Passwort-Manager im "Test"
Stiftung Warentest: Enpass und 1Password nur eingeschränkt empfehlenswert
Die Stiftung Warentest hat sich neun Passwort-Manager für Windows, Mac, Android und iOS angesehen und miteinander verglichen. Neben den eingesetzten Sicherheitskonzepten, die in der Endnote mit 40% gewichtet wurden, haben die Prüfer ein besonderes Augenmerk auf Handhabung (ebenfalls 40 Prozent) und Zusatzfunktionen (20 Prozent) gelegt.
Das Datensendeverhalten der geprüften Anwendungen wurde ebenfalls observiert, floss aufgrund wenig relevanter Ergebnisse allerdings nicht in die Endnote ein.
Fünf senden Daten an Dritte – Durchleuchtet haben wir auch das Daten- sendeverhalten der Passwort-Apps für die Handy-Betriebssysteme iOS und Android. Das Ergebnis: Die Android-Apps von Dashlane, Kaspersky, LastPass, Keeper Security und True Key Premium übermitteln Daten, die sie nicht für ihren Betrieb brauchen. Einige senden etwa die Identifikationsnummer des Gerätes an Dritte. Das sollte nicht sein, schmälert die Vorteile der Manager aber nur wenig.
Im Test, der neben bekannten Anwendungen wie LastPass, 1Password und Enpass auch weniger verbreitete Tools wie Dashlane, SafeInCloud und Keeper Security sowie die Passwort-Verwaltungen von Intel, Kaspersky und F-Secure berücksichtige, gibt es keinen klaren Gewinner.
In der finalen Wertung hat die Stiftung Warentest lediglich zwei Noten vergeben und etwa die Hälfte aller Kandidaten mit dem Prüf-Fazit „empfehlenswert“, die andere Hälfte mit der Wertung „eingeschränkt empfehlenswert“ versehen. Die beiden Mac-Tools Enpass und 1Password fallen dabei in die letzte Kategorie.
Warum genau Enpass und 1Password im nicht ganz so guten Töpfchen gelandet sind, erschließt sich interessierten Anwendern allerdings auch nach der 1,50 Euro teuren Investition in den Warentest-Artikel nicht (wie wir gerade feststellen mussten).
Im Gegensatz zu Dashlane werden die Sicherheitsfunktionen der Community-Favoriten schlechter eingestuft – „Sehr gut“ für Dashlane, „Befriedigend“ für Enpass und 1Password – zudem fingen sich beide Mac-Apps ein „Mangelhaft“ für ihre fehlende Bedienungsanleitung ein. Nach welchen Kriterien die Stiftung ihre Noten vergeben hat, wird allerdings nicht klar.
Update: Den bislang abgedruckten Tabellen-Auszug mussten wir auf Wunsch der Stiftung Warentest aus dem Artikel entfernen.
Die Stiftung Warentest ist ein alter Mann.
Schon öfter fiel mir die Stiftung Warentest bei „neuen Sachen“ eher negativ auf. Ich vertraue der Stiftung bei Staubsaugern und Küchenmaschinen. Alles was mit Computern (in welcher Art auch immer) zu tun hat, vertraue ich lieber auf das Testurteil von etwas jüngeren Institutionen.
Und wo ist da heute kein Computer drin? Okay im Holzrührloffel vielleicht.
Selbst der hat heutzutage eine App-Anbindung
warts ab, geht bestimmt nicht mehr lange
Sehr ich genauso, aber was würdest du als Alternative empfehlen?
Selbst da vertraue ich ihr nicht. Die Testsieger-Spülmaschine hat die größten Reinigungsmängel die je eine Spülmasxhine produziert hat. Der Testsieger-Staubsauger hat einen viel zu kurzen Schlauch und sehr unpraktische Rollen.
Zudem ist das Testverfshren leider mehr als intransparent.
