Stiftung Warentest: Welche Passwortmanager lohnen sich?
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3QFRRDWPARE5NGKOMTVCKLSIGI.jpg)
Passwortmanager erstellen für Nutzer möglichst komplexe Kennwörter für vorab festgelegte Webseiten – das Besondere: Nutzer müssen sich am Ende nur eins der ganzen Passwörter merken, das Masterpasswort.
© Quelle: picture alliance/dpa
Hannover. Die Anforderungen an ein solides, sicheres Passwort sind heutzutage hoch: Lang genug soll es sein, dabei möglichst einprägsam, aber auch so sinnlos und willkürlich, dass niemand das Passwort knacken könnte. Da kann man ganz schön durcheinander kommen, doch es gibt Hilfe, in Form von Passwortmanagern.
Diese Programme erstellen für Nutzer möglichst komplexe Kennwörter für vorab festgelegte Webseiten. Das Besondere: Nutzer müssen sich am Ende nur eins der ganzen Passwörter merken, das Masterpasswort. Doch wie sicher ist ein solcher Manager, und wie einfach ist er in der Handhabung? Stiftung Warentest hat in ihrer Ausgabe 02/2020 13 Passwortmanager auf Sicherheit, Funktionsumfang, Datenschutz und Co. geprüft – so viel vorab: Alle geprüften Manager machen das gut oder sehr gut, bis auf den Verlierer im Test.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/77WU5R6OTHY6PVNBWUCGP74ANY.jpg)
Diesen Mangel haben fast alle – auch der Sieger
Der Testsieger ist laut Stiftung Warentest der Keeper-Security-Passwortmanager von Keeper mit der Gesamtnote gut (2,4). Er erfüllt die wichtigsten Faktoren „Sicherheitsfunktionen“ und „Handhabung“ mit der Note sehr gut, beziehungsweise gut. Lediglich beim Punkt „Schutz persönlicher Daten“ erhielt Keeper Security die Note befriedigend.
Fast alle anderen Anbieter haben in diesem Punkt ebenfalls Mängel. In vielen Fällen bestehe das Problem laut Stiftung Warentest schlichtweg darin, dass die Texte nur auf Englisch vorliegen. Zudem waren in vielen Texten Klauseln zu finden, die Nutzer benachteiligen, zum Beispiel durch unklare Fälle, in denen Anbieter sich vorbehalten, ihren Dienst kurzfristig einzustellen.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/7TB5J3YDHMDZFC6F23AFMMBHCY.jpg)
Das kosten Passwortmanager
Alle getesteten Passwortmanager können kostenlos verwendet werden – dann allerdings mit Einschränkungen. Meistens kann der Manager dann nur auf einem Gerät verwendet werden. Wer den vollen Umfang der Programme nutzen will, muss meistens ein Abo abschließen, das zwischen 10 und 40 Euro im Jahr kostet. Der Testsieger kostet 30 Euro im Jahr, als mobile App ist Leeper Security kostenlos.
Ebenfalls gratis sind die Passwortmanager der Browser Chrome, Firefox und Safari. Stiftung Warentest untersuchte auch diese drei Programme, verzichtete aber auf ein Qualitätsurteil, da die Passwortfunktion nicht trennscharf von anderen Gratis-Features betrachtet werden konnte. Einen Nachteil haben die Browser laut der Stiftung aber gemein: Die Nutzer müssen sich entweder auf einen einzigen Browser festlegen oder sich auf die Passwortmanager mehrerer Browser verlassen.
Bei Mozilla Firefox gab es eine weitere große Sicherheitslücke: Loggt sich der Nutzer in den Browser ein, werden seine von Firefox gespeicherten Passwörter auf den Computer übertragen. Wenn also andere Nutzer dasselbe Gerät unter demselben Geräteprofil verwenden, können sie die Passwörter unter Umständen im Klartext einsehen.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3KDUNE6P7RCABJX2QNFI7Y5BSU.jpeg)
Zusatzoptionen für mehr Sicherheit
Für mehr Sicherheit bieten Programme weitere Optionen an, beispielsweise den Log-in mit dem Masterpasswort und einem zweiten Faktor abzusichern, wie dem Fingerabdruck. Testsieger Keeper Security punktet an dieser Stelle durch die größte Vielfalt an Zusatzfunktionen. Hilfreich sind laut Stiftung Warentest auch Hinweise, wie sicher der Masterpasswort-Vorschlag des Nutzers ist. Alle von der Stiftung geprüften Programme geben solche Einschätzungen ab.
