Zum Inhalt
0

Passwortmanager - Sicherer surfen

Computer + Telekom Software

Die Verwendung einfach gestrickter Passwörter ist riskant. Passwortmanager sind eine ­sinnvolle Lösung. Wir sagen Ihnen, welche Produkte Ihren Internet-Alltag sicherer machen.

Diese Passwortmanager haben wir getestet:

  • Agile Bits 1Password
  • Dashlane Dashlane Premium
  • F-Secure Key Premium
  • Intel Security (McAfee) True Key Premium
  • Kaspersky Password Manager
  • Keeper Security Keeper Security
  • Last Pass LastPassPremium
  • Sinew Enpass

In den Testtabellen finden Sie Infos und Bewertungen zu: Browser-Erweiterungen, Zwei-Faktor-Authentifizierung, Passwortanforderungen, Sicherheitsfunktionen, Einrichten, täglicher Gebrauch, Bedienungsanleitung, Datensendeverhalten

Lesen Sie nachfolgend unseren Testbericht.

Das beliebteste Passwort (= Kennwort) hierzulande ist "123456". Dabei würde schon die Erweiterung auf "12345678“ ein deut­liches Plus an Sicherheit bringen. – Aber Scherz beseite. Weder solche Zahlenreihen noch "schatzi", "qwertz", "passwort", der eigene Vorname oder die Wiederholung von Teilen der E-Mail-Adresse sind sicherheitstechnisch betrachtet das Gelbe vom Ei.

Rohe Gewalt

Um sie zu erraten, braucht es oft nur ein paar Eingabeversuche. Da ist noch längst keine Software am Werk, die mit hoher Geschwindigkeit wahllos unzählige Kombinationen von Wörtern, Buchstaben, Zahlen und Zeichen durchprobiert. Man nennt das eine Brute-Force-Attacke, was übersetzt Brachialgewalt bedeutet.

Jahre statt Minuten

Zwar lässt sich damit irgendwann jedes Passwort erraten, da dies aber aufseiten des Angreifers Zeit und Rechenleistung ­beansprucht, gibt es keinen Grund, ihm die Sache einfach zu machen. Bei langen, komplexen Passwörtern (siehe Kapitel "Passwörter erstellen") sprechen wir nämlich nicht mehr von Minuten oder Stunden, die die Soft­ware zum Knacken benötigt, sondern von Tagen, Monaten oder Jahren.

Keine leichte Systematik

Nun sind "lang" und "komplex" zwar empfehlenswerte Eigenschaften, bringen aber die Gefahr mit sich, dass man das Passwort umso leichter vergisst. Noch dazu, wo man möglichst für jedes Benutzerkonto ein ­eigenes verwenden sollte, das sich von den anderen deutlich unterscheidet. Das heißt, es sollte auch keine leicht durchschaubare Systematik dahinterstecken (z.B. 123Facebook456, 123Amazon456 usw.).

Notizen, virtuelle Tresore

Notieren beschränkt tauglich

Das Notieren ist nur eine bedingt taugliche Lösung, egal ob handschriftlich oder etwa in einem Word-Dokument. Wenn schon, dann sollten Sie dieses mit einem eigenen Passwort vor dem Zugriff Dritter schützen (>>Datei/Dokument schützen<<) und nicht mit einem eindeutigen Dateinamen wie ­"Alle meine Passwörter" versehen.

Virtuelle Tresore

Die Internetbrowser wiederum bieten das automatische Speichern von Benutzer­namen und Passwörtern in einem virtuellen Tresor (englisch: vault) an. Diese Funktion wird gerne genutzt, weil man sich auf Websites das manuelle Ausfüllen der Zugangsdaten erspart. Es gibt andererseits gute Gründe, die dagegensprechen: In den meis­ten gängigen Browsern sind diese Passworttresore nämlich frei zugänglich.

Die Nutzer müssten von sich aus ein Masterpasswort setzen, also ein übergeordnetes Kennwort, das den Tresor vor unerwünschtem Zugriff schützt. Sie tun dies aber wohl selten.

