c't 5/2021
S. 16
Titel
Passwortmanager: 25 Programme im Test
Bild: Andreas Martini

Ich kaufe ein ****

25 Passwortmanager für PC und Smartphone

Moderne Passwortmanager sollten ­Login-Daten nicht einfach nur speichern, sondern sich auch komfortabel auf ­ver­schiedenen Geräten nutzen lassen, gut einst­ellbar sein und nicht allzu viele Nutzungsdaten weitergeben. Klingt einfacher, als es ist.

Von Jan Schüßler und Marvin Strathmann

Es gibt so einige Methoden, um Passwörter nicht zu vergessen, doch je mehr Benutzerkonten anfallen, desto schwieriger wird es. Passwortmanager entlasten das Gedächtnis und steigern die Sicherheit: Wer sich die Passwörter nicht selber merken muss, kann auch für jeden Zweck ein starkes, individuell generiertes Passwort benutzen. Im Kopf behalten muss man nur noch ein Masterpasswort für den Passworttresor.

Und zack, da haben wir gleich die erste Frage: Warum nicht einfach den in jedem gängigen Browser integrierten Passwortspeicher benutzen? Als möglichst simple und sofort verfügbare Lösung haben die Passwortspeicher von Chrome, Edge, Safari und weiteren Browsern definitiv eine Daseinsberechtigung. Sie haben aber Nachteile. Erstens macht man sich vom Browser abhängig und zweitens: Sollen die Passwörter über mehrere Geräte hinweg synchronisiert sein, liegen Verarbeitung, Transfer und Speicherung oft komplett in der Hand eines Großkonzerns wie Google oder Microsoft. Zwar nutzen auch viele Passwortmanager die Infrastruktur von Amazon AWS & Co., doch es kann Vertrauen schaffen, Erfassung und Verschlüsselung der hochsensiblen Daten einem Anbieter zu überlassen, der sich ausdrücklich darauf spezialisiert hat.

Ein Passwortmanager bringt idealerweise eine Browsererweiterung mit, die Login-Felder im Webbrowser automatisch oder per Mausklick ausfüllt – im Komfort unterscheidet sich das meist nicht von Funktionen des Browsers. Die Passwortdaten erfasst die Software, sobald der Nutzer sich zum ersten Mal auf einer Seite einloggt, und legt sie in einer eigenen verschlüsselten Datenbank ab. Eine bereits im Browser hinterlegte Passwortliste kann man in der Regel in den Manager importieren.

Sicherer Zettelkasten

Eine Darknet-Überwachung warnt, wenn Passwörter womöglich erbeutet wurden – hier zum Beispiel mit F-Secure.

Die meisten Programme speichern außer Passwörtern speichernauch noch andere wichtige Daten, etwa Kontakt-, Bankkonto- und Kredit­kartendaten sowie persönliche Notizen, mitunter auch Kaufbelege und weitere Dokumenttypen. Üblicherweise schätzen sie die Qualität der abgelegten Passwörter ein. Dafür analysiert das Programm Länge und Zusammensetzung und schaut, ob das selbe Passwort bei mehreren Diensten benutzt wird, und schlägt vor, allzu einfache oder mehrfach benutzte Passwörter zu ändern. Einige erlauben es, Passwörter mit ausgewählten Leuten zu teilen, die einen Account beim gleichen Anbieter haben.

Manche Produkte lassen ihren Besitzer einen sogenannten „Notfallkontakt“ bestimmen. Damit sind Angehörige gemeint, die Zugriff auf den Passwortspeicher bekommen sollen, falls der Besitzer selbst etwa handlungsunfähig im Krankenhaus liegt oder gar verstorben ist. Tritt so etwas ein, fordert der Notfallkontakt einen Zugriff auf die Passwörter an. Der Besitzer bekommt nun eine zuvor festgelegte Frist gestellt (meist wenige Tage oder Wochen), in der er der Anforderung widersprechen kann – tut er das nicht, bekommt der Notfallkontakt den gewünschten Zugriff auf die Passwörter.

Einige Produkte bieten eine als „Dark­net-Überwachung“ oder ähnlich beworbene Funktion: Sie prüfen, ob Logins für Webseiten oder Dienste schon einmal abhandengekommen sind, und geben eine Warnung aus – im Grunde handelt es sich und eine automatisierte Abfrage bei einem Dienst wie HaveIBeenPwned.com.

Was muss?

In diesem Test haben wir nur Programme berücksichtigt, die Passwörter zwischen unterschiedlichen Geräten synchronisieren. Ein häufiger Weg dafür führt über eine herstellereigene Cloud, ein weiterer über kommerzielle Cloudspeicherdienste wie Dropbox, OneDrive oder MagentaCloud. Im besten Fall bringt der Passwortmanager bereits eine Integration für gängige Dienste mit, sodass nicht jedes Gerät noch eine separate Sync-Software braucht. Weitere, leider recht selten anzutreffende Möglichkeiten sind eine integrierte WebDAV-Schnittstelle (ideal für NextCloud & Co.) und die Option, ausschließlich im lokalen WLAN zu synchronisieren.

Als essenziell setzen wir zudem voraus, dass der Passwortmanager sowohl auf Mobilgeräten mit Android und iOS läuft als auch auf dem Desktop. Auf letzterem sind verschiedene Umsetzungen möglich: Browsererweiterungen bieten fast alle Hersteller. Einige Anbieter haben zudem auch eine richtige Windows- oder mac­OS-Anwendung im Sortiment. Andere verzichten darauf und lassen die komplette Passwortverwaltung über eine Webapp erledigen – die wiederum bei manchen erst durch die Browsererweiterung bereitgestellt wird, bei anderen unabhängig davon über die Website des Herstellers läuft.

Aufgrund des Leserfeedbacks zu früheren Artikeln [1] berücksichtigen wir auch ein paar englischsprachige Produkte und solche, die keine Zwei-Faktor-Authentifizierung bieten. Letzteres klingt nach einem Sicherheitsmangel, ist aber kein Problem, wenn die Synchronisierung über einen unabhängigen Cloudspeicher läuft, den ein zweiter Faktor schützt.

Kommentare lesen (28 Beiträge)