Passwörter wie 123456 oder qwertz gehören auch heute noch zu den beliebtesten in Deutschland. Und das, obwohl die Informationen, die wir ins Internet verlagern, problemlos ausreichen, um etwa das Konto leerzuräumen oder Identitätsdiebstahl zu begehen. Versiertere Nutzer setzen daher auf deutlich ausgeklügeltere Passwörter oder aber auf sogenannte Passwortmanager, die die Kennwörter getreu ihrem Namen managen. Doch wie eine Überprüfung von Stiftung Warentest nun gezeigt hat, können auch die Passwortmanager selbst eine Schwachstelle darstellen. Das gilt zumindest für 4 von insgesamt 15 getesteten Programmen.
Stiftung Warentest: 4 Passwortmanager beinahe durchgefallen
Der Passwortmanager-Test umfasste vier unterschiedliche Bereiche, die wiederum bei der Endwertung mit unterschiedlicher Gewichtskraft auf die Urteilswaage drückten. So flossen die Sicherheitsfunktionen mit 30 Prozent in das Gesamturteil ein, während die Handhabung 50 Prozent, die Vielseitigkeit 10 Prozent und der Datenschutz ebenfalls 10 Prozent brachten. Allerdings konnten gravierende Mängel in den unterschiedlichen Bereichen zu einer deutlichen Abwertung führen. Und genau das ist bei 4 der 15 Programme passiert.
Die Tools AceBit Password Depot 16, Enpass Individual Plan, KeePassXC und SafeInCloud Individual Pro wiesen allesamt deutliche Schwächen beim Master-Passwort auf. Also dem Kennwort, das benötigt wird, um den Passwortmanager zu öffnen. Dieses ist verständlicherweise von besonderer Bedeutung, da es sämtliche weitere Passwörter schützt und Hacker, sollten sie dieses in die Finger bekommen, folglich leichtes Spiel hätten. Daher sollte das Master-Passwort besonders gut geschützt sein und nicht aus nur wenigen oder gar einem Zeichen bestehen dürfen. Doch genau das ist bei den oben aufgeführten Tools der Fall. Die Folge: Testwertungen von 4,0 bis 4,2 (ausreichend). Oder es war der Fall, denn zumindest das Tool AceBit Password Depot 16 besserte nach und setzte die Mindestpasswortlänge auf 15 Zeichen.
- Auch interessant: Passwort: Diese Tricks solltest du kennen
Paradox: 3 der Letztplatzierten Manager bieten entscheidenden Vorteil
Interessanterweise führen drei der vier letztplatzierten Passwortmanager einen anderen Bereich an – und zwar den des Datenschutzes. Hier sorgten deutliche Mängel in der Datenschutzerklärung dafür, dass das Urteil automatisch auf 3,5 (befriedigend) gesetzt wurde. Das war bei sämtlichen Tools der Fall, bis auf die Programme von AceBit, KeePassXC und SafeInCloud. Diese erheben über ihre Software keine personenbezogenen Daten und benötigen daher laut DSGVO keine Datenschutzerklärung. Deswegen erhielten die genannten Passwortmanager jeweils das Datenschutz-Urteil 1,5 (sehr gut).
Betrachtet man das Gesamtbild, so haben die beiden Tools 1Password und Dashlane Premium die Nase vorn – mit einer Gesamtwertung von jeweils 2,2 (gut). Dicht dahinter finden sich der Avira Password Manager (Pro) und Keeper Security Keeper Unlimited mit Testwertungen von 2,4 (gut).
Bitwarden fehlt leider in diesem Test. Der wäre dann nämlich ganz sicher auf Platz 1 gelandet. Stattdessen kommen „NoName“ Produkte wie AceBit und SafeInCloud. Und PW Manager die vermutlich für diesen Test was haben springen lassen, landen auf Platz 1, 2 und 3.
Irgendwie bestätigt das meine Eindruck im digitalen Bereich sollte man nicht auf Stiftung Warentest vertrauen – die Anbieter die gewonnen haben sind Close Software -> keiner weiß genau was sie tun
Besser Bitwarden self hosted oder KeePass mit eignem Sync
Wer deutlich weniger Geld ausgeben möchte, findet mit der Open-Source-Software Bitwarden für 9,20 Euro pro Jahr ebenfalls eine gute (2,5) Lösung. Der Safe ist besonders vielseitig (1,0), seine Handhabung (2,0) und Sicherheitsfunktion (2,5) sind gut. Was das Kleingedruckte betrifft, weist der Preis-Leistungs-Champion dieselben Mängel wie die Testsieger auf.
Man sollte sich vielleicht mal die Stellungnahme von AceBit durchlesen, bevor man in die Welt etwas posaunt, das schlicht falsch ist (man achte auf das angegebene Datum des Updates, das AceBit der Stiftung Warentest kurzfristig mitteilte und nachgebessert hat): https://www.password-depot.de/know-how/stiftung-warentest.htm