Die Zahl der Online-Konten wächst stetig – von der E-Mail über die verschiedenen Shopping-Plattformen bis hin zu den Streaming-Diensten. Aus Bequemlichkeit nutzen viele Anwender für jeden Dienst die gleichen Zugangsdaten: die E-Mail Adresse und ein einfach zu merkendes Passwort. Dies erleichtert Datendieben das Leben: haben sie ein Konto geknackt, bekommen Sie alle anderen kostenlos mit dazu. Mit einem Passwort Manager beugen Sie dem vor, indem Sie bei jedem Dienst ein anderes Passwort verwenden.

Ob einer der von Ihnen genutzten Dienste bereits Opfer eines solchen Angriffs geworden ist, lässt sich recht einfach ermitteln. Es gibt zahlreiche Websites, die umfangreiche Datenbanken betreiben. Zwei der bekanntesten sind „Have I Been Pwned“, die vom Sicherheitsexperten Troy Hunt betrieben wird und der Identity Leak Checker vom Hasso Plattner Institut. In den beiden Datenbanken finden Sie 5,7 beziehungsweise 5,9 Milliarden geleakte Konten. EXPERTE.de stellt mit dem E-Mail Leak Check eine deutsche Version von "Have I Been Pwned" bereit.

Bei „Have I Been Pwned” sehen Sie direkt über die Website, ob Ihre E-Mail Adresse im Datenbestand auftaucht, beim HPI erhalten Sie, falls es Einträge gibt, direkt im Anschluss eine Nachricht.

Fünf gute Gründe für einen Passwort-Manager

Natürlich verhindert auch ein Passwort-Manager nicht, dass Dienste gehackt werden, er grenzt jedoch Ihr Risiko ein. Durch den zielgerichteten Einsatz verbessern Sie die Sicherheit wie folgt:

Einmal eingerichtet erledigt der Passwort-Manager die meisten Aufgaben unauffällig im Hintergrund.

Funktionsweise eines Passwort-Manager

Jeder Passwort-Manager arbeitet mit einer zentralen, verschlüsselten Datenbank. Diese liegt entweder zentral auf einem Gerät oder zentral in der Cloud. Mithilfe eines Master-Passworts öffnen Sie die Datenbank und haben anschließend Zugriff auf alle Einträge.

Abhängig von der Lösung gibt es Browser-Erweiterungen oder mobile Apps, welche die Neuanlage von Accounts, das Update von Einträgen und die Anmeldung am Dienst für Sie übernehmen.

In den folgenden Abschnitten erfahren Sie mehr über die einzelnen Funktionen, die Ihnen bei den verschiedenen Passwort-Managern zur Verfügung stehen.

Import von Passwörtern

Haben Sie bereits einen Passwort-Manager in Verwendung, sind aber nicht zufrieden, lassen sich die Daten bei den meisten Diensten problemlos übernehmen. LastPass beispielsweise bietet Ihnen einen komfortablen Importer an. Dieser bietet Ihnen knapp die Möglichkeit, aus knapp 40 verschiedenen Formaten die Benutzernamen und Passwörter zu importieren. Damit lässt sich ein Wechsel schnell und ohne Probleme bewerkstelligen.

Integration in den Browser

Nachdem Sie die alten Daten übernommen haben, geht es im nächsten Schritt an die Integration des Passwort-Managers. Dies gelingt am einfachsten mit Hilfe einer Browser-Erweiterung. Sobald Sie eine entsprechende Seite aufrufen, meldet sich ihr Passwort-Manager. Die gefundenen Anmeldedaten füllen Sie automatisiert in die entsprechenden Felder ein.

Viele Anbieter, wie beispielsweise LastPass, erkennen auch, wenn Sie ein neues Konto angelegt oder bei einem bestehenden ein Passwort geändert haben. In diesem Fall erhalten Sie eine Meldung und können das neue Konto automatisch in Ihre Datenbank übernehmen.

Sollte der Passwort-Manager trotz allem einmal nicht die richtigen Daten finden, haben Sie immer noch die Option, diese manuell zu suchen. Dafür bieten die verschiedenen Dienste eine einfache Suche, welche normalerweise den Namen des Dienstes, die URL der Website sowie den Benutzernamen durchsuchen. Am Ende erhalten Sie eine Liste von Diensten – Passwort-Manager wie LastPass stellen nach Ihrer manuellen Zuweisung eine Verknüpfung her und merken sich diese für das nächste Mal.

Mobile Nutzung

Mindestens genauso wichtig wie die Nutzung des Passwort-Managers im Browser ist der Einsatz auf Smartphone und Tablet. Die meisten Dienste unterstützen die beiden zentralen Plattformen Android und iOS.

Unter Android laufen die Apps permanent im Hintergrund und treten, sobald Sie sich bei einer App anmelden, rufen Sie die App auf und sehen die verfügbaren Konten. Wählen Sie das gewünschte aus – der Passwort-Manager füllt automatisch die Felder aus. Zur Anmeldung müssen Sie nur noch den Einloggen-Button anklicken.

Bei iOS läuft es seit der iOS 12-Version ebenfalls reibungslos. Sobald Sie an die Eingabe eines Benutzernamens kommen, sehen Sie über der Tastatur die für den Dienst gespeicherten Benutzernamen und Passwörter. Wählen Sie einfach den gewünschten aus. Damit dies gelingt, müssen Sie unter iOS 12 zuvor in den Einstellungen unter „Passwörter & Accounts / Automatisch ausfüllen“ den genutzten Dienst einstellen.

Zwei-Faktor-Authentisierung

Der Zugriff auf Ihre Passwort-Datenbank ist bis jetzt durch ein – hoffentlich sicheres – Passwort geschützt. Gelangt ein Hacker in den Besitz dieses Passworts hat er Zugriff zu all Ihren Diensten. Deswegen empfehlen wir Ihnen, Ihre Datenbank in jedem Fall durch ein zweites Passwort zu schützen. Keine Sorge – dies ist keines, dass Sie sich merken müssen.

Im Falle der Zwei-Faktor-Authentisierung (2FA) melden Sie sich wie gewohnt erst mit Ihrem Benutzer und Ihrem Passwort an. Anschließend wird jedoch noch ein nur zeitlich gültiger Code benötigt. Dieser wird durch eine App wie den Google Authenticator generiert und ist für eine kurze Zeit – meist 30 Sekunden – gültig.

Die Aktivierung der 2FA sowie die Verknüpfung Ihres Kontos mit der App erfolgt in den Einstellungen des jeweiligen Dienstes. Welcher der Dienste diese wichtige Sicherheitsfunktion unterstützt, sehen Sie, wenn Sie im Auswahlfeld die Option 2-Faktor-Authentisierung auswählen.

Formulare automatisch ausfüllen

Sehr komfortabel sind auch die Formular-Assistenten, die viele Dienste wie LastPass, 1Password oder Dashlane problemlos erledigen.

Gerade wenn Sie sich bei einem Dienst im Internet neu registrieren, sind immer die gleichen Informationen fällig: von Namen und Anrede über die Adresse bis hin zur E-Mail Adresse müssen Sie jedes Mal alle Daten neu eingeben.

An dieser Stelle unterstützten Sie die integrierten Formular-Assistenten. Sie hinterlegen einmal alle relevanten Daten in einem Profil und speichern diese im Passwort-Manager ab.

Beim nächsten Registrierungsprozess wählen Sie nur noch das zuvor angelegte Profil aus und der Formular-Assistent füllt automatisch alle Daten in die passenden Felder ein.

Bei den meisten Diensten ist es möglich, mehrere Adressen zu hinterlegen, beispielsweise für ihre private und die geschäftliche Anschrift. Bei einer solchen Konstellation zeigt Ihnen der Formular-Assistent beim Eintragen der Daten mehrere Profile zur Auswahl an.

Verwalten weiterer Daten

Neben der Speicherung von Passwörtern und dem automatischen Ausfüllen von Formularen bieten die meisten Passwort-Manager auch Möglichkeiten zur Speicherung anderer strukturierter Daten an.

