Passwortmanager im Test Fünf Helfer gegen das Kennwort-Chaos

Onlinebanking, iCloud und Facebook: Für jeden Account sollen wir uns ein Passwort merken? Unmenschlich. Deshalb können uns Passwortmanager diesen Job übernehmen - doch auch die haben ihre Tücken.

1Password

Von


Jeden Tag melden wir uns bei zahlreichen Onlineplattformen an. Auf dem Smartphone, dem Tablet und auf dem Desktoprechner. Manchmal ist das Passwort noch gespeichert, manchmal auch nicht. Wenn man sich daran erinnert und es schnell eintippen kann, ist es oft kein besonders gutes Passwort. Und dann ist die Gefahr groß, dass der Account eines Tages gekapert wird.

Auch wenn es uns die großen Onlineplattformen wie Netflix, Google und Spotify noch so einfach machen, schwache Passwörter einzurichten: Es ist besser, damit aufzuhören. Und mit einem Passwortmanager anzufangen. "Ein Passwortmanager ist grundsätzlich sehr empfehlenswert", sagt Christoph Sorge, Professor für Rechtsinformatik an der Universität des Saarlandes. "Wir nutzen Hunderte von Onlinediensten, da ist es unrealistisch, sich alle Passwörter zu merken."

Auch der Trick, sich ein komplexes Passwort auszudenken und jedes Mal ein wenig anzupassen, sei keine gute Idee. "Ein, zwei Zeichen zu ändern für ein neues Passwort reicht keineswegs aus", sagt Sorge.

Fünf Tipps für bessere Passwörter
Verabschieden Sie sich von "123456"
Wenn bei einem Anbieter Passwörter geklaut werden, sind diese zum Glück oft verschlüsselt. Das hilft allerdings wenig, wenn das Passwort einfach zu erraten ist. "123456", "Passwort" oder "geheim" sind immer noch beliebt, aber denkbar schlechte Codewörter. Würfeln Sie lieber ein paar Wörter zusammen, mit mehr als zwölf Zeichen, und ersetzen Sie mehrere Buchstaben durch Zahlen und Sonderzeichen. Dann tragen Sie im Kalender noch ein, dass Sie dieses Passwort in drei Monaten durch ein neues ersetzen.
Ein Passwort nur für E-Mails
Eigentlich muss man sich für jeden Dienst ein neues Passwort ausdenken. In der Praxis nervt das allerdings dermaßen, dass man es schon mal vergisst. Aber zumindest für Ihre E-Mails sollten Sie sich ein sicheres Passwort ausdenken, das Sie wirklich nur dafür verwenden. Denn bei vielen Diensten kann man sein Passwort zurücksetzen - und bekommt dann eine E-Mail mit einem Link geschickt, mit dem man sich ein neues Passwort geben kann. Wer in Ihrem E-Mail-Account ist, kann so viele andere Accounts übernehmen. Das sollten Sie verhindern. Noch besser sind sogenannte Passwortmanager. Diese Programme kümmern sich automatisch darum, dass jeder Dienst ein eigenes, sicheres Passwort erhält. Experten empfehlen zum Beispiel die kostenlose Open-Source-Software Keepass. Aber auch der vertrauen Sie nicht alle Passwörter an, falls doch mal etwas schiefgeht: Passwörter für E-Mail-Konten speichern Sie nur im Gedächtnis ab. Oder auf Papier.
Nutzen Sie Zwei-Faktor-Authentifizierung
Etwas, was man wissen muss, und etwas, das man bei sich hat: Nach diesem Prinzip funktioniert die Zwei-Faktor-Authentifizierung. Sie kennen das vielleicht schon vom Onlinebanking, wo man neben dem Passwort noch einen Code braucht, die sogenannte Tan, die man von einem Zettel abliest oder per SMS geschickt bekommt. Einige Anbieter bieten so eine doppelte Anmeldung an, zum Beispiel Apple, Google, PayPal und Facebook. Kommt hier ein Passwort abhanden, ist das ärgerlich, aber nicht bedrohlich. Eine konkrete Anleitung finden Sie hier.
Benutzen Sie Ihre Passwörter nicht doppelt
Wird nämlich ein Dienst gehackt, und damit womöglich Ihr Passwort bekannt, kann man Ihnen sonst auch woanders Daten abluchsen.
Vergessen Sie Ihr erstes Haustier
Für den Fall, dass man mal ein Passwort vergisst, schlagen viele Anbieter eine sogenannte Sicherheitsfrage vor. Man verrät dem Dienst eine Information, die nur man selbst kennt. Allerdings lassen sich die Antworten auf häufig vorgeschlagene Fragen nach Wohnort, Haustier und Mädchenname der Mutter oft einfach erraten. Also sollte man sich ein Geheimnis überlegen, dessen Antwort man tatsächlich nur selbst kennt - und die Antwort auch noch verrätseln. Eine konkrete Anleitung finden Sie hier.

