LastPass Test: Ist der Passwort Manager sicher genug?
Das Motto von LastPass steckt bereits im Namen: Der Passwort-Manager erfordert zur Anmeldung das letzte Passwort, das Sie je benötigen werden. Die Konkurrenz dominierte LastPass früher vor allem mit seiner Feature-starken Gratis-Version, die im März 2021 jedoch deutlich beschnitten wurde.
Nun muss sich LastPass also mit den Premium-Anbietern auf dem Markt messen – und wie sich der Passwort-Manager dabei schlägt, verraten wir im Test.
Was ist LastPass?
LastPass* ist ein Freemium Passwort-Manager, der Ihre Passwörter in einem gesicherten Tresor speichert und hinter einem sicher verschlüsselten Master-Passwort versteckt. Neben der Web-Anwendung bietet LastPass Browser-Erweiterungen für Chrome, Firefox, Edge, Opera, Safari und Internet Explorer sowie mobile Versionen für Android und iOS.
Wir testeten LastPass auf Windows und Android.
LastPass Testbericht
einfache und intuitive Bedienung
hervorragende Autofill-Leistung
Multifaktor-Authentisierung mit vielen kompatiblen Authenticator-Apps
schwerwiegender Leak von Kundendaten 2022
beschnittene Gratis-Version
gelegentliche Ladezeiten, die die Bedienung verlangsamen
keine Desktop-App
Einrichtung & Benutzeroberfläche
Die Anmeldung und Einrichtung von LastPass geht schnell vonstatten. Zunächst müssen Sie einen Account erstellen und im Zuge dessen auch gleich Ihr Master-Passwort anlegen. Als Zugang zu Ihrem LastPass-Tresor ist es das einzige und letzte Passwort (das „LastPass“ also), das Sie je benötigen werden. Hier gibt das Programm genaue Vorgaben: Ihr Passwort muss mindestens 12 Zeichen lang sein und mindestens eine Zahl, einen Klein- und einen Großbuchstaben enthalten.
Wählen Sie ein Master-Passwort, das Sie sich merken können, und dennoch sicher ist
Während eine separate Desktop-Anwendung das Herzstück vieler anderer Passwort-Manager ist, spielt sich bei LastPass alles im Browser ab. Das hat Vor- und Nachteile: Ihr LastPass-Vault – also der Passwort-Tresor, in dem sich alle Ihre Einträge befinden – ist im Browser immer nur einen Klick entfernt und eine Installation oder Software-Updates müssen Sie nicht vornehmen. Auch das Betriebssystem spielt keine Rolle. Manchmal ist es jedoch bequemer, eine vom Browser unabhängige App zu öffnen, und der Offline-Zugriff ist bei LastPass etwas komplizierter.
LastPass ist nicht Ihr erster Passwort-Manager und Sie haben bereits Datensätze gespeichert? Unter Erweiterte Optionen > Importieren können Sie aus einer Reihe von Passwort-Managern auswählen und CSV-Dateien importieren.
Importieren Sie Einträge, die Sie bereits gespeichert haben
Insgesamt ist die Einrichtung von LastPass einfach und unkompliziert, doch manche Nutzer könnten eine Desktop-Version vermissen.
Alles im Browser
Zwei Komponenten der Bedienoberfläche von LastPass bilden Ihre Passwort-Zentrale: Vorrangig werden Sie die Browser-Erweiterung nutzen, die fürs Autofill zuständig ist und schnellen Zugriff auf Ihre Datensätze und wichtige Funktionen liefert. In Ihrem Vault, zu dem Sie über einen Link in der Erweiterung gelangen, können Sie Ihre Einträge verwalten und erweiterte Einstellungen vornehmen. Wir stellen beide Oberflächen kurz vor.
Browser-Erweiterung
Die Browser-Erweiterung von LastPass ist eine Art Mini-Version Ihres Web-Vaults und damit etwas umfangreicher als die Erweiterungen einiger anderer Passwort-Manager. Sie bietet nicht nur Schnellzugriff auf gespeicherte Datensätze der Website, auf der Sie sich gerade befinden, sondern führt auch zu allen anderen Einträgen. Eine praktische Suchfunktion macht die Navigation noch einfacher.
