Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

5 Min Lesezeit 134 Kommentare

Gute Passwort-Manager für Android: Mehr Sicherheit für Eure Accounts

Die Kombination aus Benutzername und Passwort bringt uns seit Jahrzehnten überall rein: E-Mails, Banking, Online-Speicher, Spiele-Dienste, Social Media: Überall wird der Log-in abgefragt. Schnell verliert man da den Überblick, welches Passwort wo eingesetzt wird. Diese Apps speichern und synchronisieren Eure Passwörter und tippen sie automatisch für Euch ein.

Direkt zum Abschnitt:

Was macht ein gutes Passwort aus?

Eure Log-in-Daten bestehend aus Benutzername oder E-Mail-Adresse und Passwort sollten nicht für alle Dienste gleich sein. Rechnet damit, dass eine Datenbank mit Euren Credentials in die falschen Hände gerät. Gelten diese in mehreren Diensten, fällt der Schaden für Euch umso größer aus. Ob Eure E-Mail-Adresse inklusive Passwort bereits bei einem Angriff auf einen Dienstleister abgegriffen wurde, könnt Ihr auf der Webseite Have I been pwned überprüfen.

Viele Mythen ranken sich um sichere Passwörter. Eines ist jedenfalls Konsens: Passwörter wie 123456 oder password sind vollkommen ungeeignet. Denn versucht ein Angreifer, ein Passwort zu erraten, wird er diese zu allererst versuchen. Acht oder zehn Zeichen sollten es daher mindestens sein. Ein xkcd-Comic-Strip empfiehlt hingegen Passwörter aus mehreren zusammengesetzten Worten – in der Art wie correct horse battery staple zum Beispiel. Wer sich mit der mathematischen Theorie und den praktischen Brute-Force-Attacken beschäftigt, stellt fest: Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen sollten immer im Passwort stecken. Am Ende ist aber die entscheidende Kenngröße die Länge – interessante Erkenntnisse gibt es beim Gibson Research Center.

Was muss ein Passwort-Manager leisten?

Leider ist es kaum vorstellbar, dass Ihr Euch für jeden Dienst einzeln ein sicheres Passwort ausdenkt und dann für immer merkt. Drittanbieter-Software hilft hier weiter. Passwort-Manager erfüllen wichtige Aufgaben, die das Problem komplett abdecken:

  • Sie denken sich für Euch sichere Passwörter aus
  • Sie speichern die Passwörter in einer passwortgeschützten Datenbank
  • Sie füllen den Log-in künftig automatisch aus
  • Sie synchronisieren die Passwörter über mehrere Geräte hinweg

Android-Smartphones haben schon einen Passwort-Manager

Android-Smartphones werden ab Werk dank der Google-Play-Dienste mit einem Passwort-Manager ausgeliefert. Mithilfe von Smart Lock für Passwörter könnt Ihr Eure gespeicherten App- und Website-Passwörter auf verschiedenen Geräten verwenden. Smart Lock synchronisiert Passwörter mit Eurem Google-Konto, das Ihr in Chrome auf dem Desktop und auf dem Android-Gerät verwendet.

google smart lock for passwords
Speichert, synchronisiert, verwaltet und verwendet Log-in-Daten mit Smart Lock. / © AndroidPIT

Leider nutzen nur wenige Apps die Schnittstelle, um Smart-Lock-Passwörter im Log-in-Vorgang abzurufen. Dies würde die erste Einrichtung von Android-Smartphones deutlich vereinfachen. Ihr könnt Eure Log-in-Daten in passwords.google.com oder in den Chrome-Einstellungen ansehen und verwalten.

Tipp: Chrome denkt sich Passwörter für Euch aus. Aktiviert die entsprechende Chrome Flag unter chrome://flags/#enable-password-generation. Besucht Ihr dann zum ersten Mal eine Website und registriert Euch dort, erstellt der Browser automatisch für Euch ein neues Passwort. So kommt Ihr gar nicht erst in die Versuchung, ein zu schwaches oder schon mehrfach verwendetes Passwort zu verwenden.