Besser sei es, das Passwort per Kennwort-Generator erstellen zu lassen. Solche Generatoren liefern fast alle Hersteller von Passwortmanagern gleich mit. Dazu gibt es Apps für das Smartphone und Plug-ins für die gängigen Browser. Allerdings tauchen hier auch am ehesten Sicherheitsprobleme auf - wer also auf Nummer sicher gehen will, verzichtet besser auf den Gebrauch eines solchen Plug-ins.

Auch das Speichern in der Cloud kann Risiken bergen, selbst wenn es für Nutzer sicher verlockend komfortabel ist, die Kennwortdatei dort - verschlüsselt - abzulegen. Schließlich kann man Passwörter so auch von verschiedenen Geräten und von überall aus abrufen. Wie so oft muss sich der Nutzer hier entscheiden zwischen größtmöglichem Komfort und möglichst hoher Sicherheit. Wer lieber nichts in der Cloud ablegen möchte, kann sich auch für eine lokale Lösung entscheiden, bei der die Datei nur auf dem eigenen Rechner gespeichert wird.

Aus der Sicht von Christoph Sorge ist es aber vertretbar, auch sensible Daten verschlüsselt in der Cloud zu speichern. Ansonsten sei es auch "ein Krampf", die Geräte mit lokal gespeicherten Passwort-Dateien zu synchronisieren. Man müsse aber ein sehr gutes Master-Passwort gewählt haben, und die Entwickler sollten die Verschlüsselung richtig anwenden.

Leider sei die Anzahl der Fälle groß genug, bei denen auch bekannte Unternehmen bei der Verschlüsselung gepatzt haben, sagt der IT-Professor. Absolute Sicherheit gebe es ohnehin nicht. "Seriöse Anbieter zeichnen sich dadurch aus, dass sie schnell auf Sicherheitslücken reagieren."

Das Master-Passwort zu vergessen, ist immer noch der größte Fehler, den man machen kann. Manche Hersteller bieten zwar ein Notfall-Kit für den Fall an, dass die Passwort-Datei verschlossen bleibt. Doch im schlimmsten Fall sind die Daten für immer verloren. Auf das Master-Passwort sollte man also sehr gut aufpassen. Sicherheitsexperte Sorge rät: "Auch wenn es irritierend ist, wenn ein IT-Mensch wie ich das sagt: Das Master-Passwort am besten auf einen Zettel schreiben und an einem sicheren Ort aufbewahren."

Viele Anbieter setzen auf Bezahl-Abos

Unser Test der beliebtesten Passwortmanager zeigt: Einzellizenzen auf Lebenszeit gibt es nur noch selten. Bei fast allen großen Anbietern wie 1Password, Lastpass und Dashlane muss man mittlerweile ein Abo abschließen, um alle Funktionen nutzen zu können. Dafür bieten die Entwickler in der Regel aber auch eigene Server an, auf denen die Nutzer ihre Daten ablegen können.

Doch welcher Passwortmanager eignet sich überhaupt? Wo werden meine Daten jeweils gespeichert und wie viel kostet das? Wir haben uns die Vor- und Nachteile von fünf der beliebtesten Passwortmanager genauer angeschaut.

Hintergrund: Produkttests im Netzwelt-Ressort
Über welche Produkte wird im Ressort Netzwelt berichtet?
Über welche Produkte wir in der Netzwelt berichten und welche wir testen oder nicht, entscheiden wir selbst. Für keinen der Testberichte bekommen wir Geld oder andere Gegenleistungen vom Hersteller. Es kann aus verschiedenen Gründen vorkommen, dass wir über Produkte nicht berichten, obwohl uns entsprechende Testprodukte vorliegen.
Woher kommen die Testprodukte?
Testgeräte und Rezensionsexemplare von Spielen bekommen wir in der Regel kostenlos für einen bestimmten Zeitraum vom Hersteller zur Verfügung gestellt, zum Teil auch vor der offiziellen Veröffentlichung. So können unsere Testberichte rechtzeitig oder zeitnah zur Veröffentlichung des Produkts erscheinen.

