Der Mega-Leak im Januar 2019 mit über 700 Millionen Nutzer-Daten zeigte, wie wichtig es ist, die verwendeten Dienste mit starken Passwörtern zu schützen. Dabei können Passwort-Manager Ihnen helfen. Hier geht´s direkt zu den in diesem Artikel betrachteten Passwort-Managern.
Foto: wk1003mike - shutterstock.com
123456 ist das am häufigsten verwendete Passwort. Dies hat das Hasso-Plattner-Institut aus Passwortdatenbanken ermittelt, die im Internet kursieren. Demnach beinhalten etwa 4,48 Prozent aller Log-ins dieses viel zu einfache Passwort. Ein Angreifer, der versucht, sich mit einer großen Menge von Benutzernamen bei einem Onlinedienst einzuloggen, und dabei jeweils das Passwort "123456" benutzt, hat also auf knapp fünf Prozent aller Konten Zugriff. Nimmt er noch die Zeichen der folgenden vier am häufigsten verwendeten Passwörter hinzu, dann öffnen sich insgesamt acht Prozent aller Konten. Die Liste der häufigsten Passwörter geht übrigens ebensowenig originell weiter, wie es Platz eins vermuten lässt, also: 123456789, 111111, querty und 12345678.
Sichere Passwörter müssen her - für alle Konten
Ein Passwort gilt als sicher, wenn es möglichst lang ist, etwa so lang wie dieser Satz. Da aber viele Onlinedienste keine wirklich langen Passwörter zulassen, müssen letztere ersatzweise kompliziert sein. Sie müssen also sowohl Groß- und Kleinbuchstaben als auch Zahlen und Sonderzeichen enthalten. Das sieht etwa so aus: 5#p3uE6irRldV6Q$. Durch die zusätzlichen Zeichen erhöht sich die Gesamtzahl der möglichen Zeichen für ein Passwort. Und damit steigt die benötigte Rechenzeit, um das Passwort durch Ausprobieren zu ermitteln.
Doch wer denkt sich für jede Anwendung eine solche Kombination aus Buchstaben, Zahlen und Sonderzeichen aus? Viele Anwender belassen es daher bei ihren Standard-Passwörtern, die sie für jede Anwendung verwenden, womöglich gar in einer Textdatei speichern - eine schlechte Lösung. Noch schlechter allerdings ist die weit verbreitete Angewohnheit, Zugangsdaten auf kleinen Zetteln zu notieren und diese unter die Tastatur zu legen.
Solche sicheren Passwörter erstellen gute Passwortmanager mit einem Klick. Sie verwalten außerdem Ihre Passwörter zusammen mit dem Benutzernamen sowie weiteren Daten in einem stark verschlüsselten Datentresor auf Ihrer Festplatte. Erst nach Eingabe eines Masterpassworts öffnet sich dieser Tresor und gibt die Log-ins für Ihre Onlinedienste oder Programme frei. Im Anschluss daran füllt er sie auf Wunsch auch mehr oder weniger automatisch in Websites und Programme ein.
Damit Sie Ihre Passwörter nicht nur auf Ihrem Rechner, sondern auch auf dem Handy verwenden können, kopieren die meisten Passwortmanager die verschlüsselte Tresordatei außerdem auf einen Server im Internet. Von dort holen sich die zugehörigen Applikationen für Android- und iOS-Smartphones den Tresor ab.
Wenn Sie ein ausreichend langes Passwort als Masterpasswort gewählt haben, ist Ihr Tresor so gut verschlüsselt, dass ihn niemand knacken kann. Der Speicherort im Internet stellt kein Sicherheitsrisiko dar. Ein Masterpasswort gilt dann als sicher, wenn es mindestens 20 Zeichen lang ist und Sonderzeichen enthält. Sie dürfen das Masterpasswort jedoch nicht vergessen, weil Sie sonst keinen Zugriff mehr auf Ihren Tresor mit sämtlichen Log-ins haben.
