12.08.2023, 08:35 Uhr | Lesezeit: 11 Minuten
Streaming-Dienste, Shopping-Websites, Social Media, Banking-Apps und Transport-Unternehmen – die Liste an Plattformen und Dienstleistern, die wir jeden Tag nutzen, ist schier endlos lang. Und überall kann man sich fix ein Konto anlegen oder eine App installieren. All die Zugangsdaten aber kann und will sich niemand merken. Passwort-Manager sind hier die Helferlein der Stunde. TECHBOOK hat geprüft, welche besonders sicher und praktisch sind.
Erinnern Sie sich noch an die Notizbücher oder Papierlisten, in die man fein säuberlich Zugangsdaten und Passwörter eintrug, um sie dann irgendwo im Bücherregal zu verstecken? Klar, das kann man auch heute noch so machen, aber besonders sicher ist das nicht. Und praktisch erst recht nicht, wenn man irgendwo im Zug, Bus oder Büro sitzt und sich mal eben im Online-Shop einloggen oder die nächste Urlaubsreise buchen möchte. Dann fragt man sich oft: Äh, was war nochmal mein Passwort? Und wo schreibe ich die Zugangsdaten zum neu angelegten Account jetzt schnell hin? Ein Passwort-Manager auf dem Smartphone, Laptop oder Endgerät der Wahl kann da eine echte Hilfe sein.
Übersicht
Passwort-Manager sollte man gut schützen
Doch wie sicher sind diese Apps und Dienste, denen man immerhin gebündelt alle Zugangsdaten anvertraut? (Außer die, die man aufzuschreiben vergessen hat und von denen man inständig hofft, dass man sie nie wieder braucht.) Das Konzept der Passwort-Manager ist denkbar einfach. Sie sammeln alle Zugangsdaten und sichern sie mit einem Masterpasswort. Dieses Über-Passwort ist – zumindest für die Nutzer – auch die größte Schwäche des digitalen Schlüsselbundes. Es darf nicht zu leicht zu knacken sein, gleichzeitig muss man es sich gut merken können. Ist nämlich das Hauptpasswort einmal entfallen, nützt einem der Passwort-Manager so viel wie ein verschlossener Safe am Grunde des nächstgelegenen Sees. Wenn Sie Ihrem Gedächtnis nicht trauen, könnte die Zettelmethode für dieses eine Passwort wieder attraktiv werden – vorausgesetzt Sie finden ein exzellentes Versteck.
Alternativ kann man auch auf eine Text-Datei mit Passwortschutz auf einem gut verwahrten USB-Stick zurückgreifen. Diese Form hat einen weiteren Vorteil im Fall des eigenen Todes. „Die Erben können sich so strukturiert um den digitalen Nachlass kümmern“, erklärt Jennifer Vanessa Kaiser von der Verbraucherzentrale Rheinland-Pfalz. Doch auch ohne Hintergedanken an die eigene Sterblichkeit arbeiten viele Nutzer bereits ganz selbstverständlich mit einem Passwort-Manager, ohne sich dessen so recht bewusst zu sein. Die Rede ist von Browser-Lösungen – von denen einige allerdings eine gefährliche Sicherheitslücke aufweisen.
Auch interessant: WLAN-Passwort vergessen? 6 Tipps, um es wiederzubekommen
Browser-Lösungen von Firefox, Safari und Chrome
Wenn man sich auf einer beliebigen Website einen neuen Account erstellt, fragt der zuvorkommende Browser oft, ob die Login-Daten gespeichert werden sollen. Beim nächsten Besuch muss man Nutzername und Passwort nicht mehr händisch eintragen, stattdessen füllt der Browser sie automatisch aus. Apples Safari nutzt dafür zum Beispiel den iCloud-Schlüsselbund und kann damit auf allen Geräten, die ein aktives Nutzerkonto aufweisen, die jeweiligen Zugangsdaten bereitstellen. Chrome arbeitet genauso, verwendet aber das Google-Konto. Firefox nutzt den Firefox-Account mit dem Synchronisierungsdienst Sync oder das Programm Lockwise.
