Die besten Passwort-Manager 2024 im Test

Passwort-Manager sind nicht nur bequem, sondern erhöhen auch die eigene Sicherheit im Internet. Hintergrund: Cyberkriminelle starten immer mehr Phishing- und Betrugsversuche, um Zugangsdaten zu ergattern. Und die Erfolgsquote steigt auch noch “dank” KI-Hilfe. Viele gefälschte Seiten sind so kaum noch vom Original zu unterscheiden. Hier helfen Passwort-Manager. Denn sie erkennen die Originalseiten und tragen die gespeicherten Daten und Kennwörter dort automatisch ein. Passiert das nicht, ist der Nutzer gewarnt: Höchstwahrscheinlich handelt es sich um eine Fake-Seite. Zudem durchsuchen die Hersteller der getesteten Passwort-Manager das kriminelle Darknet nach gestohlenen Daten und ob darin Zugangsinfos des Nutzers auftauchen. Falls ja, warnen sie umgehend. Dann ist sofortiges Handeln angesagt, bevor Hacker auf die betroffenen Konten zugreifen.

Ein Passwort-Manager ist natürlich nur sinnvoll, wenn Sie auch sichere Passwörter verwenden. Das bedeutet zum einen, dass Sie für jede Seite ein eigenes Kennwort verwenden sollten, das wirklich nur dort genutzt wird. Zum anderen sollten Sie bei Kennwörtern keine Ziffern und Zeichen verwenden, hinter denen eine Merkhilfe steckt. Vermeiden Sie also Geburtsdaten, echte Wörter oder Wörter, bei denen Sie Buchstaben durch Zahlen ersetzt haben. All das macht es Angreifern einfacher, das richtige Kennwort durch Ausprobieren oder Wortlisten herauszufinden. Ein sicheres Passwort ist zufällig aus Buchstaben, Zahlen und Sonderzeichen zusammengesetzt. Wichtig ist auch die Länge: Je kürzer das Passwort, desto einfacher lässt es sich knacken. Da Sie sich das Passwort nicht merken müssen, schließt sich COMPUTER BILD der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) an: Ein sicheres Passwort sollte mindestens 20 Zeichen haben. Natürlich müssen Sie nicht jedes Mal wild auf der Tastatur herumtippen, um ein sicheres Kennwort zu erzeugen. Das übernehmen die Passwort-Manager für Sie. Wie genau das geht, ist vom Hersteller abhängig, in der Regel bietet der Passwort-Manager aber beim Erstellen neuer Accounts ein sicheres Passwort an, das Sie einfach übernehmen können. Zudem gibt es den Passwort-Generator im Menü des Managers. Wichtig: Wenn Sie zum ersten Mal einen Passwort-Manager nutzen, übernimmt dieser zwar die bisherigen Zugangsdaten per Klick, wenn Sie sich anmelden. Sie sollten aber auch für bestehende Accounts neue, sichere Kennwörter erstellen und diese auf den entsprechenden Seiten wechseln.

Der ein oder andere mag sich wundern, dass COMPUTER BILD auch LastPass eine gute Note gibt. Schließlich gab es zweimal Aufregung über erfolgreiche Angriffe. 2021 probierten Kriminelle massenweise Zugangsdaten aus dem Darknet bei LastPass aus. 2022 war es ein Hack, bei dem Cyberkriminelle auch verschlüsselte Tresore der Nutzerinnen und Nutzer stahlen. Das ist natürlich eine Katastrophe für einen Passwort-Manager, der ja eigentlich für Sicherheit sorgen soll. Der Zugriff auf die Passwort-Tresore der User war möglich, da eine Malware die Zugangsdaten eines LastPass-Admins gestohlen hatte. Damit gelangten die Angreifer ins System und kopierten die verschlüsselten Daten. Immerhin: LastPass hat umgehend reagiert und über den Datendiebstahl informiert.

Im September 2023 kamen Vermutungen auf, dass Hacker die von den LastPass-Servern gestohlenen Tresore geknackt und damit Krypto-Wallets geplündert hätten. Ob das stimmt, ist nicht bekannt. Dennoch: Zwischen dem Aufruf von LastPass, die Passwörter zu ändern, und dem vermeintlichen Knacken der Tresore lagen damit knapp eineinhalb Jahre. Wer also auf die mehrfachen Warnungen von LastPass reagiert hat, sollte zumindest in diesem Fall keinen Schaden erlitten haben. Und generell gilt: Jedes System ist knackbar. Das kann auch bei anderen Herstellern passieren. Allerdings tun die Entwickler einiges, damit das nicht passiert, und informieren wie im Fall von LastPass transparent. Und: Passwort-Manager sind allemal besser als unsichere Kennwörter und deutlich komfortabler als ein analoges Notizbuch voller Passwörter.