Sicherheit für den Passwortmanager
Viele Nutzer trauen der Verschlüsselungstechnik allerdings nicht und möchten ihren Tresor aus diesem Grund nicht im Internet speichern. Einige Passwortmanager bieten deshalb auch eine rein lokale Speicherung an, beispielsweise Dashlane . Oder sie sind von Haus aus darauf ausgelegt, den Tresor zuerst nur auf dem PC zu speichern wie Keepass . Generell sollten die Sicherheitsvorteile des Passwortmanagers dabei die Befürchtungen überwiegen. Trifft das nicht zu, ist Keepass eine Empfehlung.
Zwei-Faktor-Anmeldung: Sie erhöhen den Schutz für Ihren Passworttresor deutlich, wenn Sie für seine Nutzung die Zwei-Faktor-Anmeldung einsetzen. Die meisten Passwortmanager bieten als zweiten Faktor einen Zusatzcode an, der von einer App auf dem Smartphone erzeugt wird. Nur wenn dieser Code zusätzlich zum Masterpasswort eingegeben wird, öffnet sich der Tresor. So kann ein Hacker Ihren Tresor selbst dann nicht öffnen, wenn er das Masterpasswort stehlen konnte.
Dabei ist die Zwei-Faktor-Anmeldung nicht so unkomfortabel, wie man auf den ersten Blick meinen könnte. Denn der Passwortmanager lässt sich so einstellen, dass Sie einen zweiten Code - zum Beispiel auf Ihrem Rechner zu Hause - nur alle 30 Tage erneut eingeben müssen.
Gute Tools auch von den Antivirenherstellern
Immer mehr Hersteller von Antivirenprogrammen offerieren auch Passwortmanager. Teilweise sind diese in ihren hochpreisigen Virenschutzprogrammen enthalten, die noch über den "Internet Security"-Versionen angesiedelt sind und beispielsweise "Total Security" heißen wie im Falle von G Data. Ob sich allerdings wegen des zusätzlichen Passwortmanagers der Kauf der teureren Version lohnt, muss jeder selbst entscheiden. Teilweise werden die Passwortmanager aber auch als einzelne Tools angeboten. Verfügbar sind unter anderem True Key von Intel Security, das wir weiter unten näher vorstellen, sowie die Programme Kaspersky Passwort Manager und F-Secure Key.
Unsere Empfehlung für den richtigen Passwortmanager
Wenn Sie Onlinedienste überwiegend am Rechner und nicht am Smartphone benutzen, ist das Tool Keepass eine sichere Wahl. Zwar bietet es beim Ausfüllen der Log-ins im Browser nicht den größten Komfort, gilt jedoch dank der Open-Source-Software als sehr sicher und speichert Ihren Passworttresor nur auf der Festplatte Ihres Computers. Dennoch lässt es sich auch flexibel einsetzen. Es gibt eine portable Variante, die auf einem USB-Stick läuft und sich so einfach mitnehmen lässt. Mit der Freeware My Lockbox sichern Sie hingegen Ihre sensiblen Daten, indem Sie Ordner und Verzeichnisse per Passwort absichern und dann vor fremden Zugriffen verstecken.
Wenn Sie Onlinedienste nicht nur am PC, sondern oft auch am Smartphone oder Tablet benutzen, sollten Sie sich Dashlane ansehen. Bei diesem Passwortmanager gefällt uns die Bedienerführung am besten. Der Dienst ist mit 40 US-Dollar pro Jahr jedoch recht teuer. Ähnlich gut ist das Tool Lastpass, für das nur 20 US-Dollar pro Jahr fällig sind und dessen kostenlose Version nur wenige Einschränkungen hat. Beide Tools sollten Sie aber nur mit eingeschalteter Zwei-Faktor-Anmeldung einsetzen. Das erhöht den Hackerschutz deutlich.
Noch mehr gute Passwort-Safes für Android stellen wir Ihnen in diesem Beitrag vor.
Tipp: Groß ist auch der Ärger, wenn der Anwender ein wichtiges Passwort vergessen hat und es dann mühsam wiederherstellen muss . Auch in diesen Fällen können Passwort-Tools helfen.