Stiftung Warentest war in den 79er/80er Jahren nich ganz hilfreich. Das ist seither nicht mehr so.
70er…
nich = noch
also sind sie seither hilfreich?
Klingt erstmal wenig belaastbar. Habt bei denen angefragt, wie getestet wurde?
Stiftung Warentest und Software ist wie Feuer und Wasser. Das passt nicht zusammen.
Stiftung Warentest soll bei Einzelhandel Produkten bleiben…
Dann hat Enpass, 1Password und Stiftung Warentest ja etwas gemeinsam – eingeschränkt empfehlenswert.
KeePass verwenden und alles wird gut :-)
This. Weiß gar nicht, wie man auf die Idee kommen kann, bei so sensiblen Daten auf proprietären Kram zurückzugreifen.
…und? Quelltext durchgelesen und für gut befunden?
Also nur Open Source ist sicher? Falls du Auto Zug oder Bus fährst vertraust du sogar den lieben diesen proprietären System an.
@wi: Nein, aber bei Open Source vertraue ich eher darauf, dass kritischer Code entdeckt wird, als bei Closed Source. Das Das kbdx-Format ist offen und für mich sicher genug. Außerdem geht Minikeepass nicht online, die Daten bleiben also bei mir.
Selbst das reicht nicht. Er müsste auch das Binary aus dem zur Verfügung stehenden Quelltext bauen und mit dem Binary im AppStore vergleichen um ausschließen zu können, dass nicht doch Modifikationen vorgenommen wurden. Deshalb verstehe ich nicht, was die Leute an OpenSource so unendlich viel sicherer finden. Externe Audits finde ich viel interessanter. Dann muss auch niemand seine Geschäftsgrundlage veröffentlichen.
Wir können das noch weiter auf die Spitze treiben, wie es Ken Thompson in „Reflections on trusting trust“ (siehe z.B. delivery.acm.org/10.1145/1290000/1283940/a1983-thompson.pdf) tut. Dann müssten wir sogar den Quellcode aller an der Generierung beteiligten Tools in Augenschein nehmen, denn auch dort kann eine Routine versteckt sein, die systematisch Backdoors einbaut. Selbst wenn das alles Open Source ist hat man eine Menge zu lesen…
+1
Das Datensendeverhalten von Dashlane ist kritisch, aber die App ist trotzdem empfehlenswert? Damit habe ich so meine Probleme.
Das Datensendeverhalten der Android App ist kritisch, weil es die Geräte-ID des Handys mitschickt. Bei iOS ist das Problem laut Stiftung Warentest nicht gegeben.
komplett sinn freier test
Ich benutze auch MiniKeePass. Läuft super und ist quelloffen.
Wenn ich mir den Test so anschaue, wurde bei der Einteilung zwischen „Empfehlenswert“ und „Eingeschränkt empfehlenswert“ insbesondere auf die Zwei-Faktor-Authentifizierung Wert gelegt.
Die aber nur eine Rolle spielt, wenn man seine Passwörter bei 1Password in die Cloud packt. Enpass hat z.B. keine Cloud. Hoffe da gabs keine Abzüge für die fehlende 2FA.
Hmmm…Ich überlege gerade, wann ich das letzte mal einen Bericht in TEST mit messbaren, nachvollziehbaren Testkriterien gesehen habe…Einen vertraglich vereinbarten „Acceptance Test“ würden die so jedenfalls niemals durchbringen…
Wie kann ein Passwortmanager mit „kritischem Datensendeverhalten“ die Empfehlung von Stiftung Warentest werden. Ich meine… echt jetzt?
Wir sind hier aber schon bei ifun, oder? Keine der kritischen Datensendeverhalten betreffen Mac-Produkte.
die verdienen auch nur Geld Mit Ihren Artikeln, dass die dann ggf. komisch ausfallen sollte inzwischen bekannt sein :-)
Was kann man denn jetzt wirklich empfehlen?