Die LastPass Browser-Erweiterung enthält alle Ihre Einträge und einen praktischen Passwort-Generator
Ihren Passwort-Generator, mit dem Sie sichere neue Passwörter automatisch erstellen, finden Sie hier ebenfalls. Wenn Sie zum Sicherheits-Dashboard möchten, werden Sie hingegen zum Web-Vault weitergeleitet.
Der LastPass-Vault
Über den Unterpunkt „Meinen Vault öffnen“ gelangen Sie zur zweiten LastPass-Komponente: Ihrem Tresor. Dort finden Sie neben detaillierten Account-Einstellungen auch Funktionen wie den Sicherheitstest, mit dem Sie Ihr Passwort-Portfolio auf Schwachstellen überprüfen können.
Der LastPass-Vault ist übersichtlich und intuitiv in der Bedienung. Die Navigation ist einfach: Links finden Sie eine Menüleiste, wo Sie zwischen den verschiedenen Datensatz-Typen und Funktionen wechseln. Einträge werden entweder in Listen- oder Kachelansicht angezeigt und sind in Kategorien eingeteilt, die Sie selbst festlegen können.
Im LastPass-Vault verwalten Sie alle Ihre Einträge
Optimal finden wir die Einteilungsoptionen von LastPass aber nicht: Unterordner können Sie beispielsweise nicht anlegen, und jede Kategorie gilt Datensatztyp-übergreifend – die Kategorien, die Sie für Passwörter anlegen, finden Sie also auch bei den Notizen, was etwas unnötig ist. Zusätzliche Kategorisierungsmöglichkeiten wie Tags gibt es zudem nicht. Außerdem könnte sich LastPass mehr Mühe geben, Logos zu den Einträgen anzuzeigen, was die Kachelansicht noch etwas zugänglicher machen würde.
Dafür bietet LastPass etwas Flexibilität, was die Einträge selbst angeht: Sie können für jeden Eintrag festlegen, ob Autofill greifen oder das Master-Passwort noch einmal gesondert abgefragt werden soll, außerdem können Sie benutzerdefinierte Formularfelder hinzufügen. In den Kontoeinstellungen können Sie das Programm weiter feinjustieren und URL-Regeln oder Ausnahmen sowie Multifaktor-Authentisierung hinzufügen.
Mit benutzerdefinierten Feldern können Sie Ihre Datensatz-Einträge beliebig anpassen
Insgesamt ist LastPass einfach in der Bedienung und übersichtlich organisiert, auch wenn die Einteilung und Kategorisierung der Datensätze etwas besser durchdacht sein könnte. Manche Nutzer dürften zudem eine Desktop-Anwendung vermissen. Weil es sich um eine Web-Anwendung handelt, kommt es zudem hin und wieder zu kurzen Ladezeiten.
Features
LastPass deckt alle Basics ab, liefert aber auch manche Extra-Funktionen, die längst nicht bei allen Passwort-Managern zum Standard geworden sind.
Passwort-Generator
Mit dem Passwort-Generator in der Browser-Erweiterung können Sie kinderleicht sichere Passwörter ganz nach Ihren Vorgaben in Bezug auf Länge, Zeichen und Komplexität erstellen. Befinden Sie sich bereits in einem Anmeldeformular, können Sie das erstellte Passwort zudem per Mausklick ins entsprechende Feld kopieren – und gleich in der App speichern. Ganze Passwort-Phrasen lassen sich mit dem Generator hingegen nicht erstellen.
Mit dem Passwort-Generator erstellen Sie maximalsichere Passwörter automatisch
Sicherheitstest
Mit dem Sicherheitstest können Sie Ihre allgemeine Passwort-Sicherheit überprüfen. Hier erfahren Sie, wie viele Passwörter gefährdet sind und welche Sie sofort ändern sollten. Beeinträchtigte Passwörter können Sie direkt im nächsten Schritt auswechseln – für ausgewählte Seiten wie Facebook und Reddit sogar mit einem Klick, ohne dass Sie LastPass verlassen müssen. Bei den meisten Einträgen müssen Sie aber dem Link zur entsprechenden Webseite folgen und Ihre Passwörter manuell updaten.
