SicherheitTestlaborWeb & Netzkultur

Test: Mit dem Password Boss Premium Passwörter verwalten

Ein neuer Player im Passwort-Business versucht auf dem deutschen Markt Fuß zu fassen: Password Boss. Der Passwort-Safe verwaltet Eure Login-Daten, automatisiert Logins im Browser und funktioniert synchron auf mehreren Geräten. Da ist uns durchaus ein interessantes Produkt angedient worden – denn wir können nur jedem dringend empfehlen, einen Passwort-Manager zu nutzen. Ihr müsst Euch nur noch ein einziges Passwort merken, nie wieder Eure Daten im Browser eintippen und könnt genau daher viel bessere Passwörter nutzen. Aber wie gut ist der Safe und was gibt es für 29,99 USD pro Jahr?

Traditionellerweise beginnt ein Test mit der Beschreibung des Produkts, seinen Features und der Funktionsweise. Da die finale Kritik aber dieselbe ist, die auch die meisten anderen Passwort-Manager trifft, fangen wir mal mit dem Ende an: Der Password Boss ist einfach zu bedienen, macht einen seriösen Eindruck und tut reibungslos was er soll und ist definitiv besser als kein Passwort-Safe – aber eine klare Kaufempfehlung gibt es dennoch nicht – nur als Ausnahme. Und zwar definitiv nicht, aus zwei Gründen:

Zum einen kann der Open-Source-Passwort-Manager KeePass alles, was der Boss kann, plus noch vieles mehr – und das meiste davon besser, und eben kostenlos.

Zum anderen hat auch dieser Boss einen Boss: Das Unternehmen hinter Password Boss macht – nach oberflächlicher Prüfung – einen seriösen Eindruck, Nutzungsvereinbarung und Datenschutzerklärung entsprechen dem Üblichen und auch der Vertreter der Medienagentur, die uns auf das Produkt aufmerksam gemacht hat, ist mir seit knapp zehn Jahren bekannt. Dennoch: So bequem die Speicherung in der Cloud auch sein mag, um Passwörter, Zahlungsdaten und deren Verschlüsselung einem Dritten zu übergeben, muss schon einiges an Vertrauen aufgebracht werden – und Möglichkeiten, Technik, Datenspeicherung etc. zu überprüfen, gibt es bei kommerziell-proprietären natürlich nicht (Ihr könnt die Cloud-Syncro auch abschalten, aber dann gibt es endgültig und ausnahmslos keinen Grund mehr für das Programm). Die Datenschutzbestimmungen sind wie bereits erwähnt auch völlig in Ordnung, besser sogar als viele andere – sie machen nämlich keinen Hehl daraus, dass etwa Nutzungsdaten für Werbung genutzt werden (natürlich keine persönlichen Daten). Das kann man beim Pizzadienst vielleicht noch gut heißen, aber bei etwas sensiblem wie Passwörtern, hat’s doch, wie Medien heutzutage gerne sagen, um freundlich-skeptisch-vorsichtig-politischkorrekt Kritik zu äußern, ein Geschmäckle.

passwordboss
Schick, vielleicht – aber bei vielen Passwörter unübersichtlich.

Aber auch das allein ist es noch nicht: Damit die Integration in den Surf-Alltag klappt, muss ein Add-on installiert werden, für Chrome, Firefox oder IE. Hier musste der Firefox herhalten und sowohl installation als auch Betrieb klappen wunderbar, mit einem kleinen aber: Das Firefox-Add-on ist nicht signiert und es kommt eine entsprechende Warnung. Nun könnte man argumentieren, dass das Add-on aus dem Password-Boss-Hauptprogramm installiert wird, was man allein schon durch dessen Nutzung als vertrauenswürdig einstuft – insofern ist eine Mozilla-Signierung vielleicht nicht unbedingt notwendig. Aber selbst wenn: Weiß Otto Normalverbraucher etwas mit einer Keine-Signatur-Fehlermeldung anzufangen? Nein, der sieht nur eine Firefox-Warnmeldung – weshalb er das Add-on auch erst manuell in den Add-on-Einstellungen aktivieren muss.

passwordboss
Verschmerzbar, aber nicht schön.

