Passwort-Manager: Die besten Tools im Überblick

Ein sicheres Passwort zu generieren, ist nicht einfach. Zu schnell kann eine ausgefeilte Software Muster erkennen, das Passwort knacken und so Cyberkriminellen binnen weniger Sekunden Zugriff auf sensible Daten verschaffen. Die Lösung sind komplexe Kennwörter aus zufällig zusammengewürfelten Buchstaben, Zahlen und Sonderzeichen, die für Angreifer auch mit der besten Soft- und Hardware nur sehr schwer zu knacken sind. Allerdings ist es mindestens ebenso schwer, sich derartige Passwörter einzuprägen. Insbesondere, wer eine Vielzahl an verschiedenen Login-Kennwörtern für seine Tätigkeiten am Computer benötigt, kann daher von den Möglichkeiten eines Passwort-Managers profitieren.

Welche Passwort-Manager gibt es? Unterschiede und Bewertungskriterien

Passwort-Manager gehören zu den Tools, die Ihre alltäglichen Geschäfte und Aktivitäten im World Wide Web sicherer machen können. Wenn Sie auf viele Anwendungen mit Login zurückgreifen und mit vertraulichen, sensiblen Informationen arbeiten, dann profitieren Sie nicht nur von dem Schutz, den die praktischen Sicherheitsprogramme bieten, sondern auch von der Vereinfachung der Anmeldeprozesse. Bevor Sie sich allerdings ein maßgeschneidertes Passwortsystem erstellen können, gilt es zunächst, den passenden Passwort-Manager zu finden. Doch das ist angesichts der riesigen Auswahl an Lösungen – sowohl aus dem proprietären als auch aus dem Open-Source-Sektor – leichter gesagt als getan.

Um das passende Tool zu finden, sollten Sie überlegen, welche Ansprüche die Software erfüllen muss. Ein wichtiger Faktor ist etwa die Frage, ob der gewünschte Manager ausschließlich auf dem lokalen Rechner läuft oder ob Sie ihn via mobilem Speichermedium (z. B. USB-Stick) auch auf einem fremden Gerät ausführen wollen.

Ferner ist es entscheidend, ob ein Programm eine Generator-Funktion beinhalten soll oder nicht. Unterschiede weisen die einzelnen Passwort-Manager-Tools zudem auch in Sachen Algorithmen auf. Hier spielen natürlich die eigenen Präferenzen eine wichtige Rolle – achten Sie bei der Auswahl in jedem Fall darauf, dass ein aktuelles Verschlüsselungsverfahren zum Einsatz kommt.

Schließlich ist der Speicherort der Passwortdatenbank ein wichtiges Bewertungskriterium: Einige Programme legen die Passwörter automatisch in der Cloud des Herstellers ab, was eine ständige Verfügbarkeit ermöglicht. Die maximale Kontrolle über die eigenen Kennwörter haben Sie hingegen nur mit Lösungen, die das lokale Speichern auf dem eigenen System erlauben.

Die besten Passwort-Manager im Überblick

Die oben genannten Auswahlkriterien machen deutlich, dass Sie sich unbedingt im Vorhinein über die Passwort-Manager informieren sollten, die für Sie infrage kommen. Wenn Sie sich beispielsweise vorschnell für ein proprietäres Programm entscheiden, weil es hochmoderne Verschlüsselungsverfahren verspricht, und erst im Nachhinein feststellen, dass Ihnen die Speicherung in der Cloud des Herstellers nicht zusagt, dann sind Ihnen bereits Kosten für ein Tool entstanden, das Sie eigentlich nicht mehr nutzen wollen. Andererseits ist auch die blinde Nutzung eines Open-Source-Produkts nicht ohne Risiko: Geraten Sie an einen unseriösen Anbieter, ist die Sicherheit Ihrer Passwörter schnell passé.

Um Sie bei der Suche nach einem geeigneten Passwort-Manager zu unterstützen, stellen wir an dieser Stelle einige interessante Programme vor und gehen dabei insbesondere auf Faktoren wie Kosten, Lizenzmodell, Flexibilität und Zusatzfeatures** ein.