Avira Passwort Manager

Die App Avira Passwort Manager kann Eure Internet-Passwörter auf dem Smartphone verwalten. Zusätzliche Overlays dienen dazu, dass die App für Euch Passwörter erstellt, die Ihr anschließend mit der App verwalten und synchronisieren könnt. Der Avira Passwort Manager funktioniert jedoch nicht in allen Apps; der Log-in in Multicity oder Drivenow hat im Test nicht geklappt.

avira password manager
Der Passwort-Generator ist noch ein bisschen mager. / © AndroidPIT

Vor dem erstellen oder Abrufen des jeweiligen Passworts müsst Ihr jedes Mal das Master-Passwort eintippen. Avira beteuert, jedes einzelne Eurer Passwörter nach dem AES-256-Bit-Standard zu verschlüsseln und selbst nicht zu kennen. Der Passwort-Generator der App generiert Passwörter mit bis zu 25 Zeichen. Vielleicht bevorzugt Ihr Passwörter im Stile von correct horse battery staple?

Der Avira Password Manager lässt sich kostenlos herunterladen und verwenden. Es werden die Plattformen Chrome, Firefox, iOS und Android unterstützt.

Offline-Passwort-Manager Keepass2Android

Keepass2Android ist ein Open-Source-Tool zum Passwort-Management. Es handelt sich um den Android-Ableger des gleichnamigen Desktop-Werkzeugs. Es legt auf Eurem Android-Smartphone eine Offline-Datenbank an. Da das Format dem Standard-Keepass-Format entspricht, könnt Ihr die Datenbank auf unterschiedlichen Geräten verwenden. Die Datenbank schützt Ihr mit einem Master-Passwort und optional mit einer beliebigen Schlüsseldatei.

keepass 2 android de
Keepass2Android verzichtet auf einen Log-in und überlässt Euch die Kontrolle über Eure Daten. / © ANDROIDPIT

Die Passwörter könnt Ihr nach der Eingabe der letzten drei Zeichen Eures Master-Passworts (per QuickUnlock) oder mit dem Fingerabdruck einsehen. Über einen Schalter in den Schnelleinstellungen und eine spezielle Keepass2Android-Tastatur könnt Ihr auf den Websites schnell und einfach Eure Benutzerdaten eintippen. Das jüngste Update unterstützt den Autofill-Dienst von Android Oreo. Um die Synchronisierung der Passwort-Datenbank kümmert sich Keepass2Android nicht alleine, sondern setzt auf Synchronisierung via Dropbox, Google Drive, SkyDrive, FTP und WebDAV. Wer diese Funktion nicht verwenden möchte, installiert die Offline-Version, die keinerlei Cloud-Anbindung mit sich bringt.

Cloud-Passwort-Manager LastPass mit Fingerabdruck-Erkennung

Etwas bequemer habt Ihr es mit LastPass. Der Dienst lässt sich auf etlichen Plattformen und in Desktop-Browsern integrieren und tippt für Euch Passwörter automatisch ein. Als einziger tut er dies auch in anderen Android-Apps. Das macht die Passwort-Manager-App technisch zur besten Lösung in dieser Übersicht. Die Synchronisierung ist mittlerweile Bestandteil der kostenlosen Free-Version. 

lastpass android password manager de
LastPass ist eine kommerzielle Anwendung, die Eure Passwörter auf mehreren Geräten verfügbar macht. / © ANDROIDPIT

Bei neuen Smartphones könnt Ihr anstelle des Master-Passworts Euren Fingerabdruck verwenden. LastPass füllt für Euch komplette Formulare in Apps automatisch aus. Die LastPass-App fungiert auch als Webbrowser, mit dem Ihr Euch schnell und sicher in all Euren Web-Diensten einloggt. Mittlerweile kann LastPass die Autofill-API von Android 8 Oreo ansprechen.