Behalten Sie Ihre allgemeine Passwort-Sicherheit im Blick und wechseln Sie unsichere Passwörter sofort
Autofill
Mit der Autofill-Funktion von LastPass füllen Sie Anmelde-, Kontakt- und Bezahlformulare automatisch aus. Wenn die Browser-Erweiterung ein entsprechendes Eingabefeld erkennt, erscheint darin das LastPass-Icon, und mit einem Klick darauf bringen Sie die gespeicherten Einträge zum Vorschein. LastPass macht dabei einen absolut zuverlässigen Job und leistete sich in unserem Test keine Aussetzer. Auch neue Login-Daten wurden stets automatisch gespeichert.
Autofill funktioniert bei LastPass hervorragend
Freigabecenter
Sie können Ihre Passwörter auch mit anderen LastPass-Nutzern teilen. Das Freigabecenter bietet die Möglichkeit, entweder einzelne Einträge oder ganze Ordner für andere zugänglich machen. Dabei können Sie auswählen, ob diese Nutzer das Passwort nur verwenden, oder es auch einsehen können. Ganze Ordner lassen sich allerdings nur im Familien-Tarif freigeben.
Gemeinsames Netflix-Konto? Sie können Ihre Einträge auch mit anderen Nutzern teilen
Notfallzugriff
Sie können Ihrem Konto einen Notfall-Kontakt zuweisen und somit einer Person Ihres Vertrauens Zugriff zu Ihrem Vault verschaffen, wenn Sie selbst dazu nicht in der Lage sind. Weil sich immer mehr Menschen Gedanken darüber machen, was nach ihrem Tod mit ihrem digitalen Profil geschieht, können Sie für den Fall der Fälle auch ein digitales Testament anlegen. Ihr digitaler Erbe wird dann alle wichtigen Daten und Passwörter automatisch erhalten, und Sie können beruhigt sein, dass Ihre Informationen sicher, aber im Notfall doch abrufbar sind.
LastPass lenkt nicht mit allzu viel Schnickschnack ab, und besticht mit einfach zu bedienenden Tools, die hervorragend funktionieren und alles Wichtige abdecken.
Sicherheit
LastPass speichert Passwörter mit der extrem sicheren AES 256-bit Verschlüsselung. Das Sicherheitsmodell der Applikation basiert auf dem „Zero Knowledge-Prinzip“: Das Master-Passwort wird weder gespeichert noch übertragen. Wenn LastPass das Passwort nicht kennt und somit keinen Zugriff auf Ihre Daten hat, bekommt sie auch kein Hacker. Ihre Daten werden nur auf der Geräteebene ver- und entschlüsselt, ehe sie mit LastPass synchronisiert und sicher gespeichert werden.
Für zusätzlichen Schutz sorgt die Multifaktor-Authentisierung, die Sie bei LastPass mit vielen verschiedenen Authenticator-Apps und sogar mit USB- und Kartenlesegeräten absichern können.
Schützen Sie den Zugriff zu Ihrem LastPass-Vault mit MFA
Eine Sicherheitslücke besteht bei der Passwort-Wiederherstellung. Wenn Sie Ihr Master-Passwort vergessen haben, gibt es ein paar Möglichkeiten, den Zugriff auf Ihren Account zurückzugewinnen. Sie können bei der Account-Erstellung eine Sicherheitsfrage erstellen, die Sie bei einem Passwort-Verlust an Ihre E-Mail-Adresse senden können. Die Wiederherstellung per Einmalpasswort oder Gesichtserkennung und Fingerabdruck ist ebenfalls möglich.
Leak von Kundendaten 2022: LastPass verliert unser Vertrauen
Wo Menschen arbeiten, passieren Fehler. Doch weil Passwort-Manager mit äußerst sensiblen Daten arbeiten, dürfen sie sich keine allzu groben Schnitzer erlauben. Falls es doch einmal dazu kommen sollte, erwarten wir nicht nur eine umgehende Beseitigung des Problems, sondern auch eine ehrliche Kommunikation samt Eingeständnis der Fehler. Leider hat LastPass bewiesen, dass es diesen Ansprüchen nicht gerecht wird.
2022 kam es zu zwei Vorfällen, die dazu führten, dass Angreifer auf Kundendaten aus LastPass-Tresoren zugreifen konnten. Zunächst konnten Unbefugte im August LastPass-Quellcode von einem Geschäfts-Laptop eines Softwareingenieurs der Firma erbeuten. Im Dezember erfolgte der zweite Angriff, bei dem sich der oder die Hacker mithilfe der zuvor gestohlenen Informationen Zugriff auf Cloud-Backups von LastPass verschaffen konnten.