KeePass

Ein sehr empfehlenswerter Passwort-Manager ist die 2003 von Dominik Reichl veröffentlichte Open-Source-Lösung KeePass. Seitdem wurde das GPL-lizenzierte Programm unter anderem von der sehr aktiven Community stetig weiterentwickelt. So existieren mittlerweile über 45 verschiedene Sprachpakete und zahlreiche Plugins, mit denen sich der Basisumfang von KeePass erweitern lässt. Zusätzlich zu offiziellen Versionen für Windows, macOS und Linux gibt es verschiedene Portierungen für mobile Betriebssysteme wie Windows Phone (z. B. WinPass, WinKee, 7Pass), iOS (z. B. iKeePass, MiniKeePass, MyKeePass) und Android (z. B. KeePassDroid, KeePass2Android, KeepShare). Um das Passwort-Manager-Tool zu nutzen, müssen Sie es entweder auf dem gewünschten System installieren oder als portable Variante auf einen USB-Stick kopieren.

KeePass überzeugt als Passwort-Manager und ermöglicht im Gegensatz zu anderen Lösungen unter anderem die Zwei-Faktor-Authentifizierung sowie die gesamte Passwortdatenbank zu verschlüsseln. Hierfür stehen wahlweise der AES- oder der Twofish-Algorithmus zur Verfügung. Für den Schutz der einzelnen Passwörter kommt der Hash-Algorithmus SHA-256 zum Einsatz.

Für den Zugriff auf die Datenbank haben Sie als User drei Möglichkeiten: Ein klassisches Master-Passwort, die Nutzung eines Windows-Accounts oder die Schlüsseldatei-Variante. Letztgenannte bezeichnet KeePass als sicherste Lösung – allerdings müssen Sie die Schlüsseldatei auch immer bei sich haben – beispielsweise auf einem USB-Stick oder auf einer CD. Es ist auch eine Kombination von Hauptpasswort und Schlüsseldatei möglich. Weitere Features des Passwort-Managers sind die folgenden:

• Diverse Exportformate wie TXT, HTML, XML oder CSV
• Über 35 Importformate
• Kategorisierung von Passwörtern möglich
• Zeitangaben zum Erstellungszeitpunkt, der letzten Modifizierung, dem letzten Zugriff und zum Fristablauf der Passwörter
• Such- und Filterfunktion
• Eigenes Plugin-Framework verfügbar

KeePass überzeugt nicht nur durch seine umfangreichen Datenbankfunktionen, sondern auch durch den integrierten Passwort-Generator. Mit diesem erzeugen Sie in kürzester Zeit sichere Kennwörter für Ihre Logins. In den Einstellungen bestimmen Sie die Länge des generierten Passworts und den zugrundeliegenden Zeichensatz (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen etc.). Sie können auch ein Muster oder einen eigenen Algorithmus als Basis auswählen.

Password Safe (MATESO)

Die 1998 veröffentlichte Software Password Safe ist in verschiedenen, kostenpflichtigen Editionen erhältlich, wobei das Angebot in erster Linie auf KMUs und große Unternehmen zugeschnitten ist. Inzwischen ist MATESO Teil des US-IT-Sicherheitsunternehmens Netwrix, sodass unterschiedliche Pakete, darunter auch kleinere Pakete für Privatpersonen, angeboten werden. Eine Demoversion kann angefordert werden. Hier eine Zusammenfassung der angebotenen Pakete:

• Netwrix Auditor for Active Directory: Die Einstiegsedition „Starter“ bietet grundlegende Funktionen zur Überwachung von Active-Directory-Aktivitäten und lässt sich mit den Editionen „Standard“ und „Enterprise“ um einige Funktionen wie Echtzeitüberwachung, Compliance und Analyse von AD-Aktivitäten erweitern.
• Netwrix Auditor for Azure AD: Ähnlich wie bei Active Directory bietet Netwrix verschiedene Editionen für die Überwachung von Azure AD, angepasst an die Bedürfnisse unterschiedlicher Unternehmen.
• Weitere Pakete wie Netwrix Auditor for Office 365, Netwrix Data Classification oder Netwrix Data Access Governance bieten Funktionen zur Überwachung und Sicherheit für Office-365-Anwendungen, zur Klassifizierung und Kennzeichnung von Daten bzw. zur Überwachung und Verwaltung von Datenzugriffen, um Sicherheitsrisiken zu minimieren.

