Schrift:
Ansicht Home:
Netzwelt

Anleitung für Einsteiger

So richten Sie sich einen Passwortmanager ein

Sie nutzen überall ähnliche Passwörter, damit das Merken leichter fällt? Das muss nicht sein. Programme wie KeePass helfen beim Erstellen und Verwalten stärkerer Zugangscodes. Wir stellen drei Dienste vor.

Getty Images

Login-Vorgang (Symbolbild)

Von Eike Kühl
Sonntag, 17.03.2019   10:19 Uhr

Der nächste Passwort-Leak kommt bestimmt - und es könnte auch Sie betreffen. Seit Januar etwa kursieren mehrere Datenpakete mit Millionen gestohlenen Zugangsdaten im Netz. Die geleakten E-Mail-Adressen samt zugehöriger Kennwörter sind zwar teilweise mehrere Jahre alt - doch man kann davon ausgehen, dass viele noch immer funktionieren. Denn viele Menschen ändern ihre Passwörter nie oder benutzen sie gleich auf mehreren Seiten (wovon dringend abzuraten ist).

Ein einfacher Schritt in Richtung mehr Passwortsicherheit ist der Einsatz eines Passwortmanagers. Ein solches Programm verwaltet sämtliche Zugangsdaten in einer gesicherten Datenbank, einem sogenannten Tresor.

Wer einen Passwortmanager benutzt, muss sich seine Passwörter für Dienste, Apps und E-Mail-Konten nicht mehr alle selbst merken - und kann sich so von kurzen oder allzu simplen Passwörtern verabschieden. Ein Passwortmanager speichert auch komplexe Zugangsdaten und hilft auf Wunsch dabei, diese beim Aufruf eines Angebots gleich im Browser einzutragen. Alles, was sich Nutzer merken müssen, ist ein starkes Masterpasswort - der Schlüssel zum Tresor.

Die meisten Sicherheitsexperten sind überzeugt, dass es besser ist, einen Passwortmanager mit einem einzelnen, wirklich starken Passwort zu verwenden, als bei verschiedenen Onlinediensten viele unsichere oder gar identische Kennwörter einzusetzen. Die Datenbanken der Passwortmanager sind mit gängiger Technik verschlüsselt, sodass sie selbst dann, wenn sie Angreifern in die Hände fallen, nur sehr schwer ohne das Masterpasswort geknackt werden können.

Doch welcher Passwortmanager ist der Richtige? Im Folgenden stellen wir die drei beliebten Programme LastPass, KeePass und Dashlane vor. Und in einer Bildstrecke erklären wir jeweils Schritt für Schritt, wie man sie einrichtet.


1) LastPass

Fotostrecke

Der Online-Manager: So funktioniert LastPass

LastPass ist ein cloudbasierter Passwortmanager. Er läuft komplett im Browser, entweder über die Website von LastPass oder in Form einer Browser-Erweiterung. Alternativ lässt sich das Programm als Smartphone-App für Android und iOS nutzen.

LastPass funktioniert mit allen gängigen Browsern und ist in der Grundversion kostenlos. Zusatzfunktionen wie den Notfallzugriff durch Familienmitglieder und erweiterten Support bietet eine Premiumvariante für derzeit ab 2,60 Euro monatlich.

Die Vorteile von LastPass und anderen Online-Managern wie dem ebenfalls beliebten 1Password sind klar: Da die Daten auf den Servern der Unternehmen gespeichert sind, sind sie jederzeit verfügbar. Wer LastPass zuerst auf dem PC und später auf dem Laptop einrichtet, hat sofort Zugriff auf alle seine Kennwörter, denn sie sind ja in der Cloud gespeichert. Auch auf Reisen sind die Passwörter somit immer verfügbar - sofern Internet vorhanden ist. Sonst bleibt nur die Option, sich offline anzumelden. So lässt sich der Manager auch nutzen, wenn die LastPass-Server Probleme haben.

Das Onlinespeichern der Daten hat für Kunden ohnehin nicht nur Vorteile. 2015 gab es einen Hackerangriff auf LastPass, bei dem Kundendaten gestohlen wurden, wenn auch keine konkreten Passwörter. Die werden nämlich lokal, also auf dem jeweiligen Gerät verschlüsselt.