Als mangelhaft wird bei einigen Programmen – wie beim Verlierer SafeInCloud – bewertet, dass auch Masterpasswörter mit weniger als fünf Zeichen erlaubt sind.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/PTDRPNVHHFCITON24AEM72X5VI.jpeg)
Wie kommt man ohne Manager an die Passwörter?
Wer einen Passwortmanager verwendet und sein Masterpasswort vergisst, hat meistens schlechte Karten. Empfohlen wird von Stiftung Warentest daher auch, dass Masterpasswort zu notieren und an einem sicheren Ort aufzubewahren. Testsieger Keeper Security ist nur eines von drei Programmen, das das Passwort wiedererlangen kann.
Auch wer einen fremden Computer benutzt, kann seine vom Programm generierten Passwörter gar nicht kennen. Das ist besonders ärgerlich, wenn man beispielsweise sein persönliches Endgerät verloren hat. Bei mehreren getesteten Programmen, auch beim Testsieger, ist es möglich, dennoch an die Kennwörter zu kommen. Dafür muss man sich mit dem Masterpasswort auf der Anbieter-Webseite anmelden.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/LUOQQZWJEONNWOCB2SCVI6YZQU.jpg)
Zeit nehmen für die Einrichtung
Wer den Passwortmanager mit all seinen Vorteilen nutzen will, sollte laut Stiftung Warentest einige Stunden für die Einrichtung einplanen. Zunächst braucht man eine Liste mit seinen wichtigsten Onlinekonten – mit Nutzername und Passwort. Mit dem Passwortmanager muss dann für jedes Konto ein neues Kennwort generiert werden. Danach muss der Manager auf allen Geräten, mit denen man sonst noch im Internet surft eingerichtet werden – also Tablet, Smartphone und Co. eingerichtet werden.
Abschließend muss in den Browser-Einstellungen festgelegt werden, dass künftig nicht mehr der Browser, sondern der Passwortmanager standardmäßig die Log-in-Daten verwaltet.
Tipps für noch mehr Sicherheit
Neben Passwortmanagern empfiehlt Stiftung Warentest weitere Optionen, um sich – beziehungsweise seine Passwörter – zu schützen. Die Geräte, mit denen man im Netz unterwegs ist, sollten immer gesichert werden. Am sichersten ist dabei laut der Stiftung der Fingerabdruck. Passwörter seien zudem eine bessere Wahl als Pin-Codes. Besonders schützenswert ist das E-Mail-Konto, denn hier können viele Phishingmails einlaufen. Das Passwort sollte besonders stark sein und im Idealfall durch einen zweiten Log-in-Faktor geschützt sein.
Beim Anmelden auf neuen Webseiten, fragt der Browser meistens nach, ob diese Daten gespeichert werden sollen. Das sollte unter Umständen vermieden werden, wenn der Rechner von mehreren Menschen genutzt wird. Möglicherweise können fremde Personen auf demselben Computer das Passwort im Klartext einsehen.
Auch förderlich ist es, Konten zu löschen, die nicht mehr in Betrieb sind. Je weniger Onlineaccounts, desto geringer ist auch die Gefahr, gehackt zu werden. Stiftung Warentest rät außerdem, die Passwörter nicht zu wechseln. Dieses Vorgehen wurde früher oft empfohlen, sei inzwischen aber überholt: Lieber ein starkes Kennwort wählen.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/CA6UDLJRDBE4POPP7HTQ2YVUU4.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/L2RA5DVSRZBGDANM7PFO7CZ6FE.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QMZCW5QGHVBYVEMZ5ZSJYCXMOQ.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3W2UBW4GYBBKRBDWKAFZBBUOMA.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VHF5GQI6SBF4TJHSUSXJB5IMZU.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZDN3252EUND7JJAPH7H42VWJPY.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NXJ7JZFYFRDKHDPVHAEVI7KX7E.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/5D65JJ55TFCT7PP32KTUL4P3FY.png)