So bequem das im Alltag auch ist, gibt es für manche Nutzer einen lästigen Nachteil: Wer häufig zwischen den Browsern wechselt, muss entweder im Kopf behalten, wo welche Zugangsdaten hinterlegt sind, oder aber in allen Browsern alle Daten speichern. Oder sich zukünftig auf einen Browser festlegen.
Und auch in Sachen Sicherheit gibt es einen eklatanten Mangel bei den Browser-Lösungen von Firefox und Chrome. Diese Browser speichern die Passwörter nämlich ungesichert ab. Somit erhalten alle, die Zugang zum betroffenen Endgerät haben, auch den Zugriff auf die im Browser gespeicherten Login-Daten. Lediglich Apples Browser Safari speichert die Daten in einem wiederum passwortgesicherten Schlüsselbund. In der Praxis bedeutet das, dass Safari die Zugangsdaten auf einer Website erst dann ausfüllt, wenn man das Gerätepasswort bzw. beim Smartphone die PIN eingibt oder sich alternativ mit Face-ID oder Fingerabdruck verifiziert. Vor allem mit den letzten beiden Methoden ist der Aufwand dieses Umweges kaum nennenswert, erhöht die Sicherheit aber enorm.
Lesen Sie auch: Wie Google mit seinen „Passkeys“ Passwörter ersetzen will
So sorgen Sie für mehr Sicherheit bei Mozilla Firefox
Bei Mozilla Firefox kann man diese kleine Extra-Meile aktivieren, indem man festlegt, dass Firefox die Login-Daten im integrierten Passwort-Manager Lockwise mit einem Masterpasswort schützt.
- Öffnen Sie dazu den Browser Firefox und gehen Sie auf „Einstellungen.“
- Wählen Sie nun den Menüpunkt „Datenschutz & Sicherheit“ und scrollen Sie zum Abschnitt „Zugangsdaten und Passwörter“.
- Hier können Sie verschieden Einstellungen vornehmen, unter anderem „Hauptpasswort verwenden“ und ein Masterpasswort festlegen, dass Sie sich idealerweise gut merken können.
Wenn Sie nun das Bedürfnis haben, auch dieses Masterpasswort an einem sicheren Ort zu hinterlegen oder generell ihre Zugangsdaten unabhängig von einem Browser sicher abspeichern möchten, empfiehlt sich eine Passwort-Manager-App.
Lesen Sie auch: Das sollten Sie wissen, wenn Sie Arzttermine per Doctolib buchen
Das muss ein Passwort-Manager können
Schon lange raten Experten dazu, möglichst komplexe Passwörter zu verwenden und gerade mit KI-Unterstützung lassen sich Passwörter zunehmend leichter knacken. Damit gilt also noch eindringlicher als zuvor: Verwenden Sie lange, möglichst sinnlose Passwörter mit reichlich Zahlen und Sonderzeichen. Schon hier treten Passwort-Manager unterstützend auf den Plan, da sie Passwörter unterschiedlichster Sicherheitsstufen generieren können. Dabei gilt allerdings, dass ein sicheres Passwort auch meist ein schwer bis unmöglich zu merkendes Passwort ist. Man könnte also sagen, dass Passwort-Manager ihre Notwendigkeit – zumindest ein Stück weit – selbst kreieren.
Es gibt allerdings noch andere Aspekte, die ein guter Passwort-Manager erfüllen muss. Die Anwendung sollte einen sicheren Dateispeicher besitzen und nach Möglichkeit auch auf mehrere Geräte übertragbar sein. Schließlich nutzt man die meisten Dienste, Accounts und Apps, die einen Login erfordern, auch auf mehreren Geräten. Auf Websites und in Apps füllt der Passwort-Manager die Daten automatisch aus und vervollständigt auch Formulare und Zahlungsdaten. Erkennt der Passwort-Manager ein Passwort als zu schwach, sollte er die Option anbieten, das Passwort durch ein stärkeres zu ersetzen. Außerdem enthalten einige Passwort-Manager eine Darknet-Überwachung und alarmieren bei Sicherheitsverstößen. Allerdings umfasst nicht jeder Passwort-Manager alle Funktionen und besonders bei den kostenlosen Versionen muss man häufig Abstriche machen.