Browser beliebte Angriffsziele

Noch schwerer wiegt, dass Browser aufgrund ihrer ständigen Anbindung ans Internet ­beliebte Angriffsziele sind. Und man darf nicht vergessen, dass es sich bei ihnen um Multifunktionswerkzeuge handelt, die halt neben vielen anderen Dingen auch einen Passworttresor anbieten.

Professioneller gelöst

Professioneller gelöst

Warum also zum Schmiedl gehen statt zum Schmied? Gemeint sind professionelle Anbieter von Passwortmanagern. Die Idee hinter diesen Produkten ist die gleiche wie bei den Passworttresoren der Browser, allerdings mit adäquaten Sicherheitsstandards bei noch höherem Komfort. Die entscheidenden Punkte:

Es gibt zwingend ein Masterpasswort. ­Dieses ist zugleich das einzige, das Sie sich merken müssen. Sie dürfen es freilich auch nie wieder vergessen, denn es kann selbst vom Anbieter nicht wiederhergestellt ­werden. Die Möglichkeiten, ohne Masterpasswort an Ihre Kennwörter im Tresor heranzukommen, sind je nach Anbieter sehr beschränkt bis gar nicht vorhanden.

Im Optimalfall erhöht der Anbieter den Schutz des Passworttresors durch eine Zwei-Faktor-Authentifizierung. Das ist ein zusätzlicher Schritt bei der Anmeldung wie etwa die Eingabe eines Einmal-­Codes oder eines Fingerabdrucks.

Zudem steht ein Passwortgenerator zur Verfügung, der Ihnen auf Knopfdruck die Mühe abnimmt, sich Kennwörter auszudenken, die allen Ansprüchen gerecht werden. Sie können dabei die Länge und Komplexität des Passworts beeinflussen.

Und Sie können alle Daten in Listen und Ordnern übersichtlich verwalten. In der Folge genügt meist schon ein Klick und Sie werden beim jeweiligen Benutzerkonto angemeldet. Besonders komfor­tabel ist dies auf dem Computer in Form von Browsererweiterungen, also kleinen Zusatzprogrammen umgesetzt. Damit wird der Passwortmanager in den Browser ­integriert.

Synchronisation, Datensendeverhalten

Kostenpflichtige im Test

Die Stiftung Warentest hat gängige Passwortmanager einem Test unterzogen, wobei sie sich bewusst auf die kostenpflichtigen Versionen (in der Regel mit Jahresabo-Modellen) beschränkt hat. Die kostenlosen ver­fügen meist über weniger Sicherheitsfunktionen und Komfort und werden oft nicht lückenlos für alle Plattformen angeboten (Windows, macOS, Android, iOS).

Auch auf Smartphone und Tablet installieren

Wer ein solches Werkzeug verwendet, installiert es aber sinnvollerweise auf Smartphone und Tablet genauso wie auf dem Computer. Ob Sie dann die automatische geräteübergreifende Synchronisation der Passwörter nutzen, ist eine Frage des Vertrauens – in den Anbieter selbst und in die Sicherheit einer Datenübertragung via Internet. Synchronisiert wird über die Server des Anbieters, über einen Cloud-Dienst wie Dropbox oder eine eigene Cloud-Lösung des Anbieters.

Masterpasswort wird nicht übertragen

Hundertprozentige Sicherheit wird es im Netz natürlich nie geben. Sicher ist aber ­eines: Übers Internet gesendet wird nur der stark verschlüsselte Inhalt des Tresors, niemals das Masterpasswort, mit dem sich dieser öffnen lässt. Es gibt für Hacker zweifellos einfachere Ziele – etwa Datenbanken von Onlineanbietern, welche die Pass­wörter ihrer Kunden unverantwortlicherweise im Klartext gespeichert haben.

So wie jene österreichische Gebrauchtwagen-Plattform, die dadurch vor wenigen Monaten unfreiwillig die Daten von 70.000 Konten preisgegeben hat. Bei einer reinen Inseratenplattform hält sich der unmittelbare Schaden für die Betroffenen wohl in Grenzen. Der Fall zeigt aber, wie wichtig es ist, Passwörter nicht mehrfach einzusetzen.

Datenfluss an Dritte

Was den Testern weniger gefallen hat, war das Datensendeverhalten, speziell jenes der Android-Apps. Ausgerechnet die Apps der vier empfehlenswerten Passwortmanager waren ebenfalls darunter.

Wenn Daten wie die Identifikationsnummer (IMEI) des Smartphones an Dritte übermittelt werden, dann ist dies zwar kein unmittelbares Sicherheitsproblem. Aber es ist schlicht und einfach unnötig, weil diese Information für das Funktionieren des Passwortmanagers nicht relevant ist. Schon bei anderen Apps ist dieses Verhalten ein häufiger Kritikpunkt. Bei Apps aus dem Sicherheitsbereich, die noch dazu kostenpflichtig sind, ist es un­verständlich.

Testtabelle: Passwortmanager

Tabelle öffnen

Passwörter erstellen

Selbst ausgedachte Passwörter folgen einem bestimmten Schema, sonst könnte man sie sich kaum merken. Sinnvoll sind beispielsweise Zitate aus Gedichten oder Liedern, wobei die Wörter als Grundlage für die Erstellung einer Zeichenfolge aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen dienen. Aus "Zwei Seelen wohnen, ach! in meiner Brust" wird so "2Sw8!imB". Das gewählte Zitat sollte natürlich nicht zum Allgemeingut gehören wie dieser Goethe-Klassiker.

Je mehr Zeichen, desto besser

Die Passwortmanager arbeiten rein nach dem Zufallsprinzip. Bei der Passworterstellung sollten Sie zumindest darauf achten, dass alle oben genannten Optionen enthalten sind, denn als Nutzer können Sie dies ebenso beeinflussen wie die Zeichenanzahl. Für Letztere heißt es: Je mehr, desto besser. Acht Zeichen gelten als absolutes Minimum. Besser sind im Hinblick auf eine mögliche Brute-Force-Attacke 9 bis 12, wobei manche Experten das Minimum mittlerweile auf 20 Zeichen hochgeschraubt haben.

Für die Passwortmanager ist das kein Problem, einige lassen sogar Kennwörter mit bis zu 100 Zeichen zu. Die tatsächliche Grenze setzen die einzelnen Online-Dienste, die meist eine erlaubte Zeichenanzahl definieren. Schöpfen Sie dieses Maximum ruhig aus!

Merkhilfen für das Masterpasswort

Wofür sich die integrierten Generatoren nicht eignen, das ist die Erstellung eines Masterpassworts für den Passwortmanager selbst. Man würde sich die Zeichenkette nicht merken können. Neben der genannten Möglichkeit, auf Zitate zurückzugreifen, kommt einem die aktuelle Empfehlung des US-amerikanischen Nationalen Instituts für Standards und Technologie (NIST) entgegen.

Waren echte Wörter in früheren Passwörtern tabu, so dürfen sie laut NIST nun aus (mindestens 20 Zeichen langen) Sätzen bestehen, die keinen Sinn ergeben und somit nicht in Büchern zu finden sind, z.B. "Eiskamele fliegen nach Nordsüd". Wir raten, noch ein paar Sonderzeichen einzustreuen, sodass unser Masterpasswort dann etwa lautet: "Eiskamele*fliegennachNordsüd§".

VKI-Tipps

  • Überzeugend. Die besten Sicherheits­konzepte haben Last Pass Premium und Keeper Security. Dashlane Premium punktet bei Einrichtung und Handhabung.
  • Vergleichen. Nutzen Sie vor Abo-Abschluss die Demoversionen bzw. Testphasen unterschiedlicher Passwortmanager.
  • Kostenlos. Dashlane bzw. Keeper Security sind kostenlos mit beschränkten Funktionen auf 1 Gerät bzw. Mobilgerät nutzbar. True Key von Intel Security funktioniert in der Gratisversion geräteübergreifend, speichert aber nur 15 Passwörter.
  • Backup 1. Nutzen Sie die integrierte Sicherungsfunktion für den Passworttresor und speichern Sie die Backup-Datei auf einem externen Datenträger. Ein Geräte­defekt bedeutet den Verlust aller Passwörter!
  • Backup 2. Bewahren Sie das Masterpasswort für den Notfall schriftlich dort auf, wo sich auch Ihre Dokumente, Spar­bücher etc. befinden.
  • Onlinebanking. Das Vertrauen in die Passwortmanager hat Grenzen. Die Zugangsdaten fürs Onlinebanking sollten Sie besser im Kopf haben.
  • Sicherheitsplus. Aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung.