All diese „Kleinigkeiten“ (wenn man denn so will) zusammen genommen, würden vielleicht Punktabzüge bringen, aber einer Kaufempfehlung dennoch nicht unbedingt im Wege stehen: Der Komfort, der sich aus automatischer Synchronisierung via Cloud ergibt ist schon erfreulich, das Tool funktioniert wie gesagt einwandfrei und macht Euch letztlich wesentlich sicherer. Aber warum ein Produkt kaufen, wenn es den Klassenprimus kostenlos gibt? Und er auch noch Open Source ist? Euch mag der Quellcode nicht interessieren, aber es gibt eben andere Menschen, die sehr wohl Code Reviews durchführen. Wird dadurch jeder Bug gefunden? Nein, nur viele – und Datenabflüsse wie Betrugsversuche dürften meist sogar recht schnell auffallen.

Die Synchronisation bei KeePass sieht wie folgt aus: Ihr installiert KeePass auf den gewünschten Geräten, legt die verschlüsselte Datenbankdatei mit den Passwörtern in Euren Cloud-Speicher (DropBox, Google Drive, ownCloud oder was auch immer), vorzugsweise in einen verschlüsselten Ordner und greift dann von den Geräten immer auf dieselbe Datei zu. Das ist nicht so einfach wie beim Password Boss, aber einfach genug – der Lohn: Ihr habt alles im Griff, insbesondere, wenn Ihr zusätzlich einen verschlüsselten Ordner in der Cloud nutzt.

Features

Auch davon abgesehen, macht KeePass einiges besser, von Kleinkram wie besserem Passwort-Generator bis hin zu wichtigen Features, wie dem Clipboard-Schutz: Kopiert Ihr ein Kennwort aus dem Boss, verbleibt es in der Zwischenablage. In KeePass lässt sich einstellen, dass die Ablage nach ein paar Sekunden wieder gelöscht wird. Oder zum Workflow: Automatische Logins beherrschen beide ähnlich gut, wollt Ihr aber manuell Kennwort oder Nutzernamen kopieren, ruft Ihr bei Password Boss den Eintrag auf, schaltet dann das Passwort auf „sichtbar“ und kopiert es dann. In KeePass genügt ein Doppelklick auf ******-Darstellung des Passworts/Nutzernamens. Vor allem bietet KeePass jedoch Wenn-Dann-Das-Routinen zum Automatisieren (etwa automatisches syncen, wenn KeePass gestartet oder ein Eintrag gespeichert wird).

Auch ist KeePass sehr detailliert einstellbar, etwa was das Startverhalten angeht, wie genau mit Formularen umgegangen werden soll, wie es sich als Programm verhalten soll und so weiter, es sind Dutzende Optionen – beim Boss sind es ungefähr vier. Aber es ist gar nicht nötig, einzelne Features aufzuzählen, denn für KeePass gibt es gut 100 Add-ons (inklusive einigem Nonsens).

keepass
Vieeeel mehr Features und Optionen – für lau.

Password Boss hat aber auch Features, die KeePass nicht hat: Es wird ein interner, „sicherer Browser“ angeboten – ein eingebetteter Internet Explorer, nett, aber überflüssig. Ebenfalls nett ist Option, Zahlungsdaten für Kreditkarte und Konto einzupflegen, damit diese automatisch auf Bezahl-Seiten eingefügt werden – kann KeePass via Add-on allerdings auch, natürlich umfangreicher. Mit Boss könnt Ihr dafür Bezahl-Infos mit anderen Teilen – dahinter steckt zwar nur eine Einladungs-Mail, der Empfänger benötigt einen PB-Account, aber nett ist es dennoch. Es gibt auch einen Facebook-Knopf – scheinbar kann man da seinen „Sicherheitsstatus“ veröffentlichen?! (Sorry, Facebook-Integration in einem Passwort-Manager teste ich nicht, völliger Unfug.) Wahl des Backup-Landes klingt super! Standardmäßig landen Eure Daten in Irland, das dürfte Euch bekannt vorkommen. Sofern Ihr die Cloud-Sync-Funktion nutzt, könnt Ihr dies aber ändern – nur leider ist Deutschland keine Option: USA, Sidney, Sao Paolo, Singapur, Tokyo. (Die Lokation von Cloud-Diensten ist im Unternehmensbereich tatsächlich ein riesen Thema.)

passwordboss
Wo landen meine Daten? Das liegt bei Euch – in sehr, sehr engem Rahmen.