Die sichersten kostenlosen Passwort-Manager
Die Liste mit wirklich sicheren und komplett kostenlosen Passwort-Managern ist ziemlich kurz. Allerdings lohnt es sich, einen Blick auf die Testversionen der kostenpflichtigen Dienste zu werfen oder deren kostenlose Variante mit abgespecktem Funktionsspektrum zu nutzen, wie etwa Bitwarden. Denn leider gilt auch bei den Passwort-Managern wie so oft: Geld oder Komfort.
KeePass
KeePass ist ein komplett kostenloser Passwort-Manager, der in Sachen Sicherheit leicht mit kostenpflichtigen Modellen mithalten kann. Die Verschlüsselung der Datenbank läuft über Advanced Encryption Standard (AES) und den Twofish Algorithmus. Da es sich bei KeePass um ein Open-Source-Projekt handelt, ist der Programmcode öffentlich zugänglich und wird ständig verbessert und kontrolliert. Allerdings erfordert die Einrichtung der App einiges an Vorwissen oder zumindest Recherche, wenn man das volle Funktionsspektrum nutzen möchte. Für den Import von Passwörtern aus Browsern oder das automatische Ausfüllen von Login-Daten muss man nämlich zusätzliche Plug-ins installieren. Die größte Herausforderung liegt aber darin, dass KeePass offiziell nur für Windows nutzbar ist, sodass die Nutzer von Android, iOS und MacOS auf Drittanbieter-Apps angewiesen sind. Diese sind in der Regel aber ebenfalls Open Source, was ein angemessenes Sicherheitsniveau gewährleistet.
| Pro | Contra |
|---|---|
| Komplett kostenlos | Offiziell nur für Windows verfügbar |
| Open Source, dadurch hohe Transparenz | Komplizierte Einrichtung, die gewisses Knowhow erfordert |
| Hohe Sicherheit | |
| Plug-in-Unterstützung | |
| Aktive Community |
Lesen Sie auch: Was sich bei der Beantragung von Personalausweis und Reisepass ändert
Überraschendes Ergebnis 14 bezahlte und kostenlose Passwortmanager im Test
Praktische Gleichmacherei Browser synchronisieren: Wie es geht, was Sie beachten müssen
Neue Funktionen in Chrome Passwort gehackt? Ihr Smartphone kann es Ihnen jetzt zeigen
Die sichersten kostenpflichtigen Passwort-Manager
Bitwarden
Bitwarden sticht mit seinem vergleichsweise günstigen Preis von 10 Euro pro Jahr aus der Liste hervor. Dabei enthält Bitwarden alle nötigen Funktionen und ist sogar ein Open-Source-Projekt. Die Handhabung ist unkompliziert, schwache Masterpasswörter sind unzulässig und der Sync-Vorgang läuft automatisch.
| Pro | Contra |
|---|---|
| Sehr gutes Sicherheitskonzept | Kein Password-Sharing |
| Vergleichsweise günstiger Abo-Preis | Mängel in den AGB |
| Kostenlose Version | Autofill zum Teil unzuverlässig |
| Sync über privaten Server möglich | Kein Sync über alternative Cloud-Dienste |
| Integrierter Authenticator (2FA) | |
| Verschlüsseltes Versenden und Speichern von Daten | |
| Open Source, dadurch hohe Transparenz | |
| Familienabo (bis zu 6 Personen) |
Keeper
Keeper ist einer der teureren Dienste mit 42 Euro pro Jahr. Dafür enthält er praktisch alle gängigen Funktionen, wie auch die Anmeldung auf Websites durch Face-ID oder Fingerabdruck. Außerdem gibt es die Option Notfallwiederherstellung und Keeper schätzt außerdem die Stärke eines Passworts ein. Wer möchte, kann die Darknet-Überwachung, die bei anderen Passwort-Managern schon im Preis enthalten ist, noch hinzubuchen. Wer großen Wert darauf legt, den Sync-Vorgang selbst zu steuern, wird mit Keeper nicht rundum glücklich, da der Dienst keine nutzereigenen Server oder alternative Lösungen zulässt.