Machen Sie den Passwort-Check mit dem PC-WELT-Tool
Schließlich lohnt sich auch eine regelmäßige Überprüfung mit unserem exklusiven Tool PC-WELT Passwort-Check. Mit diesem Programm fragen Sie die größten Passwortdatenbanken im Internet ab und prüfen darin außerdem, ob Ihr Benutzername für Log-ins schon von Hackern erbeutet wurde. In den meisten Fällen fungiert die eigene Mailadresse als Benutzername, entsprechend geben Sie sie in PCWELT Passwort-Check ein. Alternativ lässt sich ein Passwort in das Tool eingeben.
So geht's: Der PC-WELT Passwort Check ist nach dem Auspacken sofort startklar, ein Doppelklick auf die Datei "pcwPasswort Check.exe" genügt. Oben links geben Sie Ihre Mailadresse ein und drücken dann auf "Prüfung starten". Schon nach wenigen Sekunden zeigt das Tool an, ob Ihre Log-in-Daten gestohlen wurden, und wenn ja, aus wie vielen Onlinediensten. Angezeigt werden der Name des Onlinedienstes und eine kurze englischsprachige Beschreibung. Darin finden Sie meist auch Jahr und Monat, in dem der Passwortdiebstahl stattgefunden hat. Am Ende des Textes steht hinter "Kompromittierte Felder", welche Daten genau bei dem Datendiebstahl in die Hände der Angreifer gelangten, und ob sie verschlüsselt waren. So erfahren Sie, ob neben den reinen Log-in-Daten Infos wie Ihre Telefonnummer, Ihr Geburtstag oder Ihre Postadresse gestohlen wurden.
Weitere Dienste: Rechts oben in unserem Tool PC-WELT Passwort-Check befindet sich ein Ausklappmenü, über das Sie weitere Passwortdatenbanken in einem externen Browser aufrufen können. Es lohnt sich, auch bei diesen Diensten vorbeizuschauen, da sie zum Teil andere Daten besitzen.
Passwörter auf USB-Sticks ablegen
Auf eine Hardware-Lösung setzt dagegen der für 40 Euro erhältliche ID50 Passwort Manager v on Identsmart. Hier werden die Passwörter auf einem per Hardware verschlüsselten USB-Stick abgelegt. Als Verschlüsselung kommt 128-Bit AES zum Einsatz. Der Nutzer muss den USB-Stick an den Rechner anschließen, sich mit einer PIN authentifizieren und hat dann anschließend den Zugriff auf alle auf dem Stick abgelegten Daten. Sollte die PIN mehrmals falsch eingegeben werden, dann vernichtet der im Stick befindliche Cryptochip automatisch alle Daten.
Fünf beliebte Passwort-Manager im Detail
1. Nordpass - von den VPN-Spezialisten
Wer braucht´s: Die VPN-Spezialisten von NordVPN erweitern seit Ende November 2019 ihr Angebot um einen Passwort-Manager. Dieser trägt den Namen NordPass . Im Vergleich zu LastPass, Keepass & Co. soll NordPass vor allem im Bereich Sicherheit überzeugen.
Vorteile: NordVPN setzt bei NordPass vor allem auf eine einfache Bedienung und Sicherheit. Ähnlich wie andere Passwort-Manager bietet auch NordPass diverse Komfort-Funktionen. So können Eingabefelder automatisch ausgefüllt werden oder NordPass generiert bei Neuanmeldungen sichere Passwörter und merkt sich diese. Zusätzlich dürfen im NordPass-Safe auch Notizen und andere Daten abgelegt werden. Die Daten werden im NordPass-Tresor mit der 256 Bit starken XChaCha20-Verschlüsselung gesichert und zur Ableitung des Schlüssels wird Argon 2 verwendet. Die Nutzung unter Windows erfolgt über Browser-Erweiterungen, die für Chrome, Firefox, Opera, Brave, Edge und Vivaldi verfügbar sind.
Herstellerangeben: für Windows, Erweiterungen, Andoird, iOS - funktionsreduzierte Gratis-Version oder 2,49 Euro/Mon
2. Dashlane - Passwörter automatisch ändern lassen
Wer braucht's: Dashlane versucht, es dem Windows-Anwender möglichst leicht zu machen. Das automatische Einloggen in gespeicherte Konten ist eine Grundeinstellung und Log-in-Felder füllt die Software meist zuverlässig aus.