Laut eigenen Angaben arbeiten weltweit über 10.000 Unternehmen mit diesem funktionsstarken Passwort-Manager. Das Programm läuft unter allen gängigen Microsoft-Betriebssystemen (ab Windows 7) und ist darüber hinaus auch als App für iOS, Windows Phone und Android verfügbar. In allen kostenpflichtigen Paketen lässt sich Password Safe wahlweise als Installations- oder als USB-Stick-Version nutzen.

Damit Sie alle Einträge in der Datenbank des Passwort-Managers im Überblick behalten können, baut Password Safe auf ein übersichtliches Ordnersystem.

Dass Password Safe eine unternehmensorientierte Software ist, zeigen insbesondere die vielfältigen Multi-User-Features, die in allen Profi-Editionen verfügbar sind. Unter anderem handelt es sich dabei um eine zentralisierte Team-Datenbank, für die Sie mühelos eine rollenbasierte Zugriffskontrolle einrichten können. Ferner ist es möglich, das Abrufen eines Passworts nur bei angemessener Begründung zu erlauben. Für die Sicherheit von Datenbank und Kennwörtern sorgen u. a. AES 256, PBKDF2 und RSA-4096-Verschlüsselung (für Langzeitschlüssel).

Die Verbindung mit der Datenbank bauen Sie dabei entweder durch die Eingabe eines Master-Passworts oder mithilfe einer Schlüsseldatei auf. Je nach Paket können Sie beide Verfahren auch miteinander kombinieren, um den Sicherheitsgrad zusätzlich zu erhöhen. Einige zusätzliche Features des Passwort-Managers sind:

• Cloudfähig durch Ende-zu-Ende-Verschlüsselung
• Datenbank-Firewall in einigen Versionen
• Anpassbares Dashboard
• Intelligente Such- und Filterfunktionen
• Virtuelle Tastatur für Keylogger-Schutz
• Automatische Live-Backups

LastPass

Seit 2008 gibt es das Passwort-Manager-Tool LastPass, das mittlerweile der amerikanischen Softwarefirma LogMeIn gehört. LastPass ist auf die Speicherung und Verwaltung aller Passwörter ausgelegt, die Sie bei Ihren täglichen Online-Aktivitäten benötigen. Zu diesem Zweck lässt sich das Tool entweder über die gängigen Browser wie Google Chrome, Firefox, Safari, Opera oder Microsoft Edge aufrufen oder alternativ via Erweiterung in die Aktionsleisten der Internetbrowser integrieren.

Zusätzlich existieren Varianten für mobile Browser sowie Apps für Windows Phone, Android und iOS. Die Nutzung der Webanwendung ist kostenfrei – für einen geringen monatlichen Beitrag können Sie jedoch das Premium-Paket für Privatzwecke sowie zwei Business-Pakete mit zusätzlichen Features erwerben.

Die Passwörter-Datenbank, die in LastPass „Tresor“ genannt wird, erreichen Sie jederzeit und auf jedem Ihrer Geräte entweder über die Schaltfläche an der Browserleiste oder über die Web-App. Für den Schutz der Kennwörter sorgen die AES-256-Bit-Verschlüsselung und 600.000 Runden PBKDF2-SHA-256-Hashing mit Salting .

Die Verschlüsselung findet dabei immer auf Geräte-Ebene statt, sodass Master-Passwort und die Schlüssel zur Kodierung bzw. Dekodierung immer lokal gespeichert und nicht an die LastPass-Server gesendet werden. Ferner können Sie aus verschiedenen Lösungen für eine mehrstufige Authentifizierung wählen – etwa einem SMS-Code oder einer zusätzlichen Hardware-Komponente. Der Web-Tresor zeichnet sich durch folgende weitere Features aus:

• Automatische Passworteingabe
• Unterstützung für Fingerabdruck-Anmeldung
• Sichere Passwortfreigabe
• Passwort-Tresor synchronisiert automatisch mit allen Endgeräten
• Integrierter Passwort-Generator
• 1 GB verschlüsselter Dateispeicher (ab Premium-Edition)