Vorabversionen oder Geräte aus Vorserienproduktionen testen wir nur in Sonderfällen. In der Regel warten wir ab, bis wir Testgeräte oder Spielversionen bekommen können, die mit den Verkaufsversionen identisch sind. In einigen Fällen kaufen wir Produkte auch auf eigene Kosten selbst, wenn sie bereits im Handel oder online verfügbar sind.
Dürfen die Netzwelt-Redakteure die Produkte behalten?
In der Regel werden Testgeräte nach dem Ende des Tests an die Hersteller zurückgeschickt. Die Ausnahme sind Rezensionsexemplare von Spielen und sogenannte Dauerleihgaben: So haben wir zum Beispiel Spielekonsolen und Smartphones in der Redaktion, die wir über längere Zeit nutzen dürfen. So können wir beispielsweise über Software-Updates, neues Zubehör und neue Spiele berichten oder Langzeiturteile fällen.
Lassen sich die Netzwelt-Redakteure von Firmen auf Reisen einladen?
Die Kosten für Reisen zu Veranstaltungen, egal ob sie in Deutschland oder im Ausland stattfinden, trägt SPIEGEL ONLINE stets selbst. Das gilt auch dann, wenn beispielsweise aufgrund kurzfristiger Termine ein Unternehmen die Reiseplanung übernimmt.

Veranstaltungen, zu denen wir auf eigene Kosten reisen, sind unter anderem die Messen Ifa, CES, E3 und Gamescom sowie Events von Firmen wie Apple, Google, Microsoft oder Nintendo. Auf Konferenzen wie dem Chaos Communication Congress oder der re:publica bekommen wir in der Regel, wie auch andere Pressevertreter, kostenlose Pressetickets, da wir über die Konferenz berichten und keine klassischen Teilnehmer sind.
Was hat es mit den Amazon-Anzeigen in manchen Artikeln auf sich?
Seit Dezember 2016 finden sich in einigen Netzwelt-Artikeln Amazon-Anzeigen, die sogenannte Partner-Links enthalten. Besucht ein Nutzer über einen solchen Link Amazon und kauft dort online ein, wird SPIEGEL ONLINE in Form einer Provision an den Umsätzen beteiligt. Die Anzeigen tauchen in Artikeln unabhängig davon auf, ob ein Produkttest positiv oder negativ ausfällt.


insgesamt 38 Beiträge
Alle Kommentare öffnen
Seite 1
jujo 20.08.2017
1. ...
Wir haben für alle unwichtigen Fälle ein einheitliches Passwort, z.B Bibliotek und Webseite des Stromanbieters. Die relavanten sind sicher verwahrt. Die wenigen wichtigsten sind aus meinem Körpereigenen nicht hackbaren Speicher jederzeit abrufbar. Ein bißchen Hirnjogging mit 73 macht das noch möglich. :-)
tapier 20.08.2017
2. Niemals
..sollte man seine Passwörter irgendeinem Sammeldienst anvertrauen. Entweder behält man sie im Kopf, oder speichert sie, wenn es unbedingt sein muss, in einer verschlüsselten Datei auf einem externen Datenträger. Wenn man zu blöd ist sich das Zeug zu merken kann man auch die Passwortspeicherfunktion eines (Mozilla) Browser verwenden. Allerdings sollte man dies nur für unwichtige tun. Aber einem Anbieter dafür sogar noch Geld bezahlen um sowas zu speichern ist ungefähr genauso sicher wie "123456"
jozu2 20.08.2017
3. Dann sind Papier und Bleistift vielleicht doch am besten.
Für die Passwortflut gibt es zwei Rezepte: Erstens muss man nicht bei jedem Sch... mitmachen und sich gleich anmelden. Zweitens sollte man lieber auf analoge Techniken zurückgreifen. Wer seine Passwörter handgeschrieben auf einem Zettel hat, hat seine Passwörter jederzeit griffbereit. Außerdem muss jemand in die Wohnung einbrechen, um die Passwörter zu stehlen. Dazu müsste der Hacker sich mit einem professionellen Einbrecher zusammentun. Da es bei mir sowohl online also auch im real-Life keine Fantastillionen zu stehlen gibt, dürfte der Aufwand den Gaunern zu groß sein.
marthaimschnee 20.08.2017
4. ein wichtiger Tip fehlt
Wer seine Passwörter bei einem kommerziellen Anbieter in der Cloud speichert, kann sie auch auf Einkaufstüten schreiben. Selbst wenn der es schafft, dies vor Hackern zu sichern, ist er selbst ein Sicherheitsproblem. Die goldene Regel im Netz lautet, niemandem zu vertrauen! Da leidet dann eben der Komfort (zB aufgrund fehlender Synchronisation zwischen Geräten), denn Bequemlichkeit ist der natürliche Feind von Sicherheit.
triqua 20.08.2017
5.
Niemals haben Passwörter etwas auf einem physikalischen Speichermedium zu suchen ... Auch nichts in sog. "Passwort-Managern" ... Wer es dennoch tut, sollte anschließend nicht in diversen Fernsehsendungen ein betroffenes Gesicht machen ...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.