Vorteile: Dashlane ändert bestehende Kennwörter automatisch in bestimmten Intervallen. Dies erhöht die Sicherheit gegen übliche Hackerangriffe. Das funktioniert aber nur für bestimmte Onlinedienste. Bei wem das geht, zeigt Dashline an. Auch der Passwortmanager Lastpass bietet eine solche Funktion, jedoch für weniger Dienste als Dashlane. Doch selbst bei Dashlane fehlen in der Liste viele Websites, die vor allem für deutsche Nutzer wichtig sind. Zu viel darf man sich von dieser Funktion also nicht erwarten.
Dashlane verwaltet außerdem Rechnungen, etwa von einigen Online-Shops in einer digitalen Geldbörse. Das klappt zum Beispiel bei Amazon gut und liefert einen schönen Überblick über die eigenen Ausgaben. Gut gefällt uns bei Dashlane auch die Bedienerführung, die wir in den meisten Bereichen als sehr übersichtlich einstufen. Die App fürs Smartphone beherrscht das Ausfüllen von Log-ins in anderen Apps meistens sehr gut.
Nachteile: Die kostenlose Variante von Dashlane bietet keine Synchronisation der Passwörter mit anderen Geräten. Das kostenpflichtige Abo ist mit 40 US-Dollar pro Jahr recht teuer. Der Funktionsumfang ist nicht ganz so groß wie bei Lastpass, dadurch werden etwas weniger Tools für die Zwei-Faktor-Authentifizierung unterstützt.
Tipps: Anders als bei Lastpass können Sie Ihren Passwortsafe auch lediglich lokal speichern und nicht in die Cloud laden. Hierfür müssen Sie die Synchronisierung unter "Extras -› Einstellungen -› Sync" ausschalten.
Herstellerangaben: für Windows 7, 8, 10, Android, iOS / Preis: gratis für ein Windows-Gerät oder 40 US-Dollar pro Jahr für alle Geräte
Verschlüsselung: Die besten Gratis-Datentresore
3. Keepass - Open-Source-Passwortmanager für PC-Anwender
Wer braucht's: Wenn Sie Ihre Passwörter überwiegend am PC benötigen und nicht am Smartphone oder Tablet, ist Keepass interessant für Sie. Unter Windows erfolgt die Datenübertragung von Log-in-Name und Passwort in den Browser per Tastenkombination Strg-Alt-A. Die Benutzung auf Android ist zwar möglich, allerdings nur mit einigem Aufwand realisierbar.
Vorteile: Keepass ist Open Source und hat sich darüber einen hohen Vertrauensbonus verdient. Den Datentresor legen Sie selber als Datei mit der Endung "kdbx" auf der Festplatte an. Die Bedienung unter Windows ist einfach. Das Programm ist portabel, lässt sich also auf einen USB-Stick packen und auch auf andere Rechner mitnehmen .
Für Keepass gibt es Dutzende Erweiterungen, die dem Tool ebenso viele Zusatzfunktionen verleihen, etwa auch eine Zwei-Faktor-Authentifizierung. Darüber hinaus ist es kostenlos beziehungsweise Donationware (Software gegen eine freiwillige Spende).
Nachteile: Zwar gelingt das Ausfüllen von Log-in-Name und Passwort in Websites meist gut, andere Daten wie Adresse, Kontonummer oder Ähnliches lassen sich aber nur per Zusatztools einsetzen. Felder in Android-Apps sind nur per Copy & Paste zu befüllen. Weniger versierte Nutzer können viele Funktionen aus den Erweiterungen nicht verwenden, da deren Installation und Konfiguration aufwendig sind.
Tipps: Einen ausführlichen Ratgeber zu Keepass finden Sie hier . Wie Sie Ihre Datei mit dem Passwortsafe nicht nur am PC, sondern auch auf Android nutzen, verrät diese Anleitung .
Herstellerangaben: für Windows 7, 8, 10, Apps für Android und iOS von anderen Herstellern / Preis: kostenlos. Eine Spende an die Entwickler lässt sich über die Keepass-Website senden.
