Wie sicher sind Passwort-Manager? Wie funktionieren sie? Und welche Apps sind die Testsieger in den großen Vergleichen?

Passwort-Manager helfen beim Verwalten der Vielzahl an eigenen Kennwörtern, die heutzutage überall benötigt werden – online wie offline. Aber wie sicher sind diese Kennwortverwaltungs-Programme überhaupt? Wie funktionieren die Apps? Und benötigt man zusätzlich auch noch eine Zwei-Faktor-Authentifizierung? In diesem Büro-Kaizen Blogbeitrag zeigen wir Ihnen nicht nur die Antworten, sondern auch die Testsieger von Stiftung-Warentest, Chip und Heise!

Lesedauer ca. 6 Minuten

1. Wie sieht überhaupt ein sicheres, gutes Passwort aus?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte ein sicheres Passwort aus mindestens acht Zeichen bestehen. Die Kennwörter für Verschlüsselungsverfahren von WLAN sollten hingegen mindestens 20 Zeichen lang sein. Entgegen allen Empfehlungen nutzen allerdings viele User immer noch extrem unsichere Passwörter oder verwenden dasselbe Passwort für mehrere Zugangs-Logins. Die Hitliste der beliebtesten unsicheren Kennwörter führen dabei gängige Wiederholungen und typische Tastaturmuster an, wie „123456“, „qwert“, „asdfgh“ oder „1234abcd“. Da Hacker vollautomatische Passwortcracker-Tools nutzen, um die Kennwörter einfach mit hoher Taktzahl auszuprobieren, bieten solche Lösungen nur wenig Schutz. Dies gilt auch für Geburtsdaten oder die Namen von Familienangehörigen. Hier die Empfehlungen des BSI für gute, sichere Passwörter:

Beispiel für ein sicheres Passwort
Vermeiden Sie kurze und unsichere Passwörter. Suchen Sie sich am besten lange und komplexe Passwörter aus. Diese können Sie auch in einem entsprechenden Passwort-Manager speichern.
  • Ein starkes Passwort kann entweder „kürzer und komplex“ oder „länger und dafür einfacher“ sein. Je länger und je mehr verschiedene Zeichenarten (z. B. Klein- und Großschreibung, Zahlen, Sonderzeichen), desto sicherer.
  • Ein sicheres Kennwort, das „einfach und lang“ ist, besteht z. B. aus mindestens 20 Zeichen und zwei verschiedenen Zeichenarten. Dies kann beispielsweise eine Folge von drei oder mehreren Wörtern sein, die durch Leerzeichen und Ziffern getrennt und ergänzt werden.
  • Werden vier verschiedene Zeichenarten genutzt, ist das Passwort komplexer und kann dafür auch kürzer ausfallen, sollte jedoch mindestens acht Zeichen lang sein.
  • Einfach nur ein Sonderzeichen oder eine Ziffer an ein simples Passwort (das so z. B. im Wörterbuch steht) anzuhängen oder voranzustellen, reicht hingegen nicht aus.
  • Wird zusätzliche eine Multi- oder Zwei-Faktor-Authentifizierung (MFA) genutzt, genügen laut dem BSI drei unterschiedliche Zeichenarten und mindestens acht Zeichen. Die MFA wird – nicht nur von dem BSI – grundsätzlich empfohlen.
  • Wichtig: Versenden Sie Passwörter niemals über unverschlüsselte E-Mails, Chats oder ähnlichem, da sie auf diese Weise leicht von Dritten ausgelesen werden können.
Do's und Don'ts für das Festlegen sicherer Passwörter
Damit die Passwörter in Ihrem Passwort-Manager auch sicher genug sind, sollten Sie folgende Do’s und Don’ts beachten.

2. Beispiele für (un)sichere Passwörter

Wenn Sie die Tipps aus dem vorherigen Absatz beachtet haben, sollten Ihre Passwörter schon deutlich besser geschützt sein.

Ein sicheres Passwort aus einem Satz heraus erstellen

  • Wählen Sie zunächst einen Satz, den Sie sich gut merken können und schreiben Sie ihn nieder (Zahlen und Sonderzeichen sind dabei ebenfalls sinnvoll)
    Ich organisiere meinen Arbeitsalltag am liebsten mit Microsoft 365!
  • Markieren Sie nun alle Anfangsbuchstaben bzw. Zahlen
    Ich organisiere meinen Arbeitsalltag am liebsten mit Microsoft 365!
  • Nun können Sie alle markierten Ziffern und Zahlen aneinander reihen. Schon haben Sie ein gut geschütztes Passwort, das zudem noch einfach zu merken ist.
    IomAalmM3!
Sichere Passwörter können aus Anfangsbuchstaben in Sätzen gebildet werden. So können Sie sich das Passwort als Eselsbrücke merken.
Sichere Passwörter können aus Anfangsbuchstaben in Sätzen gebildet werden. So können Sie sich das Passwort als Eselsbrücke merken oder in einem Passwort-Manager speichern.

