bedeckt München 15°
vgwortpixel

Passwortmanager im Test:Sicherheit gibt es auch kostenlos

Passwortmanager helfen dabei, den Überblick im Passwortdschungel zu halten.

(Foto: Daniel Hofer)

Endlich bessere Passwörter! Aber wie kann man sich nur alle merken? Helfen kann ein Passwortmanger. Die Stiftung Warentest hat nun verschiedene Dienste getestet.

Sind Passwörter einfach zu merken, sind sie auch einfach zu knacken. Sollen sie schwierig zu knacken sein, ist es auch schwieriger, die Logindaten im Kopf zu behalten. Diesem Dilemma sollen Passwortmanager Abhilfe schaffen. Diese Programme erstellen sichere Passwörter und bündeln sie. Wer all seine Passwörter in einem solchen Manager hinterlegt hat, für den füllt das Programm automatisch die Anmeldedaten für E-Mail-Programme, Social-Media-Plattformen oder das Online-Banking aus. Der Nutzer muss sich nur noch ein Passwort merken: das für den Passwortmanager.

Die Stiftung Warentest hat nun Passwortmanager getestet. Drei schneiden im Test mit "gut" ab. Der Testsieger heißt "Keeper Security" und kostet im Jahresabo 30 Euro. Ebenfalls gut abgeschnitten hat "1 Password" der Firma Agilebits. Dieser Manager kostet 38 Euro im Jahr. Die Programme lassen ich auch kostenlos verwenden, sind dann aber oft mit Einschränkungen verbunden. So lassen sich die kostenlosen Versionen häufig nur auf einem Gerät verwenden. Wer die Manager sowohl auf dem Computer als auch auf dem Handy nutzen will, muss zur Bezahlvariante wechseln.

Nur einer der drei "gut" getesteten Manager ist komplett kostenlos: "Keepass". Er erfordert aber ein solides Technikwissen vom Nutzer. Die Ersteinrichtung ist aufwendig, der Nutzer muss sich selbst um die Synchronisation kümmern. Das heißt, er selbst muss dafür sorgen, dass alle seine Geräte Zugriff auf die Datei mit den Passwörtern haben. Außerdem ist "Keepass" nur für Windows erhältlich. Nutzer von Android, iOS und MacOS sind auf Zusatzdienste von Drittanbietern angewiesen. Das ebenfalls kostenlose "Bitwarden" von 8 Bitsolutions bekam von der Stiftung Warentest die Note "befriedigend". Am einfachsten zu handhaben fanden die Tester den Manager "Dashlane". Insgesamt hat er allerdings auch nur mit der Note "befriedigend" abgeschlossen.

Das Masterpasswort sollte mindestens 20 Zeichen lang sein

Getestet hat die Stiftung Warentest die Passwortmanager vor allem auf ihre Sicherheitsfunktion, also welche Anforderungen die Programme an das Masterpasswort stellen und wie sicher die automatisch generierten Passwortvorschläge sind. Hierbei bemängelten die Tester, dass einige Manager Masterpasswörter mit weniger als fünf Zeichen erlauben. Das Masterpasswort sollte mindestens 20 Zeichen lang sein und keinerlei Mustern folgen. Außerdem haben sich die Tester das Sicherheitskonzept angeschaut, mit dem die Nutzer vor Angriffen geschützt werden. Manche Programme bieten auch die Möglichkeit, den Login zusätzlich mit einem zweiten Faktor abzusichern.

Die Stiftung Warentest rät außerdem dazu, Vorkehrungen für den Fall zu treffen, dass man das Masterpasswort vergisst. Empfohlen ist demnach beispielsweise, es aufzuschreiben und in einem Banktresor zu lagern. Denn nur sechs der getesteten zehn Passwortmanager erlauben es, den Zugriff wiederzuerlangen, wenn das Masterpasswort vergessen oder verloren wurde. Nutzer sollten die Passwortmanager nur auf Geräten verwenden, die sie allein kontrollieren oder ausschließlich mit Vertrauten teilen.

Wer sich für einen Passwortmanager entscheidet, macht sich davon abhängig. Eine Anmeldung von einem Gerät, auf dem der Passwortmanager nicht installiert ist, ist dann nicht mehr möglich. Vier der getesteten Programme erlauben einen Zugriff auf Passwörter über die Anbieterwebseite. Wer weniger abhängig von dem Manager sein möchte, kann eine verschlüsselte Datei mit den Passwörtern auf einem USB-Stick speichern und diesen gegebenenfalls mitnehmen.

Neben den Passwortmanagern hat die Stiftung Warentest auch Passwortmanagerfunktionen der Browser Chrome, Firefox und Safari untersucht. Ein Urteil über diese Browserfunktionen haben die Tester allerdings nicht gefällt, da sie sich nicht sauber von anderen Browserfunktionen trennen lassen. Passwortmanager und Browsererweiterung gemeinsam zu nutzen, geht nicht. Wer die Software nutzen will, muss in seinem Browser ausschalten, dass der Browser sich standardmäßig um die Login-Daten kümmern darf.

© SZ vom 29.01.2020/mri
IT-Sicherheit Anmelden ohne Passwort

IT-Sicherheit

Anmelden ohne Passwort

Eine neue Verschlüsselung namens Fido2 will das Internet sicherer machen. Passwörter sollen damit überflüssig werden.   Von Helmut Martin-Jung

Zur SZ-Startseite