Performance

Performance? Ernsthaft? Bei einem Passwort-Safe-Test über Performance zu sprechen ist eigentlich völliger Quatsch, aber da KeePass (mit gut 100 Datensätzen) 35 MB RAM in Anspruch nimmt und sich ansonsten völlig still verhält, sollte schon erwähnt werden, dass Password Boss kontinuierlich Lese- und Schreibvorgänge im RAM durchführt und aktuell 252 MB RAM verbraucht – mit einem Testdatensatz und ungefähr 30 ungefragt aus Firefox übernommene Logins). Hinzu kommen Verzögerungen in der GUI, insbesondere beim Browser. Und wieder ein Punkt für KeePass …

passwordboss
IE? Nein Danke – auch nicht eingebettet und abgesichert.

Ausnahme und Fazit

Eine Ausnahme wurde versprochen, hier ist sie: Wenn Ihr den maximalen Komfort haben wollt, ohne Euch auch nur fünf Minuten mit irgendetwas beschäftigen zu müssen, völliges Vertrauen in die PasswordBoss LLC. aufbringt und bereit seid, dafür 29,99 USD pro Jahr aufzubringen, ist das Tool definitiv einen Kauf wert – sofern Ihr das insgesamt eindeutig bessere KeePass bewusst verschmäht, da die Synchronisation etwas umständlicher, weil sicherer ist.
[UPDATE:] Noch ein Kriterium für die Ausnahme: Support nur auf Englisch.

In einem Satz: Bei Password Boss ist die Synchronisation via Cloud einfacher als bei KeePass – dafür ist bei KeePass alles andere besser.

Ein letztes Wort noch zur Oberfläche: Ich höre schon wieder die lieben Kollegen: „Bäh, KeePass sieht so altbacken aus, voll lame, guck mal Apple hier, Kacheln dort …“. Dazu zweierlei: Zum einen brauche ich bei einer Sicherheits-Software kein Eyecandy und KeePass sähe schon moderner aus, würde ich hier auf den Screens nicht Windows-Klassik als Theme nutzen. Zum anderen sieht Password Boss sicherlich moderner aus, ist hübscher – aber bei vielen Passwörtern ist es nicht sonderlich übersichtlich. Dieses moderne Design verbraucht schlicht und ergreifen zuviel Platz für einzelne Einträge – bei 13 Passwörtern ist das schick, bei 130 eine elende Scroll-Orgie. Bei KeePass ist es eine schlichte Datenbankansicht mit Baum-Navigation, sehr gut lesbar, mit Account-Details schon in der Übersicht und dazu anpassbar – weniger Eyecandy, aber dennoch die deutlich bessere GUI.

keepass
Der Charme eines Backsteins – aber übersichtlich.

[Nachtrag:] KeePass gibt es als Portierungen für so ziemlich alle Systeme, selbst Palm OS! Password Boss gibt es für Windows und die üblichen Smartphones.

[]Nachtrag 2:] OK, das finde ich jetzt nicht mehr akzeptabel: Password Boss lässt sich nicht beenden! Killt Ihr das Programm über den Taskmanager, startet es sofort wieder automatisch. Das mag als Sicherheits-Feature gedacht sein, lässt sich aber scheinbar nicht deaktivieren. Liebe Entwickler, nichts und niemand schreibt mir auf meinem Rechner vor, ob ich ein Anwendungsprogramm laufen lasse oder nicht. Ich versucht’s jetzt mal mit Deinstallation – mal schauen, ob ich das darf.

[wp-review]

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

Ein Kommentar

  1. Danke für den Artikel! Heute gäbe es eine 180-Tage-Version von Password Boss Premium beim Heise-Adventskalender und jetzt bin ich noch sicherer, dass ich das nicht brauche…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Schließen

Ooopsi!

Bitte deaktiviere Deinen Adblocker.