Seit dem 11. August 2015 spei­che­re ich mei­ne Pass­wör­ter bereits in einer auf mei­nem Com­pu­ter ver­schlüs­sel­ten Daten­bank, deren Sicher­heit und Ver­füg­bar­keit nicht vom Wohl­wol­len eines Drit­ten abhängt. Mit gopass schickt sich der­zeit – in abseh­ba­rer Zeit, betrach­tet man die geplan­ten Funk­tio­nen – eine Alter­na­ti­ve an, von mir emp­foh­len zu wer­den, aber an ver­füg­ba­ren Pro­gram­men für die­sen Zweck man­gelt es schon jetzt nicht.

Die­ser Tage unter­hielt ich mich mit einem Kun­den von Last­Pass, einem „Dienst“, des­sen Geschäfts­mo­dell es ist, die Pass­wör­ter ande­rer Leu­te auf den Com­pu­tern des Anbie­ters zu spei­chern. Das sei, wur­de mir mit­ge­teilt, kein Pro­blem, denn man habe ja einen Ver­trag abge­schlos­sen, der besa­ge, dass das Unter­neh­men dafür haf­te, wenn jemand mit den Daten Scha­den anrich­tet. (Das steht in die­sem Ver­trag übri­gens aus­drück­lich nicht drin, vgl. etwa Punkt 8.1.) War­um ich das jetzt erwäh­ne? Nun, bei Last­Pass haben sie die Pass­wör­ter der Kun­den bezie­hungs­wei­se jeden­falls deren Streu­wert („Hash“) in Kopie raus­ge­tra­gen. Ange­sichts der belieb­te­sten Pass­wör­ter der Deut­schen ist der Hin­weis, dass man für eine Ent­schlüs­se­lung der gespei­cher­ten Pass­wör­ter ja das „Master­pass­wort“ (darf man das eigent­lich noch so nen­nen?) brau­che, ein eher schwa­cher Trost für die Betrof­fe­nen.

Aber sie haben ja einen Ver­trag. Dann ist ja alles in Ord­nung.