechner setzen und sich im bereits gestarteten Browser Zugriff auf alle geheimen Logins verschaffen. Bei beiden Tools kann man immerhin in den Einstellungen das Speichern des Masterkennwortes deaktivieren. Es wäre allerdings besser, dies wäre per Default so.

Überraschung bei DataVault auf dem Mac: Die entscheidende Festlegung des Masterkennworts zu Beginn findet in normalen und nicht in Passwort-Textfeldern statt. Das ist riskant. Selbst für simpel gestrickte Keylogger-Programme wäre es ein Leichtes, die Tastatureingaben abzufangen - ganz ohne Einbruch ins System und Unterschieben spezieller Treiber. Denn Cocoa-Betriebssystemfunktionen erlauben das Abfangen der Zeichen, wenn "Zugriff für Hilfsgeräte" aktiviert ist, Produktivitätstools wie TextExpander oder TypeIt4Me nutzen das.

6. Code-Sperre einrichten

Wer seine Daten in einem iOS-Gerät noch sicherer wissen will, sollte übrigens unbedingt eine Code-Sperre mit sechs oder noch besser acht Ziffern aktivieren. Das erschwert nicht nur den direkten Zugang zum Gerät, es erhöht auch das Sicherheitsniveau in internen Speicherbereichen wie der Keychain (Schlüsselbundverwaltung), die unter anderem von DataVault für die Ablage von Daten benutzt wird.

7. Zwischenablage leeren

Das Thema Sicherheit endet nicht beim Schutz vor aktiven Angreifern. Auch Gelegenheit macht Diebe. Wenn man beispielsweise ein Passwort über die Zwischenablage kopiert, sollte es nach einer kurzen Zeitspanne automatisch daraus gelöscht werden. Sonst läuft man Gefahr, dass es jemand durch späteres Einfügen an anderer Stelle sehen kann. Vorbildlich machen das 1Password (iOS und Mac) und MiniKeePass (iOS), hier ist sogar die Zeit justierbar, ab der die Ablage geleert wird.

Auch eine intelligente Verriegelung der Password-App ist wichtig. Bei iOS ist es mitunter unpraktisch, wenn die App sofort nach Verlassen verriegelt würde. Dann müsste man ständig das Masterpasswort eingeben, nur um eine Kleinigkeit hinaus- oder hineinzukopieren. Besser ist es auch hier, einen Zeitpuffer vorzugeben, ab dem die App verriegeln soll; das beherrschen viele Kandidaten, iPIN, Keychain2go und Safe verriegeln sofort.

8. So sicher ist die Synchronisierung

Eine spannende Frage ist, wie man die Daten der Apps zwischen verschiedenen Geräten auf aktuellem Stand halten kann. Wer unterwegs im iPhone einen Eintrag vornimmt, möchte das zu Hause am Rechner schließlich nicht manuell nachholen. Bei den iOS-Apps LastPass und SecureSafe Online muss man nichts konfigurieren. Die Apps speichern die Daten in der Cloud auf den Servern des Anbieters. Daher ist eine Synchronisierung nicht nötig, die Daten sind immer aktuell.

Wenn keine Internetverbindung besteht, ermöglichen SecureSafe Online und LastPass einen Offline-Login, in SecureSafe Online kann man Einträge dann nur betrachten, nicht bearbeiten wie in LastPass. Letzterer schickt die geänderten Daten automatisch in die Cloud, sobald wieder Verbindung besteht.

Das Speichern sensibler Daten auf einem externen Server will allerdings gut überlegt sein. Schließlich hat man keinerlei Kontrolle darüber, man muss den Sicherheitserklärungen der Anbieter vertrauen. LastPass und SecureSafe Online sagen, dass sie sowohl die lokalen Daten auf dem iOS-Gerät als auch die Übertragungen auf die Server sowie die Dateiablage auf diesen verschlüsseln.

Ein gewisses Vertrauen ist natürlich auch bei Dropbox und iCloud nötig. Vorteil bei diesen Cloud-Diensten ist allerdings, dass neben den Sicherheits-Vorkehrungen dieser Anbieter auch die dokumentierten Verschlüsselungen der Datensafe-Entwickler eine zweite Verteidigungslinie bilden. Ein Angreifer muss also erst den Zugang in die Wolke meistern und dann noch die harte Nuss der AES-Verschlüsselung knacken. Dass das gelingt, ist recht unwahrscheinlich.

Fazit: Bei MiniKeePass überzeugt die Sicherheit

Für einfache Datensammlungen reichen die Gratis- beziehungsweise bis vier Euro recht günstigen Tools wie Safe, SecureSafe Online, Wallet 4i und iPIN locker aus.

  • In Sachen Sicherheit überzeugte am ehesten MiniKeePass. Es setzt auf dem Open-Source-Projekt KeePass auf, das in Tests schon häufiger überzeugt hat und von den c't-Sicherheitsexperten empfohlen wird. Der Bedienkomfort ist hier jedoch recht gering. Ein Client für OS X befindet sich in Entwicklung, ist allerdings noch im Alpha-Stadium.
  • Private Pal ist die flexibelste und komfortabelste App im Test, hier kann man die Einträge so definieren und strukturieren, wie man es braucht. Die Multi-Nutzer-Option auf einem iOS-Gerät ist ein Alleinstellungsmerkmal. Durch die Beimischung privater Verschlüsselungstechnologien verspielt die App jedoch ihre Kompetenz in Sachen Sicherheit.
  • Der teuerste Kandidat 1Password überzeugt mit der besten Bedienoberfläche auf iOS und am Rechner. Auch wenn es um eine problemfreie Synchronisierung zwischen iOS und Desktop geht, ist 1Password die beste Wahl.

Der Artikel ist im Sonderheft "c't iPhone" erschienen. Ein Inhaltsverzeichnis des Hefts finden Sie hier, der Heise-Verlag bietet auch eine Bestellmöglichkeit.

Stärken, Schwächen, Funktionen der Apps im Überblick

Passwort-Manager für iOS: Vier Apps mit Desktop-Synchronisation im Überblick
Heise Zeitschriften Verlag

Passwort-Manager für iOS: Vier Apps mit Desktop-Synchronisation im Überblick

Passwort-Manager für iOS: Sieben Apps im Überblick
Heise Zeitschriften Verlag

Passwort-Manager für iOS: Sieben Apps im Überblick



Forum - Diskutieren Sie über diesen Artikel
insgesamt 21 Beiträge
Alle Kommentare öffnen
Seite 1
HuFu 18.10.2013
1.
Unsere tägliche Werbung gib uns heute! WANN werden diese Artikel als Werbung endlich! gekennzeichnet?
hdudeck 18.10.2013
2. Besser, wann werden wir dafuer bezahlt, diese sehen zu muessen?
Unser taeglich I gib uns heute!
jotgem 18.10.2013
3. MiniKeePass...
ist ein guter Tipp. Gibt es für fast alle Plattformen: Windows, Linux und OS X. Für OS X z.B. auch als KeePassX.
Misi 18.10.2013
4. .
Das ist jetzt angebliche Werbung für genau was oder wen? MiniKeePass? Apple? Heise?? Und wer zwingt euch, das zu lesen? Das ist ein Produktvergleich, wo ist das Problem?
jotgem 18.10.2013
5. ... außerdem...
gibt es KeePass für Android und Win Phone 7. Siehe auch Wikipedia-Artikel zu KeePass. Ich denke, der Bedienungskomort ist gut genug; hoher Bedienungskomfort steht häufig im Widerspruch zu hoher Sicherheit.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.