Die am häufigsten genutzten Passwörter

Im Gegensatz dazu sollten Sie die folgenden Beispiel-Passwörter unbedingt vermeiden:

  • 123456
  • Passwort
  • 1qay2wsx
  • login
  • passw0rd
  • letmein
  • abc123
  • admin
  • 000000
Passwort Manager: Die schlechtesten Passwörter, die man vergeben kann.
Passwort-Manager: Die schlechtesten Passwörter, die man vergeben kann.

3. Wie funktionieren die Passwort Manager Programme?

Ein Passwort Manager (auf Deutsch: Kennwortverwaltungs-Anwendung) funktioniert ähnlich wie ein digitales Notizbuch für alle benötigten Kennwörter. Die App, und alle Daten darin, wird dann selbst verschlüsselt und mit einem möglichst starken Master-Passwort geschützt. Dementsprechend wichtig ist es, dass die Passwortmanager-App selbst über eine sehr starke Verschlüsselung verfügt. Alle großen Anbieter nutzen daher mindestens eine AES-256-Verschlüsselung, die sogar militärischen Standards genügt – und daher einen hohen, aber dennoch keinen vollständigen Schutz garantiert. Die gegenwärtigen Passwort Manager der Branchenriesen Google und Microsoft erreichen diesen Standard hingegen nicht und werden daher auch nicht in den Testvergleichen ganz vorne gelistet (siehe unten). Auch die Passwortmanager-Addons, die in den gängigen Web-Browsern integriert sind, gehören nicht zu den sichersten ihrer Art.

Studie mit der AKAD Hochschule

  • Die Aufgabe der Passwort-Manager-Programme ist, die Vielzahl an Benutzernamen und Passwörter eines Nutzers zu verwalten.
  • Dabei trägt der/die NutzerIn lediglich einmal die Login-Daten für alle benötigten Benutzerkonten ein, die dann abgespeichert und künftig automatisch ausgefüllt werden. Dadurch können die verwendeten Passwörter selbst deutlich komplexer ausfallen. Um dies zu vereinfachen, verfügen die meisten Passwort Manager zudem über einen integrierten Kennwortgenerator, der möglichst gute und sichere Passwörter erzeugt.
  • Die Schlüsseldatei (Kenntwortdatenbank) der Anwendung wird wiederum selbst möglichst gut und mit einem starken, komplexen Masterpasswort verschlüsselt und dann entweder in der Cloud gespeichert (plattform- und geräteübergreifende Verfügbarkeit), über einen eigenen Server gehostet (Datensouveränität) oder auf einem USB-Stick abgespeichert (sicher, aber unkomfortabler). Das Masterpasswort muss gut und sicher aufbewahrt werden, z. B. handschriftlich in einem Tresor, keinesfalls jedoch auf dem genutzten System.
  • Wenn das Programm zudem eine Zero-Knowledge-Policy verwendet, werden die darin abgespeicherten Nutzerdaten und Passwörter bereits Client-seitig verschlüsselt, so dass auch der Anbieter diese nicht einsehen kann. Wird dann z. B. dessen Cloud gehackt, können die Angreifer Ihre Daten dennoch nicht einsehen.
Bei einer Vielzahl an Passwörtern ist ein Passwort Manager die optimale Lösung für einen sicheren Überblick.
Bei einer Vielzahl an Passwörtern ist ein Passwort-Manager die optimale Lösung für einen sicheren Überblick.

4. Passwort-Manager im Vergleich: Die Testsieger von Stiftung Warentest, Chip und Heise

Stiftung Warentest hat im Jahr 2020 einen Testvergleich der beliebtesten Passwort-Manager-Apps durchgeführt. Im Folgenden haben wir die Ergebnisse einem Test des Computermagazins Chip von Ende 2021 gegenübergestellt. Der IT-Spezialist Heise (z. B. das IT-Magazin c`t) empfiehlt zusätzlich zu den unten aufgeführten Anbietern noch die vergleichsweise jungen Produkte von Passwork, Kaspersky Password Manager und NordPass von NordVPN.

