Haben Sie mal gezählt, wie viele Online-Konten Sie inzwischen haben? E-Mail, Google-Account, Amazon-Konto, Netflix, Sport-Tracker und und und. Vermutlich machen Sie auch längst Online-Banking, sind Mitglied im ADAC und buchen Ihre nächste Urlaubsreise über die Webseite Ihres Reisebüros. Da kommt also eine ganze Menge zusammen. Und Hand aufs Herz: Benutzen Sie für jedes dieser Konten ein eigenes Passwort? Mit mindestens zwölf Zeichen, Zahlen und Sonderzeichen? Das kann sich doch kein Mensch alles merken!
Hier geht es zu unserem Test von VPN-Providern.
Hier kommen Passwort-Manager ins Spiel. Sie versprechen sichere Aufbewahrung aller Nutzerdaten und übernehmen auf Wunsch auch das Ausfüllen aller Formulare. Die meisten davon kosten Geld, ja. Aber angesichts immer neuer Meldungen von gehackten Nutzerkonten, unfreiwillig veröffentlichter Privatfotos, von Verbrechern gesperrter Computer und Milliardenschäden durch Online-Betrüger sollte einem diese Ausgabe schon eine Überlegung wert sein.
Zumal das Plus an Sicherheit gar nicht so teuer sein muss. Ab rund zehn Euro pro Jahr geht es los, wer etwas mehr ausgibt, kommt in den Genuss von allerlei Extras. Aber welche Produkte taugen etwas, welches ist am günstigsten und welches bietet den meisten Komfort? Wir haben es für Sie getestet. Hier sind unsere Empfehlungen in der Kurzübersicht.
Kurzübersicht
AgileBits 1Password
Aus unserer Sicht ist der AgileBits 1Password der vollständigste Passwort-Manager. Unter einer ansprechend gestalteten, übersichtlichen Benutzeroberfläche findet sich fast alles, was man sich von einem solchen Produkt wünschen kann. Gerade Einsteiger finden zudem überall deutschsprachige Hilfestellungen, um zu einer wirklich sicheren und im Alltag nicht störenden Passwortverwaltung zu kommen.
DSwiss SecureSafe
Sicher wie ein Schweizer Banktresor, sagt man ja. Trotzdem ist SecureSafe noch immer ein Geheimtipp. Höchste Sicherheitsstandards, ein vertrauenswürdiger Anbieter, gute Bedienbarkeit und nicht zuletzt sehr attraktive Preise sollten Privatnutzern, aber vor allem auch Unternehmen einen näheren Blick wert sein. SecureSafe lässt sich nämlich zu einem umfassenden Dokumentenarchiv inklusive Teamnutzung ausbauen.
Siber Systems RoboForm
Sympathisch ist nicht nur das Roboter-Logo, vielmehr macht die ganze Benutzeroberfläche von RoboForm Laune. Das ist wichtig, denn nur ein Passwort-Manager, den man auch gerne benutzt, erfüllt seine Aufgabe, für mehr Sicherheit bei den persönlichen Benutzerdaten zu sorgen. Das sollte einem der sehr günstige Tarif wert sein.
Dashlane Passwortmanager
Dashlane darf man eine hohe Professionalität bescheinigen, man merkt auf Schritt und Tritt, dass hier jemand sein Handwerk versteht. Das schafft eine vertrauensvolle Atmosphäre, für die man gerne auch ein paar Euro mehr ausgibt.
8Bit Solutions BitWarden
Mit dem Open-Source-Produkt BitWarden hat nun niemand mehr eine Ausrede, keinen Passwort-Manager zu benutzen. Denn obwohl dauerhaft komplett kostenlos oder für nicht einmal ein Euro pro Monat nutzbar, muss man bei Funktionsumfang und Bedienkomfort so gut wie keine Abstriche machen.
Vergleichstabelle
- Benutzerfreundliche Bedienung
- Vorbildliche Benutzerführung
- Client für Windows und macOS
- Für alle gängigen Browser und Plattformen verfügbar
- Viele Extras
- Kein Notfallkontakt festlegbar
- Nur Dropbox als Speicheralternative
- Nicht gratis nutzbar
- Support-Funktionen teilweise auf Englisch
- Server in der Schweiz
- Durchgängig deutschsprachig
- Client für Windows und macOS
- Speicher für Dokumente
- Sehr günstiger Preis
- Etwas magerer Funktionsumfang
- Passwörter nicht mit anderen Nutzern teilbar
- Großer Funktionsumfang
- Hohe Flexibilität und Vielseitigkeit
- Browser-Erweiterung top
- Sehr günstiger Preis
- Keine Alternative zur Anbieter-Cloud
- Programmbestandteile wirken etwas unzusammenhängend
- Teilweise holprige Übersetzung
- Großer Funktionsumfang
- Eigene WebApp
- VPN für anonymes Surfen
- Gratis nutzbar für ein Gerät und 50 Passwörter
- Desktop-Client wurde eingestellt
- Ersteinrichtung wenig intuitiv
- teuer
- Gratis-Version mit großem Funktionsumfang
- Open Source
- Version für Unternehmen verfügbar
- Arg triste Benutzeroberflächen in Web und App
- Schlampig übersetzt
- Keine echte Hilfstellung
- Übersichtlicher Windows-Client
- Speichert auch Notizen, Kreditkartendaten und persönliche Angaben zum Ausfüllen von Online-Formularen
- Günstiger Preis
- Automatisches Ausfüllen in der App fehlerbehaftet
- Passwort zurücksetzen etwas zu einfach
- Sehr viele Browser unterstützt
- Passkeys
- Lifetime-Lizenz ohne Abo erhältlich
- etwas veraltet wirkende Nutzeroberfläche, die zu Unübersichtlichkeit neigt
- Autofill nicht immer zuverlässig
- Innovativer Ansatz
- Passkeys
- dauerhaft gratis nutzbar
- gute Wahl für Unternehmen und Teamarbeit
- deutsches Unternehmen
- Keine Clients für Windows / macOS
- wenig Extras
- Benutzeroberfläche wirkt teilweise etwas unübersichtlich
- Sehr gute Benutzerführung
- Erweiterungen für alle gängigen Browser
- Durchgehend deutschsprachig
- Keine Clients für Windows / macOS
- vergleichsweise teuer
- Etwas undurchsichtiger Webshop
- Großer Funktionsumfang
- Übersichtliche Benutzeroberfläche
- Gelegentlich Grafikfehler
- Teilweise englische Texte
- Sicherheitslücken in der Vergangenheit
- Teil der Avira-Familie
- Günstiger Preis
- Unkomplizierte Bedienung
- Keine Clients für Windows / macOS
- Gebrauchsanweisungen und Hilfestellungen dürftig
- Übersichtlich und solide
- Browser-Erweiterungen auch für Opera, Safari, Vivaldi
- Unterstützt Apple iCloud und viele andere
- Keine eigene Anbieter-Cloud
- Teilweise auf Englisch
- Magere Benutzerhilfen und Anleitungen
- Kostenlos
- Sicherheit durch Open Source
- Sehr weitgehend anpassbar
- Für technisch weniger versierte Anwender zu kompliziert
- Spröde, unübersichtliche Benutzeroberfläche
- Erfordert viel Einarbeitungszeit
- innovatives Konzept
- Passkeys
- sehr viele Extras
- teilweise etwas chaotische Benutzeroberfläche
- schlechte deutsche Maschinenübersetzung
- keine Desktop-App
Alle Infos zum Thema
Der Schlüssel zu Sicherheit: Passwort-Manager im Test
Passwort-Manager gibt es inzwischen jede Menge. Das ist auch gut so, schließlich liest man immer wieder, dass man möglichst komplexe, nicht nachvollziehbare Passwörter benutzen soll, und zwar ein eigenes Kennwort für jeden Dienst. Alternativen zum Passwortsystem wie etwa biometrische Anmeldungen per Fingerabdruck oder Gesichtserkennung stecken noch in den Kinderschuhen und sind für die allermeisten Dienste und Anwendungen nicht verfügbar. Da sich aber niemand alle Passwörter, die man im digitalen Alltag inzwischen braucht, merken kann, kommt man um einen Passwort-Manager nicht herum. Damit muss man sich nur noch ein so genanntes Master-Passwort merken, um Zugriff zu allen persönlichen, in einem sicheren Cloud-Speicher verschlüsselt abgelegten Passwörter, Kreditkartennummern, PINs und anderen Zugangsdaten zu bekommen.
Mobile Apps und »Autofill«-Funktion sind Pflicht
Da dies auch unterwegs jederzeit gewährleistet sein sollte, sollten Apps für Android und iOS verfügbar sein. Viele Dienste verzichten auf einen eigenen Client für Windows und macOS zum Herunterladen. Das ist kein Ausschlusskriterium, doch wir halten es im Sinne einer besseren Bedienbarkeit für einen klaren Vorteil, wenn sich ein Programm auch unabhängig vom Browser bedienen lässt. Einige Anbieter setzen auf so genannte WebApps. Die Benutzeroberfläche ist dann nicht lokal gespeichert, sondern auf einem Server des Anbieters. Nach Erkenntnissen den Fraunhofer Instituts für Sichere Informationstechnologie können gerade Android-Apps mit einem höheren Risiko bei der Online-Nutzung behaftet sein. Lokale Clients und WebApps bieten die Möglichkeit, dieses Risiko zu umgehen, indem man auf die App verzichtet.
