Schlüsselmeister

Passwort-Manager im Vergleichstest: Keepass vs. Kaspersky, Steganos & Co.

An Ihre Passwörter sollten Sie nur die besten Tools lassen. Lesen Sie, wer im Vergleichstest der Passwort-Manager die Nase vorn hat.

Schlüssel

© Room 76 / shutterstock.com

Schlüssel lassen Sie nicht einfach rumliegen: Dasselbe sollte für Passwörter gelten.

Meistens ist es lediglich ein Passwort, das Ihre wertvollen Daten vor Kriminellen und Hobby-Hackern schützt. Deshalb sollten Sie Ihre Passwörtern wirklich sicher machen - so wie die Zeichenfolge qF5E#TF#20.9LU$L. Das kann doch kein Mensch tippen oder sich merken, kommt der Einwand. Falsch! Denn genau dafür gibt es die Passwort-Manager in unserem Vergleichstest. Sie nehmen Ihnen die ganze Mühe der Passwortverwaltung ab. Sie erzeugen harte Passwörter, speichern sie und fügen sie sogar automatisch in Websites und Eingabemasken ein. Einige der Testkandidaten eignen sich auch als Datenspeicher für Notizen, Web-Favoriten, Bankdaten und sogar Kontakte (Roboform). So sind Passwort-Manager nicht nur eine lästige Security-Pflichtübung wie Antiviren-Scanner, sondern nützliche Tools.

Kaspersky Password Manager

Der Passwort-Manager aus dem Hause Kaspersky beeindruckt zunächst durch seine Importfunktionen. Er kann Passwörter direkt aus Chrome, Firefox und Internet Explorer übernehmen. Das gelingt sonst keinem anderen Programm im Test. Auch die Browser-Plugins arbeiten einwandfrei. Auf den zweiten Blick jedoch zeigen sich Schwächen. Warum zum Beispiel kann man nicht die Zeit bis zur automatischen Löschung der Zwischenablage einstellen? Warum gibt es keine Version des Programms, die ohne Installation funktioniert?

Doch das sind Nuancen. Wer einfach seine Passwörter komfortabel verwalten möchte, bekommt ein solides Programm. Dazu trägt auch die gute Android-Version des Kaspersky Password Manager bei, die wirklich genauso aussieht wie auf dem PC.

Zwei Dinge fielen uns jedoch als störend auf. Zum einen die enge Anbindung an die MyKaspersky-Cloud. Ohne ein Konto dort kommt man nicht weiter. Alle Daten werden zudem über diese Cloud ausgetauscht. Wer einen anderen Anbieter bevorzugt oder seine Passwörter überhaupt nicht online stellen will, steht im Regen. Die Lizenz für das Programm ist zwar sehr preisgünstig, läuft aber nur ein Jahr. Wer nicht zahlt, wird danach auf die kostenlose Version des Produktes zurückgestuft.

Kaspersky Password Manager

© SCreenshot WEKA / PC Magazin

Kaspersky Password Manager kommt mit einer attraktiven Web-Oberfläche.

KeePass

Unser Testsieger KeePass ist ein kostenloses Open-Source-Programm. Sein Quellcode liegt offen und kann von jedem überprüft werden. Das verschafft ihm gegenüber Programmen mit geheimen Quellcode einen Sicherheitsvorteil. Man kann relativ sicher sein, dass es keine geheimen Zugänge oder Überwachungsmodule gibt, da diese früher oder später von der Programmierergemeinschaft entdeckt werden.

KeePass ist schon lang auf dem Markt, weshalb die Community eine große Zahl von Plugins entwickelt hat - plus einige KeePass-Versionen für Android und iOS. Daher die große Funktionsvielfalt. Als Beispiel für ein Android-KeePass sei KeePass2Android von Philipp Crocoll genannt. Das Programm umgeht die unsichere Zwischenablage und fügt Passwörter über eine eigene Tastatur ein. Funktionen, die man bei den Android-Ports im Testfeld vermisst.

KeePass' Stärke ist auch seine Schwäche. Wer die vielen Plugins nutzen will, muss nicht nur KeePass-Programmierer Dominik Reichl vertrauen (kein Problem), sondern auch allen Plugin-Programmierern und deren gelegentlich recht improvisiert wirkenden Hosting-Sites. Wer dieses Vertrauen nicht aufbringt, muss KeePass ohne Plugins benutzen oder zu einem kommerziellen Hersteller wechseln.

Password Depot 9

Password Depot 9 hinterlässt schon beim Programmstart einen guten Eindruck. Zum einen warnt das Programm den Anwender deutlich, wenn dieser ein zu schwaches Masterpasswort wählt. Andererseits bietet es dem Benutzer als einziges Programm im Testfeld an, ein Passwort nach einem Merksatz herzustellen nach dem Muster "Das ist mein langer Merksatz: Da1sm3l@M3s@ oder DaismelaMesa". Unverständlicherweise gibt es den Merksatz-Generator nur für das Masterpasswort.

Password Depot 9

© Screenshot WEKA / PC Magazin

Der Password Depot 9

Eine weitere Stärke des Programms sind die Importfunktionen, es kann direkt aus Kaspersky Password Manager, KeePass, Password Safe, Alle meine Passworte, Sticky Passwords und 1Password Passwort-Einträge übernehmen. Leider funktioniert das nicht mit den gängigen Browsern Chrome, Firefox und Internet Explorer.

Wer bis zu drei Lizenzen von Password Depot kauft, darf kostenlos den zugehörigen Passwort-Server benutzen. So kann man zum Beispiel in der Familie oder in Bürogemeinschaften Passwörter zentral verwalten und Nutzungsstatistiken führen.

Password Safe and Repository V7

Password Safe von Mateso richtet sich vor allem an professionelle Benutzer in Büros und Firmen. Aber auch Privatleute profitieren vom Funktionsumfang des Programms, wenn sie Zeit und Willen zur Einarbeitung mitbringen. Das liegt nicht an der Oberfläche, sondern an der Menge der Features. Der Anwender kann sich zum Beispiel eigene Eingabemasken für seine Einträge definieren. Denkbar sind spezielle Notizen, TAN-Nummern-Verzeichnisse und vieles mehr. Auch die automatische Passwort-Eingabe lässt sich programmieren.

Password Safe ist neben Password Depot das einzige Programm in unserem Test, das ziemlich nachdrücklich auf einem starken Masterpasswort besteht. Hat das Passwort nicht eine bestimmte Länge und eine bestimmte Komplexität, kommt man nicht weiter. Der Android-Client ist spartanisch, aber funktional. Er bietet zum Beispiel eine direkte Anbindung an Google Drive und Dropbox. Schwach gelöst ist die Passwortsicherung unter Android: Zwar kann man die Passwörter auf seinem Handy mit einem starken Passwort oder einem Muster sichern. Wählt man aber eine PIN, ist man auf lächerliche vier Nummern beschränkt.

Password Safe

© Screenshot WEKA / Pc Magazin

Minimalistisch zeigt sich Password Safe von Rony Shapiro. Über den Einträgen ist die Drag-Bar, mit der man schnell Passwörter und Benutzernamen kopiert.

Password Safe

Das Open-Source-Programm Password Safe, das auf den Sicherheitsexperten Bruce Schneier zurückgeht, besticht durch seine Einfachheit. Wer Business-Funktionen wie die zentrale Speicherung von Passwörtern oder komfortable Browser-Plugins sucht, ist bei Password Safe an der falschen Adresse. Die Auto-Type-Funktion zum Beispiel funktionierte nur gelegentlich. Besser ging es mit Drag-and-Drop, und in einigen Fällen half nur die Zwischenablage. Es gibt auch keine PIN/TAN-Nummernverwaltung und ähnliche Features. Dieses Programm speichert Ihre Passwörter in einem gut verschlüsselten Safe und basta. Das kann es sogar sehr gut - als eines der wenigen Programme im Test sichert es die Passwortdatenbank mit einem Token (Yubikey).

Die fehlenden Funktionen kann man sogar als Sicherheit sehen. Das automatische Eintippen von Passwörtern kann nämlich auch schiefgehen, vor allem wenn man mehrere Browser-Fenster geöffnet hat. Das Passwort landet dann in einer falschen Eingabemaske. Manchmal ist es also besser, dieses Feature gar nicht zu benutzen.

Roboform Desktop 7

Roboform nimmt in unserem Test eine gewisse Sonderstellung ein. Das Programm kann zwar auch Passwörter verwalten, ist daneben aber als Informationsspeicher für wichtige Daten, Web-Favoriten und Kontakte sowie als Tool zur Automatisierung von Formularen gedacht. Diese Sonderfunktionen haben wir in unserem Test nicht gewertet. Wer die Features wünscht, sollte unbedingt einmal die Demo des Programms ausprobieren. Bei den Funktionen, die in unserem Test gewertet wurden, schnitt Roboform aber nicht so gut ab. Die Browser-Plugins ließen uns bei unseren Testseiten immer wieder im Stich. Schlecht sah es auch bei den Importfunktionen aus. Browser: Fehlanzeige. Roboform kann auch sonst nur Daten im Comma-Separated-Value-Format (CSV) lesen. Will man seine Passwörter auf einem USB-Stick mit sich tragen, benötigt man eine eigene 2Go-Version, die bald eingestellt werden soll.

Roboform setzt auf Online-Synchronisation über das eigene Roboform-Everywhere-Angebot. Positiv muss man dem Programm anrechnen, dass es die Authentifizierung über Smartcards unterstützt. Die Android-Version ist solide Hausmannskost, die aber nur zusammen mit der Online-Anbindung an Roboform Everywhere sinnvoll ist.

Roboform Desktop 7

© Screenshot WEKA / PC Magazin

Roboform kann viel mehr verwalten als nur Passwörter. Es speichert auch Kontakte, Notizen und weitere Informationen wie zum Beispiel die Nummer des Reisepasses.

