How to bring relatives & friends to use a password manager

After about two years of effort, here's my personal experience report on "How do I get my relatives/friends to use a password manager?"

• It helps to use a free product (e.g., KeePass, Bitwarden, etc.), so there is no price argument against it
  
• It helps to use a widely audited open-source product (e.g., KeePass, Bitwarden, etc.), to establish trust in the provider/solution
  
• It's important to convince relatives/friends with convenience. Unfortunately, most people are not very interested in security. Convenience motivates long-term use. Prerequisites for convenience include:
• Access to the same vault from PC, tablet, and phone (usually via vault-in-cloud)
• Auto-Type for automatic password entry on all devices (PC/laptop & tablet/phone)
• Detection of new/changed manual typed in credentials with one-click saving to the password manager.
• Support for passkeys/cert-based-auth for automatic login
• Biometric or simple (but secure) unlocking of the password manager (personally, I only trust devices with an audited secure enclave chip for storing biometric data + a biometric scanner which isnt bypassed by simply showing a picture + protection against brute force/abuse + remote-wipe/remote-lock capability; but many people already use their fingerprint/faceprint on their phone, which can then be used).

3 Phases

I have had the best experiences with a migration/integration divided into three phases:

1. Force people to use it - it's important to set up the password manager on their PC, tablet, and phone, with automatic password entry and detection when new credentials are manually entered, so they can be saved directly in the password manager.
2. Collect all accounts over a few weeks/months and convince people of the convenience (automatic login/auto-type) of the password manager. (A bit like the initial discovery phase of an asset inventory or a CMDB)
3. By now, people don't care about the password anymore. So, I can introduce complex, unique passwords. This starts especially with email accounts, etc.
4. (The fourth phase would be to set up MFA everywhere, possibly integrating it into the password manager if possible, and changing all passwords to unique & strong ones.)

Notes

a) Depending on the age or willingness to try new things, I also set up MFA for email accounts right in Phase 1. For some, setting up a password manager and MFA at the same time leads to overwhelm, so take it slowly step by step, first the password manager, then MFA a few weeks later. Besides, MFA is great, but for email, one factor (username+password) usually still works via POP3/IMAP/SMTP/ActiveSync, so a strong password is still important (email accounts are among the most important accounts because of the password reset option of all the accounts).

b) It's worth enabling the automatic check on haveibeenpwnd and similar services in a password manager if such a feature is available. Often, it reveals that passwords, which have never been changed, have been compromised for years.

c) A password manager also needs to be hardened, e.g., by increasing KDF iterations, etc.

d) Have a backup from the beginning (e.g., Recovery Key, Master Password on paper in a safe/folder, in case it is forgotten, etc.). This ensures that if people make a mistake, you still have access to your password manager vault. For example, I once had a case where a user accidentally deleted their MFA entry. I had set up a backup for the MFA app (it was Microsoft Authenticator in this case), but the backup only protects against device loss, not manual deletion of entries. So, we needed a recovery key, which I had also set up. So, think about misuse and have a backup for it.

e) For IT/IT-Sec folks, I recommend giving them YubiKeys. Just gift them one or two (backup) and force them to use them for their own good :-) It quickly takes off once the first account is set up.

f) This takes time. For example, last week, I visited close friends (both mid-30s) for dinner, so I could push Phase 3 on them. It took another 2 hours, but all questions were answered, and they now love using Bitwarden and recommend it themselves. But you need the time. Confused users won't use it, which would be sad 😊.

Using this method, I have now got a small double-digit number of people to use Bitwarden permanently. And they, in turn, have started getting others to use it. Many small steps. I think it's great ☺️.

 

German / Deutsch:

Nach ca 2Jahren Bemühungen mein persönlicher  Erfahrungsbericht zu „Wie kriege ich meine Verwandten/Freunde dazu einen Passwort-Manager zu verwenden?“

• Hilfreich ist es auf einen kostenloses Produkt zu setzen (zB KeePass, Bitwarden,..), dann kommt kein Preis Gegenargument
• Hilfreich ist es auf ein mehrfach auditiertes OpenSource Produkt zu setzen (zB KeePass, Bitwarden,..), damit Vertrauen zum Anbieter/zur Lösung hergestellt werden kann
• Wichtig ist, dass man die Verwandten/Freunde mit Komfort überzeugt. Sicherheit interessiert leider die meisten wenig/nicht genug. Komfort motiviert, dass es langfristig genutzt wird. Für Komfort ist Voraussetzung:
• Zugriff von PC, Tablet und Handy auf ein und den selben Vault (i.d.R. via Vault-in-Cloud)
• Auto-Type für automatische Eingabe der Passwörter auf allen Geräten (PC/Notebook & Tablet/Handy)
• Erkennung von neuen/geänderten manuellen Credentials mit-1-Klick-Speichern-in-PW-Manager
• Support von Pass-Keys/ Zert-Based-Auth für automatische Anmeldung
• Biometrische bzw einfache (aber sichere) Entsperrung des Passwort-Managers (wobei ich persönlich da nur bei Geräten mit auditierter SecureEnclave als Speicherort für Biometrische Daten vertraue + wenn nicht nur ein normales Bild zum entsperren reicht + Schutz vor BruteForce/Abuse + RemoteWipe/RemoteLock; Aber viele nutzen ja auf ihrem Handy bereits ihren Fingerprint/Faceprint, das kann dann mitgenutzt werden)