| Pro | Contra |
|---|---|
| Sehr gutes Sicherheitskonzept | Vergleichsweise teuer |
| Gute Ausstattung | Keine kostenlose Version |
| Recovery-Option | Kein Sync über alternative Quellen |
| Unterstützt 2FA und Security Key | |
| Familienabo | |
| Geeignet für Unternehmen |
Dashlane
Dashlane ist sowohl als Desktop-App als auch als Web-Anwendung verfügbar. Beide Versionen sind in der Handhabung intuitiv und verfügen über ein umfangreiches Funktionsspektrum, allen voran das automatische Einloggen und Speichern von Nutzerdaten. Allerdings wird die App nicht länger weiterentwickelt. Je nach Abo – Advanced oder Premium – enthält Dashlane auch einen VPN, ist aber mit bis zu 53 Euro vergleichsweise teuer. Die dauerhaft kostenlose Version ist dagegen auf ein Gerät begrenzt.
| Pro | Contra |
| Gutes Sicherheitskonzept | Mängel in den AGB |
| Kostenlose Version (auf ein Gerät bergrenzt) | Vergleichsweise teuer |
| Darknet-Überwachung | Keine Updates mehr für Desktop-App |
| Premium-Abo: inklusive VPN | Keine Synchronisation über alternative Quellen |
| Inklusive Authenticator (2FA) | |
| Familienabo (bis zu 6 Personen) | |
| Automatischer Passwort-Changer |
1Password
1Password von AgileBits ist ein sehr brauchbarer Password-Manager, der alle relevanten Funktionen erfüllt und sogar noch ein, zwei Features mehr zu bieten hat. Der Dienst unterstützt neben Windows, Android, macOS und iOS auch Linux und ChromeOS. Außerdem beinhaltet er die Funktion Reisemodus. Hierbei können Nutzer ihre sensiblen Daten komplett vom jeweiligen Gerät entfernen und stattdessen auf dem Firmenserver von 1Password speichern. Gedacht ist die Funktion für Reisen in Länder, die womöglich Zugriff auf Smartphone oder PC verlangen. Nach der Reise können Sie den Reisemodus wieder deaktivieren, sodass die Daten automatisch wieder hergestellt werden. Ähnlich wie Dashlane bewegt sich 1Password im eher gehobenen Preissegment.
| Pro | Contra |
|---|---|
| Zentrale Geräteverwaltung | Vergleichsweise teuer |
| Gutes Sicherheitskonzept | Mängel in den AGB, keine deutsche Gebrauchsanleitung |
| Warnung bei Passwortverlust | Kein Password-Sharing |
| Reisemodus | Keine alternativen Quellen |
| Famillienabo |
Enpass
Anders als viele andere Passwort-Manager speichert Enpass die Nutzerdaten nicht auf einem zentralen Server. Stattdessen können die Nutzer selbst entscheiden, ob sie ihre Passwörter in einer Cloud, direkt auf dem Gerät oder in einem heimischen Network Attached Storage (NAS) speichern möchten. Hier ist allerdings ein Mindestmaß an technischem Vorwissen nötig. Darüber hinaus ist Enpass die richtige Wahl für alle, die sich nicht mit einem Abo belasten wollen, denn es gibt auch die Option zum einmaligen Kauf.
| Pro | Contra |
|---|---|
| Gutes Sicherheitskonzept | Unterstützt keine Security Keys |
| Option für Einmalkauf | Manueller Datenabgleich zwischen Geräten |
| Verschieden Optionen zum Datenspeichern: Cloud, Geräte, NAS | Kostenlose Testversion stark eingeschränkt |
| Sync über alternative Quellen möglich | |