Damit man nicht jedes Kennwort auf jedem Gerät manuell eintragen muss, sollte eine geräteübergreifende Synchronisation automatisch und möglichst sicher erledigt werden. Eine Ende-zu-Ende-Verschlüsselung sorgt dann dafür, dass die übertragenen Daten unterwegs nicht abgefangen werden können. Die »Autofill«-Funktion sorgt außerdem dafür, dass Passwörter automatisch in Formulare eingefügt werden. Dafür gibt es für alle Passwort-Manager Erweiterungen (auch Add-ons) genannt für die gängigen Browser. Hier sollte man vorsichtig sein, da nicht jedes Produkt auch für jeden Browser eine Erweiterung bereithält. Wer beispielsweise eine eher exotische Surfsoftware wie Vivaldi benutzt, hat weniger Auswahl unter den Passwort-Managern, wenn er nicht den Browser wechseln will.
Wo liegen meine Daten?
Das alles funktioniert natürlich nur, wenn die Daten zentralisiert im Internet ablegt werden. Damit stellt sich die grundlegende Frage nach dem Speicherplatz. Offline-Lösungen wie Keepass bieten sich für all jene an, die davor zurückschrecken, ihre Daten online zu stellen. Lokale Lösungen teilen keine Informationen über das Netz und speichern sie auch nicht in der Cloud. Das bietet ein hohes Maß an Sicherheit, ein Abo erübrig sich natürlich. Die Passwortdatenbank muss dann aber bei Bedarf auf einem externen Speichermedium wie einem USB-Stick abgelegt werden, damit man seine Zugangsdaten auch unterwegs griffbereit hat. Mehr Sicherheit geht also auch hier mit weniger Komfort einher.
Kritiker von Online-Passwort-Managern führen an, dass Tresore, die sämtliche sensible Informationen zu einer Person enthalten, praktisch ein Schlüssel zum Identitätsdiebstahl sind. Das ist nicht ganz von der Hand zu weisen, doch wir folgen zahlreichen Expertenstimmen in der Ansicht, dass die Vorteile die Risiken bei Weitem überwiegen. Verfügbarkeit wichtiger Daten unabhängig von Zeit und Ort, Überprüfung der Passwortsicherheit, wie sie die besseren Passwortmanager bieten, und nicht zuletzt mehr Sicherheit durch komplexe Passwörter, die man ohne Manager so vermutlich niemals verwenden würde, sprechen für sich. Der größte Fehler wäre aus unserer Sicht, aufgrund von Sicherheitsbedenken auf einen Passwortmanager zu verzichten und stattdessen kurze Passwörter oder »Gedächtnisstützen« zu verwenden, die am Ende von anderen erraten werden können.
Wie sicher sind meine Daten?
Damit stellt sich die Frage, wie die Daten Übertragen und wo die Daten ablegt werden. Die höchste Sicherheit bietet eine Zero-Knowledge-Verschlüsselung. Sie erfolgt lokal auf den Nutzerendgerät, ist also den Dienstanbietern nicht zugänglich. Nur diese Praxis bietet ausreichende Sicherheit. Dafür legt der Nutzer ein Hauptpasswort an, mit dem er Zugang zu allen anderen Passwörtern erhält. Als Online-Speicherplatz für Anmeldedaten und unter Umständen auch Notizen kommen Cloud-Speicher wie Dropbox oder OneDrive infrage. Damit hat man ein hohes Maß an Flexibilität und kann bereits vorhandenen Speicherkontingente nutzen. Die meisten Dienste stellen jedoch Speicherplatz im Rahmen eines Abo-Modells zur Verfügung, was Vertrauen in den Anbieter voraussetzt, aber die bequemste und letztlich wohl auch sicherste Lösung ist.
Aus alldem ergibt sich, dass es einhundertprozentige Sicherheit mit perfektem Bedienkomfort auch mit einem Passwort-Manager nicht geben kann. Wir haben uns daher bemüht, für jedes Produkt herauszuarbeiten, für welchen Nutzertyp es sich am besten eignet.
Aktueller Trend: Passkeys statt Passwörter?
Derzeit liest man immer öfter: Passkeys sind im Begriff, klassische Passwörter abzulösen. Passkeys sollen den Zugang zu digitalen Diensten einfacherer und sicherer machen. Bislang läuft es gewöhnlich so ab: Man vereinbart mit einem Dienst ein Passwort, das dieser dann abfragt, sobald man sich anmelden will. Auch Passwort-Manager selbst basieren wie beschrieben auf dem Passwort-System, indem sie einem Zugang nur über ein Master-Passwort gewähren. Dabei, so wenden Kritiker ein, besteht stets die Gefahr, dass ein Passwort trotz verschlüsselter Übertragung in die falschen Hände gelangen kann.
Bei einem Passkey ist das nicht möglich. Denn er wird auf dem Gerät, mit dem man sich anmelden will, gespeichert, und zwar so, dass er nicht auslesbar ist. Auf dem Gerät, etwa einem Smartphone, weist man sich mittels biometrischer Daten aus, beispielsweise einem Fingerabdruck oder einem 3D-Abbild des eigenen Gesichts. Auch die Verwendung von PINs oder Fingergesten ist möglich. Sicherheitsexperten zufolge bieten Passkeys den besten Schutz vor Bedrohungen wie etwa Phishing, also dem Ausspionieren von Nutzerdaten. Es ist aber wichtig, dass man Passkeys nur auf privaten Geräten erstellt, die man selbst verwaltet.
Wie funktionieren Passkeys?
Jeder Passkey besteht aus zwei Teilen. Es gibt einen öffentlichen Schlüssel, der mit der Website oder App geteilt wird, bei der man sich anmelden möchte. Er ist nicht geheim und muss nicht geschützt werden. Und es gibt einen privaten Schlüssel, der dauerhaft auf dem Gerät gespeichert bleibt, auf dem es erstellt wurde. Es handelt sich um eine zufällig erstellte, sehr lange Zeichenfolge, von der niemand Kenntnis bekommt.
Bei der Anmeldung stellt ein Server des Dienstanbieters eine Anfrage an das Gerät, mit dem man sich anmeldet, und kann dann anhand der Antwort feststellen, ob der private Schlüssel verwendet wurde, ohne dass dieser preisgegeben wird. Da ein Schlüsselteil ohne den anderen nutzlos ist, muss man also immer physischen Zugang zum Handy, Tablet oder PC haben und diese entsperren, um sich bei mit einem Passkey geschützten Konten anmelden zu können.
Wie erstellt man einen Passkey?
Das hängt ganz vom Dienst oder Anbieter ab. Auf iPhones (ab iOS 16) und iPads (ab iPadOS 16) müssen der iCloud-Schlüsselbund sowie die Zwei-Faktor-Authentifizierung aktiviert sein. Meldet man sich mit einem bereits bestehenden Passwort bei einem Dienst an, bekommt man eine SMS mit einem sechsstelligen Code geschickt oder lässt sich anrufen, um die Anmeldung zu verifizieren (2-Faktor-Authentifizierung). Auf dem Apple-Gerät erstellt man nun einen Passkey in den Einstellungen und „Login und Sicherheit“. Er wird im iCloud-Schlüsselbund gesichert und ist geräteübergreifend verwendbar, allerdings nur auf Apple-Geräten, auf denen man mit der eigenen Apple-ID angemeldet ist.
Auf Android-Geräten werden Passkeys automatisch generiert. Der einfachste Weg, die Verwendung zu aktivieren, führt über den Chrome-Browser. Man meldet sich mit seinem Google-Konto an, geht auf die Seite www.google.com/account/about/passkeys/ und folgt Sie den Anweisungen. Bei vielen Diensten wie Amazon oder PayPal findet man die Möglichkeit, einen Passkey zu erstellen, in den Kontoeinstellungen unter „Anmeldung und Sicherheit“. Dort kann man auch das Gerät auswählen, mit dem man sich künftig authentifizieren möchte. Eine Liste der Dienste, die Passkeys verwenden, mitsamt dazugehörigen Anleitungen in englischer Sprache findet sich unter der Adresse https://passkeys.directory/.
Sind Passwörter künftig überflüssig?
Nein. Man kann Passwörter weiterhin parallel zu Passkeys benutzen. Schließlich müssen sich Passkeys erst das Vertrauen der Nutzerinnen und Nutzer verdienen. Außerdem bieten längst noch nicht alle Dienste eine Anmeldung über Passkeys an. Die Nutzung bleibt auch weiterhin eine Vertrauensfrage. Denn mit dem Passkey-System bindet man sich zwangsläufig an große Konzerne wie Apple oder Google. Der beste Weg scheint daher bis auf Weiteres die parallele Nutzung von Passwörtern, 2-Faktor-Authentifizierung und Passkeys zu sein.
Entschließt man sich dazu, Passkeys zu verwenden, bietet sich die Verwendung eines Passwort-Managers an, der diese Technik unterstützt. Denn dann kann man sich per Passkey beim Password-Manager anmelden und dort seine Anmeldedaten zu allen Diensten, also auch solchen, die Passkeys nicht unterstützen, verwalten. Zu den Kandidaten im Testfeld, die das ermöglichen, zählen 1Password und LogMeIn.