Steganos Passwort-Manager 18

Steganos Passwort-Manager 18 ist das einzige Programm in diesem Test, in dem der Anwender seine Passwort-Datenbank mit einer Bildfolge sperren kann. Wer sie öffnen will, muss aus einer Reihe gezeigter Bilder die richtigen in der richtigen Reihenfolge auswählen. Eine gute Hilfe für Anwender, die Probleme damit haben, sich ein starkes Masterpasswort auszudenken und zu merken. Das Steganos-Produkt machte auch mit seinen anderen Funktionen in unserem Test einen guten Eindruck, wie zum Beispiel dem Passwort-Import direkt aus Firefox und der Anbindung an Cloud-Anbieter von Google Drive bis hin zur MagentaCLOUD der Deutschen Telekom. Die solide Funktionspalette zusammen mit dem Preis von 19,95 für fünf PC-Lizenzen machen Steganos Passwort-Manager zum Preis-Leistungs-Sieger dieses Tests.

Die Android-Version des Programms hat auch in der neuen Version einen gravierenden Nachteil: Man muss seine Passwortdatei aus der Cloud herunterladen und kann keine Passwörter mit der mobilen App selbst bearbeiten oder anlegen. Auch die Übertragung direkt vom PC ohne Cloud ist nicht ganz einfach. Da die App keine Dateien öffnen kann, muss man die jeweilige Passwortdatenbank vom PC aus in das richtige Android-Verzeichnis kopieren (Gerät\ Internal storage\Documents\Steganos\).

Test-Fazit

Die Gewinner in unserem Test sind das Open-Source-Tool KeePass und Password Safe von der Mateso GmbH. Beide glänzen durch eine gute Unterstützung der gängigen Browser und vielfältige Funktionen zur Passwortverwaltung. Vor allem KeePass bietet dank vieler Plugins eine breite Unterstützung von Token bis hin zur Zwei-Faktor- Authentifizierung. Mateso Password Safe ist vor allem für Firmen interessant, mit seinen Funktionen für Passwort-Richtlinien, zentraler Passwortverwaltung und den teilbaren Passwörtern. Privatanwender sollten wegen der vielen Funktionen eine Einarbeitungszeit einkalkulieren.

Password Depot und Steganos Passwort- Manager sind dagegen gute Manager für Privatanwender. Sie bieten eine gute Anbindung an Cloud-Speicher wie Dropbox, Onedrive oder Google Drive, sodass man seine Passwörter leicht über das Web verwalten kann. Daneben bringen Sie brauchbare Funktionen zur Passwort-Erzeugung und -Verwaltung mit.

Roboform ist ein Kapitel für sich, da sich das Programm nicht als reiner Passwort-Manager versteht, sondern mehr als zentraler Informationsverwalter für Web-Favoriten, Kontakte und Ähnliches. Das Open-Source- Programm Password Safe ist minimalistisch, kann aber mit guten Funktionen wie der Unterstützung von Token überzeugen. Wer einfach nur Passwörter verwalten will, kann hier zugreifen. Der Kaspersky Password Manager ist Testsieger, wenn es um die Browser-Unterstützung geht. Als einziges Produkt im Test kann er Passwörter aus Chrome, Firefox und Internet Explorer importieren. Allerdings fehlen gegenüber den führenden Programmen einige Funktionen zur Passwort-Verwaltung. Die jährliche Lizenzierung des Kaspersky-Produkts halten wir allerdings für keine gute Idee. So wird der Manager nach drei oder mehr Jahren Nutzung im Vergleich zur Manager-Konkurrenz ziemlich kostspielig.

Mehr lesen

Newsletter -

Mehr zum Thema

Chimera-Ransomware: Beispielbild
Chimera-Ransomware

Die Polizei warnt vor Chimera-Ransomware: Der Erpresser-Trojaner verschlüsselt Daten und droht mit deren Veröffentlichung, wenn Opfer kein Lösegeld…
Online Banking
Multi-Plattform-Banking mit Smartphone und Tablet

Online-Banking ist nicht mehr nur via PC oder Laptop möglich. Mit den richtigen Apps erledigen Sie Bankgeschäfte mit Smartphone und Tablet.
Die Drown-Schwachstelle ist potenziell gefährlicher als Heartbleed.
Schlimmer als Heartbleed?

Mit der sogenannten "Drown Attack" ist es Sicherheitsforschern gelungen, Millionen von Webseiten mit SSL-/TLS-Verschlüsselung zu knacken. Die…
Verschlüsselung
Sicherheit

Wenn Sie die Daten auf Ihrem Computer und Smartphone verschlüsseln, dann schlafen Sie auch dann noch ruhig, wenn eines dieser Geräte abhanden kommt.…
Windows Updates im September 2016
Patch Day

Der Patch Day September 2016 ist da und Microsoft bringt kritische wie wichtige Sicherheitsupdates für Windows, den integrierten Flash-Player, Office…