Passwort-Manager Test 2021: Bei welchem Anbieter sind Ihre Passwörter am besten geschützt?

Ein wirklich sicheres Passwort hat 20 Zeichen inklusive Ziffern und Sonderzeichen, ist wild gemixt, folgt keiner Struktur und ist völlig unmöglich auf Dauer im Kopf zu behalten. Für jedes Online-Konto brauchen Sie ein eigenes, unmöglich zu merkendes. Fast genauso sicher ist es, alle diese Passwörter in ein Büchlein zu notieren und dieses in den Safe neben den Schreibtisch zu legen (der Safe bitte feuerfest und mindestens 200 kg schwer).

Alles furchtbar unpraktisch – ein Kompromiss zwischen Komfort und Sicherheit ist gefragt, und dieser heißt Passwortmanager. Mit jeder Komfortstufe geht etwas Sicherheit verloren:

Digital: Wenn Passwörter digital gespeichert sind, gibt es keinen Medienbruch. Sie müssen Passwörter nicht aus Ihrem Büchlein abtippen, sondern können sie kopieren und einfügen. Der Nachteil: Digitale Daten lassen sich von Hackern leichter erbeuten und mit viel Zeit vielleicht sogar knacken. Ein starkes Master-Passwort schützt davor.

Mobil: Die Passwortsammlung ist nicht nur am PC vorhanden, sondern auch am Handy oder an anderen Rechnern. Der Nachteil: Ein Passwort-Safe wird vielleicht irgendwo vergessen oder an einem Gerät verwendet, das kompromittiert ist. Auch hier schützt ein starkes Master-Passwort.

Automatisch: Browser-Plug-ins oder Handy-Apps speichern Log-in-Daten und geben sie auch automatisch in Webseiten ein. Sehr praktisch. Das setzt aber voraus, dass der Safe immer irgendwie offen ist und das Plug-in Zugriff darauf hat. Diese Funktion sollte man nur am eigenen, gut geschützten Rechner einschalten und den Safe alle paar Stunden automatisch schließen lassen.

Cloud: Hat der Anwender ein Passwort an einem Rechner geändert, steht dieses auf anderen Geräten und dem Handy ebenfalls in kurzer Zeit parat. Enorm praktisch und theoretisch auch relativ sicher, denn die Verschlüsselung findet Ende-zu-Ende statt. Der Cloud-Anbieter hat also keinen Zugriff auf unverschlüsselte Daten. Aber man muss einem Dritten vertrauen, dass dieser die Prozesse auch wirklich vernünftig abgesichert hat. Probleme sind seit dem Leak von Last Pass im Jahr 2015 nicht mehr bekannt geworden. Wir haben uns entschlossen, die Cloud im Test nicht per se als Risiko einzustufen.

Den Schutz insgesamt erhöhen:

Starkes Master-Passwort: Falls der Safe in falsche Hände gerät, ist die Nuss schwer zu knacken. Es sollte mindestens zwölf Zeichen lang sein, auf keinem Wort einer Sprache basieren und Ziffern sowie Sonderzeichen enthalten.

Zwei Faktoren: Wer wirklich sicher gehen will, versieht das Master-Passwort mit einem zweiten Faktor. Das kann eine Schlüsseldatei auf einem USB-Stick sein oder ein richtiger Hardware-Token wie Yubikey oder Titan von Google. Cloud-Dienste verlangen oft eine Bestätigung, etwa per Mail oder App, wenn sich ein neues Gerät anmeldet.

Biometrie: Oft lässt sich am Smartphone der Fingerabdruck einsetzen. Dieser gibt quasi den echten Master-Key frei. Ein Anbieter unterstützt auch Windows Hello

Open Source: Hat die Community ein Auge auf den Quellcode, finden sich Schwach- stellen oft schneller. Mit Bitwarden gibt es sogar einen quelloffenen Cloud-Anbieter.

Noch mehr Komfort

Darüber hinaus bieten die Tools viele Funktionen, die das Leben erleichtern, aber im Kern nicht wirklich sicherheitsrelevant sind. Manche Manager speichern etwa Kreditkartendaten, bieten Platz für verschlüsselte Dateien oder lassen Passwörter für bestimmte Personen, zum Beispiel im Team, freigeben.

Eine sehr hilfreiche Funktion fanden wir die Bewertung alle Passwörter im Safe. Der Anwender bekommt eine Liste, die zeigt, wo er zu schwache Passwörter einsetzt oder welche er zu oft verwendet. Viele Tools greifen auf Dienste wie Have I been pwned (haveibeenpwned.com) zu und warnen, falls eine E-Mail-/Passwort-Kombination gestohlen und in Hackerkreisen veröffentlicht wurde.