Sind in den Browser integrierte Password-Manager eine gute Alternative?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Nutzung von im Browser integrierten Passwort-Managern generell ab, da sie mit zu vielen Risiken verbunden seien. Das gilt unter anderem auch für den Google Passwortmanager. Theoretisch könnte sich nämlich jeder, der Ihr Gmail-Adresse und Ihr Passwort kennt, sich bei jedem Dienst anmelden, für den Sie das Passwort in Chrome gespeichert haben. Da man gerade die Google-Zugangsdaten häufig verwendet – etwa auf dem Android-Handy, bei Gmail oder Youtube – ist das Risiko groß, dass es in die falschen Hände kommt. Sicherheitsexperten zufolge kann die Verschlüsselung von im Browser gespeicherten Daten zudem besonders leicht geknackt werden. Da das Internet der Ort ist, wo man sich am leichtesten Viren einfängt, liegt auf der Hand, dass im Browser gespeicherte Informationen besonders angreifbar sind. Schadprogramme wie der „Redline Stealer“ sind bei Kriminellen noch beliebter, seit immer mehr Menschen im Homeoffice arbeiten.
Als zusätzlichen Schutz können Sie die „On-Device-Verschlüsselung“ aktivieren. Danach können Sie Ihre Passwörter auf Ihrem Gerät nur mit Ihrem Google-Passwort oder bei kompatiblen Geräten mit der Displaysperre entsperren. Danach können nur Sie selbst auf Ihre Passwörter zugreifen. Das birgt allerdings die Gefahr, dass Sie beim Verlust Ihres Master-Passworts keine Möglichkeit mehr haben, an Ihre gespeicherten Zugangsdaten zu kommen. Eine Extra-Sicherung ist auch für die Passwörter empfehlenswert, die Sie für einzelne Dienste und Anwendungen verwenden. Laut Empfehlung des BSI sollte man auf jeden Fall eine Zwei-Faktor-Authentifizierung aktivieren, sofern diese für den fraglichen Dienst angeboten wird. Das gilt ganz besonders für sicherheitssensible Dienste wie PayPal, Online-Banking oder Facebook. Eine bessere Lösung sind laut BSI in jedem Fall externe Passwort-Manager. Sie unterstützten einen bei der Passwortvergabe, etwa die Generierung starker Kombinationen und Kennzeichnung schon verwendeter oder schwacher Begriffe sowie durch die Warnung vor gefährdeten Websites und möglichen Phishing-Attacken. Welcher Passwort-Manager welche Extras bietet, erfahren Sie in unseren Testberichten.
Unser Favorit
AgileBits 1Password
Passwörter sollen sicher aufbewahrt, übersichtlich geordnet und rasch verfügbar sein. All das findet man bei unserem Testsieger 1Password. Das liegt unter anderem an der nützlichen »Watchtower«-Funktion, die einen jederzeit auf mehrfach verwendete, schwache oder anderweitig gefährdete Passwörter aufmerksam macht. Vorbildlich sind die diversen deutschsprachigen Hilfestellungen, die gerade Einsteiger an die Hand nehmen und stets Vorschläge unterbreiten, was man noch für die persönliche Sicherheit tun kann. So hat man jederzeit Klarheit darüber, wo welche Daten gespeichert sind und wer – im Falle einer Nutzung durch mehrere Anwender – Zugriff darauf hat.
Wie alle Passwort-Manager lässt sich 1Password direkt über den Browser bedienen. Für alle gängigen Browser gibt es eine Erweiterung, mit der sich Passwörter direkt bei der Eingabe speichern lassen. Komfortabler ist allerdings die Bedienung per App oder, noch besser, über den PC-Client für Windows und macOS. Dass nicht viele Passwort-Manager einen solchen bieten, spielte eine wesentliche Rolle bei der Wahl von 1Password als unseren Favoriten. Die Benutzeroberfläche ist auf jede Plattform, sei sie mobil oder stationär, angepasst und lässt sich sogar vom Nutzer selbst seinen Bedürfnissen entsprechend konfigurieren. So kann man im Windows-Client einen Benutzeroberflächen-Zoom aktivieren, falls man Probleme hat, den dargestellten Text zu lesen. Es gibt auch eine Option, sich Passwörter in großer Schrift anzeigen zu lassen – vorbildlich im Sinne der Barrierefreiheit!
Gleich zu Beginn lädt man ein »Emergency Kit« herunter. Dieses sollte man sicher verwahren, denn es enthält einen »Secret Key« für die Anmeldung auf weiteren Geräten. Dieser Schlüssel dient als zusätzliche Sicherung und kann vom Anbieter selbst nicht ausgelesen und auch nicht ersetzt werden. Außerdem findet man darin einen QR-Code, der einen schnellen Zugang zu den mobilen Apps ermöglicht. Die Anweisungen sind hier in englischer Sprache verfasst, was aber kein großes Problem darstellen sollte, da hier nur erklärt wird, man sollte das Dokument ausdrucken und sicher verwahren. Diese Methode stellt natürlich ein gewisses Sicherheitsrisiko dar, ist aber als Rettungsanker im Grunde unverzichtbar.
Passwörter aus anderen Speichern lassen sich sehr einfach importieren
Passwörter aus anderen Speichern lassen sich sehr einfach in 1Password importieren, indem man sie im CSV-Format in einer Excel-Datei speichert und diese im Browser auf das 1Password-Importfeld zieht. Danach erscheinen die importierten Passwörter augenblicklich auch in den Apps und den Clients und können dort direkt bearbeitet werden.
Gelungen ist auch die durchgängig deutschsprachige Benutzerführung. Von Beginn an macht 1Password Vorschläge, was man als nächstes tun könnte oder sollte. Aktionen wie etwa der eingangs beschriebene Import aus anderen Programmen ziehen häufig einen kurzen Kommentar oder eine Erfolgsmeldung nach sich, gefolgt von einem Vorschlag. So wird nach dem Import die Option angeboten, den Vorgang rückgängig zu machen oder sie auf ihre Sicherheit zu überprüfen.
Die Überprüfung erfolgt durch die ausgezeichnete »Watchtower«-Funktion. Dieser »Wachturm« findet sich im Bereich »Persönlich«, der sehr übersichtlich in unterschiedliche Kategorien wie »Favoriten«, »Logins« oder »Passwörter« unterteilt ist. »Watchtower« führt automatische eine Überprüfung nach gefährdeten und ungesicherten Webseiten sowie nach schwachen und wiederverwendeten Passwörtern durch. Dabei bleibt es jedoch nicht, vielmehr wird man auch genau darüber informiert, wo das Problem liegt und wie man es beheben kann. Außerdem werden Nutzer informiert, bei welchen Diensten eine Zwei-Faktor-Authentifizierung aktiviert werden kann.
Der Anbieter bietet eine eigene Cloud zum Speichern von Passwörtern und Notizen. Alternativ kann man zum Speichern auch Dropbox nutzen. Eine Integration von anderen Anbietern wie Google Drive, OneDrive oder WebDAV fehlt leider. Wer auf die Synchronisierung verzichten kann, beispielsweise weil er einen anderen Server dafür nutzt, kann eine Dauerlizenz für 67 Euro erwerben.
Die vielen Sonderfunktionen haben ihren Preis
1Password spart nicht mit Sonderfunktionen. Man kann Zahlungsdaten, persönliche Informationen zum Ausfüllen von Online-Formularen und sichere Notizen speichern. Ein Passwortgenerator fehlt ebenso wenig wie eine »Darknet-Überprüfung«. Bei Letzterer wird anhand von Information aus jenem Teil des Internet, in dem sich typischerweise Kriminelle austauschen, überprüft, ob einzelne Passwörter möglicherweise kompromittiert wurden. Unter „Mein Profil“ und „Mehr Aktionen“ kann man außerdem die Zwei-Faktor-Authentifizierung als zusätzliche Schutzebene für das 1Password-Konto aktivieren. Nach dem Einschalten ist zusätzlich zu Ihrem Masterpasswort und Secret Key ein zweiter Schlüssel erforderlich, um sich mit einem neuen Gerät bei Ihrem Konto anzumelden. Insgesamt gehört 1Password zu den Passwort-Managern mit dem größten Funktionsumfang, was nach unserer Auffassung auch den etwas über dem Durchschnitt liegenden Preis rechtfertigt.
Standardmäßig sind alle Daten auf den Servern von 1Password mit einer 256-Bit-AES-Verschlüsselung nach dem Ende-zu-Ende-Standard geschützt. Dass heißt, dass auch Mitarbeiter von 1Password die gespeicherten Daten nicht einsehen können und auch die Übertragung vom Endgerät auf den Server geschützt sind.
Ein Familientarif kann sinnvoll sein
Längst nicht alle Passwort-Manager im Test bieten einen Familientarif an. Dabei kann das durchaus sinnvoll sein, da man bestimmte Accounts wie etwa den Zugang zum Streaming-Diensten, den Code für die Alarmanlage oder Smart-Home-Passwörter typischerweise im Familienverband nutzt. Mit dem 1Password-Familienplan lassen sich alle diese Informationen in einem gemeinsamen Tresor ablegen, den man unabhängig vom persönlichen Tresor nutzen kann. »Familienorganisatoren« können außerdem die Konten anderer Familienmitglieder wiederherstellen, wenn diese ihre Hauptpasswort vergessen haben.
