Passwörter gelten schon seit Jahren als ungenügendes Mittel, einen Account abzusichern. Oft werden sie nach Hacks von Unternehmen veröffentlicht oder durch Phishing-Angriffe erbeutet – und weil viele Nutzer für mehrere Konten dasselbe Passwort verwenden, ist der potenzielle Schaden umso größer. Jedoch gilt für Passwörter etwas Ähnliches wie Winston Churchill es für die Demokratie formulierte: "Die Demokratie ist die schlechteste aller Staatsformen, ausgenommen alle anderen". Jede andere Lösung ist bisher schlechter.

Auch in Zeiten von Face-ID bleiben Passwörter notwendig, und sei es als Backup für die biometrische Authentifizierung. Um die beschriebenen Probleme wenigstens abzumildern, empfiehlt sich daher die Nutzung eines Passwortmanagers, der die verschiedenen Passwörter sicher speichert und neue, sichere generiert. Wir haben uns vier bekannte Passwortmanager angeschaut und halten sie für grundsätzlich tauglich – mit einer kleinen Ausnahme.

Passwortmanager sollten auch mobil nutzbar sein

Eine der großen Passwortmanager-Familien ist das Keepass-Projekt. Seit 2003 wird das quelloffene Programm entwickelt, es liegt derzeit in der Version 2 vor. Mit Keepass X gibt es eine Abspaltung, außerdem gibt es Versionen für Android und iOS und verschiedene Plugins zur Nutzung des Programms im Browser. Neben dieser Lösung haben wir uns die kommerziellen Alternativen Lastpass, 1Password und Dashlane angesehen, die jeweils auf allen gängigen Mobil- und Desktop-Plattformen laufen. Wir haben uns dabei für Passwortmanager entschieden, die jeweils auf verschiedenen Plattformen laufen, denn die meisten Nutzer haben mehr als ein Gerät, das geschützt werden muss.

Besonders wichtig ist, dass die Passwortmanager auch unterwegs am Smartphone funktionieren. Wer sichere Passwörter für seine E-Mail-Konten und andere App-basierte Dienste erstellt, wird diese auf Smartphonetastaturen kaum selbst eingeben wollen. Wenigstens unter Android können Passwörter seit Android Oreo mit einem Passwortmanager nicht mehr nur an Webseiten, sondern auch an Apps weitergegeben werden. In früheren Versionen ist das nur beschränkt möglich. iOS 11 ermöglicht immerhin, Apples Schlüsselbund zu verwenden, um auch Apps mit sicheren Passwörtern auszustatten.

Was ein Passwortmanager sonst noch können muss

Im Test haben wir die Programme besonders daraufhin geprüft, wie gut sie sich in den Arbeitsalltag der Nutzer einfügen. Die von uns getesteten Lösungen unterscheiden sich in wichtigen Details. Nicht alle sind durch eine vollwertige Zwei-Faktor-Authentifizierung geschützt. Einige laufen als Browsererweiterungen, andere sind Standalone-Software. Einige bieten außerdem Zugriff auf eine Weboberfläche an. Ganz am Anfang steht also eine grundsätzliche Entscheidung an: Möchte ich meine Passwörter einem Cloud-Dienst anvertrauen? Das ist zwar praktisch, weil überall verfügbar, birgt aber das Risiko eines Angriffs auf den Dienstebetreiber. Wer das nicht will, dem bleibt eigentlich nur ein Manager aus der Keepass-Familie.

Eins haben jedoch alle Passwortmanager gemein: Sie ermöglichen es den Nutzern, neue, zufällige Passwörter zu erstellen, allerdings auf unterschiedlich bequeme Weise.

Wer einen Passwortmanager verwendet, sollte im Idealfall nicht nur bestehende Passwörter weiterverwenden und dort abspeichern, sondern damit auch neue, starke Passwörter generieren.