Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

Passwort-Manager für Android: Mehr Sicherheit und Komfort

Passwort-Manager für Android: Mehr Sicherheit und Komfort

Die Kombination aus Benutzername und Passwort bringt uns seit Jahrzehnten überall rein: E-Mails, Banking, Online-Speicher, Spiele-Dienste, Social Media: Überall wird der Log-in abgefragt. Schnell verliert man da den Überblick, welches Passwort wo eingesetzt wird. Diese Apps speichern und synchronisieren Eure Passwörter und tippen sie automatisch für Euch ein. 

Direkt zum Abschnitt:

Was macht ein gutes Passwort aus?

Eure Log-in-Daten bestehend aus Benutzername oder E-Mail-Adresse und Passwort sollten nicht für alle Dienste gleich sein. Rechnet damit, dass eine Datenbank mit Euren Credentials in die falschen Hände gerät. Gelten diese in mehreren Diensten, fällt der Schaden für Euch umso größer aus. Ob Eure E-Mail-Adresse inklusive Passwort bereits bei einem Angriff auf einen Dienstleister abgegriffen wurde, könnt Ihr auf der Webseite Have I been pwned überprüfen.

Viele Mythen ranken sich um sichere Passwörter. Eines ist jedenfalls Konsens: Passwörter wie 123456 oder password sind vollkommen ungeeignet. Denn versucht ein Angreifer, ein Passwort zu erraten, wird er diese zu allererst versuchen. Acht oder zehn Zeichen sollten es daher mindestens sein. Ein xkcd-Comic-Strip empfiehlt hingegen Passwörter aus mehreren zusammengesetzten Worten – in der Art wie correct horse battery staple zum Beispiel. Wer sich mit der mathematischen Theorie und den praktischen Brute-Force-Attacken beschäftigt, stellt fest: Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen sollten immer im Passwort stecken. Am Ende ist aber die entscheidende Kenngröße die Länge – interessante Erkenntnisse gibt es beim Gibson Research Center.

Was muss ein Passwort-Manager leisten?

Leider ist es kaum vorstellbar, dass Ihr Euch für jeden Dienst einzeln ein sicheres Passwort ausdenkt und dann für immer merkt. Drittanbieter-Software hilft hier weiter. Passwort-Manager erfüllen wichtige Aufgaben, die das Problem komplett abdecken:

  • Sie denken sich für Euch sichere Passwörter aus
  • Sie speichern die Passwörter in einer passwortgeschützten Datenbank
  • Sie füllen den Log-in künftig automatisch aus
  • Sie synchronisieren die Passwörter über mehrere Geräte hinweg

Android-Smartphones haben schon einen Passwort-Manager

Android-Smartphones werden ab Werk dank der Google-Play-Dienste mit einem Passwort-Manager ausgeliefert. Mithilfe von Smart Lock für Passwörter könnt Ihr Eure gespeicherten App- und Website-Passwörter auf verschiedenen Geräten verwenden. Smart Lock synchronisiert Passwörter mit Eurem Google-Konto, das Ihr in Chrome auf dem Desktop und auf dem Android-Gerät verwendet.

google smart lock for passwords
Speichert, synchronisiert, verwaltet und verwendet Log-in-Daten mit Smart Lock. / © AndroidPIT

Leider nutzen nur wenige Apps die Schnittstelle, um Smart-Lock-Passwörter im Log-in-Vorgang abzurufen. Dies würde die erste Einrichtung von Android-Smartphones deutlich vereinfachen. Ihr könnt Eure Log-in-Daten in passwords.google.com oder in den Chrome-Einstellungen ansehen und verwalten.

Tipp: Chrome denkt sich Passwörter für Euch aus. Aktiviert die entsprechende Chrome Flag unter chrome://flags/#enable-password-generation. Besucht Ihr dann zum ersten Mal eine Website und registriert Euch dort, erstellt der Browser automatisch für Euch ein neues Passwort. So kommt Ihr gar nicht erst in die Versuchung, ein zu schwaches oder schon mehrfach verwendetes Passwort zu verwenden.