Mit rund 42,70 Dollar pro Jahr für einen Nutzer bei jährlicher Abrechnung oder alternativ rund vier Euro pro Monat ist 1Password nicht das günstigste Angebot im Testfeld, für die gebotenen Leistungen aber absolut angemessen. Zudem ist die Transparenz ausgezeichnet: Unter »Abrechnung« findet man jederzeit eine Kostenübersicht, die Zahlungsdaten und eine Information darüber, wann die nächste Zahlung fällig wird. Unter „Rechnungseinstellungen“ kann man Abonnements jederzeit unkompliziert kündigen. Es gibt einen Familientarif, indem für maximal fünf Personen 5,94 Dollar pro Monat bei jährlicher Abrechnung fällig werden. Die Teams-Version von 1Password kostet 4,75 Dollar pro Monat bei jährlicher Abrechnung.
Nachteile?
Kein Passwort-Manager ist perfekt, auch unser Spitzenreiter 1Password nicht. Am schwersten wiegt für uns das Fehlen eines Notfallkontakts, der im Notfall auf die gespeicherten Daten zugreifen kann. Damit bleiben zwei Optionen: Entweder legt man im Rahmen des Familientarifs einen gemeinsamen Tresor für die allerwichtigsten Zugangsdaten an, oder man muss das Masterpasswort der Vertrauensperson in einem geschlossenen Umschlag übergeben. Leider ist nur Dropbox als Speicheralternative verfügbar – das machen andere Anbieter wie SecureSafe oder EnPass besser. Nach der 14-tägigen Testphase kann man 1Password nicht mehr gratis nutzen. Da sind Avira, Bitwarden, Dashlane, Keepass, Keeper, LastPass , NordPass und SecureSafe großzügiger.
AgileBits 1Password im Testspiegel
Die Stiftung Warentest (07/2022) bewertete von 16 Passwörtern nur sieben mit »gut«, die anderen waren nach Ansicht der Tester nur »befriedigend« oder »ausreichend«. 1Password erzielte die Gesamtnote 2,2 und liegt damit gleichauf mit Dashlane. Bei den Sicherheitsfunktionen schneidet Dashlane nach Meinung der Tester besser ab (1,5 gegenüber 1,8), bei der Handhabung liegt 1Password vorn (1,6 gegenüber 1,8). Insbesondere bei »Installation und Einrichtung« und »Import und Export von Passwörtern« konnte sich 1Password empfehlen.
Das Fachmagazin c’t (Heft 5/2021) schreibt:
»Die Wahl des richtigen Passwortmanager bleibt zu einem gewissen Teil eine Frage von Geschmack und Prioritäten. Weit vorn liegen 1Password, Bitwarden und Dashlane.«
Die New York Times kürt unseren Favoriten 1Password zum Sieger:
»1Password bietet attraktive und unkomplizierte Anwendungen. Neulinge werden die leicht verständlichen Sicherheitsempfehlungen und die benutzerfreundliche Oberfläche mögen, während technisch Interessierte die fortschrittlichen Funktionen und die Sicherheit schätzen werden.«
Auch die Fachzeitschrift Chip (5/2022) wählt 1Password zum Testsieger. Sicherheit und Bedienung werden mit »sehr gut« (1,0) bewertet, die Ausstattung mit »gut« (1,8).
Alternativen
Trotz der klaren Stärken des Testsiegers gibt es Passwort-Manager mit anderen Vorzügen. Insgesamt liegen alle Passwort-Manager im Test recht nah beieinander, richtige Ausreißer gibt es im Grunde nicht, wenn man von Open-Source-Lösungen wie KeePass einmal absieht, die eher was für Experten sind. Sucht man eine ganz bestimmte Funktion wie etwa einen Tresor für Notizen oder die Möglichkeit, Passwörter mit anderen zu teilen, muss man aber genau hinschauen, da es keinen Passwort-Manager gibt, der wirklich lückenlos alles abdeckt.
DSwiss SecureSafe
SecureSafe ist aus unserer Sicht die beste Alternative zu unserem Spitzenreiter 1Password. Dafür gibt es mehrere Gründe. Zum einen sind der Bedienkomfort und die Nutzerführung im Browser wie im Client für Windows und macOS sehr gut, auch wenn die Benutzeroberfläche etwas spröde und altbacken wirkt. Zum anderen liegen die persönlichen Daten auf einem Server in der Schweiz, was nicht nur Unternehmen zusätzliche Sicherheit gibt. Außerdem kombiniert Passwort-Manager und Cloudspeicher, sodass man auch eingescannte Dokumente sicher aufbewahren kann. Für Firmen ist SecureSafe daher die erste Wahl. Auch preislich empfiehlt sich der zweitplatzierte in unserer Wertung. Jährlich 17 Euro für Einzelnutzer oder 43 Euro für die Familienlizenz sollte jedem die eigene Passwortsicherheit wert sein. Die Gratisversion speichert zehn Passwörter und 100 Megabyte Daten, die Pro-Version beliebig viele Passwörter und 1 Gigabyte.
Warum stehen die Schweizer also nicht auf Platz 1? Das liegt am eher mageren Funktionsumfang. So wird das Erfassen von EC-Karten und Ausweisen nicht unterstützt, eine Notizfunktion gibt es ebenso wenig wie die Möglichkeit, Passwörter mit anderen zu teilen. Immerhin kann man einen Notfallkontakt hinterlegen und auch eine Zwei-Faktor-Authentifizierung ist an Bord. Dass alternative Cloud-Speicher nicht unterstützt werden, ist folgerichtig, da dies schließlich eine der zentralen Funktionen des Dienstes ist.
Update: Das von uns bemängelte Fehlen von Browser-Erweiterungen wurde weitgehend behoben. Add-ons gibt es jetzt unter anderem für Mozilla Firefox und Microsoft Edge. Chrome fehlt leider nach wie vor. Damit muss man Formularfelder auf Webseiten nicht mehr manuell ausfüllen, was den Nutzerkomfort erheblich erhöht. Allerdings ist hier Konkurrent Sticky Password schon einen entscheidenden Schritt weiter, da sich hier Anwendungen direkt aus dem Desktop-Client heraus öffnen lassen.
Für SecureSafe spricht auch die Möglichkeit, anderen Zugriff auf Teile der Datenbank oder, etwa im Sterbefall, auf das gesamte »digitale Erbe« zu gewähren. Zehn Passwörter und 100 Megabyte an Daten kann man kostenlos speichern. Unbegrenzten Platz für persönliche Zugangsdaten gibt es bereits ab 1,50 Euro monatlich. Nicht auf die leichte Schulter nehmen sollte man den Hinweis des Anbieters, den 36-stelligen Wiederherstellungscode an einem sicheren Ort zu speichern. Denn wenn man sein Hauptpasswort vergessen hat, ist das die einzige Möglichkeit, wieder Zugang zum SecureSafe-Konto zu bekommen. Wer sich grundsätzlich über die Sicherheit einer Cloud-Lösung für Passwörter Sorgen macht, findet dazu unter dieser Adresse detaillierte Angaben. Transparenter und sicherer kann man mit den Daten seiner Kunden nicht umgehen!
Siber Systems RoboForm
Schon mit dem Standard-Jahrestarif von 24 Euro für die Einzellizenz gehört RoboForm zu den günstigsten Anbietern, bei uns gibt es noch einmal 30 Prozent Rabatt auf alle Tarife, so ist der Jahrestarif für 16,68 Euro zu haben. Auf Komfort und Sicherheit muss man dennoch nicht verzichten.
Besonders gut gefallen hat uns die Browser-Erweiterung. Die ist über die Adresse start.roboform.com erreichbar und zeigt eine übersichtliche Start-Page mit oft und kürzlich genutzten Seiten und Anwendungen. Man kann Favoriten selbst anpinnen, Notizen hinterlegen und persönliche Informationen zum Ausfüllen von Online-Formularen verwalten. Besonders clever: Mit Klick auf das RoboForm-Icon in der Symbolleiste des Browsers öffnen sich ein neuer Tab und eine Liste mit allen hinterlegten Diensten. Ein Klick auf einen Eintrag genügt, um die Seite im neuen Tab zu öffnen und sich anzumelden.
Nach der Installation der Windows-App ist man erst einmal verwirrt. Statt eines Clients werden verschiedene Tools installiert wie etwa ein Passwortgenerator. Ungewöhnlich ist, dass dieser nicht in die eigentliche Benutzeroberfläche integriert wurde. Der »RoboForm Editor« sieht unspektakulär aus, hat es aber in sich. So kann man damit unter anderem auch Notizen, Adressen und – ein echtes Alleinstellungsmerkmal – Bookmarks verwalten. Dazu klickt man wiederum auf das RoboForm-Icon in der Symbolleiste und klickt unten auf das »Speichern«-Symbol.
Die Browser-Erweiterung, verfügbar für Chrome, Firefox, Edge und Internet Explorer, hat uns im Test sehr gut gefallen. Sie begleitet einen auf dem Weg durchs Netz und bietet vielfach ihre Unterstützung an. Wer es etwas unauffälliger mag, ist davon vielleicht irgendwann genervt, aber rein vom Nutzerwert betrachtet, liegt RoboForm damit ganz weit vorn – zumal alle gespeicherten Daten auch offline verfügbar sind. Lobend erwähnen muss man auch, dass bei der Anmeldung neuer Geräte ein »One Time Password« vergeben und per Mail verschickt wird. Das bringt ein Plus an Sicherheit, wenn man RoboForm auf mehreren Geräten nutzen will.