Testsieger der Passwort Manager 2020 (Stiftung-Warentest):

Im Stiftung-Warentest-Vergleich 2020 erhielten drei Passwortmanager die Note „gut“, sechs waren „befriedigend“ und zwei nur „ausreichend“. Die fünf am besten bewerteten Kennwortverwalter waren demnach:

  • Gut: Keeper Securit, 1Password und KeePass (kostenlos)
  • Befriedigend: Dashlane, Bitwarden

Testsieger der Passwort Manager 2021 (des IT-Magazins Chip):

Der Testsieger beim Chip-Vergleich 2021 ist 1Password, der Preis-Leistungs-Sieger ist Bitwarden Premium und die Gratis-Empfehlung KeePassXC.

  1. 1Password
  2. LastPass Premium
  3. Bitwarden Premium
  4. Avira Passwort Manager Pro
  5. Dashlane Premium
  6. KeePassXC
Die besten Passwort Manager: Testsieger aus den Jahren 2020 und 2021
Die besten Passwort-Manager: Testsieger aus den Jahren 2020 und 2021

5. Extra Tipp: Multi-Faktor-Authentifizierung macht Passwort Manager noch sicherer!

Selbst das stärkste Passwort kann geknackt werden. Dafür verfügen gewiefte Hacker, Cyberkriminelle und staatlich unterstützte Wirtschafts- und Cyberspionage einfach über zu starke und vielseitige Tools. Beliebt sind neben Spear-Phishing-Attacken z. B. auch sogenannte Keylogger, die alle Tastatureingaben protokollieren. Je höher die Position in der Organisation und je wertvoller das Unternehmen, desto eher gerät man auch ins Fadenkreuz. Allerdings ist jedes System nur so stark wie sein schwächstes Glied. Die möglichen Einfallstore für Cyberkriminelle finden sich daher im gesamten System und bei allen Mitarbeitern. Die Eindringliche müssen sich dann einfach seitwärts im System bewegen und ihre Rechte ausweiten, um die verschiedensten cyberkriminellen Handlungen durchzuführen. Durch die konsequente Verwendung von Multi- oder Zweifaktor-Authentifizierung verhindern Sie jedoch wirkungsvoll die mit Abstand häufigsten Einfallstore!

  • Laut einer Statistik von Microsoft werden von den weltweit rund 30 Mrd. Login-Vorgänge in Microsoft 365/Office 365 pro Tag durchschnittlich 0,5% der Nutzer-Konten kompromittiert. Das sind 1,2 Mio. Accounts.
  • Allerdings nutzen 99,9% der kompromittierten Microsof-365-Benutzerkonten keine Multi-Faktor-Authentifizierung.
  • Im gravierenden Gegensatz zu diesen Zahlen nutzen aber bislang nur 11% der Business-Kunden von Microsoft bereits eine Zwei-Faktor-Authentifizierung in Office 365.
  • Die Multifaktor-Authentifizierung schützt aber nicht nur Microsoft 365 wirkungsvoll, sondern macht auch Passwort-Manager-Apps wesentlich sicherer.
  • Mehr Informationen, was die MFA genau ist und wie einfach Sie diese in Microsoft Office 365 nutzen können, lesen Sie in unserem Büro-Kaizen Beitrag → „Microsoft fordert zur Nutzung der Multi-Faktor-Authentifizierung auf! Die MFA in Office 365 aktivieren und einrichten“.

Büro-Kaizen Video-Tutorial: 🔐 Nie mehr ein Passwort vergessen! (3 Lösungen im Überblick)

(Dauer 15:41 Minuten)

Inhalte des Videos:

  1. Einleitung 00:00 
  2. Problem Nr. 1: Einfache Passwörter 00:32 
  3. Wie oft soll ich meine Passwörter ändern? 03:20 
  4. Problem Nr. 2: Es werden immer wieder dieselben Passwörter benutzt 04:29 
  5. Passwörter aufschreiben (z. B. in OneNote) 06:41 
  6. Passwörter im Browser speichern 09:51 
  7. Passwort-Manager nutzen 11:57 
  8. E-Mail-Konto mit Multi-Faktor-Authentifizierung besonders schützen 14:04 


Büro-Kaizen®: Deutschlands führendes Beratungsunternehmen für Büroeffizienz

Wir haben für Sie Tipps und Informationen zu den folgenden Themen auf unserer Webseite aufbereitet:

Themenseite Büroorganisation
Themenseite Kaizen
Themenseite Kaizen
Themenseite Effizienz
Themenseite Microsoft 365
Themenseite Outlook
Themenseite Onenote
Themenseite Teams
Themenseite Selbstmanagement
Themenseite Ablage
Themenseite Hardware
Persönliche Beratung zu Büro-Effizienz
Schlagwörter: