1 / 6
Quelle: imago stock&people
Fast jeder Internet-Nutzer weiß, wie ein sicheres Passwort aussieht. Es enthält Groß- und Kleinschreibung, Sonderzeichen und Zahlen und besteht aus mindestens acht, besser noch zwölf oder mehr Zeichen. Sich solche Kombinationen auszudenken, ist relativ einfach - dafür reicht ein Zufallsgenerator oder wildes Tippen auf der Tastatur. Doch für Dutzende Konten unterschiedliche Passwörter festzulegen und alle im Kopf zu behalten, funktioniert nur für Gedächtniskünstler. Folgerichtig gehören "123456" oder "passwort" immer noch zu den Kennwörtern, die am häufigsten verwendet werden.
Passwort-Manager versprechen Abhilfe. Sie speichern alle Login-Informationen in einer Datenbank, für die es dann nur noch ein einziges Kennwort brauch. Die Anbieter werben mit Begriffen wie "AES 256"- oder "PBKDF2"-Verschlüsselung, die normalen Nutzern wenig sagen. "Das sind bewährte Sicherheitstechnologien, die schon in vielen Bereichen erfolgreich eingesetzt werden", sagt Peter Mayer, Sicherheitsforscher an der TU Darmstadt.
Viele Dienste bieten zusätzliche Sicherungsmöglichkeiten wie die Zwei-Faktor-Authentifizierung (2FA). Sie erfordert neben dem Passwort eine einmalige Pin-Nummer, die mit einer App auf dem Smartphone erzeugt werden kann. Teilweise funktioniert der Login auch mit Codes, die sogar dem Betreiber des Passwort-Managers verborgen bleiben. "Das sind unterschiedliche Maßnahmen mit unterschiedlichen Zwecken", sagt Mayer. "Die 2FA ist ein zusätzliches Level an Sicherheit gegen Hackerangriffe oder auch einfach neugierige Sitznachbarn in der Bahn. Der zusätzliche Code stellt sicher, dass der Anbieter die Kennwörter nicht einsehen kann, selbst wenn man diese über dessen Server auf mehrere Geräte synchronisiert."
Wenn sich Kriminelle Zugang zum Passwort-Manager verschaffen, ist das der digitale Gau: Mit einem Schlag besitzen sie alle Zugänge, das gesamte Online-Leben ist entblößt. Dementsprechend spielt die Sicherheit eine große Rolle bei der Wahl des geeigneten Anbieters. Doch auch Funktionen, Bedienung und Preis sind für viele Nutzer wichtige Entscheidungskriterien. Welches Programm für Sie passt, erfahren Sie im Vergleich.
2 / 6
Lastpass
Quelle: Screenshot: SZ / LastPass
Lastpass ist einer der bekanntesten Passwort-Manager. Dabei hat es dem Dienst auch nicht geschadet, dass er schon mehrfach gehackt wurde. Die Angreifer erbeuteten zwar chiffrierte Passwort-Dateien - konnten die Verschlüsselung aber nicht knacken.
Funktionen
Das Programm speichert Zugangsdaten für Webseiten und Apps und bietet einen Formularassistenten, der mit einem Klick etwa die Rechnungsadresse beim Online-Shopping ausfüllt. Mit einem-Zufallsgenerator kann man sichere, komplexe Kennwörter erstellen, einzelne Zugänge lassen sich mit Freunden teilen. Außerdem gibt es einen Notfallzugriff, mit dem man einer dritten Person eine Art Zweitschlüssel für seine Passwörter dalassen kann.
Einrichtung
Die Chrome-Erweiterung installieren, Account einrichten, fertig. Eine eigene Software für den Desktop ist nicht notwendig. Bei der mobilen App dasselbe Spiel: Die App herunterladen, einloggen und sofort loslegen.
Bedienung
Die Oberfläche wirkt zuerst etwas unübersichtlich. Das Tutorial, das Nutzer beim ersten Öffnen der App zu Gesicht bekommen, fällt sehr knapp aus und wurde offenbar mit dem Google Translator übersetzt - als Einstiegshilfe taugt es dennoch. Mit aktivierter Erweiterung bietet Lastpass von sich aus an, das Passwort zu speichern, wenn man sich bei Diensten wie Google oder Facebook einloggt. Ein Klickt reicht, und die Daten sind sicher im Lastpass-Tresor gespeichert.