Auf den ersten Blick ähneln sich die Funktionen ja ziemlich. Ich vermute Dashlane hat wegen der Zwei-Faktor-Authentifizierung eine bessere Note beim Sicherheitskonzept bekommen. Was durchaus nachvollziehbar ist.
Aktuell verwende ich noch 1Password, da ich bisher noch nicht zum Abo-Modell gezwungen wurde. Ansonsten steht Engpass schon bereit (solang sie bei der Einmalzahlung bleibt).
Da Dashlane auch auf Abo setzt, ist das für mich kein Thema und generell scheint das Monetäre viel zu wenig in den Test einzufließen.
Ein Upgrade auf die nächste Version von 1P wird sich standalone möglich sein, wurde so vor einiger Zeit in ihrem Blog bekannt gegeben. Kostet halt.
Danke für die Info. Dann hoffe ich mal, dass Engpass nicht auch auf Abo umstellt. 1Password wäre dann damit für mich gestorben.
Passwordsafe.de war für mich lange Zeit der beste Passwortmanager überhaupt, leider nur auf Windows und iOS Geräte und nicht auf dem Mac verfügbar.
Deutscher Hersteller, deutscher Support, keine Cloud notwendig ( aber möglich ), Sync per Wlan, gute Browsereinbindung.
Laut Süddeutsche haben im Testbericht von Stiftung Warentest bei „Sicherheitsfunktionen“ nur Produkte gute Wertungen bekommen, die eine Zwei-Faktor-Authentifizierung bieten, ein komplexes Masterpasswort erzwingen und die Voreinstellung des Passwortgenerators ebenfalls komplexe Passwörter erzeugt. Aber auch Süddeutsche schrieb das die Empfehlungen von Stiftung Warentest nicht unbedingt die beste Empfehlung für alle Anwender sein muss.
Eigentlich bietet Agilebits eine Bedienungsanleitung an: Tage an Video Material
Stiftung Warentest testet Software wahrscheinlich wie Schokolade … damit hat sie sich schon genug nackig gemacht. Die Relevanz dieses Vereins ist inzwischen ja eh bei völlig uninteressant
In Zeiten wo es tausende Produktbewertungen bei Amazon, Apple u. Co, sowie zahlreiche unabhängige Produktvorstellungen und Test von Bloggern und Vloggern (sogar mit teardowns) im Netz gibt, ist Stiftung Warentest einfach obsolet, gestrig und museumsreif. Ja, auch bei Küchenmaschinen.
NAja, da vertraue ich aber eher der Stiftung Warentest als den tausenden gekauften Bewertungen bei Amazon und Co. oder den werbefinanzierten und somit voreingenommenden Bloggern.
Grundsätzlich falsch. Ein Testinstitut kann (ich sage bewusst „kann“) viel tiefgreifender testen. Eine Bewertung sagt nur darüber etwas aus, ob der Nutzer zufrieden ist. Datenschutz zB kann der Nutzer gar nicht prüfen.
Bei im Schnitt 30 % gekaufter Bewertungen eine gewagte These.
Da drängt sich glatt die Frage auf: Wenn Stiftung-Warentest Vibratoren testet, ist dann ‚befriedigend‘ besser als ‚gut‘?
kommt darauf an, wofür du dein Handy verwendest
Bin jetzt komplett auf LastPass umgestiegen vom iCloud Keychain, da Safari einfach zu wenig/langsam entwickelt wird und Chrome leider nicht mehr auf den Keychain setzt. (habe jetzt eisern 14 Jahre lang an Safari festgehalten..).
Ein bisschen mulmig ist mir dabei schon aber ich hoffe einfach mal dass sie ihre Hausaufgaben machen. Stiftung Warentest sollte man vielleicht einfach auf die Kategorien achten – das mit der Bedienungsanleitung ist natürlich ein Witz.
liebe leute… stiftung warnetest: wie gesagt, eine stiftung.
wohl eine der letzten unabhängigen institutionen im land, die nicht werbefinanziert und abhängig und tendenziös sind, wie fast der ganze angeblich-test-schrott-kram im netz.
wo bitte schaut ihr denn nach? beim blogger? der sich gerade wieder freut, was umsonst bekommen zu haben?
ich finde es gut, dass mal jemand auf zu wenig support und keine bedienungsanleitung hinweist.
und was heisst alt? kann man auch unbestechliche und lange erfahrung nennen.
ich persönlich mag mir technischen kramnicht von grinsenden und albernen bloggern um die ohren hauen… . )
Prinzipiell geb ich dir Recht, aber ein Test ohne transparente Testkriterien ist für mich nicht valide, egal ob unabhängig oder nicht. Und es gab in der Vergangenheit schon öfters Fälle, in denen die Ergebnisse mehr als nur fraglich ist. Da finde ich nachvollziehbare Ergebnisse von Blogger hilfreicher
Letztendlich ist es immer eine Frage des Vertrauens. Und da vertraue ich doch der Stiftung Warentest mehr als einem Blogger der mir genauso alles mögliche erzählen kann.
Bei der Stiftung Warentest kann ich wenigstens davon ausgehen, dass das Gerät neutral gekauft wurde und keine Verbindung zum Händler bzw. gar Hersteller besteht. Beim professionellen Blogger kann man davon ausgehen, dass er eine Verbindung hat.
Der ADAC iswt auch ein Verein. Und trotzdem verdienen die massenhaft Geld, obwohl sie es gar nicht dürften. Und auch eine Stiftung will Geld einnehmen, um sich seinen Luxus zu finanzieren.
stiftung warnetest ???
Perfekt getroffen! You made my day!
Abgesehen davon Holger, finanziert sich die Stiftung Warentest vor allem durch den Verkauf ihrer Zeitschriften, Pblikationen etc… D.h. sie ist darauf angewiesen, dass sich der Mist verkauft – das ist bei weitem also keine Garantie für eine völlig sachlich neutrale Bewertung der Produkte – nicht anders wie beim Blogger
und warum nicht ausschließlich auf Apples Keychain setzen? Der häufigste Fall ist doch sicher das Einloggen auf Websites und nicht permanent in Apps, oder ist das bei euch anders???
Wie z.B. syncst du deinen Schlüsselbund mit Win- und Android-Geräten? Um nur mal einen Vorteil zu nennen für Menschen, die in gemischten Umgebungen arbeiten. ;) Andere Vorteile liegen in Umfang, Übersichtlichkeit, Zugänglichkeit, u.a.m. Apples Schlüsselbund ist gut, aber nach wie vor rudimentär.
Ist doch bekannt. Ist wie bei Ratingagenturen und Gartner, vorher wissen was gefragt wird und geld zahlen. Wahrscheinlich bekommt Stiftung warentest von der software eld. Bedienungsanleitung was ist das? Braucht man das noch heutzutage? Damit die Wertung nicht relevant.
Stiftung Warentest ist für mich kein Kriterium. Deren Tests sind oftmals völlig neben der Realität und die Ergebnisse ergeben sich aus nicht nachvollziehbaren Begründungen. Ich vermute mal, dass Werbekunden dort bewusst bevorzugt werden. Ich erinnere mich zB an einen Test von 5 Frendobjektiven, die alle unterschiedlich bewertet wurden, obwohl sie in Wirklichkeit alle vom selben Bank kamen. Sie wurden nur anders gelabelt.
Werbekunden bei Stiftung Warentest? ;)Reiß‘ dich mal das nächste mal zam und überlege erst einmal, was du von der Materie überhaupt weißt, bevor du zu dieser kommentierst.
Sehe ich das richtig das Dashline gar nicht OTP für die gespeicherten Logins unterstützt? Ist nicht deren ernst oder?