Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem Forschungszentrum Informatik (FZI) zehn gängige Passwortmanager untersucht und dabei zentrale Sicherheitsmerkmale verglichen – von der verwendeten Kryptografie über den Umgang mit Cloud-Synchronisation bis hin zur Frage, ob Hersteller theoretisch Zugriff auf gespeicherte Passwörter erhalten könnten. Dabei zeigt sich: Drei der getesteten Programme speichern Daten so, dass ein Herstellerzugriff technisch möglich bleibt. Weitere Defizite betreffen unvollständige Verschlüsselung, unzureichende Standardkonfigurationen oder fehlende Neuverschlüsselung nach Änderung des Masterpassworts.

Teils veraltete Kryptografie

Besonders große Unterschiede gibt es bei der Kryptografie: Nur vier Programme setzen vollständig auf etablierte, korrekt konfigurierte Verfahren. Einige Anbieter nutzen veraltete Parameter wie RSA-2048 oder nicht empfohlene Algorithmen. Zudem verschlüsseln nur wenige Passwortmanager wirklich alle Felder – viele speichern Metadaten wie URLs oder Nutzernamen im Klartext, was Angriffe vereinfacht. Auch der Umgang mit Synchronisationsmechanismen variiert stark: Manche Produkte setzen auf reine Client-seitige Verschlüsselung, während andere auf serverseitige Prozesse angewiesen sind, bei denen Schlüssel zeitweise auf Herstellerservern im Speicher liegen.

Mäßige Sicherheitsmaßnahmen

Die Testergebnisse zeigen zudem Schwächen in der Standardkonfiguration: Acht von zehn Anwendungen verschlüsseln den Container nach Änderung des Masterpassworts nicht vollständig neu, was Angriffsflächen offenlässt. Einige Programme erlauben das Zurücksetzen oder Ändern des Masterpassworts über biometrische Funktionen – ein Risiko bei gestohlenen oder kompromittierten Geräten. Browserintegrierte Passwortmanager wie Chrome oder Firefox bieten zwar Komfort, unterscheiden sich aber deutlich darin, ob eine Passphrase oder ein Hauptpasswort für lokale Verschlüsselung vorausgesetzt wird.

Passwortmanager trotz Mängel sinnvoll

Trotz der identifizierten Mängel hält das BSI an einer klaren Empfehlung fest: Passwortmanager erhöhen die Sicherheit erheblich, da sie starke, eindeutige Passwörter ermöglichen und das Risiko schwacher oder wiederverwendeter Zugangsdaten reduzieren. Die Studie liefert Verbrauchern eine technische Vergleichsgrundlage und fordert Hersteller auf, Zero-Knowledge-Architekturen umzusetzen, etablierte Kryptostandards einzuhalten, vollständige Transparenz über Sicherheitsmechanismen zu schaffen und Updates sowie Auditberichte offen zu dokumentieren. Verbesserungen seien bereits von mehreren Unternehmen zugesagt worden.