LastPass realisiert dies etwa über die Ablage von Notizen. Dabei stehen Ihnen verschiedene Formulare zur Verfügung, wie etwa eines für Zugriffsdaten auf Datenbanken, für Server oder Ihre Passdaten.

Die hinterlegten Daten lassen sich zwar nicht automatisiert in Formulare einfügen, die Notizen sind aber vollständig durchsuchbar.

Passwörter ändern

Wenn Sie bei einem Dienst einmal ein Passwort ändern, erkennt das Browser-Plugin dies in der Regel automatisch. Nachdem Sie das neue Passwort eingegeben haben, meldet sich der Passwort-Manager und fragt nach, ob er das geänderte Passwort aktualisieren soll. Nachdem Sie dies bestätigt haben wird der Eintrag in der Datenbank abgelegt.

Sicherheit - Verschlüsselungs-Algorithmen

Ein wichtiger Punkt im Hinblick auf die Sicherheit Ihrer gespeicherten Daten ist der Verschlüsselungsalgorithmus sowie die Art und Weise, wie die Verschlüsselung umgesetzt wird.

In der Regel kommt an dieser Stelle eine AES-256-Bit Verschlüsselung zum Einsatz. Dies ist aktuell die höchste Schlüssellänge und gilt als sicher. AES-192 und AES-256 sind in den USA für die Verschlüsselung von staatlichen Dokumenten mit höchster Sicherheitsstufe zugelassen.

Bei der Registrierung wird aus Ihrer E-Mail Adresse sowie Ihrem Master-Passwort ein individueller Schlüssel generiert. Dieser wird im Anschluss – unter Umständen in Kombination mit dem Einmal-Schlüssel aus der 2FA – für die Ver- und Entschlüsselung Ihrer Passwort-Datenbank verwendet.

Neben dem Verschlüsselungsalgorithmus ist auch noch wichtig, wo Ihre Daten verschlüsselt werden. 

Zero-Knowledge-Verschlüsselung – was weiß der Anbieter?

Dies geschieht lokal auf Ihrem Endgerät mit Ihrem Master-Passwort. Damit besitzt keiner außer Ihnen die Möglichkeit, sich Ihre Passwörter zu betrachten. Dies gilt auch für den Betreiber des Dienstes.

Damit dies gewährleistet ist, darf Ihr Master-Passwort natürlich nicht an die Server des Dienstleisters geschickt werden.

Durch dieses Verfahren - auch Zero-Knowledge-Verschlüsselung genannt – gewährleisten die Anbieter die Sicherheit Ihrer Daten. Damit hat niemand, selbst wenn er Zugriff auf den Server des Anbieters erlangt, die Möglichkeit Ihre gespeicherten Daten zu entschlüsseln.

Für Sie bedeutet dies aber auch, dass bei einem Verlust des Master-Passworts keine Wiederherstellung Ihrer Daten mehr möglich ist. Die meisten Anbieter haben jedoch an dieser Stelle noch ein oder mehrere Notfall-Pläne eingerichtet: eine Erinnerung für das Passwort, eine Adresse oder Telefonnummer um das Passwort zurückzusetzen oder ein Notfall-Zugriff für vertrauenswürdige Personen.

Welche Dienste die beiden Funktionen Zero-Knowledge Encryption und Notfallkontakte unterstützen, sehen Sie über die Feature-Liste in unserem großen Passwort Manager Vergleich.

Lokale oder Cloud-Speicherung

Trotz aller Sicherheitsmaßnahmen sind viele Anwender Cloud-Diensten gegenüber immer noch kritisch eingestellt. Am Ende geben Sie Ihre Daten aus der Hand und speichern Sie in den meisten Fällen auf ausländischen Servern nach ausländischen Datenschutz-Verordnungen.

Deswegen empfehlen wir Ihnen, nur einen solchen Cloud-Dienst auszuwählen, der Ihnen eine Zero-Knowledge-Verschlüsselung garantiert.