Fazit

Das gute alte Passwort hat noch lange nicht ausgedient. Leider wird es immer einfacher, sie zu knacken. Dank der gestiegenen Rechenkapazitäten in den letzten Jahren solltet Ihr Eure Daten mit vielen unterschiedlichen und komplexen Passwörtern vor unbefugtem Zugriff schützen. Die obigen Apps und Dienste kombinieren Sicherheit mit Bequemlichkeit.

Welchen Passwort-Manager nutzt Ihr? Oder vertraut Ihr dem System nicht und verwendet ein komplett anderes?

Dank ist diese Seite frei von Werbebannern

Top-Kommentare der Community

  • Aries 12.01.2017

    KeePass unter Windows
    KeePassX unter Linux
    KeePassDroid unter Android

    Die Containerdateien liegen auf einem Cloud-Speicher und somit habe ich überall immer alle aktuellen Passworte parat. Aufgrund der Verschlüsselung mittels AES256 mache ich mir wenig Sorgen. Aufmerksam sollte man dennoch sein. Die Zeiten ändern sich.

134 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Laen vor 6 Monaten Link zum Kommentar

    Seltsam das msecure fehlt


  • Aries vor 6 Monaten Link zum Kommentar

    @Eric:
    > Acht oder zehn Zeichen sollten es daher mindestens sein.

    Die Zeiten sind lange vorbeit. Das BSI empfiehlt 12 Stellen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.

    Außerdem sollte ein Passwort für genau einen Account benutzt werden, so dass durch Bekanntwerden von einem Account nicht gleich alle anderen ebenfalls komprommitiert sind.

    Das lässt sich nur mit Hilfe von Passwort-Managern verwalten.

    Diese Passwort-Manager dürfen ihrerseits keinen Zugriff aufs Internet haben. Sie müssen die Passworte jedoch ausreichend stark verschlüsseln, was aktuell mit AES256 gewährleistet ist. Der Speicherung auf einem Cloudspeicher spricht dann nichts entgegen. Jedoch sollte man alle Passworte ändern, sobald bekannt wird, dass der Betreiber der Cloud Opfer eines erfolgreichen Cracks wurde (für mich sind Cracker die bösen, Hacker nicht).

    Abgesehen davon darf das Passwort für den Passwort-Manager auch nicht trivial sein, sollte die gleiche Komplexität wie vom BSI empfohlen haben, und sollte zwingend und ohne Ausnahme geheim gehalten werden.


  • ich nutze den Passwort Manager von AceBit. Da kann ich versch. Clouddienste integrieren, wenn ich möchte. Desktop und Android (zweites leider nicht mit Schlüsseldatei möglich). Am liebsten wäre mir, ich lege die Datei verschlüsselt im NAS meines privaten Netzwerks ab, und greife dann via VPN darauf zu. klappt noch nicht ganz... Für einen guten Passwortmanager mit regelmäßigen Updates aus bekannter Quelle bezahle ich auch gerne 10 €...


    • Aries vor 6 Monaten Link zum Kommentar

      Warum klappt das nicht? Dazu brauchst Du keinen Passwort-Manager mit Netzwerk-Rechten. Du kaufst FolderSync (oder erlernst es erstmal mit der kostenlosen Version) und synchronisierst die Containerdatei per VPN auf Dein NAS.

      Das gleiche geht mit jeder Cloud, sei es WebDAV-Platz, Drive, Dropbox, Box, OneDrive oder was auch immer. Ein Passwort-Manager mit Netzwerk-Berechtigung ist in sich bereits fraglich, denn der könnte auch an nicht erwünschte Ziele die Dateien samt Schlüssel weitergeben. Oder die Daten, wenn die Containerdatei entschlüsselt ist sonstwohin übertragen.

      Izzy


      • Izzy
        • Blogger
        vor 6 Monaten Link zum Kommentar

        Genau deshalb habe ich "weiter unten" bereits als gute Kombination "Keepass2Android Offline" und "FolderSync" empfohlen: Keepass kümmert sich um die Passworte (kann sie aber nicht "irgend wohin" übertragen), und FolderSync um die Synchronisation (kann dabei jedoch die eigentlichen Passworte nicht lesen). Darüber hinaus gibt es Keepass auch für den Desktop :)

        Aries


  • Izzy
    • Blogger
    vor 6 Monaten Link zum Kommentar

    Habe doch noch ein wenig weiter gelesen – und fand meine Befürchtung bestätigt. Ein Passwort-Manager soll meine Passworte verwalten – mehr nicht. Dafür benötigt er als Berechtigung allenfalls zugriff auf den Speicher – und eigentlich nicht einmal das, da er derart kleine Datenmengen durchaus in dem ihm zugewiesenen Speicherbereich (im Gerätespeicher) ablegen kann. Zugriff auf's Netzwerk ist da eher unerwünscht: woher weiß ich, dass die App dies nicht ausnutzt, um meine Passwörter "anderswo" zu speichern?

    Schauen wir uns die Empfehlungen dieses Artikels einmal unter diesem Gesichtspunkt an:

    * Google's "Smart Lock": zwar im System integriert, speichert meine Passwörter aber "in der Cloud". Nope.
    * Avira: Neben dem Netzwerk-Zugriff möchte dieser Passwort-Manager auch Bluetooth-Geräte pairen, den Google Billing Service nutzen, Accounts auf meinem Gerät auskundschaften (um dort automatisch einzuloggen), schauen welche Apps installiert sind oder laufen, und mehr. Unseriös, da all dies NICHT zur Passwort-Verwaltung benötigt wird. Keine dieser Berechtigungen wird übrigens erklärt.
    * Keepass2Android: die Offline-Variante ist die einzige hier genannte App, bei der ich nichts auszusetzen hätte :)
    * LastPass: Netzwerk-Zugriff, NFC, Bookmarks schreiben, Konten auf dem Gerät finden/erstellen/benutzen (wohl für den Account bei LastPass), Standort (wozu braucht man den bei einer Passwort-Verwaltung???), Audio aufnehmen (für "Sprachnotizen" – was hat das mit einem Passwort-Manager zu tun?), Cloud Messages … Speichert die Passwörter übrigens auch in der Cloud. Siehe dazu (und zu anderen Online-Passwort-Diensten) auch wiederum bei Mike Kuketz: https://www.kuketz-blog.de/android-passwort-manager-mit-sicherheitsluecken/

    Einziger Lichtblick im Artikel ist somit Keepass2Android – alles andere verdient einen fetten Daumen nach unten, sorry.


    • Aries vor 6 Monaten Link zum Kommentar

      Ich habe lange Zeit KeePassDroid verwendet, bin aber vor kurzem auf Keepass2Android Offline umgestiegen. Ist das gleiche, nur moderner gestaltet und mit ein paar Zusatzfunktionen wie Schnellentsperrung (abschaltbar).

      Die Berechtigung Speicher macht Sinn. Ich synchronisiere meine Containerdatei mit einem Cloudspeicher (mittels FolderSync), damit ich auf allen Geräten den gleichen Stand habe. Das wäre mit dem zugewiesenen Speicherbereich nicht möglich.

      Dank der AES256-Verschlüsselung ist die Containerdatei eigentlich gut für die Speicherung in einer Cloud abgesichert, aber wer will, kann ja nochmal verschlüsseln.

      Cloudbasierte Passwort Manager sind ein Sicherheitsrisiko! Denn der Betreiber des Cloudspeichers muss die Dateien entschlüsseln können. Das kann dann auch ein unzuverlässiger Mitarbeiter oder ein Hacker, der ins System eingedrungen ist. Daher sind diese Lösungen für mich ebenfalls ein No-Go.

      E-Mail-Adressen auf Webseiten überprüfen zu lassen, ob sie in irgendwelchen Hacker-Listen stehen, ist vollkommen sinnlos. Wer sagt, dass die Listen komplett sind? Wer sagt, dass der betreiber der Seite nicht seinerseits gültige E-Mail-Adressen damit sammelt, die er dann in diversen Portalen durchprobieren kann oder verkauft?

      Izzy


      • Izzy
        • Blogger
        vor 6 Monaten Link zum Kommentar

        Aries, das Problem ist nicht nur, dass man seine E-Mail Adresse (oder gar das Passwort, um zu prüfen, wie "sicher" es ist) auf solchen Seiten eingeben soll – sondern auch der Sack voll Tracker, der auf diesen Seiten verankert ist (und die Daten gleich mit abgreift).


      • Aries vor 6 Monaten Link zum Kommentar

        Schon klar, aber das hattest Du bereits thematisiert.


  • Izzy
    • Blogger
    vor 6 Monaten Link zum Kommentar

    > könnt Ihr auf der Webseite Have I been pwned überprüfen.

    Also ehrlich, Eric: Das ist mehr als nur fahrlässig. Wir sollen also alle unsere Login-Daten auf irgend einer wildfremden Website eingeben um zu schauen, ob sie bereits bekannt sind? Wenn sie das vorher nicht waren, sind sie es wahrscheinlich danach. So etwas macht man einfach nicht – das ist sicherheitstechnisch ein absolutes No-Go!

    Details zu dieser Site finden sich übrigens im Kuketz Security Blog unter https://www.kuketz-blog.de/have-i-been-pwned/ – wo auch aufgeführt ist, dass sie Javascript von mehreren Drittanbietern (Werbung, Analytics etc) einbindet. Ohne jetzt böses unterstellen zu wollen: Da sollte man definitiv NICHT seine Benutzername/Passwort Kombinationen "prüfen".

    Sorry: 6, setzen. Da kann ich mir das Weiterlesen eigentlich sparen …


  • Ich nutze seit Jahren Keeper, da brauche ich nur ein gutes Passwort in Keeper für meine ca 150 Accounts womit sich die Zugangs Passwörter usw selbstständig durch Keeper in dem jeweiligen Login einfügen


  • Und was ist mit Safelncloud? Einer der besten Passwort Manager. Ich brauche ihn Täglich und bin seit Jahren voll zufrieden. In der Pro Version voll Genial, finde ich.


    • Wer Zusätzliche solche Software braucht ,die leicht auszuhebeln geht ,soll es machen . ;)


      •   23
        Gelöschter Account vor 6 Monaten Link zum Kommentar

        Da spricht der Profi... :-P


      • Was nützt solch PW Manager ,wenn Dienste unsichere Verbindungen nutzen und selbst angreifbar sind .

        Macht wenig Sinn .

        Izzy


      • was für Dienste ? SafeinCloud unterstützt Webspace wie Dropbox, Google Drive usw. oder wer ganz sicher sein will, WebDav / Owncloud auf dem NAS zu Hause. Bei einem dieser Dienste liegt dann die Datenbank in AES256 verschlüsselt. Also selbst wenn man Diensten wie Dropbox und deren Verschlüsselung nicht vertraut, die Passwort-Datenbank landet ja schon verschlüsselt bei dem Dienst und ist nach heutigen Maßstäben mit dem derzeit besten Verschlüsselungsstandard gesichert. Von daher juckt mich das wenig.
        SafeInCloud verschlüsselt lokal die Datenbank und schickt dann eine verschlüsselte Kopie auf den Webspace. Wo ist also das Problem ?


  •   11
    Gelöschter Account vor 6 Monaten Link zum Kommentar

    Wieso nicht das gute alte Notizbuch wo man kryptisch die Passwörter entsprechend vermerkt und dieses gut aufbewahrt? Wäre zu mindestens online nicht angreifbar.


    • Genau. Und auch nie griffbereit, wenn man es braucht.


      •   11
        Gelöschter Account vor 6 Monaten Link zum Kommentar

        Theorie bestätigt. Dann sind die so safe, dass man selbst nicht mehr auf die Passwörter kommt, wenn es darauf ankommt.

        Aber Spaß bei Seite, man sollte das Notizbuch in greifbare Nähe sicher lagern.


      • Du scheinst nur zu Hause deinen PC zu nutzen, oder?

Zeige alle Kommentare

Empfohlene Artikel

Dank ist diese Seite frei von Werbebannern