Die Business-Pakete für Unternehmen machen LastPass auch für mehrere User nutzbar. Einerseits erhalten Sie hier zusätzliche, zentralisierte Administrationstools zur Verwaltung von unterschiedlichen Mitarbeiterzugängen. Andererseits erhalten alle Mitarbeitende ihren eigenen Passwort-Tresor, den sie selbstständig verwalten. Für Großunternehmen ist im Enterprise-Abonnement unter anderem ein eigener Kundensupport enthalten. Ferner können Sie eigene Sicherheitsrichtlinien konfigurieren und auf die API des Passwort-Managers zugreifen.

1Password

Nachdem AgileBits 2006 mit der Absicht gegründet wurde, innovative Webprodukte für Unternehmen zu entwickeln, erkannten die Verantwortlichen schnell, dass sie mit ihrem internen Tool zum Verwalten von Passwörtern und Formular-Informationen für Programme und Client-Websites bereits die passende Idee parat hatten. Seitdem haben Millionen zufriedener User den Passwort-Manager des Unternehmens genutzt, der den Namen 1Password trägt.

Die kostenpflichtige Anwendung ist für die Desktop-Systeme macOS und Windows und die mobilen Betriebssysteme Android und iOS verfügbar. Dank Browser-Extensions für Google Chrome, Opera, Firefox und Safari können Sie 1Password aber auch auf anderen Plattformen nutzen.

1Password setzt auf eine Ende-zu-Ende-Verschlüsselung (AES-256): Alle Kontaktinformationen und Passwörter, die Sie in das Programm importieren, werden also kodiert, bevor sie Ihre Geräte verlassen. Die Schlüssel für den Kodierungsprozess sind dabei jederzeit durch das Master-Passwort geschützt, das durch einen lokal gespeicherten 128-Bit-Sicherheitsschlüssel gestärkt wird.

Sie erhalten diesen Zugangsschlüssel für die Server des Anbieters automatisch nach der Anmeldung für den Passwort-Manager. Selbst wenn Angriffsprogramme sich Zutritt zu diesen Servern verschaffen, die wie die Webanwendung selbst auf den Amazon Web Services (AWS) gehostet werden, bleiben Ihre Daten folglich verschlüsselt. Darüber hinaus überzeugt 1Password u. a. mit diesen Features:

• Offline-Zugriff möglich
• Automatische Synchronisation mit allen genutzten Geräten
• Automatische Bewertung des Sicherheitsgrads aller Passwörter
• Einfache Integration bestehender Logins
• Individuell bestimmbare Shortcuts für automatische Anmeldung
• Gruppierung von Kennwörtern möglich (Ordner- oder Tag-System)

Das Passwort-Manager-Tool bietet einen eigenen Generator, mit dem Sie sichere Kennwörter generieren können. Hierbei lassen sich Einstellungen zur Länge, Aussprechbarkeit oder hinsichtlich der gewünschten Ziffern und Symbole treffen. Der Generator lässt sich außerdem dazu verwenden, neue Passwörter für bereits bestehende Accounts zu erstellen.

Für 1Password können Sie verschiedene Lizenzen erwerben: Privatpersonen sind mit der Basisversion (für eine Person) oder dem Familienpaket (für fünf Personen) gut versorgt. Agenturen und Unternehmen haben die Wahl zwischen den zwei Business-Plänen „Teams“ (bis zu 10 Teammitglieder) und „Business“ (für KMUs und große Unternehmen), die mit zusätzlichen Features aufwarten – wie einer Administrationskonsole, einer erweiterten Zugriffskontrolle oder einem persönlichen Account-Management.

Dashlane

2012 veröffentlichte das US-amerikanische Unternehmen Dashlane sein gleichnamiges, proprietäres Passwort-Tool, das heute zu den erfolgreichsten Lösungen auf dem Markt zählt. Nach einer Testphase kann man den Passwort-Manager zu einer kostenpflichtigen Variante aufwerten. Dashline bietet jeweils zwei Versionen für Privatpersonen („Premium“ und „Friends and Family“) sowie für Unternehmen („Business“ und „Enterprise“). Letztere enthalten Funktionen zur gemeinsamen Nutzung wie eine zentrale Verwaltungskonsole oder eine Option zur Passwort-Freigabe. Zusätzlich zu Desktop-Versionen für Windows und macOS sowie Apps für iOS und Android existieren Plugins für Chrome, Firefox, Safari, Opera und Edge, die Dashlane in den jeweiligen Internetbrowser integrieren.

