c't 7/2018
S. 68
Test
Vergessen Sie Passwörter: Passwortmanager
Aufmacherbild

Eins für alle

Fünfzehn Passwortmanager im Test

Ein guter Passwortmanager verwahrt Kennwörter, Formular- und Zahlungsdaten auf sichere Weise. Vertraut man seine Passwörter einer solchen Software an, muss man sich nur noch das Masterpasswort für das Programm merken. Das darf dafür gerne länger als die üblichen acht Zeichen sein.

Passwörter sind aus Nutzersicht vor allem eins: nervig. Sollen sie sicher sein, muss man sich komplizierte und/oder lange Zeichenfolgen merken oder, was es nicht besser macht, sie aufschreiben. Und wenn man sich dann noch an die Empfehlung hält, für jeden Dienst ein eigenes Passwort zu vergeben, steigt man schnell nicht mehr durch. Viele Nutzer haben schon längst resigniert und verwenden der Einfachheit halber ein Passwort für mehrere Dienste – was keine gute Idee ist. Eine einfache und elegante Lösung: Lassen Sie Ihre Login-Daten von einem Passwortmanager verwalten. Er nimmt Ihnen künftig Tipparbeit ab und erstellt auf Wunsch zufällige Passwörter nach Ihren Vorgaben.

Testfeld

Wir haben uns Passwortmanager für Windows angesehen und 15 davon ausgiebig getestet. Eine Grundvoraussetzung, um es ins Testfeld zu schaffen, war eine deutsche Bedienoberfläche. Alle Testkandidaten verschlüsseln laut Herstellerangabe mit AES-256, was nach derzeitigem Stand der Technik als sicher gilt. Außer den von uns getesteten Programmen gibt es noch eine Vielzahl weiterer, die durchaus einen Blick wert sind.

Wir haben die Passwortmanager auf einem Windows-10-Rechner in Kombination mit dem aktuellen Firefox 58.0.2 getestet. Ob es eine Browser-Erweiterung für Chrome, Internet Explorer und Edge gibt, haben wir zudem in der Tabelle auf Seite 70 notiert.

Einige Testkandidaten sind kostenlos. Von allen anderen haben wir die Premium-Version getestet, da deren kostenlose Varianten häufig sehr funktionseingeschränkt sind. Sie eignen sich jedoch zum Ausprobieren, ob man grundsätzlich mit der Bedienung des Programms zufrieden ist. Außer den von uns unter die Lupe genommenen Ein-Personen-Varianten gibt es in vielen Fällen noch Lizenzen für Teams beziehungsweise Familien sowie Business-Lizenzen für größere Firmen. Ob und in welchen Fällen man Passwörter teilen möchte, sollte man sich vorher gut überlegen. Die meisten Programme im Test verstehen sich auf erweiterte Anmeldemethoden via Zweifaktor-Authentifizierung (2FA). Das bedeutet, dass Sie wie gewohnt Ihr Passwort eingeben und sich zusätzlich mittels eines zweiten Weges verifizieren. Das kann über eine App auf dem Mobilgerät geschehen oder aber hardwarebasiert mittels eines speziellen Tokens (siehe S. 78).

Das gute Gefühl, seine Passwörter sicher verwahrt zu wissen, erkauft man sich damit, dass die verschlüsselten Daten bei einigen Anbietern in der Cloud landen. Enpass, Password Depot und SafeInCloud lassen dem Anwender immerhin die Wahl, bei welchem Cloud-Anbieter die Daten gespeichert werden. Bei der Open-Source-Lösung KeePass kann man so gut wie alles selbst konfigurieren, sofern man bereit ist, sich in die Software einzuarbeiten. Zusätzlich stehen diverse Mobilclients zur Verfügung, die jedoch nicht vom KeePass-Entwickler stammen, sondern von der Community beigesteuert werden. Die relativ neue Passwortverwaltung Bitwarden kann man mittels Docker selbst hosten. Blur, Dashlane, F-Secure Key, Kaspersky Password Manager, Keeper, LastPass, Password Manager, RoboForm, Sticky Password und True Key hinterlegen die Daten in der jeweiligen Cloud des Anbieters.

In Dashlane, Keeper, LastPass und RoboForm können Sie Notfallkontakte hinterlegen, für den Fall, dass Sie selbst nicht auf Ihre Passwörter zugreifen können. Das bedeutet, Sie geben die E-Mail-Adresse Ihrer Vertrauensperson an. Diese erhält eine E-Mail, dass Sie ihr Zugriff im Notfall gewähren wollen, und muss die Anfrage einmalig bestätigen. Die Person erhält nicht Ihr Masterpasswort – sie benötigt einen eigenen Account. Außerdem legen Sie einen Wartezeitraum fest: Innerhalb dieses Zeitraums können Sie eine Zugriffsanfrage ablehnen. In der Passwortverwaltung sehen Sie, wen Sie als Kontakt hinterlegt haben und entziehen demjenigen bei Bedarf das Zugriffsrecht.

Wir haben außerdem getestet, in welchen Kandidaten Sie separate Notizen speichern können. In vielen Fällen können Sie ohnehin zusätzlich zu den Login-Daten und Zahlungsinformationen in einem Extrafeld freie Notizen hinterlegen. Diese beziehen sich jedoch nur auf die Login-Daten. Eine Möglichkeit, separate Notizen abzulegen, ist jedoch ungemein praktisch. Hier kann man zum Beispiel Krankenkassennummer, Versicherungsdaten und Hotelbuchungen sicher notieren, sodass Sie diese Daten jederzeit parat haben.

Uns hat interessiert, wie sorgsam die Windows-Programme mit Passwortdaten umgehen. Deshalb haben wir den Hauptspeicherinhalt der Kennwortmanager-Prozesse auf unsere Testaccounts hin untersucht. Dazu haben wir zu drei unterschiedlichen Zeitpunkten Speicherabbilder erstellt. Ergebnisse und ihre Einordnung lesen Sie ab Seite 74. Als Nutzer eines Passwortmanagers müssen Sie daher nach wie vor in erster Linie Ihren Rechner bestmöglich absichern, damit ungebetene Gäste von vornherein draußen bleiben.

Kommentare lesen (22 Beiträge)