Ich stünde MS bezüglich Passwortmanager ja grundsätzlich offen gegenüber, habe allerdings Bedenken, weil ich wie bei anderen in Browsern integrierten Passwortspeichern noch nicht das Gefühl habe, die Passwortdatenbank wirklich im Griff zu haben.
Dafür müsste man einige Features nachrüsten, die etablierte Passwortmanager wie z.B. Enpass besitzen. Dazu gehört eine offizielle Möglichkeit, die Passwortdatenbank verschlüsselt zu exportieren. Weiterhin wäre ein vom Accountpasswort unabhängiges Verschlüsselungspasswort schön, das man auf jedem neu synchronisierten Gerät einmalig hinterlegen muss, und welches das Gerät weder in Klarform (versteht sich ja von selbst) noch als Hash verlässt. Das immer mal wieder zur Benutzung eingegebene Accountpasswort ist dafür nicht sicher genug, weil mit jeder Eingabe das Risiko steigt, dass es irgendwann mal abgegriffen wird.
Als nächstes wäre für soetwas wichtiges eine absolute Kontrolle über den Syncvorgang wünschenswert. Dass das "irgendwie" mit den Browserfavoriten zusammen synchronisiert wird, man weder einen Knopf hat die Sync manuell zu starten, noch detaillierte Statusinformationen zum letzten Stand der Synchronisation erhält, macht das Ganze für mich potentiell unzuverlässig.
Man hat ja gesehen, welche Schwierigkeiten schon das korrekte und zuverlässige synchronisieren einfacher Favoriten und des Verlaufs bereiten kann. Für eine Passwortdatenbank muss Konsistenz und Fehlerfreiheit der Synchronisation absolut sicher gestellt sein.
Es darf nicht passieren, dass ich neues Passwort irgendwo vergebe, das aber nur erstmal lokal gespeichert wird, und dann hängt die Synchronisation oder noch schlimmer es wird irgendwann wieder vom Server mit der älteren Version überspielt. Dann ist das neue Passwort nämlich weg oder wäre gegebenenfalls nicht verfügbar, wenn man es auf einem anderen Gerät braucht. Duplikate aus alten/neuen Einträgen dürften auch nicht passieren.
Sachen, wo sich MS in der Vergangenheit bei ihren Syncs leider nicht gerade mit Ruhm bekleckert hat.
Was mir spontan in der Beta des Microsoft Authenticators aufgefallen ist, und was mich schon direkt negativ stimmt, aber vielleicht kommt das ja noch:
Man muss unbedingt in der Lage sein, Einträge manuell neu anzulegen oder zu bearbeiten. Einen vollwertigen Passwortmanager benutze ich persönlich auch für Lizenzcodes, Kontonummern etc., alles Dinge, die ich nicht darin ablegen kann, wenn die einzige Möglichkeit einen neuen Eintrag anzulegen ist, dass der Browser es mir beim Ausfüllen einer Login Maske automatisch anbietet.
Und natürlich darf ein versehentlich gelöschter oder überschriebener Eintrag nicht restlos verschwinden. Es muss einen über die Geräte synchronisierten Bearbeitungsverlauf und einen "Papierkorb" geben, die es ermöglichen, Änderungen zurück zu nehmen und Einträge wiederherzustellen.
Für mich sind das heutzutage alles Basics eines Passwortmanagers, und ernsthaft testen werde ich die MS Lösung erst, wenn das alles unterstützt wird.
