Haben Sie mal gezählt, wie viele Online-Konten Sie inzwischen haben? E-Mail, Google-Account, Amazon-Konto, Netflix, Sport-Tracker und und und. Vermutlich machen Sie auch längst Online-Banking, sind Mitglied im ADAC und buchen Ihre nächste Urlaubsreise über die Webseite Ihres Reisebüros. Da kommt also eine ganze Menge zusammen. Und Hand aufs Herz: Benutzen Sie für jedes dieser Konten ein eigenes Passwort? Mit mindestens zwölf Zeichen, Zahlen und Sonderzeichen? Das kann sich doch kein Mensch alles merken!
Hier geht es zu unserem Test der besten VPN-Provider.
Hier kommen Passwort-Manager ins Spiel. Sie versprechen sichere Aufbewahrung aller Nutzerdaten und übernehmen auf Wunsch auch das Ausfüllen aller Formulare. Die meisten davon kosten Geld, ja. Aber angesichts immer neuer Meldungen von gehackten Nutzerkonten, unfreiwillig veröffentlichter Privatfotos, von Verbrechern gesperrter Computer und Milliardenschäden durch Online-Betrüger sollte einem diese Ausgabe schon eine Überlegung wert sein. Zumal das Plus an Sicherheit gar nicht so teuer sein muss. Ab rund zehn Euro pro Jahr geht es los, wer etwas mehr ausgibt, kommt in den Genuss von allerlei Extras. Aber welche Produkte taugen etwas, welches ist am günstigsten und welches bietet den meisten Komfort? Wir haben es für Sie getestet. Hier sind unsere Empfehlungen in der Kurzübersicht.
Kurzübersicht: Unsere Empfehlungen
AgileBits 1Password
Aus unserer Sicht ist 1Password der vollständigste Passwort-Manager. Unter einer ansprechend gestalteten, übersichtlichen Benutzeroberfläche findet sich fast alles, was man sich von einem solchen Produkt wünschen kann. Gerade Einsteiger finden zudem überall deutschsprachige Hilfestellungen, um zu einer wirklich sicheren und im Alltag nicht störenden Passwortverwaltung zu kommen.
DSwiss SecureSafe
Sicher wie ein Schweizer Banktresor, sagt man ja. Trotzdem ist SecureSafe noch immer ein Geheimtipp. Höchste Sicherheitsstandards, ein vertrauenswürdiger Anbieter, gute Bedienbarkeit und nicht zuletzt sehr attraktive Preise sollten Privatnutzern, aber vor allem auch Unternehmen einen näheren Blick wert sein. SecureSafe lässt sich nämlich zu einem umfassenden Dokumentenarchiv inklusive Teamnutzung ausbauen.
Siber Systems RoboForm
Sympathisch ist nicht nur das Roboter-Logo, vielmehr macht die ganze Benutzeroberfläche von RoboForm Laune. Das ist wichtig, denn nur ein Passwort-Manager, den man auch gerne benutzt, erfüllt seine Aufgabe, für mehr Sicherheit bei den persönlichen Benutzerdaten zu sorgen. Das sollte einem der sehr günstige Tarif wert sein.
Dashlane Dashlane
Dashlane darf man eine hohe Professionalität bescheinigen, man merkt auf Schritt und Tritt, dass hier jemand sein Handwerk versteht. Das schafft eine vertrauensvolle Atmosphäre, für die man gerne auch ein paar Euro mehr ausgibt.
8Bit Solutions Bitwarden
Mit dem Open-Source-Produkt BitWarden hat nun niemand mehr eine Ausrede, keinen Passwort-Manager zu benutzen. Denn obwohl dauerhaft komplett kostenlos oder für nicht einmal ein Euro pro Monat nutzbar, muss man bei Funktionsumfang und Bedienkomfort so gut wie keine Abstriche machen.
Vergleichstabelle
- Benutzerfreundliche Bedienung
- Vorbildliche Benutzerführung
- Client für Windows und macOS
- Für alle gängigen Browser und Plattformen verfügbar
- Viele Extras
- Kein Notfallkontakt festlegbar
- Nur Dropbox als Speicheralternative
- Nicht gratis nutzbar
- Support-Funktionen teilweise auf Englisch
- Server in der Schweiz
- Durchgängig deutschsprachig
- Client für Windows und macOS
- Speicher für Dokumente
- Sehr günstiger Preis
- Bislang keine Browser-Erweiterung
- Magerer Funktionsumfang
- Passwörter nicht mit anderen Nutzern teilbar
- Großer Funktionsumfang
- Hohe Flexibilität und Vielseitigkeit
- Browser-Erweiterung top
- Sehr günstiger Preis
- Keine Alternative zur Anbieter-Cloud
- Programmbestandteile wirken etwas unzusammenhängend
- Teilweise holprige Übersetzung
- Großer Funktionsumfang
- Eigene WebApp
- VPN für anonymes Surfen
- Gratis nutzbar für ein Gerät und 50 Passwörter
- Desktop-Client wurde eingestellt
- Ersteinrichtung wenig intuitiv
- teuer
- Gratis-Version mit großem Funktionsumfang
- Open Source
- Version für Unternehmen verfügbar
- Arg triste Benutzeroberflächen in Web und App
- Schlampig übersetzt
- Keine echte Hilfstellung
- Übersichtlicher Windows-Client
- Speichert auch Notizen, Kreditkartendaten und persönliche Angaben zum Ausfüllen von Online-Formularen
- Günstiger Preis
- Automatisches Ausfüllen in der App fehlerbehaftet
- Passwortzurücksetzen etwas zu einfach
- Sehr gute Benutzerführung
- Erweiterungen für alle gängigen Browser
- Durchgehend deutschsprachig
- Keine Clients für Windows / macOS
- vergleichsweise teuer
- Etwas undurchsichtiger Webshop
- Großer Funktionsumfang
- Übersichtliche Benutzeroberfläche
- Gelegentlich Grafikfehler
- Teilweise englische Texte
- Sicherheitslücken in der Vergangenheit
- Teil der Avira-Familie
- Günstiger Preis
- Unkomplizierte Bedienung
- Keine Clients für Windows / macOS
- Gebrauchsanweisungen und Hilfestellungen dürftig
- Übersichtlich und solide
- Browser-Erweiterungen auch für Opera, Safari, Vivaldi
- Unterstützt Apple iCloud und viele andere
- Keine eigene Anbieter-Cloud
- Teilweise auf Englisch
- Magere Benutzerhilfen und Anleitungen
- Kostenlos
- Sicherheit durch Open Source
- Sehr weitgehend anpassbar
- Für technisch weniger versierte Anwender zu kompliziert
- Spröde, unübersichtliche Benutzeroberfläche
- Erfordert viel Einarbeitungszeit
Der Schlüssel zu Sicherheit: Passwort-Manager im Test
Passwort-Manager gibt es inzwischen jede Menge. Das ist auch gut so, schließlich liest man immer wieder, dass man möglichst komplexe, nicht nachvollziehbare Passwörter benutzen soll, und zwar ein eigenes Passwort für jeden Dienst. Alternativen zum Passwortsystem wie etwa biometrische Anmeldungen per Fingerabdruck oder Gesichtserkennung stecken noch in den Kinderschuhen und sind für die allermeisten Dienste und Anwendungen nicht verfügbar. Da sich aber niemand alle Passwörter, die man im digitalen Alltag inzwischen braucht, merken kann, kommt man um einen Passwort-Manager nicht herum. Damit muss man sich nur noch ein so genanntes Master-Passwort merken, um Zugriff zu allen persönlichen, in einem sicheren Cloud-Speicher verschlüsselt abgelegten Passwörter, Kreditkartennummern, PINs und anderen Zugangsdaten zu bekommen.