Avira Passwort Manager

Die App Avira Passwort Manager kann Eure Internet-Passwörter auf dem Smartphone verwalten. Zusätzliche Overlays dienen dazu, dass die App für Euch Passwörter erstellt, die Ihr anschließend mit der App verwalten und synchronisieren könnt. Der Avira Passwort Manager funktioniert jedoch nicht in allen Apps; der Log-in in Multicity oder Drivenow hat im Test nicht geklappt.

avira password manager
Der Passwort-Generator ist noch ein bisschen mager. / © AndroidPIT

Vor dem erstellen oder Abrufen des jeweiligen Passworts müsst Ihr jedes Mal das Master-Passwort eintippen. Avira beteuert, jedes einzelne Eurer Passwörter nach dem AES-256-Bit-Standard zu verschlüsseln und selbst nicht zu kennen. Der Passwort-Generator der App generiert Passwörter mit bis zu 25 Zeichen. Vielleicht bevorzugt Ihr Passwörter im Stile von correct horse battery staple?

Der Avira Password Manager lässt sich kostenlos herunterladen und verwenden. Es werden die Plattformen Chrome, Firefox, iOS und Android unterstützt.

Offline-Passwort-Manager Keepass2Android

Keepass2Android ist ein Open-Source-Tool zum Passwort-Management. Es handelt sich um den Android-Ableger des gleichnamigen Desktop-Werkzeugs. Es legt auf Eurem Android-Smartphone eine Offline-Datenbank an. Da das Format dem Standard-Keepass-Format entspricht, könnt Ihr die Datenbank auf unterschiedlichen Geräten verwenden. Die Datenbank schützt Ihr mit einem Master-Passwort und optional mit einer beliebigen Schlüsseldatei.

keepass 2 android de
Keepass2Android verzichtet auf einen Log-in und überlässt Euch die Kontrolle über Eure Daten. / © ANDROIDPIT

Die Passwörter könnt Ihr nach der Eingabe der letzten drei Zeichen Eures Master-Passworts (per QuickUnlock) oder mit dem Fingerabdruck einsehen. Über einen Schalter in den Schnelleinstellungen und eine spezielle Keepass2Android-Tastatur könnt Ihr auf den Websites schnell und einfach Eure Benutzerdaten eintippen. Das jüngste Update unterstützt den Autofill-Dienst von Android Oreo. Um die Synchronisierung der Passwort-Datenbank kümmert sich Keepass2Android nicht alleine, sondern setzt auf Synchronisierung via Dropbox, Google Drive, SkyDrive, FTP und WebDAV. Wer diese Funktion nicht verwenden möchte, installiert die Offline-Version, die keinerlei Cloud-Anbindung mit sich bringt.

Cloud-Passwort-Manager LastPass mit Fingerabdruck-Erkennung

Etwas bequemer habt Ihr es mit LastPass. Der Dienst lässt sich auf etlichen Plattformen und in Desktop-Browsern integrieren und tippt für Euch Passwörter automatisch ein. Als einziger tut er dies auch in anderen Android-Apps. Das macht die Passwort-Manager-App technisch zur besten Lösung in dieser Übersicht. Die Synchronisierung ist mittlerweile Bestandteil der kostenlosen Free-Version. 

lastpass android password manager de
LastPass ist eine kommerzielle Anwendung, die Eure Passwörter auf mehreren Geräten verfügbar macht. / © ANDROIDPIT

Bei neuen Smartphones könnt Ihr anstelle des Master-Passworts Euren Fingerabdruck verwenden. LastPass füllt für Euch komplette Formulare in Apps automatisch aus. Die LastPass-App fungiert auch als Webbrowser, mit dem Ihr Euch schnell und sicher in all Euren Web-Diensten einloggt. Mittlerweile kann LastPass die Autofill-API von Android 8 Oreo ansprechen.