Die Useroberfläche von Dashlane ist grundsätzlich in drei Bereiche eingeteilt: Unter der Rubrik „Passwort Manager“ finden Sie die eingetragenen Passwörter (AES-256-verschlüsselt), wobei die Software bereits existierende Login-Daten automatisch implementiert. Eine Besonderheit stellt der Password Changer dar, der die automatisierte Änderung eines Kennworts für alle unterstützten Websites ermöglicht – Dashlane loggt sich in diesem Fall eigenständig bei dem gewünschten Webprojekt ein und übernimmt den Austausch. Ferner können Sie in diesem Bereich das Sicherheits-Dashboard aufrufen und persönliche, passwortgeschützte Notizen anfertigen.

Unter dem Menüpunkt „Brieftasche“ speichern Sie persönliche Kontaktinformationen, Zahlungsbelege oder Kopien (z. B. von Ausweis oder Führerschein). Der Bereich „Kontakte“ enthält alle Funktionen, die Sie zur gemeinsamen Nutzung des Passwort-Manager-Tools benötigen. Weitere Features sind unter anderem:

• Automatisches Ausfüllen von Formularen und Logins
• Sicherheitswarnungen bei unsicheren Passwörtern
• Kategorisierung der Kennwörter
• Diverse Schnittstellen für Passwort-Import (u. a. Browser wie Chrome und Firefox, aber auch andere Tools wie KeePass, LastPass oder 1Password)
• Export der Daten (Excel- oder CSV-Format sowie im eigenen Dash-Format)
• Passwortverlauf

Wie viele andere Passwort-Manager auch hat Dashlane einen integrierten Generator, mit dem sich Kennwörter mit einer Länge von bis zu 28 Zeichen erzeugen lassen. Dabei können Sie auswählen, ob Buchstaben, Ziffern, Symbole sowie Groß- und Kleinschreibung zum Einsatz kommen sollen.

Darüber hinaus können Sie sämtliche eingetragenen Daten und Passwörter geräteübergreifend synchronisieren, um die Informationen jederzeit und überall parat zu haben. Außerdem bietet Dashlane die Möglichkeit einer Zwei-Faktor-Authentifizierung: In diesem Fall wird das standardmäßige Master-Passwort mit einem U2F-YubiKey kombiniert, der sich auf einem externen Speichermedium befindet.

Ein Restrisiko bleibt

Passwort-Manager sind hilfreich, um komplexe und sichere Passwörter zu generieren oder diese zu verwalten. Wo das Gedächtnis versagt, setzt der Manager ein. Doch dass sämtliche Passwörter über eine Software verwaltet werden, führt auch zu dem großen Nachteil dieser Programme. Denn verliert oder vergisst man den Masterschlüssel, dann steht man bei allen Anwendungen vor verschlossener Tür.

Man ist außerdem immer abhängig von der erstellten Datenbank – bei lokalen Installationen kann man so nur am heimischen PC von den Managern profitieren. Sobald man eine mobile oder Cloud-Lösung wählt, steigt natürlich auch wieder das Sicherheitsrisiko. Denn einen hundertprozentigen Schutz gewährt keine der Lösungen.

Eigenes Passwortsystem als sichere Alternative

Möchte man unabhängig von Datenbanken und Programmen bleiben, muss man auf das eigene Gedächtnis setzen. Eine sinnvolle Option ist dann ein Passwortsystem, bei dem man nach einem vorher festgelegten Schema ein sicheres Masterpasswort je nach Webportal, das man nutzen möchte, modifiziert. Beim Einprägen des Masterpassworts können einfache Gedächtnis-Taktiken helfen. Lesen Sie mehr dazu in unserem Ratgeber „Sicheres Passwort: Tipps für den optimalen Passwortschutz“