Mobile Apps und »Autofill«-Funktion sind Pflicht
Da dies auch unterwegs jederzeit gewährleistet sein sollte, sollten Apps für Android und iOS verfügbar sein. Viele Dienste verzichten auf einen eigenen Client für Windows und macOS zum Herunterladen. Das ist kein Ausschlusskriterium, doch wir halten es im Sinne einer besseren Bedienbarkeit für einen klaren Vorteil, wenn sich ein Programm auch unabhängig vom Browser bedienen lässt. Einige Anbieter setzen auf so genannte WebApps. Die Benutzeroberfläche ist dann nicht lokal gespeichert, sondern auf einem Server des Anbieters. Nach Erkenntnissen den Fraunhofer Instituts für Sichere Informationstechnologie können gerade Android-Apps mit einem höheren Risiko bei der Online-Nutzung behaftet sein. Lokale Clients und WebApps bieten die Möglichkeit, dieses Risiko zu umgehen, indem man auf die App verzichtet.
Damit man nicht jedes Passwort auf jedem Gerät manuell eintragen muss, sollte eine geräteübergreifende Synchronisation automatisch und möglichst sicher erledigt werden. Eine Ende-zu-Ende-Verschlüsselung sorgt dann dafür, dass die übertragenen Daten unterwegs nicht abgefangen werden können. Die »Autofill«-Funktion sorgt außerdem dafür, dass Passwörter automatisch in Formulare eingefügt werden. Dafür gibt es für alle Passwort-Manager Erweiterungen (auch Add-ons) genannt für die gängigen Browser. Hier sollte man vorsichtig sein, da nicht jedes Produkt auch für jeden Browser eine Erweiterung bereithält. Wer beispielsweise eine eher exotische Surfsoftware wie Vivaldi benutzt, hat weniger Auswahl unter den Passwort-Managern, wenn er nicht den Browser wechseln will.
Wo liegen meine Daten?
Das alles funktioniert natürlich nur, wenn die Daten zentralisiert im Internet ablegt werden. Damit stellt sich die grundlegende Frage nach dem Speicherplatz. Offline-Lösungen wie Keepass bieten sich für all jene an, die davor zurückschrecken, ihre Daten online zu stellen. Lokale Lösungen teilen keine Informationen über das Netz und speichern sie auch nicht in der Cloud. Das bietet ein hohes Maß an Sicherheit, ein Abo erübrig sich natürlich. Die Passwortdatenbank muss dann aber bei Bedarf auf einem externen Speichermedium wie einem USB-Stick abgelegt werden, damit man seine Zugangsdaten auch unterwegs griffbereit hat. Mehr Sicherheit geht also auch hier mit weniger Komfort einher.
Kritiker von Online-Passwort-Managern führen an, dass Tresore, die sämtliche sensible Informationen zu einer Person enthalten, praktisch ein Schlüssel zum Identitätsdiebstahl sind. Das ist nicht ganz von der Hand zu weisen, doch wir folgen zahlreichen Expertenstimmen in der Ansicht, dass die Vorteile die Risiken bei Weitem überwiegen. Verfügbarkeit wichtiger Daten unabhängig von Zeit und Ort, Überprüfung der Passwortsicherheit, wie sie die besseren Passwortmanager bieten, und nicht zuletzt mehr Sicherheit durch komplexe Passwörter, die man ohne Manager so vermutlich niemals verwenden würde, sprechen für sich. Der größte Fehler wäre aus unserer Sicht, aufgrund von Sicherheitsbedenken auf einen Passwortmanager zu verzichten und stattdessen kurze Passwörter oder »Gedächtnisstützen« zu verwenden, die am Ende von anderen erraten werden können.
Wie sicher sind meine Daten?
Damit stellt sich die Frage, wie die Daten Übertragen und wo die Daten ablegt werden. Die höchste Sicherheit bietet eine Zero-Knowledge-Verschlüsselung. Sie erfolgt lokal auf den Nutzerendgerät, ist also den Dienstanbietern nicht zugänglich. Nur diese Praxis bietet ausreichende Sicherheit. Dafür legt der Nutzer ein Hauptpasswort an, mit dem er Zugang zu allen anderen Passwörtern erhält. Als Online-Speicherplatz für Zugangsdaten und unter Umständen auch Notizen kommen Cloud-Speicher wie Dropbox oder OneDrive infrage. Damit hat man ein hohes Maß an Flexibilität und kann bereits vorhandenen Speicherkontingente nutzen. Die meisten Dienste stellen jedoch Speicherplatz im Rahmen eines Abo-Modells zur Verfügung, was Vertrauen in den Anbieter voraussetzt, aber die bequemste und letztlich wohl auch sicherste Lösung ist.