Falls Sie trotz allem nicht von der Sicherheit Ihrer Daten in der Cloud überzeugt sind, haben wir für Sie noch eine Reihe von Diensten zusammengestellt, bei der Sie selbst die Datenbank verwalten und lokal speichern. Bei diesen ist natürlich kein übergreifender Zugriff mehrerer Geräte auf eine zentrale Datenbank möglich, da diese auf einem Ihrer Computer, Tablet oder Smartphone liegt.

Passwörter mit anderen teilen

Wenn Sie Ihre Daten in der Cloud speichern, stehen Ihnen noch weitere hilfreiche Funktionen zur Verfügung. Neben der Synchronisation der Daten über all Ihre Geräte können Sie auch Passwörter mit anderen teilen oder sogar im Team mit gemeinsamen Passwörtern arbeiten.

Beim Teilen von Passwörtern legen Sie einen Ordner an und geben diesen für mehrere Personen frei. Bei LastPass legen Sie diesen über die Funktion „Shared Folders“ an und fügen anschließend die Passwörter und die Freigaben vor.

Mit dieser Funktion verwalten Sie beispielsweise das Familienkonto Ihrer Streaming-Dienste oder verwalten das gemeinsame Konto der Online-Plattformen auf denen Sie einkaufen gehen.

Wenn Sie speziell nach einem solchen Dienst suchen, aktivieren Sie die Option „Passwörter teilen“ innerhalb der Features.

Für den Einsatz im geschäftlichen Alltag bieten zahlreiche Anbieter eine eigene Team-Version an. In vielen IT-Abteilungen liegen die Zugriffsdaten für Server, Switche und Firewalls immer noch in einer Excel-Datei. Diese ist weder sicher noch können Sie die Zugriffsrechte darauf regeln. Die Team-Versionen erlauben es Ihnen, für die einzelnen Passwörter Zugriffsrechte zu vergeben. Zusätzlich lassen sich auch Sicherheitskontrollen festlegen, mit denen Sie den Einsatz der Passwörter kontrollieren.

Falls Sie nach einer solchen speziellen Version des Passwort-Managers suchen, aktivieren Sie in der Suche die Team-Funktion.

Weitere Unterscheidungsmerkmale

Damit haben Sie bereits die wichtigsten Eigenschaften eines modernen Passwort-Managers kennengelernt. Bei der Lizenzierung gehen die Anbieter teils unterschiedliche Wege. Viele Passwort-Manager lassen sich auf einer beliebigen Anzahl von Geräten installieren und nutzen. Einige limitieren jedoch die Anzahl der Geräte. Eine genaue Übersicht über die Leistungsparameter haben wir den einzelnen Vertragsmodellen hinzugefügt.

Ein weiteres Kriterium ist die Anzahl an Passwörtern, die Sie mit dem Dienst verwalten können. In den meisten Fällen ist diese unlimitiert. Gerade bei kostenlosen Versionen gibt es jedoch teilweise Einschränkungen. Deswegen haben wir in der Feature-Übersicht noch einen Bereich hinzugefügt, über den Sie die Anzahl der zu verwaltenden Passwörter festlegen.

Fazit

Ein Passwort-Manager ist für eine sichere Speicherung Ihrer Online-Konten aus unserer Sicht unerlässlich. Selbst wenn es einem Hacker gelingen sollte, eines Ihrer Konten bei einem Dienst zu kapern, hat er damit nicht automatisch Zugriff auf andere Dienste.

Dank der automatisch generierten Passwörter ist es auch kein Problem, jedem Dienst schnell und einfach ein komplexes Passwort zuzuweisen.

Da Sie sich am Ende nur das Master-Passwort merken müssen, spielt die Komplexität der anderen Passwörter keine Rolle mehr und kann problemlos auf 20 Zeichen gesetzt werden – Sonderzeichen sowie Groß- und Kleinbuchstaben natürlich flexibel integriert.

Welcher Dienst für Sie am Ende der passende ist, finden Sie einfach über unseren Vergleichsrechner heraus. Da die meisten erst einmal einen kostenlosen Testzeitraum bieten, gehen Sie am Ende auch kein Risiko ein. Gefällt Ihnen die Handhabung nicht, probieren Sie einfach einen weiteren aus.