Passwortmanager stellen eine Möglichkeit zur Passwortverwaltung dar und es bestehen hohe Anforderungen an deren IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Sicherheitseigenschaften von zehn ausgewählten Passwortmanagern untersucht.
Das FZI Forschungszentrum Informatik hat dabei mitgewirkt. Ein Ergebnis lautet: Wie bei jeder anderen Software gibt es auch bei einzelnen Passwortmanagern Verbesserungsbedarf. Drei von zehn der untersuchten Passwortmanager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht. Dies erhöht prinzipiell die Angriffsfläche auf Seiten des Herstellers, die durch ergänzende kompensatorische Maßnahmen mitigiert werden muss. Nutzende müssen diesen zusätzlich ergriffenen Maßnahmen vertrauen. Bei cloud-basierter Speicherung der Daten im Passwortmanager sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren. Diese finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.
Geprüft wurden: Chrome Password Manager; Mozilla Firefox Password Manager; 1Password (App); Avira Password Manager (App); mSecurce – Password Manager (App); PassSecurium (App); S-Trust Passwort-Manager; SecureSafe Password-Manager.
Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibt die Empfehlung klar: Passwortmanager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein. Die Untersuchung ermöglicht es, sich vor der Auswahl eines Passwortmanagers gründlich über die Funktionalitäten und Sicherheitsmerkmale ihrer präferierten Anwendung zu informieren. Hierfür enthält der Abschlussbericht eine tabellarische Darstellung.
