Passwörter im Internet müssen sicher sein, damit Hacker sie nicht entschlüsseln können. Einfache Zeichen-folgen wie «12345» oder «Passwort» sind schnell geknackt.
Doch komplizierte Buchstaben- und Zahlenfolgen sind schwer zu merken. Wer viele Passwörter auf dem Handy verwendet, braucht deshalb entweder ein gutes Gedächtnis – oder speichert die Passwörter ab. Bei vielen Handys geht das direkt auf dem Gerät – und zwar ohne Zusatzsoftware. Doch das ist nicht sicher: Apple und Google könnten Zugriff auf diese Passwörter haben. Zudem kann jeder, der den Pin-Code fürs Handy kennt, die Passwörter lesen.
Für Passwörter ist deshalb eine Passwortmanager-App die bessere Wahl. Damit muss man sich nur ein einziges Hauptpasswort merken. Danach erhält man automatisch Zugriff auf alle gespeicherten Passwörter (siehe Grafik im PDF). Solche Apps gibt es für iPhones und Android-Handys.
Ein Passwortmanager kennt viele Anmeldedaten für Websites, Internetshops oder fürs E-Banking. Deshalb müssen die Anwender ihm blind vertrauen können.
Doch ein Test von Experten des IT-Fachmagazins «c’t» ergab: Viele Passwortmanager-Apps sind nicht sicher.
Die Experten scannten mit teils eigens dafür programmierter Software, welche Daten die Apps wo speichern und welche sie weitergeben. Getestet wurden 24 Apps für Android-Smartphones.
Gut schnitten folgende sechs Apps ab:
1Password, Keepass2Android, mSecure, PasswdSafe, SaferPass und SecureSafe.
18 der getesteten Apps spionieren Handybesitzer aus:
Avira, Bitwarden, Cyclonis, Dashlane, Enpass, eWallet, F-Secure ID Protection, Kaspersky, Keeper, LastPass, McAfee True Key, Nordpass, Password Depot, RoboForm, SafeInCloud, Steganos Passwort-Manager, StickyPassword und Trend Micro.
Diese Apps gaben Informationen an Datensammler weiter. Damit lassen sich Benutzerprofile erstellen: Was kauft der Handybesitzer ein? Was sind seine Interessen?
Viele Passwortmanager gaben Informationen an Google weiter. Daneben auch an Facebook, Amazon oder Microsoft.
Am schlechtesten schnitt LastPass ab. Die App kontaktierte gleich vier Datensammler. Avira, Dashlane und Truekey sendeten Nutzerdaten an drei Datensammler. Es ist davon auszugehen, dass die iPhone-Versionen der Apps ein ähnliches Verhalten beim Datensammeln haben. Ein weiteres Problem: Kopiert man ein Passwort aus dem Manager in eine Website, schreibt die Manager-App das Passwort in einen speziellen Speicher namens «Zwischenablage». Von dort aus können andere Apps auf dem Handy auf das Passwort zugreifen. Viele Manager-Apps löschen das Passwort erst spät oder gar nicht automatisch aus dem Speicher. So bleibt es für andere Apps sichtbar.
Vorbildlich waren die kostenlosen Manager-Apps Keepass2Android und PasswdSafe. Sie senden keine Daten. Ihr zusätzlicher Vorteil: Beides sind Open-Source-Apps. Ihr Programmcode ist öffentlich einsehbar. Jeder kann nachprüfen, ob die Apps spionieren oder nicht. Benutzerfreundlicher als PasswdSafe ist Keepass2Android. Die Variante fürs iPhone heisst Keepass Touch (siehe Kasten).
So verwenden Sie Keepass2Android und Keepass Touch
Die App herunterladen und öffnen. Danach eine Datenbank erstellen, in der später die Passwörter gespeichert werden. Dazu auf das Plussymbol drücken und ein möglichst sicheres Passwort wählen. Es sollte Buchstaben, Zahlen und Sonderzeichen enthalten. Achtung: Dieses Passwort müssen Sie sich merken. Sonst können Sie später nicht mehr auf die Datenbank zugreifen.
Nun kann man in der Datenbank einen neuen Eintrag erstellen. Beispiel: Benutzernamen und Passwort eines Internetshops eingeben, den Sie öfter besuchen. Tippen Sie dazu in der Datenbank auf das Plussymbol (bei Android zusätzlich auf das Schlüsselsymbol und auf «Standardeintrag»). Dann die nötigen Infos in den neuen Eintrag einfüllen. Sinnvoll ist auch ein aussagekräftiger Titel, damit Sie später wissen, für welche Website der Eintrag gilt. Nun klicken Sie beim iPhone auf «Fertig», bei Android oben auf das Diskettensymbol.
Beim iPhone in den Einstellungen «Passwörter» wählen, dann «Automatisch ausfüllen». Bei «Keepass Touch» ein Häkchen machen. Bei Android die Tastatureneinstellungen suchen, meist unter «Sprache & Eingabe». «Tastatur auswählen» anklicken und «Keepass2 Android» aktivieren. Als Standardtastatur auswählen.
Wenn Sie nun Anmeldedaten benötigen, öffnen Sie die Keepass-App und darin die Datenbank. Suchen Sie den entsprechenden Eintrag. Wenn Sie auf den Benutzernamen oder das Passwort drücken, wird es automatisch kopiert. Sie können es nun auf der Website in der Browser-App einfügen.