Fazit

Das gute alte Passwort hat noch lange nicht ausgedient. Leider wird es immer einfacher, sie zu knacken. Dank der gestiegenen Rechenkapazitäten in den letzten Jahren solltet Ihr Eure Daten mit vielen unterschiedlichen und komplexen Passwörtern vor unbefugtem Zugriff schützen. Die obigen Apps und Dienste kombinieren Sicherheit mit Bequemlichkeit.

Welchen Passwort-Manager nutzt Ihr? Oder vertraut Ihr dem System nicht und verwendet ein komplett anderes?

Empfohlene Artikel

Top-Kommentare der Community

  • Aries 12.01.2017

    KeePass unter Windows
    KeePassX unter Linux
    KeePassDroid unter Android

    Die Containerdateien liegen auf einem Cloud-Speicher und somit habe ich überall immer alle aktuellen Passworte parat. Aufgrund der Verschlüsselung mittels AES256 mache ich mir wenig Sorgen. Aufmerksam sollte man dennoch sein. Die Zeiten ändern sich.

  • Izzy
    • Blogger
    15.03.2018

    Habe doch noch ein wenig weiter gelesen – und fand meine Befürchtung bestätigt. Ein Passwort-Manager soll meine Passworte verwalten – mehr nicht. Dafür benötigt er als Berechtigung allenfalls zugriff auf den Speicher – und eigentlich nicht einmal das, da er derart kleine Datenmengen durchaus in dem ihm zugewiesenen Speicherbereich (im Gerätespeicher) ablegen kann. Zugriff auf's Netzwerk ist da eher unerwünscht: woher weiß ich, dass die App dies nicht ausnutzt, um meine Passwörter "anderswo" zu speichern?

    Schauen wir uns die Empfehlungen dieses Artikels einmal unter diesem Gesichtspunkt an:

    * Google's "Smart Lock": zwar im System integriert, speichert meine Passwörter aber "in der Cloud". Nope.
    * Avira: Neben dem Netzwerk-Zugriff möchte dieser Passwort-Manager auch Bluetooth-Geräte pairen, den Google Billing Service nutzen, Accounts auf meinem Gerät auskundschaften (um dort automatisch einzuloggen), schauen welche Apps installiert sind oder laufen, und mehr. Unseriös, da all dies NICHT zur Passwort-Verwaltung benötigt wird. Keine dieser Berechtigungen wird übrigens erklärt.
    * Keepass2Android: die Offline-Variante ist die einzige hier genannte App, bei der ich nichts auszusetzen hätte :)
    * LastPass: Netzwerk-Zugriff, NFC, Bookmarks schreiben, Konten auf dem Gerät finden/erstellen/benutzen (wohl für den Account bei LastPass), Standort (wozu braucht man den bei einer Passwort-Verwaltung???), Audio aufnehmen (für "Sprachnotizen" – was hat das mit einem Passwort-Manager zu tun?), Cloud Messages … Speichert die Passwörter übrigens auch in der Cloud. Siehe dazu (und zu anderen Online-Passwort-Diensten) auch wiederum bei Mike Kuketz: https://www.kuketz-blog.de/android-passwort-manager-mit-sicherheitsluecken/

    Einziger Lichtblick im Artikel ist somit Keepass2Android – alles andere verdient einen fetten Daumen nach unten, sorry.

142 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Es gibt doch auch die pbkdf2 Funktion, mit der sichere Passworte aus Klartext Zeichenketten abgeleitet werden können. Das "Master Passwort" kombiniert mit der Web Adresse ergibt dann für jede Web Seite ein individuelles Passwort, und es muss nirgendwo etwas gespeichert werden. Ich frage mich, warum es darauf basierend keine Browser Extensions gibt?


  •   11
    Gelöschter Account vor 7 Monaten Link zum Kommentar

    Der beste Passwort Manager nützt doch nichts wenn ein Dienst wie Dropbox gehackt wird und die Kriminellen dort direkt die gespeicherten Daten abgreifen.


    • Aries vor 7 Monaten Link zum Kommentar

      Wenn, wie bei KeePass AES256 zur Verschlüsselung der Containerdatei verwendet wird und das Passwort für die Containerdatei stark genug ist, kann man sie bedenkenlos auf Dropbox oder ähnlich ablegen. AES256 verwenden sogar Geheimdienste und es existiert bis heute kein erfolgreicher Crack.

      Dennoch sollte man alle Passwörter ändern, sobald der Cloudspeicher kompromittiert sein könnte. Das kann er nicht nur durch einen Hack sein.


  • Für die wichtigsten Seiten Wie Online Banking, PayPal, Seiten bei denen meine Kreditkarten Daten hinterlegt sind,etc. habe ich ein Passwort mit 25 Stellen aus Buchstaben groß und klein, Sonderzeichen und Zahlen. Bei allem anderen eines aus 8-12 Stellen. Das hat bis jetzt immer genügt. Einem Passwortmanger vertraue ich nicht.
    Wie ich mir die ganzen Passwörter merke?....ich schreibe es zuerst auf und tippe es dann einmal ein, das genügt mir zum merken.


  • Aries vor 7 Monaten Link zum Kommentar

    Ein guter Passwort-Manager bietet keine Speicherung in einer Cloud! Die Passwort-Leaks der vergangenen Wochen sollten jedem die Risiken offenbart haben.

    Die Containerdatei von Keepass kann man selbst auf einen Cloud-Speicher synchronisieren. Dabei hilft FolderSync. Die Containerdatei ist so gut verschlüsselt, dass dasselbe Verfahren von Geheimdiensten für höchste Sicherheit verwendet wird.

    Die Sicherheit der gespeicherten Passworte steht und fällt mit dem Passwort für die Containerdatei. Das sollte ausschließlich dafür verwendet werden, ausreichend komplex und ausreichend lang sein. Was das bedeutet, ändert sich im Laufe der Zeit. 16 Zeichen, kombiniert aus Groß-/Kleinschriebung, Ziffern und Sonderzeichen, die kein Wort ergeben (auch nicht Leet Speak) gelten aktuell als ziemlich sicher.


  • Tim vor 7 Monaten Link zum Kommentar

    Avira kommt mir schon als Antivirus-Programm nicht in hundert Jahren auf den Rechner, da werde ich denen doch im Traum nicht meine Passwörter verraten :D

    Ich bleibe lieber bei EnPass. Funktioniert auf Android, Windows und iOS, bei letzterem auch mit AutoFill von iOS12 usw. Und selbst die kostenlose Version, mit der man „nur“ 20 Accountdaten speichern kann, gibt’s keine Werbung.


  • Nutze Enpass. 10 Euro einmalig für die Handy Version, Desktop kostenlos. Verschlüsselte Datei, Cloud (welche und ob überhaupt suche ich mir selbst aus).


    • Tim vor 7 Monaten Link zum Kommentar

      10€? Wurde der Preis erhöht oder ist das nur eine „großzügige Rundung“? ^^
      Denn zumindest aktuell kostet die Pro-Version bei Android und iOS 12,99€ 🤔


  • Seltsam das msecure fehlt


  • @Eric:
    > Acht oder zehn Zeichen sollten es daher mindestens sein.

    Die Zeiten sind lange vorbeit. Das BSI empfiehlt 12 Stellen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.

    Außerdem sollte ein Passwort für genau einen Account benutzt werden, so dass durch Bekanntwerden von einem Account nicht gleich alle anderen ebenfalls komprommitiert sind.

    Das lässt sich nur mit Hilfe von Passwort-Managern verwalten.

    Diese Passwort-Manager dürfen ihrerseits keinen Zugriff aufs Internet haben. Sie müssen die Passworte jedoch ausreichend stark verschlüsseln, was aktuell mit AES256 gewährleistet ist. Der Speicherung auf einem Cloudspeicher spricht dann nichts entgegen. Jedoch sollte man alle Passworte ändern, sobald bekannt wird, dass der Betreiber der Cloud Opfer eines erfolgreichen Cracks wurde (für mich sind Cracker die bösen, Hacker nicht).

    Abgesehen davon darf das Passwort für den Passwort-Manager auch nicht trivial sein, sollte die gleiche Komplexität wie vom BSI empfohlen haben, und sollte zwingend und ohne Ausnahme geheim gehalten werden.


  • ich nutze den Passwort Manager von AceBit. Da kann ich versch. Clouddienste integrieren, wenn ich möchte. Desktop und Android (zweites leider nicht mit Schlüsseldatei möglich). Am liebsten wäre mir, ich lege die Datei verschlüsselt im NAS meines privaten Netzwerks ab, und greife dann via VPN darauf zu. klappt noch nicht ganz... Für einen guten Passwortmanager mit regelmäßigen Updates aus bekannter Quelle bezahle ich auch gerne 10 €...


    • Warum klappt das nicht? Dazu brauchst Du keinen Passwort-Manager mit Netzwerk-Rechten. Du kaufst FolderSync (oder erlernst es erstmal mit der kostenlosen Version) und synchronisierst die Containerdatei per VPN auf Dein NAS.

      Das gleiche geht mit jeder Cloud, sei es WebDAV-Platz, Drive, Dropbox, Box, OneDrive oder was auch immer. Ein Passwort-Manager mit Netzwerk-Berechtigung ist in sich bereits fraglich, denn der könnte auch an nicht erwünschte Ziele die Dateien samt Schlüssel weitergeben. Oder die Daten, wenn die Containerdatei entschlüsselt ist sonstwohin übertragen.

      Izzy


      • Izzy
        • Blogger
        15.03.2018 Link zum Kommentar

        Genau deshalb habe ich "weiter unten" bereits als gute Kombination "Keepass2Android Offline" und "FolderSync" empfohlen: Keepass kümmert sich um die Passworte (kann sie aber nicht "irgend wohin" übertragen), und FolderSync um die Synchronisation (kann dabei jedoch die eigentlichen Passworte nicht lesen). Darüber hinaus gibt es Keepass auch für den Desktop :)


  • Izzy
    • Blogger
    15.03.2018 Link zum Kommentar

    Habe doch noch ein wenig weiter gelesen – und fand meine Befürchtung bestätigt. Ein Passwort-Manager soll meine Passworte verwalten – mehr nicht. Dafür benötigt er als Berechtigung allenfalls zugriff auf den Speicher – und eigentlich nicht einmal das, da er derart kleine Datenmengen durchaus in dem ihm zugewiesenen Speicherbereich (im Gerätespeicher) ablegen kann. Zugriff auf's Netzwerk ist da eher unerwünscht: woher weiß ich, dass die App dies nicht ausnutzt, um meine Passwörter "anderswo" zu speichern?

    Schauen wir uns die Empfehlungen dieses Artikels einmal unter diesem Gesichtspunkt an:

    * Google's "Smart Lock": zwar im System integriert, speichert meine Passwörter aber "in der Cloud". Nope.
    * Avira: Neben dem Netzwerk-Zugriff möchte dieser Passwort-Manager auch Bluetooth-Geräte pairen, den Google Billing Service nutzen, Accounts auf meinem Gerät auskundschaften (um dort automatisch einzuloggen), schauen welche Apps installiert sind oder laufen, und mehr. Unseriös, da all dies NICHT zur Passwort-Verwaltung benötigt wird. Keine dieser Berechtigungen wird übrigens erklärt.
    * Keepass2Android: die Offline-Variante ist die einzige hier genannte App, bei der ich nichts auszusetzen hätte :)
    * LastPass: Netzwerk-Zugriff, NFC, Bookmarks schreiben, Konten auf dem Gerät finden/erstellen/benutzen (wohl für den Account bei LastPass), Standort (wozu braucht man den bei einer Passwort-Verwaltung???), Audio aufnehmen (für "Sprachnotizen" – was hat das mit einem Passwort-Manager zu tun?), Cloud Messages … Speichert die Passwörter übrigens auch in der Cloud. Siehe dazu (und zu anderen Online-Passwort-Diensten) auch wiederum bei Mike Kuketz: https://www.kuketz-blog.de/android-passwort-manager-mit-sicherheitsluecken/

    Einziger Lichtblick im Artikel ist somit Keepass2Android – alles andere verdient einen fetten Daumen nach unten, sorry.


    • Ich habe lange Zeit KeePassDroid verwendet, bin aber vor kurzem auf Keepass2Android Offline umgestiegen. Ist das gleiche, nur moderner gestaltet und mit ein paar Zusatzfunktionen wie Schnellentsperrung (abschaltbar).

      Die Berechtigung Speicher macht Sinn. Ich synchronisiere meine Containerdatei mit einem Cloudspeicher (mittels FolderSync), damit ich auf allen Geräten den gleichen Stand habe. Das wäre mit dem zugewiesenen Speicherbereich nicht möglich.

      Dank der AES256-Verschlüsselung ist die Containerdatei eigentlich gut für die Speicherung in einer Cloud abgesichert, aber wer will, kann ja nochmal verschlüsseln.

      Cloudbasierte Passwort Manager sind ein Sicherheitsrisiko! Denn der Betreiber des Cloudspeichers muss die Dateien entschlüsseln können. Das kann dann auch ein unzuverlässiger Mitarbeiter oder ein Hacker, der ins System eingedrungen ist. Daher sind diese Lösungen für mich ebenfalls ein No-Go.

      E-Mail-Adressen auf Webseiten überprüfen zu lassen, ob sie in irgendwelchen Hacker-Listen stehen, ist vollkommen sinnlos. Wer sagt, dass die Listen komplett sind? Wer sagt, dass der betreiber der Seite nicht seinerseits gültige E-Mail-Adressen damit sammelt, die er dann in diversen Portalen durchprobieren kann oder verkauft?

      Izzy


      • Izzy
        • Blogger
        15.03.2018 Link zum Kommentar

        Aries, das Problem ist nicht nur, dass man seine E-Mail Adresse (oder gar das Passwort, um zu prüfen, wie "sicher" es ist) auf solchen Seiten eingeben soll – sondern auch der Sack voll Tracker, der auf diesen Seiten verankert ist (und die Daten gleich mit abgreift).


      • Schon klar, aber das hattest Du bereits thematisiert.


  • Izzy
    • Blogger
    15.03.2018 Link zum Kommentar

    > könnt Ihr auf der Webseite Have I been pwned überprüfen.

    Also ehrlich, Eric: Das ist mehr als nur fahrlässig. Wir sollen also alle unsere Login-Daten auf irgend einer wildfremden Website eingeben um zu schauen, ob sie bereits bekannt sind? Wenn sie das vorher nicht waren, sind sie es wahrscheinlich danach. So etwas macht man einfach nicht – das ist sicherheitstechnisch ein absolutes No-Go!

    Details zu dieser Site finden sich übrigens im Kuketz Security Blog unter https://www.kuketz-blog.de/have-i-been-pwned/ – wo auch aufgeführt ist, dass sie Javascript von mehreren Drittanbietern (Werbung, Analytics etc) einbindet. Ohne jetzt böses unterstellen zu wollen: Da sollte man definitiv NICHT seine Benutzername/Passwort Kombinationen "prüfen".

    Sorry: 6, setzen. Da kann ich mir das Weiterlesen eigentlich sparen …


  • Ich nutze seit Jahren Keeper, da brauche ich nur ein gutes Passwort in Keeper für meine ca 150 Accounts womit sich die Zugangs Passwörter usw selbstständig durch Keeper in dem jeweiligen Login einfügen


  • Und was ist mit Safelncloud? Einer der besten Passwort Manager. Ich brauche ihn Täglich und bin seit Jahren voll zufrieden. In der Pro Version voll Genial, finde ich.

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!