Der Schlüssel und das Masterpasswort werden nie an LastPass verschickt, der Dienst bekommt immer nur einen sogenannten Authentifizierungshash. Selbst wenn die verschlüsselten Datenbanken von den LastPass-Servern gestohlen werden, ist es schwer bis unmöglich, diese zu öffnen. Trotzdem sollte man sich darüber klar sein, dass bei cloudbasierten Managern immer alle eigenen Passwörter - in verschlüsselter Form - auf externe Server übertragen werden.

Zudem ist LastPass nicht Open Source: Es nutzt zwar die gängige Verschlüsselungstechnik AES-256, weite Teile der Software sind aber proprietär, das heißt, sie können nicht einfach von jedem Sicherheitsforscher auf Schwachstellen durchleuchtet werden.

Sicherheitstest für bessere Passwörter

Für manche Nutzer könnte die automatische Formularerkennung von LastPass hilfreich sein. Ist die Browser-Erweiterung zum Programm installiert, erscheint jedes Mal beim Einloggen auf einer Website die Option, Nutzername und Passwort automatisch eintragen zu können. Beim jeweils ersten Login auf einer neuen Seite fragt LastPass zudem, ob die Daten in den Tresor aufgenommen werden sollen.

Nutzer können Kennwörter aber auch manuell direkt im Tresor hinterlegen. Zur besseren Übersicht lassen sich Zugangsdaten in verschiedene Kategorien einordnen. Ebenso können Nutzer einstellen, ob LastPass sie überall automatisch einloggen soll oder ob das Programm einzelne Websites komplett ignorieren soll.

Auf schwache und mehrfach verwendete Zugangsdaten macht LastPass mit einem Sicherheitstest aufmerksam: Der Dienst analysiert auf Wunsch alle Passwörter auf ihre Stärke hin. Wer sich daraufhin entscheidet, schwache Zugänge bei einzelnen Diensten zu ändern, bekommt direkt im Eingabefeld die Option, den Passwortgenerator von LastPass zu nutzen. Dieser kann unkompliziert einen zufälligen und sichereren Login erstellen.

LastPass speichert nicht nur Passwörter. Im Browser-Tresor können die Anwender alternativ auch sichere Notizen ablegen, etwa die Handy-PIN oder auch Ausweis- und Kreditkartendaten. Ein Formularassistent hilft beim Onlineshopping dabei, Formulare nicht nur mit dem Passwort, sondern auch automatisch mit der Anschrift oder Zahlungsdaten auszufüllen - wenn LastPass die jeweiligen Felder erkennt, was gerade bei deutschen Shops nicht immer der Fall ist.

Fazit : LastPass ist ideal für Einsteiger. Die Software läuft auf vielen Plattformen und ist in der Grundversion kostenlos. Zudem werden die Daten über mehrere Geräte hinweg synchronisiert und das automatische Ausfüllen von Login-Formularen funktioniert auch per Smartphone-App gut. Bedenken sollte man jedoch, dass bei LastPass und anderen cloudbasierten Managern alle gespeicherten Passwörter (immerhin in verschlüsselter Form) auf die Server des Unternehmens übertragen werden.


2) KeePass

Fotostrecke

Offline ist (vielleicht) besser: So funktioniert KeePass

KeePass ist vom Konzept her das Gegenteil von LastPass: Der Passwortmanager speichert alle Passwörter ausschließlich lokal auf einem Gerät - in einer mit AES-256 verschlüsselten Datenbank. Ins Internet wird nichts übertragen. KeePass ist kostenlos und für Windows. Apple- und Linux-Nutzer können es nur über einen Umweg in Form der Software Mono nutzen oder, indem sie auf eine kompatible Software wie Macpass oder gleich das für mehrere Betriebssysteme verfügbare KeePassXC zurückgreifen. Eine deutsche Version ist über eine Sprachdatei verfügbar, die in den Installationsordner kopiert werden muss.

