© Nina Eggemann
Manche Menschen haben Bedenken, ihre Login-Daten einem Passwort-Manager anzuvertrauen. Hier einige häufig gestellte Fragen zum Thema – und unsere Antworten darauf.
Testergebnisse für 16 Passwortmanager 7/2022 freischalten
Alle Fragen im Überblick
- Wie erstelle ich ein starkes Master-Passwort?
- Was, wenn ich mein Master-Passwort vergesse?
- Was, wenn mein Handy geklaut wird oder ich keines meiner Geräte dabei habe?
- Ist es nicht gefährlich, all meine Passwörter an einem Ort zu speichern?
- Was kann ich noch tun, um meine Konten und Passwörter zu schützen?
FAQ: Wir beantworten die häufigsten Fragen
-
Wie erstelle ich ein starkes Master-Passwort?
-
Ihr Master-Passwort ist wie eine Tresortür: Wer es knackt, kann alles dahinter leerräumen – also all Ihre Passwörter stehlen. Es muss daher besonders sicher sein: lang, komplex, möglichst sinnlos und trotzdem leicht zu merken. Wir empfehlen Nonsens-Sätze mit mindestens 20 Zeichen – darunter Buchstaben, Ziffern, Sonderzeichen, Groß- und Kleinschreibung.
Ein Beispiel: „Me1n Manati m@g Mode m*t Musk3ln“.
Je länger Ihr Master-Passwort ist, desto eher können Sie etwa auf Sonderzeichen oder Großschreibung verzichten. „mein manati mag mode mit muskeln“ wäre immer noch relativ stark.
Je kürzer Ihr Master-Passwort ist, desto eher sollten Sie es mit Sonderzeichen, Ziffern und Großschreibung absichern. „M@nat1-M0de“ ist besser als „manati-mode“.Deutsche Sonderzeichen wie Umlaute oder ß stärken tendenziell die Sicherheit, können aber zu Problemen führen, wenn Sie das Master-Passwort mal im Ausland auf einem fremden Gerät eingeben müssen.
Tabu bei der Erstellung des Master-Passworts sind das eigene Geburtsdatum sowie Namen von Familienmitgliedern oder Haustieren.
-
Was, wenn ich mein Master-Passwort vergesse?
-
Ohne Master-Passwort kommen Sie nicht mehr an die Passwörter Ihrer Onlinekonten heran. Schreiben Sie es für den Notfall auf einen Zettel und verwahren Sie diesen an einem sicheren Ort, etwa im Banktresor. Aus Sicherheitsgründen darf auch der Software-Anbieter Ihr Master-Passwort nicht kennen. Manche Dienste ermöglichen Ihnen aber etwa, sich alternativ mit biometrischen Merkmalen einzuloggen oder über selbst erstellte Hinweise doch noch auf Ihr Master-Passwort zu kommen.
-
Was, wenn mein Handy geklaut wird oder ich keines meiner Geräte dabei habe?
-
Falls Sie vom Programm generierte Passwörter verwenden, werden Sie diese im Normalfall gar nicht im Kopf haben, da sie sehr lang und komplex sind. Ohne Ihr Handy oder Ihren PC, auf dem der Passwort-Manager installiert ist, haben Sie dann keinen Zugriff auf Ihre Passwörter. Für solche Fälle bieten viele Programme im Test die Option, sich per Master-Passwort auf der Anbieter-Website in Ihr Konto einzuloggen, um dort die Kennwörter einzusehen.
-
Ist es nicht gefährlich, all meine Passwörter an einem Ort zu speichern?
-
Solange Sie ein starkes Master-Passwort verwenden, ist das Risiko sehr gering, dass ein Angreifer Ihren Manager knackt. Sicherheitslücken lassen sich zwar nie ganz ausschließen – es ist aber deutlich wahrscheinlicher, dass ein Hacker Ihre Accounts kapert, wenn Sie selbstausgedachte Kennwörter nutzen.
-
Was kann ich noch tun, um meine Konten und Passwörter zu schützen?
-
Geräte sichern
Richten Sie auf all Ihren Rechnern und Handys Zugangssperren wie Passwörter, Pin-Codes oder Ihren Fingerabdruck ein, damit Ihre Daten bei einem Gerätediebstahl nicht in Gefahr geraten. Passwörter sind oft eine bessere Wahl als Pin-Codes, am sichersten ist aber die Mehrfaktor-Authentifizierung – richten Sie sie am besten auch gleich für Ihren Passwort-Manager ein.
E-Mail-Konto schützen
Schützen Sie auch Ihre E-Mail-Konten per Zwei-Faktor-Authentifizierung – sonst können Angreifer, die Ihr E-Mail- Passwort knacken, viele Konten kapern. Der Grund: Wenn Sie ein Passwort zurücksetzen, weil Sie es vergessen haben, erhalten Sie eine E-Mail vom jeweiligen Portal. Kann ein Angreifer in Ihr Postfach eindringen, hat er Zugriff auf solche Mails und kann Ihre Passwörter ändern. Das Kennwort für Ihr E-Mail-Konto sollte daher besonders gut gesichert sein.
Ändern ist out
Früher rieten Experten dazu, Passwörter regelmäßig zu ändern. Inzwischen gilt aber der Ratschlag, lieber einmal ein richtig starkes Kennwort zu wählen und dabei zu bleiben, solange es nicht gehackt wird.
Hack-Check
Auf Seiten wie haveibeenpwned.com oder sec.hpi.de/ilc können Sie prüfen, ob Ihre Nutzerkonten von Hacks betroffen sind. Falls ja, sollten Sie alle mit dem jeweiligen E-Mail-Konto verbundenen Passwörter ändern.
Vorsicht vor Phishing
Öffnen Sie keine Links in Mails von Fremden. Kriminelle versuchen, Sie damit auf gefälschte Seiten zu locken, die aussehen wie bekannte Websites. Dort sollen Sie Ihre Login-Daten eingeben – die Täter greifen sie dann ab. Lesen Sie, wie Sie Phishing-Versuche erkennen.
Achtung bei Browsern
Wenn Sie sich auf Websites anmelden, fragt der Browser oft, ob er Ihre Login-Daten speichern soll. Das ist bequem, aber riskant: Haben Fremde, Kollegen oder Mitbewohner Zugriff auf den Computer, können sie die Passwörter mitunter im Klartext einsehen. Schützen Sie die Kennwörter mit einem Master-Passwort oder verzichten Sie ganz darauf, Passwörter im Browser zu speichern.
In Chrome lässt sich die Funktion so deaktivieren: Einstellungen > Automatisches Ausfüllen > Passwörter > Option „Speichern von Passwörtern anbieten“ abschalten. Im selben Menü können Sie auch bereits gespeicherte Passwörter löschen.
Alte Konten löschen
Falls Sie bestimmte Konten nicht mehr nutzen, sollten Sie sie löschen. Je weniger Online-Accounts Sie haben, desto geringer ist die Gefahr, Opfer von Hacks zu werden. Die Website justdelete.me bietet Hinweise für zahlreiche Internetportale, wie sich dortige Accounts rasch entfernen lassen.
Testergebnisse für 16 Passwortmanager 7/2022 freischalten
-
Starker Schutz für lau
- Antiviren-Apps wehren Schadsoftware und Phishing ab. Unser Test von Sicherheits-Apps für Android zeigt: Viele Programme schützen gut. Ganz vorn liegt eine Gratis-App.
-
Kundendaten von LastPass gestohlen
- Kriminelle haben den Passwort-Manager LastPass gehackt. Dabei konnten sie Kundendaten erbeuten. Was Betroffene jetzt tun sollten.
-
Wie Sie den digitalen Ausweis nutzen
- Die Onlineausweisfunktion macht viele Behördengänge von Bafög-Antrag bis Kfz-Zulassung unnötig. Entscheidungen zur Organspende können online hinterlegt werden.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Kommentar vom Administrator gelöscht. Grund: Schleichwerbung
Ich möchte zwei Erfahrungsberichte ergänzen: 1. LastPass. Kostenlos, wenn man ihn nur auf mobilen oder nur auf stationären Geräten einsetzt. An der Sicherheit gibt es nichts auszusetzen. Allerdings ist ein Support quasi nicht vorhanden. Und die Bedienung ist an vielen Stellen wenig intuitiv. 2. Bitwarden. Open Source, was bei Sicherheitsprodukten ein Vorteil sein kann. An der Sicherheit gibt es nichts auszusetzen. Für die meisten Benutzer vollkommen ausreichend in der kostenlosen Variante zu nutzen. In dieser keine Einschränkung bei einer normalen Nutzung. Die Bedienung ist meiner Einschätzung nach deutlich intuitiver als bei LastPass. LastPass wie auch Bitwarden ermöglichen es durch eine entsprechende Exportfunktion und Importfunktion gespeicherte Passwörter leicht umzuziehen. Aufgrund der intuitiven Bedienung und weil Open Source empfehle ich Bitwarden.
Kommentar vom Autor gelöscht.
@Jovog: Bei fremden Geräten haben Sie drei Möglichkeiten, auf Ihre passwortgeschützten Accounts zuzugreifen:
1. Sie Können Ihren Passwortmanager auf dem fremden Gerät installieren. Hierbei reicht es oft schon, lediglich das Browser-Plugin des Passwortmanagers zu installieren. Dort müssen Sie dann Ihr Masterpasswort eingeben.
2. Falls Sie Ihr jeweiliges Account-Passwort wissen, können Sie es direkt auf dem fremden Gerät eingeben. Es ist aber sehr unwahrscheinlich, dass Sie es kennen, da es ja gerade Aufgabe eines Passwortmanagers, möglichst komplexe Passwörter zu erstellen.
3. Sie können auf Ihrem Handy die App Ihres Passwortmanagers öffnen, sich das jeweilige Account-Passwort im Klartext anzeigen lassen und es dann auf dem fremden Gerät eingeben.
Generell würden wir zu einem Online-Passwortmanager raten. Das heißt: Man loggt sich online bei seinem Passwortmanager ein und kann dort auf die Passwörter zugreifen. Das geht inzwischen bei vielen Passwortmanagern. Beim Computer der Ehefrau ist es wahrscheinlich unbedenklich, aber grundsätzlich sollte man immer vorsichtig sein, wenn man sich an einem fremden Computer bei den eigenen Accounts anmeldet.
Kann ich auch von fremden Computern, auf denen der Passwort-Manager nicht installiert ist, auf passwortgeschützte Seiten zugreifen (z.B. vm Rechner meiner Frau auf mein Amazon-Konto)?