Aus alldem ergibt sich, dass es einhundertprozentige Sicherheit mit perfektem Bedienkomfort auch mit einem Passwort-Manager nicht geben kann. Wir haben uns daher bemüht, für jedes Produkt herauszuarbeiten, für welchen Nutzertyp es sich am besten eignet.
Testsieger: 1Password
Passwörter sollen sicher aufbewahrt, übersichtlich geordnet und rasch verfügbar sein. All das findet man bei unserem Testsieger 1Password. Das liegt unter anderem an der nützlichen »Watchtower«-Funktion, die einen jederzeit auf mehrfach verwendete, schwache oder anderweitig gefährdete Passwörter aufmerksam macht. Vorbildlich sind die diversen deutschsprachigen Hilfestellungen, die gerade Einsteiger an die Hand nehmen und stets Vorschläge unterbreiten, was man noch für die persönliche Sicherheit tun kann. So hat man jederzeit Klarheit darüber, wo welche Daten gespeichert sind und wer – im Falle einer Nutzung durch mehrere Anwender – Zugriff darauf hat.
Wie alle Passwort-Manager lässt sich 1Password direkt über den Browser bedienen. Für alle gängigen Browser gibt es eine Erweiterung, mit der sich Passwörter direkt bei der Eingabe speichern lassen. Komfortabler ist allerdings die Bedienung per App oder, noch besser, über den PC-Client für Windows und macOS. Dass nicht viele Passwort-Manager einen solchen bieten, spielte eine wesentliche Rolle bei der Wahl von 1Password als unseren Favoriten. Die Benutzeroberfläche ist auf jede Plattform, sei sie mobil oder stationär, angepasst und lässt sich sogar vom Nutzer selbst seinen Bedürfnissen entsprechend konfigurieren. So kann man im Windows-Client einen Benutzeroberflächen-Zoom aktivieren, falls man Probleme hat, den dargestellten Text zu lesen. Es gibt auch eine Option, sich Passwörter in großer Schrift anzeigen zu lassen – vorbildlich im Sinne der Barrierefreiheit!
Gleich zu Beginn lädt man ein »Emergency Kit« herunter. Dieses sollte man sicher verwahren, denn es enthält einen »Secret Key« für die Anmeldung auf weiteren Geräten. Dieser Schlüssel dient als zusätzliche Sicherung und kann vom Anbieter selbst nicht ausgelesen und auch nicht ersetzt werden. Außerdem findet man darin einen QR-Code, der einen schnellen Zugang zu den mobilen Apps ermöglicht. Die Anweisungen sind hier in englischer Sprache verfasst, was aber kein großes Problem darstellen sollte, da hier nur erklärt wird, man sollte das Dokument ausdrucken und sicher verwahren. Diese Methode stellt natürlich ein gewisses Sicherheitsrisiko dar, ist aber als Rettungsanker im Grunde unverzichtbar.
Passwörter aus anderen Speichern lassen sich sehr einfach importieren
Passwörter aus anderen Speichern lassen sich sehr einfach in 1Password importieren, indem man sie im CSV-Format in einer Excel-Datei speichert und diese im Browser auf das 1Password-Importfeld zieht. Danach erscheinen die importierten Passwörter augenblicklich auch in den Apps und den Clients und können dort direkt bearbeitet werden.
Gelungen ist auch die durchgängig deutschsprachige Benutzerführung. Von Beginn an macht 1Password Vorschläge, was man als nächstes tun könnte oder sollte. Aktionen wie etwa der eingangs beschriebene Import aus anderen Programmen ziehen häufig einen kurzen Kommentar oder eine Erfolgsmeldung nach sich, gefolgt von einem Vorschlag. So wird nach dem Import die Option angeboten, den Vorgang rückgängig zu machen oder sie auf ihre Sicherheit zu überprüfen.
Die Überprüfung erfolgt durch die ausgezeichnete »Watchtower«-Funktion. Dieser »Wachturm« findet sich im Bereich »Persönlich«, der sehr übersichtlich in unterschiedliche Kategorien wie »Favoriten«, »Logins« oder »Passwörter« unterteilt ist. »Watchtower« führt automatische eine Überprüfung nach gefährdeten und ungesicherten Webseiten sowie nach schwachen und wiederverwendeten Passwörtern durch. Dabei bleibt es jedoch nicht, vielmehr wird man auch genau darüber informiert, wo das Problem liegt und wie man es beheben kann. Außerdem werden Nutzer informiert, bei welchen Diensten eine Zwei-Faktor-Authentifizierung aktiviert werden kann.
Der Anbieter bietet eine eigene Cloud zum Speichern von Passwörtern und Notizen. Alternativ kann man zum Speichern auch Dropbox nutzen. Eine Integration von anderen Anbietern wie Google Drive, OneDrive oder WebDAV fehlt leider. Wer auf die Synchronisation verzichten kann, beispielsweise weil er einen anderen Server dafür nutzt, kann eine Dauerlizenz für 67 Euro erwerben.
Die vielen Sonderfunktionen haben ihren Preis
1Password spart nicht mit Sonderfunktionen. Man kann Zahlungsdaten, persönliche Informationen zum Ausfüllen von Online-Formularen und sichere Notizen speichern. Ein Passwortgenerator fehlt ebenso wenig wie eine »Darknet-Überprüfung«. Bei Letzterer wird anhand von Information aus jenem Teil des Internet, in dem sich typischerweise Kriminelle austauschen, überprüft, ob einzelne Passwörter möglicherweise kompromittiert wurden. Unter »Mein Profil« und »Mehr Aktionen« kann man außerdem die Zwei-Faktor-Authentifizierung als zusätzliche Schutzebene für das 1Password-Konto aktivieren. Nach dem Einschalten ist zusätzlich zu Ihrem Masterpasswort und Secret Key ein zweiter Schlüssel erforderlich, um sich mit einem neuen Gerät bei Ihrem Konto anzumelden. Insgesamt gehört 1Password zu den Passwort-Managern mit dem größten Funktionsumfang, was nach unserer Auffassung auch den etwas über dem Durchschnitt liegenden Preis rechtfertigt.
Standardmäßig sind alle Daten auf den Servern von 1Password mit einer 256-Bit-AES-Verschlüsselung nach dem Ende-zu-Ende-Standard geschützt. Dass heißt, dass auch Mitarbeiter von 1Password die gespeicherten Daten nicht einsehen können und auch die Übertragung vom Endgerät auf den Server geschützt sind.
Ein Familientarif kann sinnvoll sein
Längst nicht alle Passwort-Manager im Test bieten einen Familientarif an. Dabei kann das durchaus sinnvoll sein, da man bestimmte Accounts wie etwa den Zugang zum Streaming-Diensten, den Code für die Alarmanlage oder Smart-Home-Passwörter typischerweise im Familienverband nutzt. Mit dem 1Password-Familienplan lassen sich alle diese Informationen in einem gemeinsamen Tresor ablegen, den man unabhängig vom persönlichen Tresor nutzen kann. »Familienorganisatoren« können außerdem die Konten anderer Familienmitglieder wiederherstellen, wenn diese ihre Hauptpasswort vergessen haben.
Mit rund 42,70 Dollar pro Jahr für einen Nutzer bei jährlicher Abrechnung oder alternativ rund vier Euro pro Monat ist 1Password nicht das günstigste Angebot im Testfeld, für die gebotenen Leistungen aber absolut angemessen. Zudem ist die Transparenz ausgezeichnet: Unter »Abrechnung« findet man jederzeit eine Kostenübersicht, die Zahlungsdaten und eine Information darüber, wann die nächste Zahlung fällig wird. Unter »Rechnungseinstellungen« kann man Abonnements jederzeit unkompliziert kündigen. Es gibt einen Familientarif, indem für maximal fünf Personen 5,94 Dollar pro Monat bei jährlicher Abrechnung fällig werden. Die Teams-Version von 1Password kostet 4,75 Dollar pro Monat bei jährlicher Abrechnung.
Nachteile?
Kein Passwort-Manager ist perfekt, auch unser Spitzenreiter 1Password nicht. Am schwersten wiegt für uns das Fehlen eines Notfallkontakts, der im Notfall auf die gespeicherten Daten zugreifen kann. Damit bleiben zwei Optionen: Entweder legt man im Rahmen des Familientarifs einen gemeinsamen Tresor für die allerwichtigsten Zugangsdaten an, oder man muss das Masterpasswort der Vertrauensperson in einem geschlossenen Umschlag übergeben. Leider ist nur Dropbox als Speicheralternative verfügbar – das machen andere Anbieter wie SecureSafe oder EnPass besser. Nach der 14-tägigen Testphase kann man 1Password nicht mehr gratis nutzen. Da sind Avira, Bitwarden, Dashlane, Keepass, Keeper, LastPass , NordPass und SecureSafe großzügiger.
AgileBits 1Password im Testspiegel
Die Stiftung Warentest (07/2022) bewertete von 16 Passwörtern nur sieben mit »gut«, die anderen waren nach Ansicht der Tester nur »befriedigend« oder »ausreichend«. 1 Password erzielte die Gesamtnote 2,2 und liegt damit gleichauf mit Dashlane. Bei den Sicherheitsfunktionen schneidet Dashlane nach Meinung der Tester besser ab (1,5 gegenüber 1,8), bei der Handhabung liegt 1Password vorn (1,6 gegenüber 1,8). Insbesondere bei »Installation und Einrichtung« und »Import und Export von Passwörtern« konnte sich 1Password empfehlen.
Das Fachmagazin c’t (Heft 5/2021) schreibt:
»Die Wahl des richtigen Passwortmanager bleibt zu einem gewissen Teil eine Frage von Geschmack und Prioritäten. Weit vorn liegen 1Password, Bitwarden und Dashlane.«
Auch die New York Times kürt unseren Favoriten 1Password zum Sieger:
»1Password bietet attraktive und unkomplizierte Anwendungen. Neulinge werden die leicht verständlichen Sicherheitsempfehlungen und die benutzerfreundliche Oberfläche mögen, während technisch Interessierte die fortschrittlichen Funktionen und die Sicherheit schätzen werden.«
Auch die Fachzeitschrift Chip (5/2022) wählt 1Password zum Testsieger. Sicherheit und Bedienung werden mit »sehr gut« (1,0) bewertet, die Ausstattung mit »gut« (1,8).
Alternativen
Trotz der klaren Stärken des Testsiegers gibt es Passwort-Manager mit anderen Vorzügen. Insgesamt liegen alle Passwort-Maanger im Test recht nah beieinander, richtige Ausreißer gibt es im Grunde nicht, wenn man von Open-Source-Lösungen wie KeePass einmal absieht, die eher was für Experten sind. Sucht man eine ganz bestimmte Funktion wie etwa einen Tresor für Notizen oder die Möglichkeit, Passwörter mit anderen zu teilen, muss man aber genau hinschauen, da es keinen Passwort-Manager gibt, der wirklich lückenlos alles abdeckt.
Auch gut: DSwiss Securesafe
SecureSafe ist aus unserer Sicht die beste Alternative zu unserem Spitzenreiter 1Password. Dafür gibt es mehrere Gründe. Zum einen sind der Bedienkomfort und die Nutzerführung im Browser wie im Client für Windows und macOS sehr gut, auch wenn die Benutzeroberfläche etwas spröde und altbacken wirkt. Zum anderen liegen die persönlichen Daten auf einem Server in der Schweiz, was nicht nur Unternehmen zusätzliche Sicherheit gibt. Außerdem kombiniert Passwort-Manager und Cloudspeicher, sodass man auch eingescannte Dokumente sicher aufbewahren kann. Für Firmen ist SecureSafe daher die erste Wahl. Auch preislich empfiehlt sich der zweitplatzierte in unserer Wertung. Jährlich 17 Euro für Einzelnutzer oder 43 Euro für die Familienlizenz sollte jedem die eigene Passwortsicherheit wert sein. Die Gratisversion speichert 50 Passwörter und 100 Megabyte Daten, die Pro-Version beliebig viele Passwörter und 1 Gigabyte.
Warum stehen die Schweizer also nicht auf Platz 1? Das liegt am eher mageren Funktionsumfang. So wird das Erfassen von EC-Karten und Ausweisen nicht unterstützt, eine Notizfunktion gibt es ebenso wenig wie die Möglichkeit, Passwörter mit anderen zu teilen. Immerhin kann man einen Notfallkontakt hinterlegen und auch eine Zwei-Faktor-Authentifizierung ist an Bord. Dass alternative Cloud-Speicher nicht unterstützt werden, ist folgerichtig, da dies schließlich eine der zentralen Funktionen des Dienstes ist. Schmerzlicher ist da schon das Fehlen von Browser-Erweiterungen, die der Anbieter aber nachzureichen verspricht. Damit muss man Formularfelder auf Webseiten manuell ausfüllen oder das Programm öffnen und das benötigte Passwort kopieren, um es dann einzusetzen. Das ist durchaus nicht der schlechteste Weg, Nutzerdaten online einzugeben, er wird daher auch von anderen Passwort-Managern angeboten.
Für SecureSafe spricht auch die Möglichkeit, anderen Zugriff auf Teile der Datenbank oder, etwa im Sterbefall, auf das gesamte »digitale Erbe« zu gewähren. 50 Passwörter und 100 Megabyte an Daten kann man kostenlos speichern. Unbegrenzten Platz für persönliche Zugangsdaten gibt es bereits ab 1,30 Euro monatlich. Nicht auf die leichte Schulter nehmen sollte man den Hinweis des Anbieters, den 36-stelligen Wiederherstellungscode an einem sicheren Ort zu speichern. Denn wenn man sein Hauptpasswort vergessen hat, ist das die einzige Möglichkeit, wieder Zugang zum SecureSafe-Konto zu bekommen. Wer sich grundsätzlich über die Sicherheit einer Cloud-Lösung für Passwörter Sorgen macht, findet dazu unter dieser Adresse detaillierte Angaben. Transparenter und sicherer kann man mit den Daten seiner Kunden nicht umgehen!
Preistipp: Siber Systems RoboForm
Schon mit dem Standard-Jahrestarif von 24 Euro für die Einzellizenz gehört RoboForm zu den günstigsten Anbietern, bei uns gibt es noch einmal 30 Prozent Rabatt auf alle Tarife, so ist der Jahrestarif für 16,68 Euro zu haben. Auf Komfort und Sicherheit muss man dennoch nicht verzichten.
Besonders gut gefallen hat uns die Browser-Erweiterung. Die ist über die Adresse start.roboform.com erreichbar und zeigt eine übersichtliche Start-Page mit oft und kürzlich genutzten Seiten und Anwendungen. Man kann Favoriten selbst anpinnen, Notizen hinterlegen und persönliche Informationen zum Ausfüllen von Online-Formularen verwalten. Besonders clever: Mit Klick auf das RoboForm-Icon in der Symbolleiste des Browsers öffnen sich ein neuer Tab und eine Liste mit allen hinterlegten Diensten. Ein Klick auf einen Eintrag genügt, um die Seite im neuen Tab zu öffnen und sich anzumelden.
Nach der Installation der Windows-App ist man erst einmal verwirrt. Statt eines Clients werden verschiedene Tools installiert wie etwa ein Passwortgenerator. Ungewöhnlich ist, dass dieser nicht in die eigentliche Benutzeroberfläche integriert wurde. Der »RoboForm Editor« sieht unspektakulär aus, hat es aber in sich. So kann man damit unter anderem auch Notizen, Adressen und – ein echtes Alleinstellungsmerkmal – Bookmarks verwalten. Dazu klickt man wiederum auf das RoboForm-Icon in der Symbolleiste und klickt unten auf das »Speichern«-Symbol.
Die Browser-Erweiterung, verfügbar für Chrome, Firefox, Edge und Internet Explorer, hat uns im Test sehr gut gefallen. Sie begleitet einen auf dem Weg durchs Netz und bietet vielfach ihre Unterstützung an. Wer es etwas unauffälliger mag, ist davon vielleicht irgendwann genervt, aber rein vom Nutzerwert betrachtet, liegt RoboForm damit ganz weit vorn – zumal alle gespeicherten Daten auch offline verfügbar sind. Lobend erwähnen muss man auch, dass bei der Anmeldung neuer Geräte ein »One Time Password« vergeben und per Mail verschickt wird. Das bringt ein Plus an Sicherheit, wenn man RoboForm auf mehreren Geräten nutzen will.
Es gibt aber auch Schwächen. Das ganze System wirkt mit seinen vielen Bestandteilen etwas uneinheitlich und erfordert eine gewisse Einarbeitung. Zur Anbieter-Cloud gibt es keine Alternative, auch eine Darknet-Prüfung fehlt bislang. Wenig Vertrauen erweckt die teilweise holprige Übersetzung. Mal finden sich plötzlich niederländische Vokabeln in der Benutzeroberfläche, mal schaltet diese plötzlich auf Englisch um. Die Hilfeseiten wurden erst gar nicht übersetzt. Da ist – zumindest aus Sicht deutschsprachiger Nutzer – noch viel Luft nach oben. Wer einen guten Passwort-Manager mit sehr guter Autofill-Funktion sucht und dafür nicht viel Geld ausgeben will, kann die schon sehr brauchbare Free-Version von RoboForm ausprobieren und sich dann überlegen, auf die immer noch sehr günstige »Everywhere«-Version umzusteigen.
Etwas teurer: Dashlane
Der riesige Funktionsumfang macht Dashlane eigentlich zu einem heißen Anwärter auf einen Spitzenplatz. Leider hat der Anbieter die Client-Software für Windows und macOS eingestellt, die Bedienung läuft nur noch über WebApp und die Browser-Erweiterungen für Chrome, Firefox, Opera, Safari, Internet Explorer und Edge. Eine Alternative zur anbietereigenen Cloud gibt es leider nicht. Wen beides nicht stört, der findet bei Dashlane nützliche Funktionen wie das Hinterlegen eines Notfallkontakts oder eine so genannte Dark-Web-Überwachung. Das Dark Web wird dabei nach entwendeten persönlichen Daten durchsucht. Ein Alleinstellungsmerkmal ist auch die Integration eines VPN für anonymes Surfen. Nur NordPass bietet den eigenen VPN-Dienst NordVPN als kostenpflichtige Zusatzoption an.
Auch bei Dashlane wird beim ersten Start der mobilen App für iOS und Android per Mail ein Geräte-Authentifizierungscode vergeben und abgefragt. Die Benutzerführung ist ausgezeichnet, eine »Erste Schritte«-Anleitung führt die wichtigsten Funktionen vor. Ein Besonderheit: Auf iPhones mit Gesichtserkennung kann diese zum Zurücksetzen des Masterpassworts verwendet werden, was auch ausgezeichnet funktioniert. Dazu muss natürlich auf dem Gerät Face ID aktiviert sein. Auch die App selbst lässt sich mit nur einem Blick öffnen. Ob man dies nutzt oder nicht, hängt vom persönlichen Vertrauen in die Sicherheit der Apple-Gesichtserkennung ab.