Von KeePass existieren verschiedene Versionen, weil der Passwortmanager Open Source ist. Das bedeutet: Jeder kann den Quellcode nutzen und eigene Erweiterungen oder alternative Versionen für andere Betriebssysteme programmieren. Zudem können Experten den Code jederzeit auf Schwachstellen hin untersuchen.

Aufgrund seiner zahlreichen Erweiterungsmöglichkeiten durch Plugins ist KeePass unter technikaffinen Nutzern beliebt. Der Manager bietet zudem mehr Einstellungsmöglichkeiten als LastPass oder Dashlane - die Bedienung ist aber ein wenig komplexer.

Da hinter KeePass keine Firma steckt, benötigt man auch keine Registrierung. Der Manager wird wahlweise als Programm installiert oder einfach aus einer ZIP-Datei heraus entpackt, schon kann es losgehen. Beim ersten Start wird eine Datenbank angelegt und mit dem Masterpasswort sowie wahlweise einer zusätzlichen Schlüsseldatei geschützt. Weil die Software sehr klein ist, können die Nutzer sie auch auf Reisen von einem USB-Stick aus starten.

Das bringt aber natürlich nur etwas, wenn sie auch die eigene Kennwortdatenbank mit im Gepäck haben. Hier zeigen sich sowohl die Vor- als auch die Nachteile von Offlinemanagern. Einerseits verlässt der Passwort-Tresor nicht den eigenen Rechner, die Kennwörter landen also nicht in der Cloud. Andererseits ist KeePass nur so sicher wie der eigene PC: Ist dieser durch Trojaner oder Keylogger infiziert, können Angreifer theoretisch sowohl die Datenbank als auch das Masterpasswort abgreifen.

Viele Anpassungsmöglichkeiten durch Plugins

Nutzer von KeePass müssen außerdem stets darauf achten, ein Backup ihrer Datenbank zu haben. Sollten sie diese versehentlich löschen oder crasht die Festplatte, wären alle Passwörter für immer weg - ein Desaster. Seine Datenbank sollte man daher regelmäßig auf einem USB-Stick oder einem zweiten PC sichern.

Solche Datenbank-Kopien braucht es aber ohnehin, wenn man mehrere Geräte nutzt. Wer ein Passwort auf dem PC hinzufügt, muss das auf dem Laptop ebenfalls tun, oder aber er kopiert eben die Datenbank.

Eine automatische Synchronisierung wie bei LastPass gibt es nicht. Es existiert allerdings die Funktion, die Datenbank auf einen externen Server, etwa den eigenen Webspace, zu übertragen. Mithilfe der erwähnten Plugins lässt sich die KeePass-Datenbank auch über Speicherdienste wie Google Drive oder DropBox synchronisieren (was dann aber natürlich den Vorteil der lokalen Speicherung zunichtemacht, denn Dateien in Cloud-Speichern sind ein weiteres Ziel für Hacker).

Für das automatische Ausfüllen von Logins auf Websites gibt es lediglich eine Auto-Type-Funktion. Dafür muss der Browser mit der entsprechenden Login-Seite im Hintergrund geöffnet sein. Besseren Browser-Support bekommen Nutzer nur über Plugins wie KeeForm oder PassIFox. Die wiederum müssen eigens eingerichtet werden und funktionieren bei weitem nicht so gut wie bei LastPass oder Dashlane.

Besser funktioniert das in KeePassXC. Diese KeePass-Version enthält bereits eine Browserunterstützung. Ansonsten bietet sie den gleichen Passwortgenerator wie KeePass und kann Zugangsdaten in verschiedene Gruppen einteilen und mit zusätzlichen Notizen versehen. Für Smartphones gibt es Apps wie KeePass2Andrpoid und MiniKeePass, die KeePass-Datenbanken öffnen können.

Fazit : Lokal, quelloffen, erweiterbar: KeePass ist der Passwortmanager für alle, die cloudbasierten Unternehmen nicht vertrauen und lieber alles selbst machen wollen. Die bessere Kontrolle erfordert aber auch mehr Verantwortung: Die Nutzer müssen selbst dafür sorgen, dass ihr Passwortspeicher nicht verloren geht. Ein guter Kompromiss ist KeePassXC. Es basiert auf KeePass, läuft aber auch unter macOS und enthält eine passable Browserunterstützung.