Es gibt aber auch Schwächen. Das ganze System wirkt mit seinen vielen Bestandteilen etwas uneinheitlich und erfordert eine gewisse Einarbeitung. Zur Anbieter-Cloud gibt es keine Alternative, auch eine Darknet-Prüfung fehlt bislang. Wenig Vertrauen erweckt die teilweise holprige Übersetzung. Mal finden sich plötzlich niederländische Vokabeln in der Benutzeroberfläche, mal schaltet diese plötzlich auf Englisch um. Die Hilfeseiten wurden erst gar nicht übersetzt. Da ist – zumindest aus Sicht deutschsprachiger Nutzer – noch viel Luft nach oben. Wer einen guten Passwort-Manager mit sehr guter Autofill-Funktion sucht und dafür nicht viel Geld ausgeben will, kann die schon sehr brauchbare Free-Version von RoboForm ausprobieren und sich dann überlegen, auf die immer noch sehr günstige »Everywhere«-Version umzusteigen.
Dashlane Passwortmanager
Der riesige Funktionsumfang macht Dashlane eigentlich zu einem heißen Anwärter auf einen Spitzenplatz. Leider hat der Anbieter die Client-Software für die Betriebssysteme Windows und macOS eingestellt, die Bedienung läuft nur noch über WebApp und die Browser-Erweiterungen für Chrome, Firefox, Opera, Safari, Internet Explorer und Edge. Eine Alternative zur anbietereigenen Cloud gibt es leider nicht. Wen beides nicht stört, der findet bei Dashlane nützliche Funktionen wie das Hinterlegen eines Notfallkontakts oder eine so genannte Dark-Web-Überwachung. Das Dark Web wird dabei nach entwendeten persönlichen Daten durchsucht. Ein Alleinstellungsmerkmal ist auch die Integration eines VPN für anonymes Surfen. Nur NordPass bietet den eigenen VPN-Dienst NordVPN als kostenpflichtige Zusatzoption an.
Auch bei Dashlane wird beim ersten Start der mobilen App für iOS und Android per Mail ein Geräte-Authentifizierungscode vergeben und abgefragt. Die Benutzerführung ist ausgezeichnet, eine »Erste Schritte«-Anleitung führt die wichtigsten Funktionen vor. Ein Besonderheit: Auf iPhones mit Gesichtserkennung kann diese zum Zurücksetzen des Masterpassworts verwendet werden, was auch ausgezeichnet funktioniert. Dazu muss natürlich auf dem Gerät Face ID aktiviert sein. Auch die App selbst lässt sich mit nur einem Blick öffnen. Ob man dies nutzt oder nicht, hängt vom persönlichen Vertrauen in die Sicherheit der Apple-Gesichtserkennung ab.
Besonders gut gefallen hat uns der Passwortgenerator. Damit kann man für alle erdenklichen Zwecke maßgeschneiderte Passwörter erstellen und direkt kopieren. Im Bereich »Sicherheit« kann man direkt in der App diverse Anpassungen vornehmen, etwa die Zeit festlegen, nach der bei Inaktivität die App gesperrt werden soll, oder das Masterpasswort ändern.
Die Ersteinrichtung ist kein Selbstläufer und setzt eine gewisse Einarbeitung und Auseinandersetzung mit dem Programm voraus. Das gilt auch für den Import von Passwörtern aus anderen Programmen. Das macht für unser Empfinden 1Password und RoboForm besser. Preislich liegt Dashlane mit 40 Euro für einen Einzelnutzer und 60 Euro für die Familie noch etwas über unserem Spitzenreiter 1Password und gehört damit ebenfalls nicht zu den günstigsten Angeboten. Auf einem einzelnen Gerät kann man immerhin kostenlos bis zu 50 Passwörter verwalten.
8Bit Solutions BitWarden
Was hier dauerhaft kostenlos geboten wird, ist schon erstaunlich: Unbegrenzte Nutzung für bis zu zwei Personen, Erfassen von Kreditkartendaten und persönliche Informationen zum Ausfüllen von Online-Formularen sowie das Speichern sicherer Notizen. Mit der Premium-Version für 10 US-Dollar, also etwa 9 Euro pro Jahr, wird sich auch niemand ruinieren. Dafür gibt es unter anderem erweiterte Sicherheitsoptionen wie Berichte über wiederverwendete oder kompromittierte Passwörter und unsichere Websites.
Die Kampfpreise legen nahe: Hier handelt es sich um Open Source, die Programmierung ist also nicht geheim, sondern kann von jedem eingesehen werden. Das ist kein Sicherheitsrisiko, sondern ermöglicht es im Gegenteil, dass Schwachstellen aufgedeckt werden und Hintertüren für Kriminelle fast ausgeschlossen sind. Zudem gibt es Browser-Erweiterungen auch für Exoten wie Tor, Brave und Vivaldi. Eine Besonderheit: Premium-Nutzer können sich mit bis zu fünf unterschiedlichen Konten anmelden. Der Sinn der Sache: Man kann beispielsweise Privates von Geschäftlichem trennen und damit für noch mehr Sicherheit sorgen.
Bei jedem neu angemeldeten Gerät erfolgt vorbildlich eine Sicherheitsabfrage per Mail. Die App für iOS und Android bietet die wesentlichen Funktionen inklusive eines praktischen Passwortgenerators. Hinter der innerhalb der App leider nicht weiter erklärten Funktion »Send« verbirgt sich eine sichere Möglichkeit, sensible Informationen mit anderen zu teilen. Jeder Botschaft wird ein zufällig generierter Link zugewiesen, der auch mit Personen geteilt werden kann, die kein Bitwarden-Konto besitzen, und zwar Text-Message, E-Mail oder über einen beliebigen anderen Kommunikationskanal. Die Übermittlung erfolgt Ende-zu-Ende-verschlüsselt, die Privatsphäre-Einstellungen sind beliebig anpassbar und – von Premium-Nutzern – Dateianhänge bis zu 100 Megabyte enthalten.
Den unbestreitbaren Vorzügen stehen ein paar Nachteile gegenüber. Zum Speichern bleibt nur die Bitwarden-Cloud, andere Optionen gibt es nicht. Von einer gewissen Schmucklosigkeit, wie sie vielen Open-Source-Programmen eigen ist, kann man auch Bitwarden nicht freisprechen. Die Web-App hat etwa ein schlecht lesbares Menü mit viel zu geringen Zeilenabständen, auch die mobile App ist kein Schmuckstück.
Die Übersetzung hat nicht überall geklappt, hier und da findet sich ein fröhliches nebeneinander von Englisch und Deutsch. Direkte Anleitungen und Hilfestellungen sucht man ebenfalls vergeblich, sodass man sich gerade zu Anfang öfter mal etwas verloren fühlt. Ärgerlich ist zudem, dass die Benutzeroberfläche im lokalen Client andere Funktionen als in der Web-App enthält, den wichtigen Eintrag »Werkzeuge« gibt es hier gar nicht. Das Importieren von csv.-Dateien aus einem anderen Passwort-Manager klappte aus nicht nachzuvollziehenden Gründen nicht.
Außerdem getestet
Lamantine Software Sticky Password
Mit „sticky“, deutsch „klebrig“, soll man in diesem Fall die selbstklebenden Notizzettel assoziieren, mit denen man natürlich keinesfalls seine Passwörter verwalten sollte. Der Name passt aber hier sehr gut, denn die Funktionsweise von Sticky Password ist ähnlich simpel und leuchtet sofort ein. Das ist ein großer Pluspunkt bei einem Passwort-Manager, denn nur wenn alles einfach gehalten ist, verwendet man ihn auch konsequent. Bei der Anmeldung auf dem Zweitgerät, beispielsweise der App auf dem iPhone, werden nicht nur der Benutzername und das Master-Kennwort angefragt, sondern auch ein fünfstelliger Code an die für solche Fälle vom Nutzer zusätzlich festgelegte Mail-Adresse gesendet.
Grundlagen
Das Zweitgerät – im Dashboard „vertrauenswürdiges Gerät“ genannt – dient nun als Schlüssel. Das Passkey-System ist damit praktisch von Anfang an an Bord. Bei jedem Gerät, das neu hinzugefügt wird, etwa ein PC oder Notebook, wird erneut ein Code verschickt, mit dem man das Gerät und den verwendeten Browser registrieren kann. So funktioniert Zwei-Faktor-Sicherheit von Anfang an!
Wer ganz auf Nummer sicher gehen will, kann seine Daten über die Cloud-Server des Anbieters synchronisieren oder die Synchronisierung deaktivieren. Dann bleiben Passwörter und Notizen lokal auf dem jeweiligen Gerät. Diese Option bietet längst nicht jeder Passwort-Manager. In beiden Fällen sind alle Daten nach dem AES-256-Standard verschlüsselt. Eine Alternative zum Sticky-Password-Server kann man aber nicht wählen, die Nutzung bleibt also auch hier Vertrauenssache.