Besonders gut gefallen hat uns der Passwortgenerator. Damit kann man für alle erdenklichen Zwecke maßgeschneiderte Passwörter erstellen und direkt kopieren. Im Bereich »Sicherheit« kann man direkt in der App diverse Anpassungen vornehmen, etwa die Zeit festlegen, nach der bei Inaktivität die App gesperrt werden soll, oder das Masterpasswort ändern.
Die Ersteinrichtung ist kein Selbstläufer und setzt eine gewisse Einarbeitung und Auseinandersetzung mit dem Programm voraus. Das gilt auch für den Import von Passwörtern aus anderen Programmen. Das macht für unser Empfinden 1Password und RoboForm besser. Preislich liegt Dashlane mit 40 Euro für einen Einzelnutzer und 60 Euro für die Familie noch etwas über unserem Spitzenreiter 1Password und gehört damit ebenfalls nicht zu den günstigsten Angeboten. Auf einem einzelnen Gerät kann man immerhin kostenlos bis zu 50 Passwörtern verwalten.
Dauerhaft gratis: 8Bit Solutions Bitwarden
Was hier dauerhaft kostenlos geboten wird, ist schon erstaunlich: Unbegrenzte Nutzung für bis zu zwei Personen, Erfassen von Kreditkartendaten und persönliche Informationen zum Ausfüllen von Online-Formularen sowie das Speichern sicherer Notizen. Mit der Premium-Version für 10 US-Dollar, also etwa 9 Euro pro Jahr, wird sich auch niemand ruinieren. Dafür gibt es unter anderem erweiterte Sicherheitsoptionen wie Berichte über wiederverwendete oder kompromittierte Passwörter und unsichere Websites.
Die Kampfpreise legen nahe: Hier handelt es sich um Open Source, die Programmierung ist also nicht geheim, sondern kann von jedem eingesehen werden. Das ist kein Sicherheitsrisiko, sondern ermöglicht es im Gegenteil, dass Schwachstellen aufgedeckt werden und Hintertüren für Kriminelle fast ausgeschlossen sind. Zudem gibt es Browser-Erweiterungen auch für Exoten wie Tor, Brave und Vivaldi. Eine Besonderheit: Premium-Nutzer können sich mit bis zu fünf unterschiedlichen Konten anmelden. Der Sinn der Sache: Man kann beispielsweise Privates von Geschäftlichem trennen und damit für noch mehr Sicherheit sorgen.
Bei jedem neu angemeldeten Gerät erfolgt vorbildlich eine Sicherheitsabfrage per Mail. Die App für iOS und Android bietet die wesentlichen Funktionen inklusive eines praktischen Passwortgenerators. Hinter der innerhalb der App leider nicht weiter erklärten Funktion »Send« verbirgt sich eine sichere Möglichkeit, sensible Informationen mit anderen zu teilen. Jeder Botschaft wird ein zufällig generierter Link zugewiesen, der auch mit Personen geteilt werden kann, die kein Bitwarden-Konto besitzen, und zwar Text-Message, E-Mail oder über einen beliebigen anderen Kommunikationskanal. Die Übermittlung erfolgt Ende-zu-Ende-verschlüsselt, die Privatsphäre-Einstellungen sind beliebig anpassbar und – von Premium-Nutzern – Dateianhänge bis zu 100 Megabyte enthalten.
Den unbestreitbaren Vorzügen stehen ein paar Nachteile gegenüber. Zum Speichern bleibt nur die Bitwarden-Cloud, andere Optionen gibt es nicht. Von einer gewissen Schmucklosigkeit, wie sie vielen Open-Source-Programmen eigen ist, kann man auch Bitwarden nicht freisprechen. Die Web-App hat etwa ein schlecht lesbares Menü mit viel zu geringen Zeilenabständen, auch die mobile App ist kein Schmuckstück.
Die Übersetzung hat nicht überall geklappt, hier und da findet sich ein fröhliches nebeneinander von Englisch und Deutsch. Direkte Anleitungen und Hilfestellungen sucht man ebenfalls vergeblich, sodass man sich gerade zu Anfang öfter mal etwas verloren fühlt. Ärgerlich ist zudem, dass die Benutzeroberfläche im lokalen Client andere Funktionen als in der Web-App enthält, den wichtigen Eintrag »Werkzeuge« gibt es hier gar nicht. Das Importieren von csv.-Dateien aus einem anderen Passwort-Manager klappte aus nicht nachzuvollziehenden Gründen nicht.
Außerdem getestet
NordVPN NordPass
NordPass gehört auf jeden Fall zu den besseren Passwort-Managern, vor allem wegen des sehr guten Windows-Clients. Der ist mittlerweile auch auf Deutsch verfügbar, dazu muss man nur kurz über das Zahnradsymbol in die Einstellungen gehen. Neben Passwörter speichert NordPass Notizen, Kreditkartendaten und persönliche Angaben zum Ausfüllen von Online-Formularen. Man kann Elemente für andere freigeben und es gibt einen Datenleck-Scanner, der einen per Mail auf neue Risiken aufmerksam macht. Mit ChaCha20 benutzt NordPass außerdem einen Verschlüsselungsalgorithmus, der als besonders sicher gilt.
Der Anbieter beitreibt auch einen VPN-Dienst für das anonyme Surfen und einen Dateiverschlüsselung. Indem man alle drei Dienste im Paket nutzt, kann man Geld sparen und braucht dann nur einen Account. Der Passwort-Manager ist noch relativ neu, daher gibt es hier und da noch Defizite. So klappte das automatische Ausfüllen in der iOS-App nicht immer auf den ersten Anlauf. Mit einem optional erzeugbaren Wiederherstellungscode kann man das Masterpasswort zurücksetzen, wenn man es verloren hat. Das kann man je nach Sichtweise als Vorteil sehen oder kritisieren, weil es ein zusätzliches Sicherheitsrisiko darstellt. In Nutzerreviews wird entsprechend moniert, dass sich das Masterpasswort allzu leicht zurücksetzen lasse. Insgesamt macht der relative Neuling auf dem Passwort-Manager-Markt schon einen sehr guten Eindruck.
