Passwort Safe, RoboForm, KeePass, 1Password, LastPass

Die besten Passwort-Manager

20.12.2016 von Thomas Bär, Frank-Michael Schlede, Florian Maier und Fahmida Y. Rashid
Web-Seiten, Cloud-Anwendungen und soziale Netze verlangen die Eingabe eines Passworts. Gut, wenn man dann auf leistungsfähige Passwort-Manager zurückgreifen kann.

Die Nutzerdatenbanken großer Online-Händler und/oder Cloud-Dienste werden immer wieder angegriffen und erfolgreich ausgelesen. Die Liste der betroffenen Firmen ist lang und auf ihr sind durchaus prominente Namen zu finden. So gelangen die Passwörter von Millionen von Anwendern in die Hände der Angreifer. So berichtete der Spiegel im Mai 2016, dass ein bereits im Jahr 2012 beim Business-Netzwerk LinkedIn gefundenes Datenleck weitaus gravierender war, als es das Unternehmen zunächst zugeben mochte: Sprach LinkedIn vor vier Jahren von "nur" 6,5 Millionen betroffenen Passwörtern, so musste der Anbieter diese Zahl aktuell auf "mehr als 100 Millionen Kunden" revidieren, die von diesem Angriff betroffen waren und vielleicht noch sind.

Passwort-Manager können das Leben erleichtern und die Sicherheit erhöhen. Wir zeigen Ihnen die Besten.
Foto: Petr Bonek - shutterstock.com

Besonders prekär sind derart kompromittierte Passwörter für die Anwender dann, wenn sie mehrfach bei den unterschiedlichsten Online-Aktivitäten zum Einsatz kommen. Hier liegt eines der großen Probleme: Aus Bequemlichkeit oder Unwissenheit verwenden immer noch viel zu viele Nutzer die gleichen (zumeist einfachen Passwörter) bei den verschiedensten Gelegenheiten. Erschwerend kommt hinzu, dass unsichere Passwörter in Deutschland auch im Jahr 2016 die beliebtesten sind, wie das Hasso-Plattner-Institut im Rahmen einer Studie zur Mehrfachnutzung von Passwörtern herausgefunden hat. Hier die aktuelle deutsche Passwort-Top-Ten:

Wo wir gerade bei Mehrfachnutzung sind: Wie der Sicherheitsanbieter Dashlane in einer Untersuchung anlässlich des World Password Day 2017 herausgefunden hat, besitzt der durchschnittliche deutsche Internetuser satte 78 Online-Accounts, für die ein Passwort benötigt wird. Dabei befinden sich die Deutschen noch im unteren Mittelfeld: Ein US-Amerikaner bringt es im Schnitt etwa auf 150 Online-Konten, ein Franzose auf 127 und ein Brite auf 113. Dashlane geht davon aus, dass sich die Zahl der Passwort-geschützten Accounts bis zum Jahr 2022 noch einmal verdoppeln wird. Verizon geht davon aus, dass aktuell (August 2017) die größte Gefahr für die IT-Sicherheit von kompromittierten Zugangsdaten ausgeht: Im Data Breach Investigation Report 2017 ist nachzulesen, dass 81 Prozent aller Datenschutzverletzungen auf Passwörter zurückzuführen sind.

Wir stellen in diesem Bericht einige Softwarelösungen vor, die den Umgang mit vielen unterschiedlichen Passwörtern sowie das Erstellen sicherer Passwörter erleichtern können. Es existiert gerade für diese Art von Anwendungen ein schier unüberschaubares Angebot, so dass wir hier eine exemplarische Sammlung von Passwort-Managern ohne Anspruch auf Vollständigkeit präsentieren.

Passwort-Manager: Das sollten Sie wissen

Zunächst wollen wir Ihnen jedoch noch einige Grundlagen-Tipps an die Hand geben. Damit Sie auch wissen, ob und weshalb Sie überhaupt einen Passwort-Manager brauchen und wie Sie das Maximum aus den verfügbaren Tool-Optionen holen.

Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.

Im Juli 2016 wurden die Nutzer von Passwort-Managern durch die Aufdeckung einiger softwareseitiger Sicherheitslücken aufgeschreckt. Google-Sicherheitsexperte Tavis Ormandy hatte via Twitter über Schwachstellen bei LastPass und 1Password berichtet. Auch der Passwort-Manager Dashlane sei mit "offensichtlichen Sicherheitslücken" behaftet, so der Experte. Dashlane äußerte allerdings gegenüber der COMPUTERWOCHE, dass diese Anschuldigungen umgehend vom Unternehmen widerlegt worden seien. Benutzerdaten seien nie betroffen gewesen.

In diesem Zusammenhang kam die Diskussion auf, ob es überhaupt sinnvoll sei, weiterhin auf Passwort-Manager zu setzen. Schließlich bestehe die Gefahr, dass sämtliche Passwörter über Sicherheitslücken abgegriffen werden können. Wir haben zum Thema mit Jessy Irwin, Ex-Mitarbeiterin bei 1Password und selbsternannte "Security-Kaiserin", gesprochen. Und die Expertin nimmt dabei kein Blatt vor den Mund: Es sei unverantwortlich, eine ganze Security-Software-Sparte aufgrund von Bugs für nicht nutzbar zu erklären: "Ich habe da ein paar Neuigkeiten: Der Himmel ist blau, Wasser ist nass und Software hat Bugs. Jede Software braucht Patches - Security-Tools machen da keine Ausnahme."

Hilfe für Passwörter
Eine beruhigende Meldung bereits zu Anfang:
Das gewählte Passwort ist sehr sicher (kann aber noch verbessert werden).
Eine gute Hilfestellung
Wie viele Programme aus diesem Umfeld, bietet auch der "Passwort Safe" die Möglichkeit, mittels eines Generators entsprechend sichere Passwörter zu erzeugen.
Erster Zugriff auf eine entsprechende Internet-Adresse
Im "Passwort Safe" kann dann direkt ein neuer Datensatz mit den benötigten Informationen erstellt werden.
Diese Warnung kann nur als übertrieben bezeichnet werden
RoboForm droht schon mit Systeminstabilität, wenn nur die Anwendung nicht im Standardverzeichnis installiert wird.
Nur mit Online-Konto
Sollen die Daten bei RoboForm über Plattformgrenzen hinweg zur Verfügung stehen, so muss dazu ein Online-Konto eingerichtet werden.
Durch ein Online-Konto stehen die Anmeldedaten dann via RoboForm auch auf anderen Plattformen bereit
Hier im Firefox unter Mac OS X oder …
… durch den Einsatz...
... der entsprechenden App wie hier auch auf dem Smartphone unter dem Android-Betriebssystem.
Die Sprachdatei muss separat heruntergeladen werden
Nach diesem Schritt steht die Freeware "KeePass" dann auch in deutscher Sprache bereit.
Open-Source-Tool mit Passwort-Generator
Mit Hilfe des integrierten Generators können Anwender auch mit dieser Software sehr komplexe und sicherer Passwörter erstellen.
Der Master-Schlüssel wird noch sicherer
Bei KeyPass kann dieses extrem wichtige Passwort so konfiguriert werden, dass es sich aus mehreren Schlüsselquellen zusammensetzt, was die Sicherheit deutlich erhöht.
1Password
Übersichtlich mit vielen unterschiedlichen Einsatzmöglichkeiten: Die Lösung 1Password ist leicht zu bedienen und steht nun in der aktuellen Version 4 auch mit deutscher Oberfläche bereit.
Online-Hilfe wartet noch auf Lokalisierung
Während die Anwendung in der Version 4 schon "Deutsch spricht", müssen die Nutzer bei der Online-Hilfe noch mit englischen Texten vorliebnehmen .
Schon bei der Installation zeigt sich, dass sich bei der Lösung "LastPass" fast alles um den Einsatz innerhalb des Browsers dreht.
Deshalb sollen auch die entsprechenden Plug-Ins installiert werden.
Der Anbieter versichert, dass die Daten lokal auf dem PC verschlüsselt werden.
Trotzdem bleibt das Sicherheitsrisiko, dass diese Daten dann auch amerikanischen Systemen in den USA abgelegt werden.
Bei der aktuellen Version von "LastPass" ist die Spracheinstellung nun unabhängig vom Browser
So können nun auch deutsche Anwender die Lösung in deutscher Sprache nutzen, wenn sie einen englischsprachigen Browser einsetzten. Nur die Skalierung des Fensters für die Einstellung klappt noch nicht richtig.
Die Wiederherstellung von Passwörter bedeutet in der Regel ein "Cracken" der Windows-Datenbank mit den Anmeldeinformationen
Das Sicherheitsprogramm und Windows reagieren deshalb in entsprechender Weise auf die Installation eines derartigen Programms (hier orphcrack).
Professionelle Wiederherstellungsprogramme wie dieses von Stellar Phoenix arbeiten in der Regel mit Hilfe einer Boot-Disk
Mit deren Hilfe können dann beispielsweise die entsprechenden Administrator-Passwörter gelöscht werden.

Bei LastPass hat man inzwischen reagiert, die bekannt gewordene Software-Lücke gestopft und eine Stellungnahme per Blogpost abgegeben. Andere Hersteller werkeln noch an ihren Patches.

Passwort Safe 7 - von Privat bis Enterprise

Bei unseren Recherchen zum Thema Passwörter mussten wir feststellen, dass es gerade unter dem Begriff "Passwort Safe" eine ganze Reihe unterschiedlicher Lösungen gibt. Wir haben uns zunächst mal die Software "Password Safe" angeschaut, die von der deutschen Firma Mateso GmbH angeboten wird. Sie steht in einer ganzen Reihe unterschiedlicher Editionen zur Verfügung, die von einer Basis-Version für bis zu fünf User bis hin zum Einsatz in großen Firmennetzwerken reichen.

Das Einrichten der Datenbank bei Passwort Safe 7.

Welche Vorteile bietet der Einsatz von Passwort Safe?

Einschränkungen beim Einsatz von Passwort Safe

Fazit: Man merkt dem Programm "Password Safe" sofort an, dass es grundsätzlich für den professionellen Anwender geschaffen wurde. Dieser findet hier in den unterschiedlichen Versionen alle Möglichkeiten, die er für die Passwort-Verwaltung im Unternehmen benötigt. Private Anwender, die mit den Einschränkungen der freien Lösung leben können, bekommen ebenfalls eine ausgereifte Software, die einige Möglichkeiten bietet. Besonders gut hat uns dabei gefallen, dass auch bei dieser Version schon ein mächtiger Passwort-Generator zur Verfügung steht.

RoboForm - alles ganz automatisch erledigen

Eine etwas andere Art und Weise der Verwaltung von Passwörtern, Anmeldungen und ähnlichen Daten kommt bei der Software RoboForm zum Einsatz - hier ist es auch über Plattformen hinweg möglich, sich automatisch anzumelden und weitere Daten zu verwalten.

Welche Vorteile bietet RoboForm dem Anwender?

Was hat uns an RoboForm nicht so gut gefallen?

In Verbindung mit einem Online-Konto kann Roboform noch mehr.

Fazit: RoboForm ist eine beeindruckende Lösung, mit deren Hilfe sowohl das Anmelden an Web-Seiten oder Online-Accounts als auch das Ausfüllen von Formularen schnell von der Hand geht. Grundsätzlich ist auch die Idee von "RoboForm Everywhere" gut, zumal Anwender problemlos mit einer Lizenz sowohl von mobilen Geräten als auch von Windows- oder Mac OS X-Geräten Zugriff auf alle Daten haben - uns stört nur die Abspeicherung auf US-amerikanischen Servern. Im Zweifelsfall bleibt dann nur der Einsatz der sogenannten Desktop-Lizenz, die alle Daten verschlüsselt auf dem eigenen System ablegt, aber leider keine Plattform-übergreifende Unterstützung anbietet.

Open-Source Safe: KeePass

Natürlich bietet auch die Free- und Shareware-Szene eine reichliche Auswahl an Programmen, die sich der Passwort-Problematik widmen. Wir haben uns mit KeePass ein Open-Source-Programm herausgesucht, das einen großen Funktionsumfang zu bieten hat. Wir haben die sogenannte Professional Version 2.33 (ebenfalls Freeware, inzwischen steht bereits Version 2.38 zum Download bereit) getestet.

Quelloffenes Passwort-Management mit KeePass.

Was kann die Software KeePass leisten?

Welche Einschränkungen gibt es beim Einsatz von KeePass?

Fazit: Wer für den Einsatz auf dem eigenem Rechner oder auch in kleinen Unternehmen eine rundherum gut gelungene Lösung sucht, in der er seine Passwörter sicher und zuverlässig abspeichern kann, der wird bei KeePass sicher fündig. Einfache Bedienung, die auch "Drag & Drop" sowie Arbeiten über das Windows-Clipboard beinhaltet, sowie ein Passwort-Generator und eine sehr sichere Verschlüsselung runden dieses Freeware-Produkt ab, das deshalb auch unsere unbedingte Empfehlung bekommt.

1Password - Passwort- und Identity-Manager

Nutzer verwenden ihre (hoffentlich unterschiedlichen) Passwörter sicher am häufigsten dazu, sich auf verschiedenen Web-Portalen anzumelden. Aber es gibt noch andere Online-IDs, die von den Anwendern möglichst sicher aufbewahrt werden müssen - und wer hat nicht schon bei der Neuinstallation eines Systems ganz verzweifelt nach den Lizenzschlüsseln für die diversen Anwendungsprogramme gesucht? Die Anwendung 1Password der amerikanischen Softwarefirma AgileBits kann das und noch viel mehr bieten.

Übersichtlich mit vielen unterschiedlichen Einsatzmöglichkeiten: Die Lösung 1Password ist leicht zu bedienen und steht in der aktuellen Version nun auch mit deutscher Oberfläche bereit.

Was 1Password leisten kann:

Was uns nicht so gefallen hat:

Fazit: Das Programm ist an sich gelungen und arbeitet schnell und zufriedenstellend. Wer sich an der englischen Sprache nicht stört, findet hier eine gute Lösung, die zudem auf einer ganzen Reihe von Plattformen daheim ist.

Wirklich das "letzte Passwort"? - LastPass

Ganz wie die bereits vorgestellte Lösung RoboForm bietet auch LastPass die Möglichkeit, sich mit ihrer Hilfe nur durch Eingabe eines einzigen Master-Passwortes mit allen Web-Seiten sicher zu verbinden.

Vorteile beim Einsatz von LastPass:

Nachteile beim Einsatz von LastPass:

Die Lösung "LastPass"" fokussiert auf den Einsatz im Browser.

Fazit: "Das letzte Passwort, das Sie brauchen" - wie es der Anbieter vollmundig verkündet - wird LastPass sicher nicht sein - dazu braucht man in der Regel im IT-Alltag noch eine ganze Reihe anderer Passwörter, als nur die für diverse Web-Seiten. Für diese Zwecke funktioniert LastPass aber durchaus gut, allerdings benötigen Anwender, die diese Lösung auf einem mobilen System nutzen wollen, dazu die kostenpflichtige Premiumversion von LastPass. Bei vielen Nutzern dürfte allerdings Unbehagen herrschen, wenn es um das Ablegen sensibler Passwort-Daten bei einem amerikanischen Anbieter geht. Wie das LastPass-Mutterunternehmen LogeMeIn gegenüber der COMPUTERWOCHE versicherte, sollen hierbei jedoch Rechenzentren mit "Geo-Affinität" zum Einsatz kommen, die es ermöglichten, vertrauliche Kundendaten zu isolieren und innerhalb der EU abzuspeichern. Darüber hinaus befänden sich die Rechenzentren für europäische Kunden in Großbritannien und Deutschland.

Und was ist mit der Passwort-Wiederherstellung?

Wir trafen in Rahmen der Recherche für diesen Bericht natürlich auch auf Werkzeuge, deren Zweck die Wiederherstellung von Passwörtern im Allgemeinen und solcher für Windows-Systeme im Besonderen ist. In diesem Zusammenhang muss jedem Anwender ganz klar sein, dass es sich bei vielen dieser "Hilfsprogramme" schlicht und einfach um Cracking-Tools handelt, die mit Hilfe von bestimmten Techniken wie Regenbogen-Tabellen einen Angriff auf die verschlüsselte Datenbank der Windows-Passwörter durchführen - und dabei aufgrund der Rechenleistung der heutigen PC-Systeme auch durchaus erfolgreich sind.

Ein gutes Beispiel für diese Programme ist die Freeware ophcrack, die dann bei der Installation auch zu Recht von der Sicherheitssoftware als mögliche Bedrohung identifiziert wird (siehe Screenshot in unserer Bilderstrecke). Auch einige professionelle Anbieter wie Stellar Phoenix bieten auf ihren Seiten entsprechende Tools an, die mit Hilfe einer eigens erstellten Boot-CD sogar dazu in der Lage sein sollen, die Administrator-Passwörter der Windows-Systeme zurückzusetzen.

Die Wiederherstellung von Passwörter bedeutet in der Regel ein "Cracken" der Windows-Datenbank mit den Anmeldeinformationen.

Wir haben uns entschlossen, den Schwerpunkt dieses Artikels auf die Bereiche der Erstellung und -Verwaltung sicherer Passwörter zu beschränken - Werkzeuge zum Knacken von Passwörtern gehören definitiv nicht in die Hand eines Anwenders und sollten auch von Administratoren nur im äußersten Notfall eingesetzt werden.

Die 30 häufigsten Passwörter in den USA -
Platz 1 bis 3
1. password
2. 123456
3. 12345678
Platz 4 bis 6
4. 1234
5. qwerty
6. 12345
Platz 7 bis 9
7. dragon
8. pussy
9. baseball
Platz 10 bis 12
10. football
11. letmein
12. monkey
Platz 13 bis 15
13. 696969
14. abc123
15. mustang
Platz 16 bis 18
16. michael
17. shadow
18. master
Platz 19 bis 21
19. jennifer
20. 111111
21. 2000
Platz 22 bis 24
22. jordan
23. superman
24. harley
Platz 25 bis 27
25. 1234567
26. fuckme
27. hunter
Platz 28 bis 30
28. fuckyou
29. trustno1
30. ranger