LastPass-CEO Karim Toubba meldete sich in einem Blogbeitrag zu Wort, bei dem er sich auch für die schwache Kommunikation entschuldigte.
Das Resultat: Die Angreifer erhielten Zugriff auf eine ganze Menge Kundendaten. Manche davon, beispielsweise Website-URLs, waren unverschlüsselt, die meisten hingegen waren nach den LastPass-Standards (AES 256-bit) verschlüsselt. Dazu zählen Passwörter, Benutzernamen oder sichere Notizen. Diese Daten können Hacker nur mithilfe des Master-Passworts entschlüsseln, das sie jedoch nicht erbeuten konnten (es wird schließlich auch nicht von LastPass gespeichert).
Das Master-Passwort steht also immer noch zwischen Hackern und LastPass-Kunden, doch mit den erbeuteten Kundendaten sind schwache Master-Passwörter deutlich anfälliger für Brute-Force-Attacken. Aktuelle LastPass-Kunden sollten also auf Nummer sicher gehen und ihre Master-Passwörter ändern.
Schwache Kommunikation der Fehler
Enttäuschend sind aber nicht nur die Sicherheitsvorfälle selbst, sondern auch die Art und Weise, wie LastPass damit umgegangen ist: LastPass-CEO Karim Toubba gab in einem Blogbeitrag im März 2023 selbst zu, dass Fehler nicht schnell, klar und ausführlich genug kommuniziert wurden.
Doch selbst in diesem zusammenfassenden Beitrag drückt LastPass die gemachten Fehler nicht explizit genug aus – dafür muss man die Detailseiten der Vorfälle besuchen. Besorgniserregend ist beispielsweise, dass sich Hacker Zugriff auf das Heimnetzwerk eines DevOps Engineers verschaffen konnten.
Unser Vertrauen hat LastPass also erstmal verspielt: LastPass muss viel wiedergutmachen, ehe wir den Passwort-Manager guten Gewissens als „sicher“ bezeichnen können.
Mobile Nutzung
Die LastPass-App gibt es für iOS und Android-Geräte. Bei der allerersten Anmeldung müssen Sie Ihr Gerät zunächst per E-Mail freischalten und Ihren Standort bestätigen, dann können Sie loslegen.
Die Menüstruktur der App ist jener der Browser-Erweiterung sehr ähnlich, weshalb Sie alle nötigen Funktionen schnell finden werden. Zudem verfügt die App über einen eigenen Browser, Sie können Websites mit einem Klick auf einen entsprechenden Eintrag also direkt in der Anwendung öffnen.
Autofill funktioniert am Smartphone (fast) genauso zuverlässig wie am Desktop, und das sowohl im integrierten Browser als auch unserem Standard-Android-Browser (Chrome). Bei unserem Test erschien das LastPass-Icon meist sofort, nur gelegentlich mussten wir wiederholt aufs Anmeldefeld tippen, um es zum Vorschein zu bringen.
Die LastPass-App gibt einen zuverlässigen mobilen Begleiter ab
Um die ständige Passwort-Eingabe zu vermeiden, können Sie die App auch per Fingerabdruck entsperren. Ob Sie dies mit Ihrem Sicherheitsprofil vereinbaren können, müssen Sie natürlich selbst entscheiden.
Support
Im Support-Zentrum von LastPass finden Sie eine gut sortierte Auswahl an Hilfeartikeln mit Screenshots und weiterführenden Links. Eine Suchfunktion erleichtert dabei die Navigation. Gelegentliche Video-Anleitungen (auf Englisch) bietet LastPass ebenfalls, außerdem gibt es ein Forum.
Die direkte Kontaktaufnahme versteckt LastPass hingegen ein bisschen: Erst unter einem Hilfeartikel finden Sie die Möglichkeit, sich an den Support zu wenden. Eine praktische Chat-Funktion, die sofort Auskunft über Probleme bringt, gibt es leider nicht. Zwar finden Sie im Support-Bereich ein Chat-Fenster, dort erwartet Sie aber nur ein Chatbot, der Sie nicht zu menschlichen Mitarbeitenden weiterleitet.