LogMeIn LastPass
Einen umfangreichen Desktop-Client wie bei 1Password vermisst man bei LastPass. Stattdessen gibt es über den Microsoft Store eine Windows-App, die allerdings sehr schlicht daherkommt. Dort kann man auch das Master-Passwort speichern, was wir aus Sicherheitsgründen für eine schlechte Idee halten. Immerhin wird man von der App vorgewarnt, dass dies Risiken birgt. Bedient man LastPass über die Web-App, lässt das Programm nicht viel anbrennen. Es gibt einen Tresor für Zahlungskarten und Bankkonten, ein Sicherheits-Dashboard und ein Freigabecenter. Das man Vertrauenspersonen für den Notfallzugriff angeben kann, ist lobenswert.
Im Chrome-Browser wackelte die Stabilität etwas, es kam zu Grafikfehlern und einer Fehlermeldung (»Ungültige JSON-Antwort«). Immer wieder stößt man zudem besonders im Hilfebereich auf rein englischsprachige Inhalte. LastPass präsentiert sich als vielseitiger, solider Passwort-Manager. Preislich liegt man mit 35 Euro pro Jahr für eine Einzellizenz im gehobenen Mittelfeld. Allerdings hat LastPass durch Sicherheitslücken in der Vergangenheit Vertrauen verspielt, zuletzt hat die Firma im Dezember 2022 bekannt gegeben, dass Hacker Kundendaten inklusive verschlüsselter Passwörter erbeuten konnten. Wir raten daher von LastPass ab.
Enpass Technologies Enpass
Enpass ist ein sehr guter, vielseitiger Passwort-Manager. Die Einführung mit Beispieleinträgen ist sehr gut, Windows-Nutzer können »Windows Hello« zum Entsperren nutzen. Beim Passwortgenerator lässt sich die Stärke des Passworts einstellen – das ist eine ausgezeichnete Sache, da man schließlich nicht für jeden Dienst ein gleich starkes Passwort haben muss. Die Eingabemaske lässt sich flexibel konfigurieren, es stehen unterschiedliche Themes zur Auswahl. Dass man das Design der Benutzeroberfläche so weit anpassen kann, ist ein Alleinstellungsmerkmal, das hoffentlich auch bei anderen Schule macht. Gut gefallen haben uns auch die Pre-Shared-Keys für die Verschlüsselung von mit anderen geteilten Inhalten und die Archivierungsfunktion.
Luft nach oben gibt es trotz der Konfigurierbarkeit bei der Benutzeroberfläche. Sie fällt arg kleinteilig aus, Schriften und Schaltflächen sind zu klein. Warum es keine Firefox-Erweiterung gibt, hat sich uns ebenfalls nicht erschlossen. Eine weitere Besonderheit: Passwörter werden lokal in einem verschlüsselten Container gespeichert, die Synchronisation läuft dann über einen Cloud-Dienst eigener Wahl ab.
Avira Password Manager Pro
Avira hat den nicht zu unterschätzenden Vorzug, zum Portfolio eines renommierten Security-Unternehmens zu gehören, das weithin Vertrauen genießt. Wie auch die Antiviren-Software, kann man den Passwort-Manager weitgehend gratis nutzen. Dazu gehören etwa der Passwortgenerator und die Autofill-Funktion. Die Pro-Version gibt es ab günstigen 2,49 Euro pro Monat.
Ein Highlight ist die mobile App, die sich auch als Authentifizierungs-App nutzen lässt und damit andere Lösungen wie Google Authenticator oder Microsoft Authenticator ersetzt. Auf entsprechend ausgestatteten Smartphones kann man die Touch- oder Face-ID-Funktionen für noch mehr Sicherheit aktivieren. Die Anleitungen könnten etwas umfangreicher ausfallen. Auch beim Funktionsumfang bleibt das eine oder andere zu wünschen übrig, beispielsweise die Möglichkeit, Passwörter mit anderen zu teilen oder einen Notfallkontakt zu bestimmen.
Keeper Passwortmanager
Keeper zeigt sich sehr vielfältig hinsichtlich der Browser-Erweiterungen und lässt sich alternativ auch über die Web-App bedienen. Clients für Windows und macOS gibt es nicht. Der Funktionsumfang geht in Ordnung, es fehlen allerdings Alternativen zur eigenen Cloud und eine Notizfunktion. Dafür ist die Einzelnutzerlizenz mit 40 Euro pro Jahr und 89 Euro für das Familienabo relativ teuer. Angenehm fällt auf, dass alle Anleitungen in gutem Deutsch verfasst sind und es nicht wie bei diversen Mitbewerbern zu lästigem Sprachchaos kommt. Gut auch, dass es eine spezielle Lösung für Unternehmen gibt. Der Webshop bietet zwar viele Informationen, wirkt aber mit seinen vielen Fenstern, Tabellen und Animationen ziemlich unübersichtlich. In der Vergangenheit fiel Keeper auch schon durch eine etwas undurchsichtige Preisgestaltung, was ebenfalls etwas am Vertrauen kratzt.
KeePassXC Passwortmanager
KeePass und der darauf basierende Passwort-Manager KeePass XC sind auf Open-Source beruhende Programme, die komplett kostenlos sind. Eine Anbieter-Cloud bringen beide nicht mit, da die persönlichen Daten nur lokal gespeichert werden oder vom Nutzer selbst in einem eigenen Cloud-Speicher verwaltet werden müssen. Insgesamt bieten beide ein hohes Maß an Sicherheit, es fehlt jedoch an Sonderfunktionen. Die Benutzeroberflächen sind wenig ansprechend und wenden sich klar an technikaffine Nutzer. Da die Bedienung der KeePass-Programme ein hohes Maß an Eigeninitiative und technischem Knowhow erfordert, sind sie nur eingeschränkt mit den hier vorgestellten Lösungen vergleichbar.