3) Dashlane

Fotostrecke

Das Premium-Komplettpaket: So funktioniert Dashlane

Ein dritter empfehlenswerter Passwortmanager ist Dashlane. Die Software der US-Firma schneidet in Tests gewöhnlich sehr gut ab. Zwar gibt es eine Gratisvariante, doch die ist auf maximal 50 Passwörter und bloß ein einzelnes Gerät beschränkt. Wer unbegrenzt Passwörter speichern möchte, diese über mehrere Geräte hinweg synchronisieren und dazu alle Zusatzfunktionen nutzen will, muss derzeit 3,33 Euro monatlich für einen Premium-Account bezahlen.

Wie KeePass kann Dashlane als eigenständige Desktop-Software installiert werden, unter Windows, MacOS, Android und iOS. Wer auf Reisen ist oder Linux oder ein Chromebook nutzt, kann allerdings, wie bei LastPass, auch ausschließlich die Browser-Erweiterung nutzen.

Nach der Installation führt Dashlane seine Nutzer durch alle Funktionen. Zunächst wird überprüft, ob in den Browsern bereits Passwörter hinterlegt sind. Falls ja, können diese direkt in den Dashlane-Tresor importiert werden. Auch der Import von Daten aus anderen Managern wie LastPass, KeePass oder 1Password ist möglich, entsprechende Anleitungen gibt es auf der Website. Das erleichtert den Einstieg.

Passwörter müssen nicht online synchronisiert werden

Wer nicht ausschließlich die Browser-Erweiterung nutzt, wird immer dann, wenn er ein Passwort ändern oder neu anlegen möchte, auf die Desktop-Anwendung weitergeleitet. Auch in Dashlane können die Nutzer ihre Anschrift und Kreditkarten für schnelleres Onlineshopping ablegen. Die Erkennung von Anmeldedaten und Formularen funktioniert in der Regel sehr zuverlässig.

Anders als bei LastPass synchronisiert Dashlane die gespeicherten Daten nicht automatisch mit den Servern des Unternehmens. Sie bleiben zunächst lokal auf dem Gerät, auf dem die Dashlane-App installiert ist. Loggt man sich aus der Software aus, funktioniert auch das Browser-Addon nicht mehr.

Eine Synchronisation der Daten ist bei Dashlane mit einem Premium-Account trotzdem möglich. Zu ihr kommt es, sobald Nutzer ein zweites Gerät einrichten. Wer dann auf seinem Smartphone ein Passwort ändert, bekommt die Änderung auch auf dem Laptop angezeigt. Die Synchronisation kann nachträglich ausgestellt werden, die auf den Servern gespeicherten Daten werden dann gelöscht.

Notfallkontakte und VPN: Die Zusatzfunktionen von Dashlane

Zusätzlich zu Login-Daten können die Anwender wie bei LastPass noch sichere Notizen, Kreditkartendaten oder Ausweispapiere eingeben. Vor deren Ablauf meldet sich Dashlane mit einem Hinweis. Nutzer können außerdem einen Notfallkontakt benennen, der nach einem bestimmten Zeitraum Zugriff auf gespeicherte Passwörter und Notizen erhält - auf welche genau und nach welchem Zeitraum, lässt sich einstellen.

Praktisch ist das sogenannte Identitäts-Dashboard: Die User bekommen dort auf einen Blick aufgelistet, welche ihrer Passwörter schwach sind, welche doppelt verwendet werden und welche gefährdet sind. Dashlane bietet zudem eine "Dark-Web-Überwachung" an, für die bis zu fünf E-Mail-Adressen eingetragen werden können. Sollte wieder ein großer Passwort-Leak auftreten und die Adressen betroffen sein, spielt das Programm eine Warnung aus. Wie gut das funktioniert, haben wir nicht getestet, ebenso wenig wie den VPN-Dienst, den Kunden eines Premium-Abonnements dazubekommen.