Bedienung
Auf der Benutzeroberfläche dienen die Verzeichnisse „Webkonten“ und „Programmkonten“ dazu, Passwörter für Online-Konten oder Programme nach Kategorien zu ordnen. Der Import aus diversen anderen Passwort-Managern erfolgt über das Menü oben rechts. Dazu lädt man die Daten im gewünschten Format auf die eigene Festplatte herunter und importiert sie in Sticky Password. Im Test gelang das aus 1Password anstandslos und in Sekunden. Unsere Zugangsdaten fanden sich danach im Verzeichnis „Webkonten“ wieder. Über das Pulldown-Menü rechts neben jedem Eintrag lässt sich dieser umbenennen und weiter bearbeiten. So kann man einzelne Accounts in eine Gruppe verschieben, die man oben über „Gruppe hinzufügen“ erstellt. Wer sich diese Mühe macht, kann die Benutzeroberfläche sehr übersichtlich gestalten. Über eine automatische Erkennung oder ein Tag-System wäre das Ganze sicher etwas komfortabler.
Das Highlight von Sticky Password ist für uns aber klar der Autostart. Dazu klickt man einfach auf die blaue „Start“-Schaltfläche, und die dazugehörige Webseite wird aufgerufen, die Zugangsdaten automatisch eingetragen und man ist sofort angemeldet. Einfacher geht es nicht! Nach der Anmeldung wandert der Eintrag oben in den Schnellzugriff, sodass man häufig Genutztes immer gleich zur Hand hat. Sehr simpel ist auch das automatische Ausfüllen von Webformularen, das bei Sticky Password über „Visitenkarten“ funktioniert, die man im gleichnamigen Bereich für unterschiedliche Zwecke anfertigt. Im Test war diese Funktion aus nicht nachvollziehbaren Gründen nicht immer ganz zuverlässig.
Hinzu kommen sichere Notizen, die man allerdings leider nicht mit anderen teilen kann. Das Freigabecenter lässt noch zu wünschen übrig. Das Teilen von Objekten ist verglichen mit den anderen Funktionen des Programms zu intransparent. Sehr lobenswert ist, dass man Notfallkontakte hinzufügen kann. Die Möglichkeit, anderen Zugang zu gewähren, falls man selbst nicht mehr in der Lage ist, sich um seine Daten zu kümmern, sollte in jedem Passwort-Manager vorhanden sein.
Sehr gut gefällt uns auch das Sicherheits-Dashboard, das die Nachvollziehbarkeit von benutzen Passwörtern beurteilt und auf Wunsch auch per „Dark Web Monitoring“ nach kompromittierten Passwörtern fahndet. Hier wird zwischen „Kritischen Problemen“, „Bedrohungen mit hohem Schweregrad“ und „Mittleren Bedrohungen“ unterschieden, sodass man sich nach und nach durcharbeiten kann. Denn da Sticky Password Passwörter mit 20 oder mehr zufälligen Zeichen empfiehlt, bekommt man hier mit hoher Wahrscheinlichkeit eine Menge zu tun.
So etwas lässt sich vermeiden, wenn man den integrierten Passwort-Generator benutzt, der aus nicht nachvollziehbaren Gründen im Menü unter „Extras“ versteckt wurde. Dort findet sich auch die extrem hilfreiche Funktion „Portable Kennworte“. Damit lässt sich ein USB-Stick erstellen, mittels dessen man sich unterwegs auf fremden Rechnern sicher bei allen seinen Diensten anmelden kann. Ohne das Master-Passwort kann niemand etwas mit den darauf gespeicherten und natürlich verschlüsselten Daten anfangen.
Fazit
Sticky Password hat das Zeug, in den Rang einer unserer Top-Empfehlungen aufzusteigen. Angetan sind wir insbesondere von der einfachen Handhabung und der automatischen Anmeldung. Die Benutzeroberfläche ist allerdings aktuell noch etwas uneinheitlich. Warum etwa der Passwort-Generator im Menü unter „Extras“ versteckt wird, erschließt sich uns nicht ganz. In den „Webkonten“ und im „Sicherheits-Dashboard“ wird es zudem schnell unübersichtlich, insbesondere wenn man viele Daten aus anderen Passwort-Managern importiert. Hier muss man als Nutzer selbst Hand anlegen, was beispielsweise durch Tags oder einzeln verwaltete Tresore, wie sie bei unserem Testsieger 1Password zum Einsatz kommen, sicher einfacher wäre.
Heylogin Passwortmanager
Heylogin bietet einen erfrischend neuen Ansatz. Hier setze man von Anfang an auf Passkeys. Dafür verwendet man wahlweise sein Smartphone oder einen Security Key. Im Test haben wir ein iPhone 15 verwendet, die App heruntergeladen und dann den auf der Webseite angezeigten QR-Code gescannt. Damit ist die so genannte „Swipe to Login“-Funktion aktiviert. Das stellt sich als extrem praktisch heraus, etwa wenn wir uns bei unserem „Heylogin“-Account anmelden wollen und das ganz einfach für unsere Apple Watch erledigen können. Letztere ist natürlich nicht obligatorisch. Auch für die Identitätsbestätigung per Smartphone braucht man nur einen Klick bzw. „Swipe“.
Für den Fall, dass man das als Schlüssel verwendete Gerät verliert, wird in der App automatisch ein Backup-Code erstellt, den man sich aufschreiben muss. Natürlich ist genau das ein potenzielles Sicherheitsrisiko, von dem man aber auch andere Passwort-Manager mit Master-Passwort nicht ganz freisprechen kann. Alternativ zum Android-Smartphone oder iOS-Gerät kann man auch einen Security Key, also einen speziellen Sicherheits-Speicherstick, Windows Hello oder unter macOS eine Touch-ID zur Anmeldung per Fingerabdruck verwenden. Oder man wählt sicherheitshalber gleich mehrere dieser Anmeldemethoden. So oder so erspart man sich das Eintippen von Passwörtern oder sonstigen Zugangsdaten.
Bedienung
Einen Desktop-Client, wie ihn die meisten anderen Passwort-Manager bieten, gibt es für Heylogin dafür nicht. Die Verwaltung läuft ausschließlich über die App oder direkt auf der Heylogin-Webseite im Browser. Installiert man die Browser-Erweiterung, wozu man bei der Erstanmeldung aufgefordert wird, werden manuell eingegebene Passwörter automatisch gespeichert – es sei denn, man deaktiviert diese Funktion direkt in der Browser-Erweiterung. Apropos Erstanmeldung. Im Gegensatz zu anderen Passwort-Managern werden bei der Anmeldung einer neuen Organisation keinerlei personenbezogenen Daten erhoben. Dass wir hier „Organisation“ schreiben, ist tatsächlich kein Fehler, sondern nimmt das Wording von Heylogin auf.
Damit ist schon klar, dass die Zielgruppe des „Passwort-Managers ohne Passwort“ Unternehmen sind. Das spiegelt sich in der Benutzeroberfläche, die zwischen „Persönliche Logins“, „Alle Nutzer“ und Teams unterscheidet. Es wird damit besonders leicht gemacht, Passwort-Archive mit anderen zu teilen und projektbezogen zu verwalten. Gleichzeitig kann man aber auch einen privaten Account anlegen, der von den anderen Datensätzen streng getrennt verwaltet wird. Prinzipiell kann man Heylogin also auch als einzelner Nutzer wie einen gewöhnlichen Passwort-Manager nutzen.
Spezielle Funktionen für Unternehmen
Innerhalb des Organisations-Accounts sorgen spezielle Funktionen für Überblick und Transparenz, die man bei anderen Passwort-Managern nicht findet. Unter „Nutzer“ finden sich alle mit ihrer E-Mail angemeldeten Nutzer und den Gruppen, auf deren geteilte Anmeldeinformationen sie Zugriff haben. Im „Audit-Log“ können die Admins alle Aktivitäten innerhalb der Organisation überwachen. Über „Integrationen“ können Mitarbeiter direkt aus Microsoft Azure oder Google Workspace synchronisiert oder aus einer CSV-Datei importiert werden.
Als Einzelperson kann man das vereinfachte Login dauerhaft kostenlos nutzen. Team-Verwaltung und Zugriffsmanagement werden nach einmonatiger Testphase kostenpflichtig und schlagen dann mit rund vier Euro pro Nutzer bei jährlicher Zahlungsweise zu Buche. Größere Unternehmen haben die Option, sich direkt mit dem Anbieter in Verbindung zu setzen, um einen passenden Plan auszuhandeln. Unter anderem hier ist es ein nicht zu unterschätzender Vorteil, dass es sich bei Heylogin um ein deutsches Unternehmen handelt. Damit greifen die in der EU geltenden Datenschutzrichtlinien. Außerdem glänzt Heylogin mit deutschsprachigen Video-Tutorial, die die Nutzung trotz der für einen Passwort-Manager etwas ungewöhnlichen Struktur sehr erleichtern.
Die Funktionen für Unternehmen lassen sich auch privat nutzen. So kann man innerhalb der »Organisation« ein »Team« namens »Familie« erstellen und Familienmitglieder per Mail dazu einladen. Dabei legt man auch gleich fest, ob die neuen Nutzer nur Lese- oder auch Schreibzugriff haben sollen. Die Betreffenden bekommen dann per Mail einen »Startcode«, mit dem sie dem Team beitreten können. Auch kann man in der gemeinsamen Nutzeroberfläche persönliche Log-ins speichern, die man nur selbst sehen kann und auf die selbst die Admins keinen Zugriff haben.
Fazit
Für Unternehmen ist Heylogin eine durchaus lohnende Option, Zugangsdaten für unterschiedliche Anwendungen und mehrere Mitarbeiter transparent und sicher zu verwalten. Das Login per Smartphone-App macht den Dienst aber auch für private Nutzer attraktiv, zumal sie Heylogin auch kostenlos nutzen können. Dafür fehlen viele von anderen Passwort-Managern gewohnte Funktionen wie ein Passwort-Generator, Auto-Vervollständigen oder ein Sicherheits-Check für Passwörter.
NordVPN NordPass
NordPass gehört auf jeden Fall zu den besseren Passwort-Managern, vor allem wegen des sehr guten Windows-Clients. Der ist mittlerweile auch auf Deutsch verfügbar, dazu muss man nur kurz über das Zahnradsymbol in die Einstellungen gehen. Neben Passwörter speichert NordPass Notizen, Kreditkartendaten und persönliche Angaben zum Ausfüllen von Online-Formularen. Man kann Elemente für andere freigeben und es gibt einen Datenleck-Scanner, der einen per Mail auf neue Risiken aufmerksam macht. Mit ChaCha20 benutzt NordPass außerdem einen Verschlüsselungsalgorithmus, der als besonders sicher gilt.
Der Anbieter beitreibt auch einen VPN-Dienst für das anonyme Surfen und einen Dateiverschlüsselung. Indem man alle drei Dienste im Paket nutzt, kann man Geld sparen und braucht dann nur einen Account. Der Passwort-Manager ist noch relativ neu, daher gibt es hier und da noch Defizite. So klappte das automatische Ausfüllen in der iOS-App nicht immer auf den ersten Anlauf. Mit einem optional erzeugbaren Wiederherstellungscode kann man das Masterpasswort zurücksetzen, wenn man es verloren hat. Das kann man je nach Sichtweise als Vorteil sehen oder kritisieren, weil es ein zusätzliches Sicherheitsrisiko darstellt. In Nutzerreviews wird entsprechend moniert, dass sich das Masterpasswort allzu leicht zurücksetzen lasse. Insgesamt macht der relative Neuling auf dem Passwort-Manager-Markt schon einen sehr guten Eindruck.
LastPass Passwortmanager
Einen umfangreichen Desktop-Client wie bei 1Password vermisst man bei LastPass. Stattdessen gibt es über den Microsoft Store eine Windows-App, die allerdings sehr schlicht daherkommt. Dort kann man auch das Master-Passwort speichern, was wir aus Sicherheitsgründen für eine schlechte Idee halten. Immerhin wird man von der App vorgewarnt, dass dies Risiken birgt. Bedient man LastPass über die Web-App, lässt das Programm nicht viel anbrennen. Es gibt einen Tresor für Zahlungskarten und Bankkonten, ein Sicherheits-Dashboard und ein Freigabecenter. Das man Vertrauenspersonen für den Notfallzugriff angeben kann, ist lobenswert.
Im Chrome-Browser wackelte die Stabilität etwas, es kam zu Grafikfehlern und einer Fehlermeldung (»Ungültige JSON-Antwort«). Immer wieder stößt man zudem besonders im Hilfebereich auf rein englischsprachige Inhalte. LastPass präsentiert sich als vielseitiger, solider Passwort-Manager. Preislich liegt man mit 35 Euro pro Jahr für eine Einzellizenz im gehobenen Mittelfeld. Allerdings hat LastPass durch Sicherheitslücken in der Vergangenheit Vertrauen verspielt, zuletzt hat die Firma im Dezember 2022 bekannt gegeben, dass Hacker Kundendaten inklusive verschlüsselter Passwörter erbeuten konnten. Wir raten daher von LastPass ab.
Enpass Technologies Enpass
Enpass ist ein sehr guter, vielseitiger Passwort-Manager. Die Einführung mit Beispieleinträgen ist sehr gut, Windows-Nutzer können »Windows Hello« zum Entsperren nutzen. Beim Passwortgenerator lässt sich die Stärke des Passworts einstellen – das ist eine ausgezeichnete Sache, da man schließlich nicht für jeden Dienst ein gleich starkes Passwort haben muss. Die Eingabemaske lässt sich flexibel konfigurieren, es stehen unterschiedliche Themes zur Auswahl. Dass man das Design der Benutzeroberfläche so weit anpassen kann, ist ein Alleinstellungsmerkmal, das hoffentlich auch bei anderen Schule macht. Gut gefallen haben uns auch die Pre-Shared-Keys für die Verschlüsselung von mit anderen geteilten Inhalten und die Archivierungsfunktion.
Luft nach oben gibt es trotz der Konfigurierbarkeit bei der Benutzeroberfläche. Sie fällt arg kleinteilig aus, Schriften und Schaltflächen sind zu klein. Warum es keine Firefox-Erweiterung gibt, hat sich uns ebenfalls nicht erschlossen. Eine weitere Besonderheit: Passwörter werden lokal in einem verschlüsselten Container gespeichert, die Synchronisation läuft dann über einen Cloud-Dienst eigener Wahl ab.
Avira Password Manager Pro
Avira hat den nicht zu unterschätzenden Vorzug, zum Portfolio eines renommierten Security-Unternehmens zu gehören, das weithin Vertrauen genießt. Wie auch die Antiviren-Software, kann man den Passwort-Manager weitgehend gratis nutzen. Dazu gehören etwa der Passwortgenerator und die Autofill-Funktion. Die Pro-Version gibt es ab günstigen 2,49 Euro pro Monat.
Ein Highlight ist die mobile App, die sich auch als Authentifizierungs-App nutzen lässt und damit andere Lösungen wie Google Authenticator oder Microsoft Authenticator ersetzt. Auf entsprechend ausgestatteten Smartphones kann man die Touch- oder Face-ID-Funktionen für noch mehr Sicherheit aktivieren. Die Anleitungen könnten etwas umfangreicher ausfallen. Auch beim Funktionsumfang bleibt das eine oder andere zu wünschen übrig, beispielsweise die Möglichkeit, Passwörter mit anderen zu teilen oder einen Notfallkontakt zu bestimmen.
Keeper Passwortmanager
Keeper zeigt sich sehr vielfältig hinsichtlich der Browser-Erweiterungen und lässt sich alternativ auch über die Web-App bedienen. Es gibt auch Clients für Windows, macOS und Linux. Der Funktionsumfang geht in Ordnung, es fehlen allerdings Alternativen zur eigenen Cloud und eine Notizfunktion. Dafür ist die Einzelnutzerlizenz mit 40 Euro pro Jahr und 89 Euro für das Familienabo relativ teuer. Angenehm fällt auf, dass alle Anleitungen in gutem Deutsch verfasst sind und es nicht wie bei diversen Mitbewerbern zu lästigem Sprachchaos kommt. Gut auch, dass es eine spezielle Lösung für Unternehmen gibt. Der Webshop bietet zwar viele Informationen, wirkt aber mit seinen vielen Fenstern, Tabellen und Animationen ziemlich unübersichtlich. In der Vergangenheit fiel Keeper auch schon durch eine etwas undurchsichtige Preisgestaltung, was ebenfalls etwas am Vertrauen kratzt.
KeePassXC Passwortmanager
KeePass und der darauf basierende Passwort-Manager KeePass XC sind auf Open-Source beruhende Programme, die komplett kostenlos sind. Eine Anbieter-Cloud bringen beide nicht mit, da die persönlichen Daten nur lokal gespeichert werden oder vom Nutzer selbst in einem eigenen Cloud-Speicher verwaltet werden müssen. Insgesamt bieten beide ein hohes Maß an Sicherheit, es fehlt jedoch an Sonderfunktionen. Die Benutzeroberflächen sind wenig ansprechend und wenden sich klar an technikaffine Nutzer. Da die Bedienung der KeePass-Programme ein hohes Maß an Eigeninitiative und technischem Knowhow erfordert, sind sie nur eingeschränkt mit den hier vorgestellten Lösungen vergleichbar.
LogMeOnce Passwortmanager
Man kann nicht behaupten, dass sich LogMeOnce wenig einfallen lässt, um Nutzer zu überzeugen. Die Anmeldung ist denkbar einfach: Man erstellt online ein Konto samt Master-Kennwort, schon kann es losgehen. Die Funktionsvielfalt ist gewaltig, die reine Anzahl der Extras überwältigend. Das vermittelt auch die englischsprachige Webseite, die nicht mit Eigenwerbung, Vergleichen mit Mitbewerbern und Weiterleitungen auf andere Webseiten spart. Das alles ist so knallig bunt designt und mit allerlei Schaltflächen, Tabellen, Screenshots und Sonderfonts dekoriert, dass man schnell nicht mehr weiß, wo man eigentlich gerade ist.
Das wäre im Grunde ein vernachlässigbares Problem – wenn sich der chaotische Eindruck nicht im Nutzerinterface fortsetzen würde. Das gibt es nur online, ein Desktop-Client fehlt. Zwar sind die Menüs übersetzt, doch schon bei den eingeblendeten Hilfestellungen wird es wieder Englisch. Die Übersetzung hat zudem offenbar eine Software erledigt, sodass es zu merkwürdigen Wortkreationen kommt. Was sonst, auch in deutschsprachigen Apps, „Dashboard“ heißt, wird bei LogMeOnce zum „Amaturenbrett“, eine neue App wird nicht hinzugefügt, sondern „addiert“. Was genau eine „Scorecard“ ist, muss man sich dagegen wieder herleiten.