So haben wir getestet

Im Test der Stiftung Warentest waren 8 Passwortmanager, die als Vollversion (ohne eingeschränkte Funktionen) erhältlich waren und für die Betriebssysteme Windows, MacOS, Android und iOS zur Verfügung standen.

Zudem berücksichtigten wir bei der Auswahl den Umsatz der jeweiligen Apps in den App-Stores. Die Preise erhoben wir im Jänner 2018 auf den Internetseiten der Anbieter sowie im Google Play Store bzw. im Apple App Store. Das Betriebssystem und die Firmware der Testgeräte wurden zu Testbeginn neu aufgesetzt und aktualisiert.

Sicherheitskonzept (40 %)
Passwortanforderungen: Wir untersuchten die Anforderungen, die das Produkt an das Masterpasswort und die im Passwortmanager gespeicherten Passwörter stellt – etwa ihre minimale bzw. maximale Länge. Auch die Komplexität der automatisch generierten Passwörter begutachteten wir.
Sicherheitsfunktionen unter Windows, MacOS, Android, iOS: Wir analysierten, welche Funktionen den Passwortmanager im Sinne des Nutzers sicherer machen. Unter anderem prüften wir die Zwei-Faktor-Authentifizierung, Sicherheitsmaßnahmen gegen den Zugriff Dritter und die automatische Beurteilung bestehender Passwörter.

Handhabung (40 %)
Drei geschulte Prüfer werteten Art und Umfang der verfügbaren Gebrauchsanleitungen und Hilfen aus, einschließlich Kurzanleitung und Informationen von der Anbieter-Website. Besonderen Wert legten sie auf Übersichtlichkeit, Vollständigkeit und Verständlichkeit sowie den praktischen Nutzen. Fürs Einrichten des Programms orientierten sie sich – falls vorhanden – auch an den Vorgaben des Anbieters in der Anleitung oder auf Hilfe-Seiten. Beim täglichen Gebrauch beurteilten sie etwa das Entsperren des Passwortmanagers, das Erstellen neuer Passworteinträge und das Einloggen bei unterschiedlichen Internetdiensten. 

Zusatzfunktionen (20 %)
Wir bewerteten den Umfang der Zusatzfunktionen wie das sichere Abspeichern von Belegen und Dateien oder das Erstellen von eigenen Profilen. Wir schauten uns auch an, ob sich Angaben wie Kreditkartendaten oder Bankverbindungen speichern lassen, die beim Interneteinkauf häufig gebraucht werden.

Datensendeverhalten (0%)
Über einen zwischengeschalteten Server (Proxy, Man-In-The-Middle-Attacke) sichteten wir den Datenstrom. Wir lasen die von den Apps gesendeten Daten aus, analysierten und entschlüsselten sie – sofern es möglich war. So ermittelten wir, ob die Apps nur Daten senden, die sie zum Funktionieren brauchen. Als kritisch stuften wir Apps ein, wenn sie Daten übertrugen, die für ihren Betrieb nicht erforderlich sind – z.B. die Geräte-Identifikationsnummer.

Abwertungen
Abwertungen sorgen dafür, dass sich Produktmängel verstärkt auf das Testurteil auswirken.

Wir empfehlen auf konsument.at

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Drucker - Gerüstet fürs Homeoffice premium

Drucker - Gerüstet fürs Homeoffice

Mit dem Lockdown-bedingten Boom beim Homeoffice ist die Nachfrage nach Druckern für zu Hause gestiegen. 30 Geräte im Test, Spartipps inklusive.

Gefördert aus Mitteln des Sozialministeriums 

Sozialministerium