4. Lastpass - Passwortmanager mit Online-Datensafe
Wer braucht's: Wenn Sie sowohl unter Windows als auch unter Android und iOS einen komfortablen Passwortmanager benötigen, ist Lastpass eine gute Wahl. Besonders gut gefällt uns der "Formularassistent", der beim Ausfüllen der Adresse und anderer Daten auf Webseiten hilft. Zwar funktioniert er nicht immer perfekt, aber meist besser als bei den anderen Passwortmanagern.
Vorteile: Lastpass bietet viele nützliche Zusatzfunktionen, die sich meist auch einfach konfigurieren und nutzen lassen. Sie ermöglichen dem Passwortmanager eine Zwei-Faktor-Authentifizierung über zehn verschiedene Apps, Tools oder Sicherheitssticks, etliche davon sogar in der kostenlosen Lastpass-Version. Das Ausfüllen von Daten aller Art in den Windows-Browser läuft über das Lastpass-Tool zumeist problemlos. Auch unter Android funktioniert das Ausfüllen von Login-Daten in Browsern gut.
Nachteile: Die Bedienerführung kommt im Bereich "Einstellungen" etwas umständlich daher. Außerdem beziehen sich die Hilfetexte an einigen wenigen Stellen auf eine nicht mehr vorhandene Menüstruktur der Vorversion.
Tipps: Sie können eine Notfallmailadresse in Lastpass hinterlegen, über die Sie auch dann wieder an Ihre Kennwörter herankommen, wenn Sie das Masterpasswort vergessen haben. Das klappt übrigens auch bei Dashlane. Das betreffende Mailkonto sollten Sie allerdings gut schützen, etwa mit einer Zwei-Faktor-Anmeldung.
Die Gratis-Version von Lastpass hat nur wenige Funktionseinschränkungen und genügt den Ansprüchen vieler Nutzer ( Infos ).
Herstellerangaben: für Windows 7, 8, 10, Android, iOS / Preis: leicht funktionsreduzierte Gratis-Version oder 24 US-Dollar pro Jahr
5. True Key - Sichere und bequeme Anmeldung
Wer braucht's: Wenn Sie Ihren Passwortmanager mit einem zusätzlichen Schlüssel (Faktor) schützen wollen und das möglichst einfach ablaufen soll, dann ist True Key das richtige Tool für Sie.
Vorteile: Die Macher von True Key haben sich vor allem bei der Zwei-Faktor-Anmeldung viel Mühe gegeben. Das Tool bietet viele Optionen und unterstützt den Nutzer bei der Einrichtung mit einer durchdachten Bedienerführung unter Windows in der Browser-Erweiterung. So können Sie etwa den Log-in in True Key am Windows-PC nicht nur mit dem Masterpasswort schützen, sondern auch Ihr Smartphone als zweiten Schlüssel festlegen Möchten Sie sich in True Key am PC einloggen, so geht das lediglich, wenn Sie gleichzeitig Ihr Smartphone zur Hand haben und dort eine Wischbewegung machen. Die Smartphone-App selber lässt sich auch per Gesichtserkennung schützen. Allerdings raten Sicherheitsexperten von dieser Funktion ab, wenn dafür nur eine einfache Kamera zur Verfügung steht. True Key unterstützt sowohl am Smartphone als auch am Rechner einen eingebauten Fingerabdruckscanner.
Nachteile: An einigen Stellen wirkt True Key noch etwas aufgeblasen. Möchten Sie etwa nach der Installation der True- Key-Erweiterung unter Windows Passwörter aus einem Browser importieren, müssen Sie eine Zusatzsoftware mit 75 MB herunterladen.
Tipps: Das App-Ausfüllen unter Android funktioniert mit True Key sehr gut. Wenn Sie überwiegend ein Android-Smartphone oder -Tablet benutzen, könnte das Tool für Sie interessant sein.
Herstellerangaben: für Windows 7, 8, 10, Android, iOS / Preis: stark funktionsreduzierte Gratis-Version oder 20 US-Dollar pro Jahr
(PC-Welt)