Das wilde Sammelsurium an sinnvollen Funktionen („Sichere Notizen“, „Sichere Brieftasche“) und fragwürdigen Anwendungen („Mugshot“ schießt Fotos von mutmaßlichen Hackern, „Passwort SHOCK“ versendet automatisch Warnmeldungen) verdeckt den Blick auf das Wesentliche. Das ist schade, denn beispielsweise der „Anwendungskatalog“ – ein Verzeichnis vieler Webdienste, in das man nur noch seine Nutzerdaten eintragen braucht – ist eigentlich eine gute Idee. Anderes, wie etwa die Suche nach kompromittierten Passwörtern, muss erst noch hinzugekauft werden, bevor man es nutzen kann. Ähnlich wild geht es in den Apps für iOS und Android zu. Wobei positiv hervorzuheben ist, dass man sich hier sehr einfach über Passkeys anmelden kann.
Wir sind der Auffassung, dass nur Übersichtlichkeit und Transparenz tatsächlich für Sicherheit sorgt und dem Nutzer das Gefühlt gibt, dass seine sensiblen Daten in sicheren Händen sind. Genau das vermittelt LogMeOnce aber nicht. Auch die bewegte Historie der Firme, die vor Jahren mit der jetzt als Sonderfunktion eingebauten Hackerjagd für Aufsehen sorgt, flößt nicht unbedingt Vertrauen ein. Da nützt es auch nichts, dass für wenig Geld sehr viel geboten wird, zumal auch das Preismodell ziemlich unübersichtlich und wiederum nur in Englisch abrufbar ist. Wer sich von alldem nicht abschrecken lässt und gerne neue Funktionen entdeckt, deren Sinn einem nicht auf den ersten und manchmal auch nicht auf den zweiten Blick einleuchtet, wird mit LogMeOnce aber sicher glücklich.
Sonderfall ohne Wertung: Kaspersky
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell wegen des Ukraine-Krieges vor der Nutzung der Sicherheitssoftware des russischen Anbieters Kaspersky. Die Stiftung Warentest (07/2022) vergab daher keine Wertung für den Passwort-Manager von Kaspersky. Enge Verbindungen zum russischen Geheimdienst wurden der Firma schon öfter nachgesagt. In der EU und den USA darf Kaspersky-Software schon länger nicht mehr auf den Behördenrechnern laufen.
Einen Beweis für ein Fehlerverhalten blieb man aber bislang schuldig. Kaspersky startete eine Transparenz-Initiative und speichert die Daten deutscher Nutzer auf Servern in der Schweiz. Es scheint eher unwahrscheinlich, dass Kaspersky als Global Player mit 34 Niederlassungen in 30 Ländern eine Gefahr für westliche Computer darstellt. Da es genügend Alternativen gibt und in Ermangelung einer klaren Positionierung des russischen Unternehmens, verzichten dennoch auch wir auf eine Wertung.
So haben wir getestet
Ein Passwort-Manager muss überall verfügbar sein, deshalb haben wir für diesen Test alle Versionen der unterschiedlichen Plattformen geladen und installiert. Das beinhaltete vor allem die Browser-Erweiterungen als auch die mobilen Apps für iOS und Android. Wir haben jenen Programmen den Vorzug gegeben, die nicht nur ein Online-Interface, sondern auch einen Desktop-Client haben, da dies aus unserer Sicht der Bedienbarkeit sehr entgegenkommt.
Besonderen Wert haben wir im Test auf die Benutzerführung gelegt: Erhalten die Nutzer in jeder Situation Hilfestellungen oder werden sie allein gelassen? Werden vor allem Einsteiger bei den ersten Schritten an der Hand genommen? Hier erwies es sich als ein Manko vieler Manager, dass sie unzureichend aus dem Englischen übersetzt wurden. Eine FAQ in englischer Sprache hilft vielen Nutzer einfach nicht weiter.
Natürlich ist ein zentraler Aspekt die Sicherheit. Das umfasst nicht nur die Verschlüsselung, der übertragenen und gespeicherten Daten an sich, sondern auch die Frage der Transparenz. Wie genau klärt ein Anbieter die Nutzerinnen und Nutzer über den Verbleib ihrer Daten auf und machen sie darauf aufmerksam, wenn Passwörter zu leichtfertig ausgewählt, doppelt verwendet oder sogar bereits gehackt und im Darknet veröffentlicht wurde?
Wir betrachten es aber vor allem als wesentlich, dass ein Passwort-Manager nicht behindert, sondern möglichst unauffällig seinen Dienst tut, aber genau dann verfügbar ist, wenn man ihn braucht. Schließlich unterscheiden sich die Produkte deutlich in Sachen Funktionsumfang, was sich auch in den Preisen niederschlägt. Die gute Nachricht nach unserem Test: Für jeden Anspruch und jedes Budget gibt es ein passendes Angebot.
Die wichtigsten Fragen
Welcher ist der beste Passwort-Manager?
Der beste Passwort-Manager für die meisten ist der AgileBits 1Password. Von seiner benutzerfreundlichen Bedienung, seiner vorbildlichen Benutzerführung und seinen vielen Extras sind wir absolut überzeugt. Begeistert hat uns zudem, dass er für alle gängigen Browser und Plattformen verfügbar ist. Es gibt in unserem Test aber auch interessante Alternativen.
Was ist ein gutes Passwort?
Wichtigste Regel: Man sollte nie ein und dasselbe Passwort mehrmals, das heißt für unterschiedliche Dienste verwenden. Je länger es ist, desto besser. Ideal sind Nonsens-Erfindungen, die neben Buchstaben in Groß- und Kleinschreibung auch Zahlen und Sonderzeichen enthalten. Mindestens acht bis zwölf Zeichen mit vier Zeichenarten empfiehlt das Bundesamt für Sicherheit in der Informationstechnik. „Gedächtnisstützen“ wie Haustiernamen oder Lieblingsfilme sind nicht empfehlenswert, da sie für andere nachvollziehbar sein könnten. Wer eine „Mehrfaktor-Authentifizierung“ durch einen Fingerabdruck, eine App oder PIN aktiviert, sorgt zusätzlich für Sicherheit.
Wozu braucht man einen Passwort-Manager?
Weil man sich gute Passwörter schlecht merken kann, muss man sie aufschreiben und an einem sicheren Ort verwahren. Dann hat man sie allerdings unterwegs nicht dabei und es besteht die Gefahr, dass man sie verlegt oder sie in die falschen Hände gelangen. Eine Lösung sind Programme, mit denen Passwörter zentral und verschlüsselt gespeichert werden. Via App hat man von überall Zugriff darauf, man kann Eingabefelder automatisch ausfüllen lassen und es der Software überlassen, sichere Passwörter zu generieren. Bei den meisten Programmen werden Zugangsdaten, also das Passwort plus der dazugehörige Nutzername, gerätübergreifend synchronisiert. Wer also zum Beispiel sein Passwort am PC speichert, findet es danach auch auf dem Smartphone wieder.
Was bieten Passwort-Manager alles?
Je nach Produkt kann man neben Passwörtern auch Zahlungsdaten, Identitätsnachweise und Notizen speichern. Ein Passwortgenerator ist so gut wie immer, eine Einschätzung der Passwortsicherheit fast immer an Bord. Hilfreich ist auch die Möglichkeit, Passwörter mit anderen zu teilen und einen Notfallkontakt zu benennen, der bei Bedarf Zugriff auf die Daten bekommt. Beides bieten Bitwarden, Dashlane, Keeper und LastPass.
Sind im Browser gespeicherte Passwörter eine Alternative zu einem Passwort-Manager?
Chrome, Edge und Firefox bieten integrierte Passwort-Manager – praktisch, da man Passwörter ohnehin meist im Browser braucht. Das automatische Einsetzen sollte man aber nur in Anspruch nehmen, wenn man der einzige Nutzer eines Gerätes ist. Mit integrierten Passwort-Managern bindet man sich an einen bestimmten Browser und legt seine Daten in die Hände eines Konzerns wie Google oder Microsoft. Vieles spricht dafür, sicherheitsrelevante Informationen einem Dienst anzuvertrauen, der darauf spezialisiert ist und transparent macht, wo diese liegen und wie sie geschützt sind. Eigenständige Passwortmanager bieten mit dem ein Master-Passwort eine wichtige zusätzliche Sicherheitsebene.
Sind in den Browser integrierte Passwort-Manager eine gute Alternative?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Nutzung von im Browser integrierten Passwort-Managern generell ab, da sie mit zu vielen Risiken verbunden seien. Das gilt auch für den Google Passwortmanager. Theoretisch könnte sich nämlich jeder, der Ihr Gmail-Adresse und Ihr Passwort kennt, sich bei jedem Dienst anmelden, für den Sie das Passwort in Chrome gespeichert haben. Da man gerade die Google-Zugangsdaten häufig verwendet – etwa auf dem Android-Handy, bei Gmail oder Youtube – ist das Risiko groß, dass es in die falschen Hände kommt. Sicherheitsexperten zufolge kann die Verschlüsselung von im Browser gespeicherten Daten zudem besonders leicht geknackt werden. Da das Internet der Ort ist, wo man sich am leichtesten Viren einfängt, liegt auf der Hand, dass im Browser gespeicherte Informationen besonders angreifbar sind.