Passwort-Manager gibt es in vielerlei Varianten mit verschiedenem Funktionsumfang für unterschiedlich viele Accounts. Bei der Account-Anzahl geht es bei Passwort-Managern nicht um die Anzahl der Geräte, auf denen Sie den Manager nutzen, dafür gibt es keine Beschränkung. Es sind vielmehr einzelne User gemeint. Sie brauchen pro Familienmitglied, das den Passwort-Manager nutzen will, einen eigenen Account. So verhindern Sie, dass sich beispielsweise die Kinder bei PayPal mit Ihren Daten anmelden. Achten Sie daher darauf, dass genügend Accounts enthalten sind.

Einige Hersteller bieten Lizenzen auf Lebenszeit an. Diese kosten einmalig etwa so viel wie zwei bis vier Jahre im Abo. Sind Sie mit dem Manager zufrieden, spricht nichts gegen eine Lebenszeit-Lizenz. Beim Abo müssen Sie allerdings genau hinschauen: Die Preise gelten teilweise nur für einen begrenzten Zeitraum, etwa fürs erste oder die ersten beiden Jahre. Wenn Sie nicht vorher kündigen, läuft das Abo anschließend zum erhöhten Preis weiter. Und da monatlich abgebucht wird, wissen viele gar nicht, wann genau der reduzierte Zeitraum endet, und bemerken die Erhöhung erst später.

Es gibt auch kostenlose Passwort-Manager. Dazu zählen die Passwort-Manager in Browsern und Betriebssystemen, Free-Varianten der hier getesteten Dienste und OpenSource-Programme wie KeePass. Zudem gibt es Passwort-Manager als Teil von Antivirenprogrammen. Die sind zwar nicht kostenlos, aber möglicherweise in Ihrer Lizenz enthalten. Die Gratis-Angebote bieten meist weniger Funktionen und nicht so viel Komfort. Bei den hier getesteten Diensten ist fast alles enthalten, was man von einem Passwort-Manager erwartet. Wenn es Ihnen aber nur darum geht, Passwörter zu speichern und automatisch auszufüllen, sind die kostenlosen Programme vielleicht eine Alternative. Die meisten Testkandidaten bieten übrigens eine Testversion zum Ausprobieren an.

Passwort-Manager bieten eine Menge zusätzliche Funktionen, die über das reine Ausfüllen und Speichern von Zugangsdaten hinausgehen. Folgende Funktionen sollten in einem Passwort-Manager unbedingt enthalten sein:

• Recovery-Funktion: Damit können Sie Ihr Master-Kennwort zurücksetzen, falls Sie es doch einmal vergessen.
• Zwei-Faktor-Schutz: Es ist zwar äußerst unwahrscheinlich, aber nicht unmöglich, ein sicheres Master-Passwort zu erraten. Ein zweiter Faktor, etwa das Smartphone, ist daher Pflicht.
• Biometrie: Noch besser ist es, den Passwort-Tresor mit Fingerabdruck oder Gesichtserkennung zu öffnen – das ist bequemer und sicherer.
• Darkweb-Schutz: Die Warnungen vor kompromittierten Kennwörtern sind wichtig und verhindern oder begrenzen zumindest den Schaden.

Einige Programme, etwa Dashlane, funktionieren komplett im Browser. Andere wie NordPass sind ein eigenständiges Programm und nutzen zusätzlich eine Browser-Erweiterung zum Eintragen und Speichern der Passwörter. Die Verwaltung der Kennwörter direkt im Browser mag zwar praktischer sein, als ein zusätzliches Programm zu öffnen. Die Desktop-Clients bieten aber Sicherheitsvorteile: Ein eigenständiges Programm ist deutlich abgekapselter als eine Erweiterung im Browser. Beispielsweise könnten Kriminelle eine Seite im Internet so präparieren, dass sie nach dem Aufrufen Angriffe startet. Da Sie die Seite mit dem Browser öffnen, zu dem die Passwort-Manager-Erweiterung gehört, ist diese deutlich angreifbarer als andere Programme auf dem PC. Zudem gibt es im Browser noch andere Erweiterungen, die sich Rechte erschleichen könnten. Und nicht zuletzt sind Browser verbreiteter als die Passwort-Manager-Clients, weshalb mehr Hacker nach Sicherheitslücken suchen – und diese auch finden. Das heißt zwar nicht, dass Passwort-Manager, die es nur als Browser-Erweiterung gibt, unsicher sind. Sie bergen aber mehr Risiken. COMPUTER BILD empfiehlt daher, auf Nummer sicher zu gehen und einen eigenständigen Desktop-Client zu nutzen.