Sicherheit
Lastpass nutzt aktuelle Sicherheitsstandards (AES-256 Bit-Verschlüsselung mit PBKDF2-256) und fügt den Hash-Werten der Passwörter vor der Verschlüsselung "Salt" hinzu. Vereinfacht gesagt bedeutet das: Passwörter werden so chiffriert, dass selbst zwei identische Kennwörter in verschlüsselter Form unterschiedlich aussehen. Im Falle eines Hacks erbeuten Angreifer zwar die unkenntlich gemachten Passwörter, können damit aber nichts anfangen. Kriminellen ist es bereits mehrfach gelungen, einen Teil der verschlüsselten Daten abzugreifen. Sicherheitsexperten halten es aber für unwahrscheinlich, dass sie die Passwörter entschlüsseln konnten.
Wer seinem Masterpasswort nicht vertraut, kann für Lastpass die 2FA aktivieren. Vor allem Nutzer, die viele Passwörter in ihrem Tresor gespeichert haben, sollten diesen zusätzlichen Sicherheitsmechanismus unbedingt einsetzen.
Preis
In der kostenlosen Version sind fast alle Funktionen enthalten. Wenn man einen gemeinsamen Passwort-Ordner, etwa mit seiner Familie, anlegen will, benötigt man einen Premium-Account für 12 Dollar im Jahr. Premiumkunden erhalten außerdem bevorzugten Support, 1 Gigabyte verschlüsselten Datenspeicher und sehen keine Werbung.
3 / 6
1Password
Quelle: Screenshot: SZ / 1Password
1Password ist für viele Apple-Nutzer der Manager der Wahl. Auf einem Windows-Rechner ist die Einrichtung etwas komplizierter. Dafür sieht 1Password hervorragend aus.
Funktionen
Der 1Password-Tresor ist ähnlich umfangreich wie der von Lastpass. Alle möglichen Daten, von Logins für Webseiten, über Kreditkarteninformationen bis zu Passwörtern für Router, können verschlüsselt gespeichert werden. Einen Passwort-Generator gibt es auch hier, allerdings ist der nicht ganz so individuell einstellbar wie der von anderen Anbietern. Um Passwörter mit anderen Nutzern zu teilen, ist die Family-Version nötig.
Einrichtung
1Password wurde für iOS-Nutzer entwickelt, und das merkt man auch. Auf einem Windows-PC fällt es zwar leicht, einen Account anzulegen - um aber grundlegende Funktionen wie das automatische Ausfüllen von Login-Formularen nutzen zu können, sind eine Browser-Erweiterung und zusätzlich die 1Password-Desktop-App erforderlich.
Bedienung
Die Desktop-Oberfläche der App ähnelt der von Lastpass. Die einzelnen Kategorien sind gut sortiert und leicht zu finden. Hat man die App mit der entsprechenden Browser-Erweiterung verknüpft, fragt das Programm nach jedem erfolgreichen Login, ob das Passwort in den 1Password-Tresor aufgenommen werden soll. Auf einem Windows-Rechner funktioniert 1Password problemlos, ist allerdings nicht ganz so intuitiv wie Lastpass.
Sicherheit
Wie die meisten vertrauenswürdigen Passwort-Manager nutzt 1Password moderne Verschlüsselungsalgorithmen wie AES-256 und PBKDF2. Die Kennwörter sind auch hier Ende-zu-Ende-verschlüsselt, verlassen das lokale Gerät also nie im Klartext. Sie sind damit weder für 1Password noch für Angreifer einsehbar.
Anstelle einer Zwei-Faktor-Authentifizierung setzt 1Password auf einen Account Key. Dieser 34-stellige Code wird bei der Kontoerstellung generiert und muss dann auf jedem neuen Gerät einmalig eingegeben werden. Dazu muss man sich den Code ausdrucken oder aufschreiben. Das ist mindestens genauso sicher wie die 2FA, bringt aber praktische Nachteile. Wenn gerade kein bekanntes Gerät in der Nähe ist, bei dem man den Code nachschlagen könnte, muss der Login leider warten.
Preis
Die Version für einen Einzelnutzer kostet knapp 36 Dollar im Jahr. Die Familienversion für fünf parallele Nutzer gibt es für knapp 60 Dollar. Sie enthält die Möglichkeit, Passwörter und Notizen mit Familienmitgliedern zu teilen. Wer 1Password ausprobieren will, kann das 30 Tage lang kostenlos tun.
4 / 6
Keepass
Quelle: Screenshot: SZ / Enpass
Der Passwort-Manager der Nerds. Nirgendwo sonst hat man so viele Einstellungsmöglichkeiten und kann die Sicherheit seiner Passwörter so sehr selbst beeinflussen. Unerfahrene Nutzer könnten jedoch von den Fachbegriffen, der Windows-XP-Optik und den vielen Optionen abgeschreckt werden.
Funktionen
Keepass speichert seine Daten nicht in der Cloud, sondern in einer verschlüsselten Datenbank-Datei. Dies bietet erfahreneren Nutzern die Möglichkeit, die Datei selbst zu sichern bzw. an einem sicheren Ort zu lagern. Mehrere Nutzer können dieselbe Datenbank bearbeiten, alle benutzen dann dasselbe Master-Passwort. Um das sicher zu gestalten, gibt es auch hier einen Passwort-Generator, der sich flexibel an die eigenen Bedürfnisse anpassen lässt.
Eine offizielle Browser-Integration gibt es nicht: Die Daten werden ausschließlich auf dem eigenen Rechner gespeichert. Das bedeutet, dass man für das Einfügen von Passwörtern im Browser erst Keepass öffnen muss, um dann das Passwort entweder zu kopieren oder automatisch in das Eingabefeld eintragen zu lassen, in dem sich der Cursor befindet. Browser-Erweiterungen für Keepass gibt es nur von Drittanbietern. Dafür kann man Datenbanken von beinahe allen anderen Passwort-Managern importieren.
Einrichtung
Download und Installation gehen leicht von der Hand. Danach wird es allerdings komplizierter, denn Keepass bietet mehr Individualisierungsmöglichkeiten als die anderen Passwort-Manager. Genügt Ihnen ein Master-Passwort zur Sicherung Ihrer Datenbanken? Oder wollen Sie eine zusätzliche Schlüsseldatei anlegen, die Sie für jeden Login benötigen? Wenn ja, wie soll die generiert werden? Und wie viele Durchläufe des Verschlüsselungsstandards PBKDF2 soll Ihre Datenbank absolvieren? Unerfahrene Nutzer könnten sich hier überfordert fühlen.
Bedienung
Um neue Einträge automatisch in der Datenbank zu speichern, sind Drittprogramme nötig. Neue Logins müssen per Hand angelegt werden. Das ist etwas umständlich, aber selbsterklärend - solange man wirklich nur Nutzername und Passwort eingibt und die anderen Reiter wie "Fortgeschritten" und "Eigenschaften" ignoriert. Dahinter verbergen sich detailliertere Einstellungsmöglichkeiten, die sich an Profis richten.
Sicherheit
Die Verschlüsselung basiert auf denselben Standards, die auch die anderen Manager einsetzen, doch es gibt viel mehr Kontrollmöglichkeiten für die Nutzer. Wer will, kann sich sogar den genauen Code ansehen, denn Keepass ist Open Source. Für den normalen Nutzer bedeutet das eine einschüchternde Menge an Einstellungsmöglichkeiten und jede Menge Fachbegriffe. Das englischsprachige Tutorial umfasst Dutzende Seiten.
Preis
Keepass ist kostenlos. Wer den Entwickler unterstützen will, kann auf der Website des Programms freiwillige Spende hinterlassen.
5 / 6
Dashlane
Quelle: Screenshot: SZ / Dashlane
Dashlane ist seit 2012 auf dem Markt und leistet sich als etablierter Dienst keine groben Schnitzer - hebt sich aber auch nicht durch besonders bemerkenswerte Funktionen von der Konkurrenz ab. Ein spielerisches Tutorial führt Einsteiger an die Funktionen des Managers heran.
Funktionen
Passwörter, Notizen, Profile und Unterlagen können sicher gespeichert werden. Es lassen sich Notfallkontakte anlegen, Passwörter können mit Dritten geteilt werden. Der "Password Changer" verspricht, Zugangsdaten automatisch zu ändern, indem sich Dashlane für den Nutzer einloggt, das Passwort erneuert und es in Dashlane speichert. Leider funktioniert das erst bei wenigen ausgewählten Seiten. Facebook ist zum Beispiel noch nicht dabei, der Kleiderbügelhändler Onlyhangers aber schon. Der ähnlich gelagerte "Auto-Password Change" von Lastpass unterstützt deutlich mehr relevante Webseiten.