Das Support-Zentrum von LastPass ist gut gefüllt, direkte Kontaktmöglichkeiten könnten aber ausführlicher sein
Die Antwortzeiten variieren je nach Auslastung. Wir erhielten eine Antwort auf unsere Frage nach etwa 28 Stunden. Unsere auf Deutsch gestellte Frage wurde dabei auf Englisch beantwortet, und leider nicht wirklich zufriedenstellend. Erst beim zweiten Anlauf (auf Englisch) fanden wir, wonach wir suchten.
Insgesamt punktet LastPass mit einem gut gefüllten Hilfezentrum, könnte sich aber beim Direktsupport noch etwas mehr Mühe geben.
Preis
Einst machte der großzügige Gratis-Tarif LastPass besonders attraktiv. Leider hat jener 2021 durch eine neue Einschränkung einiges an Anziehungskraft verloren: Zwar werden Daten weiterhin auch im Free-Tarif zwischen Ihren Geräten synchronisiert, aber Sie können nur noch einen aktiven Gerätetyp auswählen, von dem aus Sie LastPass nutzen können.
Heißt: LastPass Free-Nutzer können den Passwort-Manager entweder auf Computern nutzen, oder auf Smartphones. Den aktiven Gerätetyp können Sie zwar wechseln, doch eine bequeme Nutzung auf beiden Gerätetypen ist nicht möglich. Diese Unterscheidung ist etwas kompliziert und wird von LastPass im Tarif-Bereich nicht ausreichend gut kommuniziert.
Die Gratis-Version hat also an Glanz verloren, dafür ist LastPass Premium immerhin relativ erschwinglich. Für Privatanwender gibt es neben dem Premium-Tarif auch ein Familienpaket mit sechs Premium-Lizenzen. Darüber hinaus bietet LastPass zwei verschiedene Business-Abos, deren Kosten sich nach der Größe des Teams richten. Das Teams-Paket eignet sich für Teams mit bis zu 50 Köpfen, für größere Unternehmen gibt es LastPass Enterprise.
Eine aktuelle Tarifübersicht finden Sie hier:
Free | Premium | Families | |
---|---|---|---|
Monatlicher Effektivpreis | 0,00 € | 2,90 € | 3,90 € |
Vertragslaufzeit (Monate) | 0 | 12 | 12 |
Limits | |||
Anzahl Benutzer | 1 | 1 | 6 |
Anzahl Passwörter | unbegrenzt | unbegrenzt | unbegrenzt |
Anzahl Geräte | 1 | unbegrenzt | unbegrenzt |
Features | |||
Sync mehrerer Geräte | ✗ | ✓ | ✓ |
Passwörter teilen | ✓ | ✓ | ✓ |
Teams | ✗ | ✗ | ✗ |
Zero-Knowledge Encryption | ✓ | ✓ | ✓ |
Notfallkontakte | ✗ | ✓ | ✓ |
Zwei-Faktor-Authentisierung | ✓ | ✓ | ✓ |
Lokale Speicherung | ✗ | ✗ | ✗ |
Browser | Edge Chrome Firefox Safari Opera | Edge Chrome Firefox Safari Opera | Edge Chrome Firefox Safari Opera |
LastPass bietet eine 14-tägige kostenlose Testversion. Rückerstattungen sind nicht möglich.
Fazit
LastPass ist ein günstiger Passwort-Manager, der auf dem Papier fast alles richtig macht. Er enthält alle wichtigen Funktionen, auf Autofill ist in der Regel Verlass und die intuitive Browser-Erweiterung sorgt in Kombination mit dem Web-Vault für eine einfache Bedienung.
Leider kam es in der jüngeren Geschichte des Unternehmens zu einigen schwerwiegenden Vorfällen, die ernsthafte Bedenken über die Sicherheitsstandards des Anbieters aufwerfen. Auch von der Art und Weise, wie diese Vorfälle kommuniziert wurden, sind wir alles andere als begeistert.
Deshalb greifen wir bis auf Weiteres lieber zu weniger vorbelasteten Programmen, bis LastPass unser Vertrauen zurückgewonnen hat – wann auch immer das sein wird.
Kundenbewertungen
Auch bei den Kunden genießt LastPass einen sehr guten Ruf. Das zeigt sich in den überwiegend positiven Kundenbewertungen:
Alternativen
Die besten Alternativen finden Sie hier: