Jahrelang zufriedener Nutzer von 1Password, wollte ich angesichts des Umstiegs der Firma agilebits auf ein Abomodell doch mal schaun, was andere Unternehmen so anzubieten haben.
Es gibt hilfreiche Übersichten, Tests und Empfehlungen im Internet zuhauf, meist von renommierten Computerzeitschriften. Nach deren Hinweisen habe ich nacheinander einige ausprobiert.
Da wäre zunächst Bitwarden.
Macht zunächst einen sehr angenehmen Eindruck. Rasch ist das Konto erstellt, dann der Versuch, meine Daten aus 1Password dahin zu transferieren. Bitwarden bietet einen Assistenten an, der diverse Dateiformate einlesen kann. Bei mir scheiterte es zunächst an zwei Einträgen für Google-Accounts, die zu einer Fehlermeldung und Abbruch des Importvorganges führten. Erst, als ich in 1Password nicht mehr „alle exportieren“ sondern „ausgewählte exportieren“ angeklickt habe, die beiden Google-Account-Datensätze abgewählt habe, konnte Bitwarden mit den exportierten Daten was anfangen. Schön zu sehen, dass meine Struktur der 1Password-Daten in eine neue Ordnerstruktur bei Bitwarden übernommen wurde. Die beiden Google-Account-Anmeldungen waren händisch fix hinzugefügt und alles sah gut aus.
Mich störte ein wenig, dass meine Daten jetzt auf den diversen Geräten und zusätzlich auf einem Server in Santa Barbara, California, USA zu finden waren.
Bitwarden wirbt mit der Möglichkeit des „self-hosting“ – aber schon nach kurzer Lektüre der Anleitung habe ich entnervt aufgegeben. Zwar habe ich eine Nextcloud laufen, aber da bin ich nur auf einem gehosteten Server unterwegs und kann daher die vorgeschlagenen Installationen nicht vornehmen.
Jetzt interessierte mich dann doch, wie sicher ist denn die Datenspeicherung in den USA?
Die Suche nach „Bitwarden vertrauenswürdig“ ergab zunächst einige ermutigende Treffer. Ja, die Daten seien nach AES 256 verschlüsselt und sicher untergebracht. Dann aber stiess ich auf einen Blog-Eintrag, der mein Vertrauen derbe erschüttert hat: zur Verschlüsselung bediene sich das Programm einiger JavaScript-Erweiterungen. Uff! JavaScript und Sicherheit sind zwei gegensätzliche Pole auf diesem Planeten. Auch, wenn man jetzt die Integrität der Dritt-Anbieter JavaScript-Resourcen überprüft, macht mich das nicht glücklich.
Also Bitwarden mag zwar preislich und funktionell ganz nett sein – aber Sicherheitsbedenken habe ich dann doch neben einer Abneigung gegen Microsoft-Server-Grundlagen, weshalb ich meinen Account dort wieder gelöscht habe. Danke für’s Probierenlassen, es war nett – aber jetzt ist Schluss.
Danach habe ich Dashlane probiert.
Und schnell wieder verworfen, denn ein Import irgendwelcher Daten aus 1Password war nicht zu bewerkstelligen, selbst, wenn ich diese als .csv, also kommaseparierte Textdatei einzulesen versuchte.
Zu Preisen und Services kann man auf deren Webseite einige interessante Details erfahren. Bedienbarkeit und Sicherheit mögen zwar gewährleistet sein – aber das nicht funktionierende Übernehmen mehrere hundert existierender Datensätze haben dem Spass dann ein Ende bereitet. Das eingerichtete Konto war auch genauso schmerzlos wieder gelöscht, wie eröffnet.
Als letzten kommerziellen Anbieter habe ich NORDVPN, oder besser deren Passwortmanager NORDPASS ausprobiert.
Auch hier ist ein Konto schnell eingerichtet. Der Import von vorhandenen Daten? Siehe oben! Klappt nicht, was immer auch ich angestellt habe.
Überraschung! Als ich das Konto wieder löschen wollte, musste ich erfahren, dass das so einfach nicht geht. Selbst Schliessen oder Löschen? Nö. Man kontaktiere den Support!
Habe ich getan – aber statt meinem Begehren nach Löschung des accounts nachzukommen, werde ich seit Tagen mit e-mails bombardiert, die mir Hilfe beim Import angedeihen lassen wollen oder die Frage aufwerfen, ob ich mir bewusst bin, dass alle meine Daten futsch sind, wenn das Konto erst mal gelöscht ist. Mal sehen, wie lange das dauert, bis ich das Konto geschlossen vorfinde…
Last, but not least, wäre da noch die Open-Source-Anwendung KeePassXC.
Verschiedene Tester in den Computerzeitschriften waren voll des Lobes, wenn auch mit Einschränkungen. Es sei viel Handarbeit nötig. Und man müsse sich selbst um die Synchronisierung der Daten auf verschiedenen Geräten mühen.
Stimmt, der Import von vorhandenen Daten klappt nicht reibungslos. Immer da, wo „username“ und „password“ in den Datensätzen auftauchte, wurde brauchbar importiert. Das ist schön. Noch schöner: man kann direkt aus einem 1Password-Tresor importieren. Das dazugehörige Kennwort wird abgefragt – et voilà.
Aber Kreditkartendaten und „sichere Notizen“ liessen sehr zu wünschen übrig. Nichts dagegen, 11 Datensätze mit Bank- und Kreditkarten händisch aufzumöbeln – aber einfach Einsetzen lassen sich die in keine Webseite, da die Formularfelder dort nicht erkannt werden.
Dann der erste Wermutstropfen: Brave unter Ubuntu-Linux wollte mit keinem Plug-In in irgend einer Weise mit KeePassXC etwas zu tun haben. No way, das Ding war nicht zum Laufen zu bringen. Mit Firefox unter Linux keinerlei Probleme, aber Brave? Weder mit gutem Zureden noch Tricksen. Das Geheimnis: meine Linux-Installation von Brave war ein snap-Paket – dieses wird von der Erweiterung für KeePassXC nicht unterstützt. Half nur, die snap-Installation gegen eine „Original-Installation“ zu tauschen. Seither läuft’s auch brav mit Brave.
Die Synchronisation über verschiedene Geräte hinweg funktioniert, indem ich die Passwortdatei in einem Verzeichnis meiner Nextcloud-Installation unterbringe und allen Geräten den Pfad dahin als „öffne die Passwortdatei“ angebe. Und schwups, läuft.
Das Ende kam dann mit dem Usability-Test. Einsetzen von Username und Passwort in verschiedenen Webbrowsern. Und da gab es Freud (Einsetzen klappt problemlos) und Leid (keinerlei Einsetzen von irgendwas, obwohl das Plugin die entsprechenden Felder erkannt und markiert hat) dicht beieinander.
Nun ja, ich bin verwöhnt.
Und überlege, trotz aller grundsätzlichen Abneigung, das Abo bei 1Password abzuschliessen.