Zero-Knowledge: Anbieter ohne Wissen über Ihre Daten

Bei einer Zero-Knowledge-Architektur findet die Ver- und Entschlüsselung Ihrer Daten ausschließlich auf Ihrem eigenen Gerät statt. Der Anbieter speichert nur einen verschlüsselten Datenblock und kennt weder Ihr Masterpasswort noch den daraus abgeleiteten Schlüssel.

Selbst Mitarbeitende des Anbieters, Cloud-Hoster oder behördliche Zugriffe können den Tresor ohne Ihr Masterpasswort nicht öffnen.

Datenlecks bei Anbietern sind nie ganz auszuschließen. Zero-Knowledge sorgt dafür, dass ein erbeuteter Tresor für Angreifer zunächst nur eine Sammlung verschlüsselter Bytes ist.

Damit verlagert sich die Sicherheit weg vom Vertrauen in den Anbieter hin zur Stärke Ihres Masterpassworts und zur Qualität der eingesetzten Verschlüsselung.

• Schwaches oder wiederverwendetes Masterpasswort - mit genug Rechenleistung angreifbar
• Veraltete oder schlecht parametrisierte Schlüsselableitung (z. B. zu wenige PBKDF2-Iterationen)
• Angriffe auf das Endgerät, etwa durch Malware oder kompromittierte Browser-Erweiterungen
• Phishing auf die Anbieter-Login-Seite, bei dem Masterpasswort und 2FA-Code abgegriffen werden

• Anbieter wählen, die ihre Architektur in einem öffentlichen Whitepaper dokumentieren
• Auf regelmäßige unabhängige Audits und einen klaren Umgang mit Sicherheitslücken achten
• KDF-Parameter prüfen (Argon2id oder hohe PBKDF2-Iterationen) und ggf. erhöhen
• Masterpasswort als lange, einzigartige Passphrase wählen und zusätzlich 2FA aktivieren

• "Zero-Knowledge heißt absolut sicher" - die Architektur schützt den Server, nicht das Endgerät
• "Ohne Cloud ist es automatisch besser" - auch lokale Tresore brauchen sauberes Schlüsselmanagement
• "Der Anbieter kann mir bei vergessenem Masterpasswort helfen" - genau das schließt Zero-Knowledge bewusst aus

Zero-Knowledge ist heute der erwartete Standard für seriöse Passwortmanager. Es ist eine wichtige, aber nicht die einzige Schutzschicht: Masterpasswort, 2FA und Endgerätesicherheit bleiben genauso entscheidend.