Fazit : Dashlane ist ein Passwortmanager für alle, die gern Desktop-Software nutzen und die sich nicht lang mit der Einrichtung beschäftigen wollen. Das Programm ist leicht zu bedienen, die Formularerkennung über die Browser-Erweiterung funktioniert ausgezeichnet. Eine Synchronisation über mehrere Geräte ist möglich, aber optional. Ein Nachteil ist der etwas höhere Preis für ein Premiumkonto.

insgesamt 24 Beiträge
krautrockfreak 17.03.2019
1. Mein Passwortmanager ist mein Gehirn! Und das reicht bisher, trotz
mindestens 30 Accounts bei allen möglichen Institutionen, mit den beruflichen kommen nochmal mehr dazu. Und das geht, wenn man etwas Grips hat und die Passworte geschickt wählt. Und sie sind alle lang und komplex und ich habe [...]
mindestens 30 Accounts bei allen möglichen Institutionen, mit den beruflichen kommen nochmal mehr dazu. Und das geht, wenn man etwas Grips hat und die Passworte geschickt wählt. Und sie sind alle lang und komplex und ich habe sie mit trotzdem verschlüsselt aufgeschrieben - sicher ist sicher. Wenn ich dann aber sehe, wie manche sich nicht mal eine vierstellige Pin merken können, dann ist klar, dass da Bedarf besteht an Softwareunterstützung...
foerster.chriss 17.03.2019
2. Keychain
Funktioniert wie LastPass und läuft kostenlos auf allen MacOS und iOS-Geräten sowie auf Safari.
Funktioniert wie LastPass und läuft kostenlos auf allen MacOS und iOS-Geräten sowie auf Safari.
dasisteintest 17.03.2019
3. iCloud?
Interessanter Artikel, danke an die Redaktion. Mich würde zu dem Thema noch interessieren, wie Apples iCloud "Schlüsselbund" sich im vergleich zu dezidierten Passwortmanagern macht. Vielleicht ist das noch mal einen [...]
Interessanter Artikel, danke an die Redaktion. Mich würde zu dem Thema noch interessieren, wie Apples iCloud "Schlüsselbund" sich im vergleich zu dezidierten Passwortmanagern macht. Vielleicht ist das noch mal einen Artikel wert.
Bows3r 17.03.2019
4. @1 der Horizont fängt nicht
kurz hinter der Autobahnabfahrt an. Bitte mal halblang... "Wenn ich dann aber sehe, wie manche sich nicht mal eine vierstellige Pin merken können..." Es kann ja nicht jeder so ein Genie sein wie Sie und sich sagenhafte 30 [...]
kurz hinter der Autobahnabfahrt an. Bitte mal halblang... "Wenn ich dann aber sehe, wie manche sich nicht mal eine vierstellige Pin merken können..." Es kann ja nicht jeder so ein Genie sein wie Sie und sich sagenhafte 30 Passwörter merken können. Es gibt ja auch ältere Mitbürger, da klappt es nicht mehr so mit dem merken. Nur so als Hinweis: Eine vierstellige Kombination bietet absolut keine Sicherheit. Das BSI empfiehlt 12-20 Groß und Kleinbuchstaben. Inkl. Sonderzeichen. Da wird es auch mit Ihrem bemerkenswerten "Brain" schon richtig schwer. Bei 30 Passwörtern scheint Ihre Welt aber sehr klein zu sein. Ich habe gerade mal meinen Passwortmanager befragt. Der sagte mir, dass ich 138 Passwörter auswendig lernen muss. Inkl. Sonderzeichen...
mathematiker- 17.03.2019
5. Bedenkenträger
für einen versierten Internet User mag ein PM vom Vorteil sein. Bei einem "einfachen" User, und davon sind ca. 80 % im Internet, sehe ich die Gefahr, dass bei einem falschen Handling mehr Risiken entstehen als durch [...]
für einen versierten Internet User mag ein PM vom Vorteil sein. Bei einem "einfachen" User, und davon sind ca. 80 % im Internet, sehe ich die Gefahr, dass bei einem falschen Handling mehr Risiken entstehen als durch "einfache" Passwörter. Und warum soll ich einem Unbekannten alle meine persönlichen Daten anvertrauen, wohlwissend dass keine Software fehlerfrei ist ?

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP