Passwortmanager im Browser vs. dedizierte Tools: Was ist besser?
Internet ohne Passwortmanager: fast undenkbar
Heute ist das digitale Leben ohne Passwortmanager sehr schwierig geworden. Dutzende oder Hunderte Passwörter und andere Login-Informationen wollen gespeichert werden, was im menschlichen Gehirn kaum noch machbar ist. Also greifen die meisten Anwender auf andere Lösungen zurück: Sie speichern ihre Passwörter direkt im Browser, verwenden externe Programme oder schreiben sich die Passwörter einfach in einem Dokument auf.
Die Alternative besteht darin, einfach auf jeder Webseite und in jeder App dieselben Login-Daten zu verwenden. Dies ist jedoch ein erhebliches Sicherheitsrisiko: Ist ein einziges Konto geknackt, fallen alle anderen Accounts wie Dominosteine direkt hinterher. Vor allem bei Daten, an die finanzielle Werte gebunden sind, kann dies eine Katastrophe sein.
Reichen Browser aus?
Alle großen Browser bieten Ihnen inzwischen die Möglichkeit, Passwörter und andere Anmeldedaten im Browser zu speichern. So werden zum Beispiel Login-Name und Passwort gesichert und einer bestimmten Webseite zugewiesen, sodass Sie beim nächsten Aufruf der Webseite nur auf einen Button klicken müssen, um die Daten automatisch eintragen zu lassen. Diese Passwortdatenbanken können beträchtliche Ausmaße erreichen und gelten als sicher - aber zu 100 % haben sie noch nicht zu ihren Konkurrenten, den externen Passwortmanagern, aufgeschlossen.
Dennoch gibt es bereits wichtige Features wie eine Synchronisierung über mehrere Geräte oder auch einen Schutz, sodass die Passwörter nicht bearbeitet werden können, bis ein Masterpasswort eingegeben wurde - aber an anderen Stellen mangelt es noch an Flexibilität.
Bequem, kostenlos, aber…
Die Passwortmanager in den Browsern haben den Vorteil, dass sie sehr bequem und einfach sind. Einen Browser benutzt jeder Mensch, der einen Computer verwendet, sodass auch der Passwortmanager automatisch verfügbar ist. Um ein Passwort zu speichern und bei Bedarf einzutragen, reichen ein oder zwei Klicks.
Zusätzlich sind diese Manager kostenlos direkt in den Browser integriert. Das können viele externe Manager zwar ebenfalls, aber oft verstecken sie bestimmte Funktionen hinter einer Paywall, sie erfordern also eine Zahlung. Ob Sie diese Funktionen wirklich benötigen oder nicht, sei dahingestellt und muss von Fall zu Fall persönlich entschieden werden.
Typische Nachteile der Browsermanager sind unter anderem:
• Der Passwortmanager von Firefox kann keine Daten in Edge eintragen - oder umgekehrt. Nutzen Sie den Passwortmanager in einem bestimmten Browser, heißt das automatisch, dass diese Daten in einem anderen Browser nicht zur Verfügung stehen. Wechseln Sie häufig den verwendeten Browser, kann dies also dazu führen, dass Ihre Passwörter quer über alle Programme verstreut sind - sehr lästig im Alltag.
• Bestimmte Funktionen fehlen, wie beispielsweise die Freigabe von Passwörtern für andere Personen im Haushalt oder die Unterteilung in Gruppen. Vielleicht nutzen Sie einige Passwörter beruflich, andere hingegen privat. Externe Manager erlauben es Ihnen, dafür separate Gruppen zu stellen - doch Passwortmanager in Browsern können dies nicht.
Zusammengefasst können wir somit festhalten, dass Browsermanager bei Komfort und Kosten profitieren, aber weniger Flexibilität und Funktionen bieten. Um dies mit einigen praktischen Beispielen zu untermauern, schauen wir uns nun drei Passwortmanager in den aktuell marktführenden Browsern an.
Mozilla Firefox
Um den Passwortmanager aufzurufen, klicken Sie zuerst oben rechts auf die drei Striche (auch Hamburger-Menü genannt). Rufen Sie danach "Passwörter" auf. Ihre erste Amtshandlung im Passwortmanager sollte daraus bestehen, die Passwörter nur nach Eingabe eines Masterpassworts offenzulegen, denn Firefox präsentiert alle gespeicherten Passwörter ansonsten jeder Person, die Zugriff auf den Computer hat:
1. Klicken Sie oben rechts im Passwortmanager auf die drei Punkte und anschließend auf "Einstellungen".
2. Aktivieren Sie den Haken vor "Hauptpasswort verwenden".
3. Legen Sie ein (möglichst sicheres, einmaliges) Passwort fest, um die anderen Passwörter zu schützen.
Ein interessantes, Firefox-exklusives Feature sind die E-Mail-Relays. Damit geben Sie auf einer Webseite nicht Ihre tatsächliche E-Mail-Adresse an, sondern eine von fünf verschiedenen Adressen, die Ihnen von Mozilla zugewiesen werden. In diesen Relay-E-Mail-Adressen speichern Sie Ihre tatsächliche Adresse. Melden Sie sich also auf einer Webseite mit einer Mozilla-E-Mail an, werden alle dort eingehenden E-Mails automatisch an Ihre eigentliche Adresse weitergeleitet. So können Sie sich Accounts auf Webseiten erstellen, ohne Ihre reale E-Mail-Adresse preisgeben zu müssen.
Synchronisation unter Firefox
Normalerweise ist die Synchronisierung von Passwörtern unter Firefox nicht aktiviert. Über mehrere Geräte hinweg werden Ihre Passwörter also nicht miteinander verknüpft. Dies können Sie leicht ändern:
1. Klicken Sie zunächst in den Einstellungen auf "Zum Synchronisieren anmelden".
2. Legen Sie sich dort ein Konto an oder loggen Sie sich in Ihrem bestehenden Account ein.
3. Fertig: Alle Passwörter werden nun synchronisiert.
Von diesen Einstellungen sind alle Daten und Passwörter betroffen - mit Ausnahme von Kreditkarteninformationen. "Kreditkarten automatisch einfügen" ist standardmäßig eingeschaltet, Sie können die Funktion jedoch auch deaktivieren. Die CVV-Nummer speichert Firefox übrigens niemals und Sie können das Programm aus Sicherheitsgründen auch nicht dazu zwingen.
Möchten Sie dafür noch mehr Schutz genießen, aktivieren Sie im selben Fenster die Option "Windows-Authentifizierung anfordern, um gespeicherte Kreditkarten automatisch auszufüllen, anzuzeigen oder zu bearbeiten". Dann müssen Sie sich via Windows Hello einmal authentifizieren, damit Kreditkarteninformationen geändert werden können.
Mozillas Schwäche: Android
Nicht so gut gelingen die genannten Features unter Android. Zwar funktioniert der Browser dort ebenfalls tadellos, doch Login-Informationen werden nur für Webseiten angeboten. In Apps wiederum kann Firefox nichts speichern. Microsoft und Google machen es in diesem Bereich besser, denn dort werden Sie von den Browsern auch dann gefragt, wenn eine App nach einem Passwort verlangt. Vielleicht kann Mozilla hier noch nachbessern.
Microsoft Edge
Genauso wie bei Firefox öffnen Sie auch in Microsofts Edge-Browser den Passwörtermanager:
1. Klicken Sie rechts oben auf das Menü mit den drei Punkten und gehen Sie auf "Einstellungen".
2. Wählen Sie, sofern nötig, das Profil aus, für das Sie auf die Passwörter zugreifen möchten.
3. Öffnen Sie die Option "Kennwörter".
Möchten Sie aus der Liste nun eines der Passwörter einsehen, klicken Sie auf das Symbol, das einem Auge ähnelt. Danach müssen Sie sich via Windows Hello anmelden - entweder über eine PIN oder biometrisch mit Fingerabdruck oder Gesichtsscan. Anders als bei Firefox sind Ihre Passwörter also immer geschützt und Unbefugte haben keine Chance, an diese Daten zu gelangen.
Normalerweise füllt Edge Anmeldeformulare automatisch aus, sobald der Browser erkennt, dass Sie sich auf einer Webseite befinden, für die diese Daten zur Verfügung stehen. Falls Sie die nicht wünschen, helfen folgende Tipps:
1. Klicken Sie unter "Kennwörter" auf "Weitere Einstellungen".
2. Weiter geht es zu "Fordern Sie die Eingabe des Gerätekennworts an, bevor Sie das Website-Kennwort eingeben".
3. Jetzt verlangt Edge erst die Eingabe des Windows-Passworts, bevor Daten eingetragen werden.
Hier können Sie noch etwas feiner abstufen, indem Sie zum Beispiel definieren, dass die Eingabe dieser Daten nur einmal pro Session oder tatsächlich für jedes einzelne Formular erfolgen muss. Weitere Sicherheiten bestehen, wenn Sie sich für "Eingabeaufforderung für das benutzerdefinierte primäre Passwort vor Ausfüllen des Websitekennworts" entscheiden. Danach öffnen Sie "Primäres Kennwort erstellen", was dazu führt, dass die automatische Passworteingabe hinter einer weiteren, mindestens vierstelligen PIN verborgen wird.
Synchronisierung unter Edge
Anmeldeinformationen in Edge werden über das Microsoft-Konto automatisch synchron gehalten. Wollen Sie dies nicht, gehen Sie so vor:
1. Öffnen Sie die "Einstellungen" von Microsoft Edge über die drei Punkte oben rechts.
2. Gehen Sie auf "Profile" und anschließend "Synchronisieren".
3. Deaktivieren Sie dort die Option "Kennwörter".
Jetzt werden zwar noch immer viele Daten im Microsoft-Account gespeichert, aber eben nicht mehr Ihre Passwörter. Verwenden Sie Edge auf dem Smartphone und auf anderen Computern, kann dies natürlich ein Problem werden.
Google Chrome
Oben rechts finden Sie auch in Googles Chrome-Browser den Weg in den Passwortmanager. Wahlweise gehen Sie dazu direkt auf "Google Passwortmanager" oder Sie nehmen einen Umweg über das Menüsymbol und anschließend "Einstellungen" sowie "Autofill und Passwörter". Das Resultat ist in beiden Fällen identisch.
Normalerweise werden eingegebene Formulardaten automatisch gespeichert. Im Passwortmanager gibt es die entsprechende Option unter "Einstellungen" sowie "Speicher von Passwörtern anbieten" zu finden. Standardmäßig aktiv ist auch die Synchronisierung von Passwörtern mit Ihrem Google-Account. Diese Einstellung ist etwas tiefer versteckt:
1. Öffnen Sie das Menü mit den drei Punkten und gehen Sie auf "Einstellungen".
2. Weiter geht es nach "Google und ich" sowie "Synchronisierung und Google-Dienste".
3. Zuletzt klicken Sie auf "Verwalten, welche Daten synchronisiert werden" und "Passwörter".
Dort können Sie diese Optionen nun nach Belieben ein- oder ausschalten. Alle hinterlegten Passwörter werden, ebenso wie bei den anderen Herstellern, verschlüsselt gespeichert.
Noch mehr Sicherheit in Google Chrome
Normalerweise werden Passwörter nicht im Klartext an Googles Server übermittelt: Sie werden auf Ihrem Gerät gespeichert, dann an Google übertragen und dort verschlüsselt. Werden also Googles Server "geknackt", können Diebe noch immer nichts mit diesen Passwörtern anfangen. Wollen Sie es trotzdem noch sicherer haben, öffnen Sie die "Einstellungen" im Passwortmanager und gehen dann auf "On-Device-Verschlüsselung einrichten". Dies hat einen Vor-, aber auch einen Nachteil:
• Google gelangt dadurch nicht in Besitz der Schlüssel, die notwendig sind, um Ihre Passwörter zu entschlüsseln. Nicht einmal das Unternehmen kennt also Ihre Daten, was extreme Sicherheit verspricht.
• Aber: Verlieren oder vergessen Sie den Schlüssel, der für die Entschlüsselung Ihrer Passwörter notwendig ist, verlieren Sie den Zugang zu allen gespeicherten Passwörtern. Auch Google kann Ihnen dann nicht mehr helfen.
Hier müssen Sie selbst abwägen, ob Ihnen Komfort oder Sicherheit wichtiger sind. Standardmäßig können andere Personen übrigens nicht auf Ihre Passwörter zugreifen, denn diese stehen ihnen erst dann zur Verfügung, wenn sie das Windows-Kennwort eingeben bzw. sich biometrisch scannen lassen.
Weitere Tipps für Chrome
Das Einfügen von Passwörtern auf Webseiten geschieht ohne Sicherheitsbarrieren. Gefällt Ihnen das nicht, gehen Sie in die Einstellungen des Passwortmanagers. Dort finden Sie die Option "Windows Hello beim Ausfüllen von Passwörtern verwenden". Erst nach Eingabe des Windows-Passworts werden Formulardaten dann automatisch eingetragen.
Sie können den Passwortmanager, sofern gewünscht, auch als separates Programm starten - und zwar so:
1. Gehen Sie in die Einstellungen des Passwortmanagers und dort auf "Verknüpfung hinzufügen".
2. Im anschließenden Fenster klicken Sie auf "Installieren".
3. Nun ist auf dem Windows-Desktop und in der Taskleiste ein Symbol zu sehen, mit dem Sie den Passwortmanager separat aufrufen, ohne eine eigene Browserinstanz zu starten.
Dies kann hilfreich sein, wenn Sie Passwörter für Anwendungen unter Windows aus dem Browser herauskopieren möchten. Anstatt Chrome immer vollständig zu starten, öffnen Sie nun in Zukunft nur den Passwortmanager.
Passwortexport: Übertragung aller Passwörter in CSV-Dateien
Möchten Sie einmalig gesicherte Passwörter in eine externe Datei übertragen, bieten Ihnen die drei großen Browser auch die dafür notwendigen Tools. In den Passwortmanagern der Browser finden Sie dazu Optionen wie "Passwörter exportieren" (Chrome) oder "Kennwörter exportieren" (Edge). Auch Firefox beherrscht diesen Trick.
Den Passwortexport können Sie verwenden, um eine weitere Sicherheitsebene hinzuzufügen - etwa, indem Sie die CSV-Datei auf einem USB-Stick sichern (oder mehreren). Damit wird es unwahrscheinlicher, dass Sie den Zugang zu Ihren Passwörtern verlieren, wenn Sie zum Beispiel das Masterpasswort für die Entsperrung Ihrer Kennwörter vergessen.
Browser oder dedizierter Manager: Wer gewinnt?
Komfort und eine einfache Anwendung sind die Stärken der Passwortmanager, die direkt in die Browser integriert sind. Vor allem bei der Aktivierung von Sicherheitsfeatures wie 2FA sind jedoch die Drittanbieterprogramme wie Bitwarden oder 1Password noch immer besser - und sie bieten sehr viel mehr Funktionen, die vor allem Poweruser ansprechen.
Sicherheitstechnisch nehmen sich die Anwendungen nicht viel, denn Passwortverschlüsselung & Co. sind inzwischen der obligatorische Standard. Vor allem bei der Verwendung zahlreicher Geräte und Anwendungstypen kann es sich auszahlen, vollwertige Programme zu verwenden - denn die speichern alle erdenklichen Informationen für alle Anwendungsvarianten und liefern komfortable Features, wie die automatische Generierung sicherer Passwörter noch dazu.