3 Phasen

Ich habe die besten Erfahrungen gemacht durch eine Migration/Integration, die ich in drei Phasen eingeteilt habe:

1. Zuerst mal die Leute überhaupt zwingen - wichtig ist, den PW-Manager auf deren PC, Tablet und Handy einzurichten, mit automatischer PW-Eingabe sowie Erkennung, wenn neue Credentials irgendwo manuell eingegeben werden, dass man diese direkt im PW-Manager speichern kann
2. Dadurch ein paar Wochen/Monate alle Accounts sammeln und die Leute vom Komfort (automatische Anmeldung/Auto-Type) das Passwort-Managers überzeugen. (Ein bisschen wie die erste Discovery-Phase eins Asset-Inventorys beziehungsweise einer CMDB)
3. Den Leuten ist mittlerweile das Passwort egal geworden. Also kann ich auch komplexe unique Passwörter einführen. Da beginnt man vor allem bei den Mailaccounts, usw.
4. (Die vierte Phase wäre dann überall MFA einzurichten, gegebenenfalls diesen auch in den Passwort-Manager mit zu integrieren, falls das möglich ist, sowie alle Passwörter auf unique & starke PWs zu ändern)

Anmerkungen

a) Je nach Alter bzw Bereitschaft-auf-Neues habe ich ihn Phase1 auch gleich MFA für die Mail-Accounts mit eingerichtet. Bei manchen führt PW-Manager & MFA gleichzeitig einrichten zur Überforderung, da dann iterativ Stück für Stück langsam vorgehen, und erst den PW-Manager, ein paar Wochen später MFA. Außerdem ist MFA super, aber bei Mail geht ja meistens trotzdem ein Faktor (Username+Password) via POP3/IMAP/SMTP/ActiveSync weiterhin, d.h. da ist ein starkes PW weiterhin wichtig (Mail-Accounts gehören zu den wichtigsten Accounts gehören, wegen der Passwort-Reset-Option für Accounts)

b) Es lohnt sich ein Passwort Manager gleich die Funktion automatischer Abgleich auf haveibeenpwnd und Co zu aktivieren, falls es eine solche Funktion gibt. Da kommt oft genug raus, dass nie geänderte Passwörter seit Jahren kompromittiert sind

c) Auch ein PW-Manager muss gehärtet werden, dh zB KDF-Iterations hochsetzen, usw.

d) Von Anfang an überall ein Backup haben (zb Recovery Key, Master-PW auf Zettel in Tresor/Ordner, falls es vergessen wird,.. Notfallzugriff eben), so dass man sich sicher sein kann, dass wenn die Leute etwas falsch machen,  man trotzdem noch Zugriff auf seinen Passwort-Manager Vault hat. ZB hatte ich zu Beginn einmal den Fall, dass ein Benutzer versehentlich dein MFA Eintrag gelöscht hat. Ich hatte extra dazu ein Backup für die MFA-App (war Microsoft Authenticator in dem Fall) eingerichtet, das Backup schützt aber nur bei Geräteverlust, nicht bei manuellen Löschen von Einträgen. Da haben wir also einen Recovery-Key gebraucht, den ich auch eingerichtet hatte. Also auch an Fehlbenutzung denken und ein Backup dafür haben.

e) Für IT/IT-Sec‘ler empfehle ich ihnen YubiKeys aufzudrücken. Einfach einen bzw zwei (Backup) schenken und sie zu ihrem Glück zwingen :-) Startet dann schnell von alleine, wenn der erste Account eingerichtet ist.

f) Das kostet Zeit. ZB war ich letzte Woche bei einem gut befreundeten Paar (ca Mitte 30) zum Abendessen, damit ich ihnen danach noch Phase3 aufs Auge drücken durfte/wollte. Hat wieder 2 Stunden gekostet, aber so waren alle Fragen geklärt und die beiden benutzen Bitwarden mittlerweile total gern und empfehlen es selber. Aber die Zeit braucht man. Verwirrte Benutzer nutzen es sonst nicht, wäre ja schade drum 😊

Ich habe mit dieser Methode mittlerweile eine kleine zweistellige Anzahl an Leuten dauerhaft zu Bitwarden gekriegt. Und die wiederum haben angefangen andere darauf zu kriegen. Viele kleine Schritte. Find ich gut ☺️