Einrichtung
Hier punktet Dashlane. Nach der Installation führt ein interaktives Tutorial Schritt für Schritt durch die Einrichtung des ersten Passworts. Auch die anderen Funktionen werden erklärt, wenn man sie zum ersten Mal auswählt. Das erinnert an ein Computerspiel und sollte auch technisch weniger versierten Nutzern den Einstieg erleichtern. Online gibt es eine detaillierte Anleitung, bislang aber nur auf Englisch, Französisch und Spanisch.
Bedienung
Wie bei Lastpass ist die Bedienung im Alltag einfach. Dashlane benötigt allerdings sowohl eine App als auch die offizielle Browser-Erweiterung. Dann zeigt sich in jedem Eingabefenster die Dashlane-Antilope, die mit einem Klick den entsprechenden Login liefert. Bei jedem neu eingegebenen Passwort fragt Dashlane, ob es in die Sammlung aufgenommen werden soll.
Sicherheit
Dashlane verschlüsselt die ihm anvertrauten Passwörter mit AES-256-Verschlüsselung, einem Standard, der aktuell als sicher gilt. 2FA lässt sich problemlos einrichten. Praktisch ist außerdem das Sicherheits-Dashboard, das auf einen Blick anzeigt, welche Passwörter wie sicher sind, ob bestimmte Kennwörter schon lange unverändert genutzt werden und bei welchen Seiten es zuletzt Berichte über Sicherheitslücken gab.
Preis
Will man Dashlane nur auf einem Gerät nutzen, erhält man die wichtigsten Funktionen als kostenloses Basispaket. Die Premiumvariante, in der sich Daten zwischen verschiedenen Geräten synchronisieren und Passwörter teilen lassen, gibt es für knapp 40 Dollar im Jahr.
6 / 6
Enpass
Quelle: Screenshot: SZ / Enpass
Enpass ist relativ neu auf dem Markt und noch nicht so bekannt wie die Konkurrenz, erhält aber trotzdem viel Lob. Besonders die Einrichtung geht hier schnell von der Hand.
Funktionen
Natürlich, Passwörter und andere Informationen sicher speichern, das kann auch Enpass. Den obligatorischen Passwort-Generator und eine Browser-Erweiterung zum einfachen Einfügen gibt es ebenfalls. Wer Anhänge verschlüsselt speichern will, muss sich aber einen anderen Anbieter suchen.
Einrichtung
Die Einrichtung geht bei Enpass sehr schnell, da kein Account benötigt wird. Nach dem Download legt man sofort das Master-Passwort fest und beginnt, eine verschlüsselte Datenbank zu erstellen. Die Browser-Erweiterung lässt sich direkt aus dem Programm installieren und muss dann noch aktiviert werden. Das funktioniert aber problemlos. Die ausführlichen Hilfsdokumente gibt es wie bei vielen Konkurrenten nur auf Englisch.
Bedienung
Wer schon einmal einen Passwort-Manager benutzt hat, wird sich sofort zurechtfinden. Die Aufmachung ist übersichtlich, die Einstellungsmöglichkeiten halten sich in Grenzen, was für Einsteiger eher von Vorteil ist. Ein neuer Login lässt sich unkompliziert hinzufügen angelegt, mit aktivierter Browsererweiterung übernimmt Enpass eingegebene Daten auf Wunsch auch automatisch.
Sicherheit
Enpass verschlüsselt Informationen der Nutzer ebenfalls mit Algorithmen, die momentan als sicher gelten. Der Service nutzt keine Server (daher ist auch kein Login nötig). Alle Daten werden lokal auf den Geräten des Nutzers gespeichert, der sich dann selbst aussuchen kann, ob er seine Passwort-Datei einem Cloud-Anbieter anvertraut. Das schützt vor Zugriffen durch den Anbieter oder vor einem Angriff bei der Datenübertragung, dient Enpass aber auch als Grund, keine 2FA anzubieten. Da sie keine eigenen Server betreiben, könnten sie auch keine zusätzlichen Codes verifizieren. Trotzdem wäre es wünschenswert, den Login besser absichern zu können, etwa durch eine Schlüsseldatei, die neben dem Master-Passwort benötigt wird - gerade, wenn man Enpass auf einem Computer verwenden will, den auch andere Menschen benutzen.
Preis
Die Desktop-Version ist kostenlos bei vollem Funktionsumfang. Wer Enpass auf dem Smartphone nutzen will, muss einmalig knapp 10 Dollar pro verwendetem Betriebssystem zahlen - also für die Android-, iOS- oder Blackberry-Version. Auch für diese Systeme gibt es eine kostenlose Testversion, in der sich maximal 20 Einträge anlegen lassen.