Sonderfall ohne Wertung: Kaspersky
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell wegen des Ukraine-Krieges vor der Nutzung der Sicherheitssoftware des russischen Anbieters Kaspersky. Die Stiftung Warentest (07/2022) vergab daher keine Wertung für den Passwort-Manager von Kaspersky. Enge Verbindungen zum russischen Geheimdienst wurden der Firma schon öfter nachgesagt. In der EU und den USA darf Kaspersky-Software schön länger nicht mehr auf den Behördenrechnern laufen.
Einen Beweis für ein Fehlerverhalten blieb man aber bislang schuldig. Kaspersky startete eine Transparenz-Initiative und speichert die Daten deutscher Nutzer auf Servern in der Schweiz. Es scheint eher unwahrscheinlich, dass Kaspersky als Global Player mit 34 Niederlassungen in 30 Ländern eine Gefahr für westliche Computer darstellt. Da es genügend Alternativen gibt und in Ermangelung einer klaren Positionierung des russischen Unternehmens, verzichten dennoch auch wir auf eine Wertung.
So haben wir getestet
Ein Passwort-Manager muss überall verfügbar sein, deshalb haben wir für diesen Test alle Versionen der unterschiedlichen Plattformen geladen und installiert. Das beinhaltete vor allem die Browser-Erweiterungen als auch die mobilen Apps für iOS und Android. Wir haben jenen Programmen den Vorzug gegeben, die nicht nur ein Online-Interface, sondern auch einen Desktop-Client haben, da dies aus unserer Sicht der Bedienbarkeit sehr entgegenkommt.
Besonderen Wert haben wir im Test auf die Benutzerführung gelegt: Erhalten die Nutzer in jeder Situation Hilfestellungen oder werden sie allein gelassen? Werden vor allem Einsteiger bei den ersten Schritten an der Hand genommen? Hier erwies es sich als ein Manko vieler Manager, dass sie unzureichend aus dem Englischen übersetzt wurden. Eine FAQ in englischer Sprache hilft vielen Nutzer einfach nicht weiter.
Natürlich ist ein zentraler Aspekt die Sicherheit. Das umfasst nicht nur die Verschlüsselung, der übertragenen und gespeicherten Daten an sich, sondern auch die Frage der Transparenz. Wie genau klärt ein Anbieter die Nutzerinnen und Nutzer über den Verbleib ihrer Daten auf und machen sie darauf aufmerksam, wenn Passwörter zu leichtfertig ausgewählt, doppelt verwendet oder sogar bereits gehackt und im Darknet veröffentlicht wurde?
Wir betrachten es aber vor allem als wesentlich, dass ein Passwort-Manager nicht behindert, sondern möglichst unauffällig seinen Dienst tut, aber genau dann verfügbar ist, wenn man ihn braucht. Schließlich unterscheiden sich die Produkte deutlich in Sachen Funktionsumfang, was sich auch in den Preisen niederschlägt. Die gute Nachricht nach unserem Test: Für jeden Anspruch und jedes Budget gibt es ein passendes Angebot.
Die wichtigsten Fragen
Welcher ist der beste Passwort-Manager?
Der beste Passwort-Manager für die meisten ist der AgileBits 1Password. Von seiner benutzerfreundlichen Bedienung, seiner vorbildlichen Benutzerführung und seinen vielen Extras sind wir absolut überzeugt. Begeistert hat uns zudem, dass er für alle gängigen Browser und Plattformen verfügbar ist.
Was ist ein gutes Passwort?
Wichtigste Regel: Man sollte nie ein und dasselbe Passwort mehrmals, das heißt für unterschiedliche Dienste verwenden. Je länger es ist, desto besser. Ideal sind Nonsens-Erfindungen, die neben Buchstaben in Groß- und Kleinschreibung auch Zahlen und Sonderzeichen enthalten. Mindestens acht bis zwölf Zeichen mit vier Zeichenarten empfiehlt das Bundesamt für Sicherheit in der Informationstechnik. „Gedächtnisstützen“ wie Haustiernamen oder Lieblingsfilme sind nicht empfehlenswert, da sie für andere nachvollziehbar sein könnten. Wer eine „Mehrfaktor-Authentifizierung“ durch einen Fingerabdruck, eine App oder PIN aktiviert, sorgt zusätzlich für Sicherheit.
Wozu braucht man einen Passwort-Manager?
Weil man sich gute Passwörter schlecht merken kann, muss man sie aufschreiben und an einem sicheren Ort verwahren. Dann hat man sie allerdings unterwegs nicht dabei und es besteht die Gefahr, dass man sie verlegt oder sie in die falschen Hände gelangen. Eine Lösung sind Programme, mit denen Passwörter zentral und verschlüsselt gespeichert werden. Via App hat man von überall Zugriff darauf, man kann Eingabefelder automatisch ausfüllen lassen und es der Software überlassen, sichere Passwörter zu generieren. Bei den meisten Programmen werden Zugangsdaten, also das Passwort plus der dazugehörige Nutzername, gerätübergreifend synchronisiert. Wer also zum Beispiel sein Passwort am PC speichert, findet es danach auch auf dem Smartphone wieder.
Was bieten Passwort-Manager alles?
Je nach Produkt kann man neben Passwörtern auch Zahlungsdaten, Identitätsnachweise und Notizen speichern. Ein Passwortgenerator ist so gut wie immer, eine Einschätzung der Passwortsicherheit fast immer an Bord. Hilfreich ist auch die Möglichkeit, Passwörter mit anderen zu teilen und einen Notfallkontakt zu benennen, der bei Bedarf Zugriff auf die Daten bekommt. Beides bieten Bitwarden, Dashlane, Keeper und LastPass.
Sind im Browser gespeicherte Passwörter eine Alternative zu einem Passwort-Manager?
Chrome, Edge und Firefox bieten integrierte Passwort-Manager – praktisch, da man Passwörter ohnehin meist im Browser braucht. Das automatische Einsetzen sollte man aber nur in Anspruch nehmen, wenn man der einzige Nutzer eines Gerätes ist. Mit integrierten Passwort-Managern bindet man sich an einen bestimmten Browser und legt seine Daten in die Hände eines Konzerns wie Google oder Microsoft. Vieles spricht dafür, sicherheitsrelevante Informationen einem Dienst anzuvertrauen, der darauf spezialisiert ist und transparent macht, wo diese liegen und wie sie geschützt sind. Eigenständige Passwortmanager bieten mit dem ein Master-Passwort eine wichtige zusätzliche Sicherheitsebene.
