Du hast 87 Online-Konten. Vielleicht mehr. Online-Banking, Mail, Amazon, Netflix, der Energieanbieter, das Kantonale Steuerportal, das Tierarzt-Portal. Jedes davon will ein Passwort. Realistisch hat fast jeder dreieinhalb Passwörter, die mit kleinen Variationen für alles verwendet werden. Sommer2024!, Sommer2024!!, Sommer25!. Und dann landet eines davon in einem Datenleck – und der Angreifer probiert es bei den 86 anderen Diensten gleich mit durch.
Passwort-Manager lösen das. Und nein, sie sind nicht kompliziert. Hier ist, warum es Zeit ist und welcher passt.
Warum überhaupt
Ein Passwort-Manager ist ein verschlüsselter Tresor für Deine Logins. Du merkst Dir genau ein einziges, sehr gutes Passwort – das Master-Passwort – und der Manager kennt den Rest. Beim Login auf einer Website füllt er die Daten automatisch aus, oft per Browser-Erweiterung oder Smartphone-App.
Was Du dadurch gewinnst:
- Jedes Konto kriegt ein eigenes, starkes Passwort. Niemand kann sich 87 Passwörter merken. Der Manager schon.
- Phishing wird unwahrscheinlicher. Der Manager füllt nur dort aus, wo die Domain stimmt. Wenn Du auf einer gefälschten
amaz0n.com-Seite landest, bleibt das Feld leer – und das ist Dein Warnsignal. - Datenlecks tun weniger weh. Wenn Dein LinkedIn-Passwort mal in einem Leak auftaucht, ist es eben das LinkedIn-Passwort. Nicht das vom Online-Banking.
Welcher ist gut?
Es gibt drei Kategorien: Open-Source-mit-Cloud-Sync, kommerzielle Anbieter, und Browser-eingebaute Manager. Für die meisten Endanwender empfehlen wir folgendes:
Bitwarden – kostenlos, Open Source, Cloud-Sync inklusive. Funktioniert auf allen Geräten, Browser-Erweiterungen für alle gängigen Browser, gute mobile Apps. Wer mehr Komfort will, kann für etwa zehn Franken pro Jahr auf Premium upgraden – aber die Gratis-Version reicht für 90 Prozent der Anwender.
1Password – kommerziell, etwa 36 Franken pro Jahr. Polierter, hat einige nette Extras (Travel Mode, sichere Passwort-Sharing-Funktionen für Familien). Besonders gut, wenn Du im Apple-Universum lebst.
KeePassXC – Open Source, lokal, kein Cloud-Sync. Dein Passwort-Tresor liegt als verschlüsselte Datei auf Deinem Rechner. Cloud-Sync musst Du selbst über iCloud, Dropbox oder Nextcloud machen. Maximale Kontrolle, etwas mehr Aufwand. Empfehlenswert, wenn Du paranoid bist – im positiven Sinn.
Was wir nicht primär empfehlen: die in den Browser eingebauten Manager (Chrome, Firefox, Safari). Sie funktionieren auf einem Gerät, sind aber schwer übergreifend zu nutzen, und ihre Sicherheit hängt komplett am Browser-Login. Für gelegentliche Notizen okay, für ernsthaften Einsatz nicht ausreichend.
Das Master-Passwort – das einzige, das Du Dir merken musst
Wenn Du nur ein Passwort lernen musst, dann dieses: das Master-Passwort. Es muss richtig gut sein – und Du darfst es nirgendwo sonst verwenden. Niemals.
Bewährter Trick: vier zufällige Wörter mit Zahlen und Sonderzeichen dazwischen. Hering!winter-72-Stuhl-fenster ist 33 Zeichen lang, lässt sich nach drei Tagen Üben merken, und ist mathematisch nicht zu knacken.
Zusätzlich: Schalte Multi-Faktor-Authentifizierung für Deinen Passwort-Manager ein. Bitwarden, 1Password und Co. unterstützen das alle. Damit braucht jemand nicht nur Dein Master-Passwort, sondern auch Dein Smartphone. Ein Artikel zu 2FA folgt in ein paar Wochen.
Wie startest Du
Realistisch: 87 Konten in einem Tag umzustellen ist nicht machbar. Mach das nicht.
Schritt 1: Manager installieren, Master-Passwort setzen, MFA aktivieren.
Schritt 2: Die fünf wichtigsten Konten zuerst – Mail, Online-Banking, Steuerportal, ein eventuell vorhandenes Cloud-Konto (iCloud, Google), und Dein Hauptarbeits-Login. Für jedes ein neues, vom Manager generiertes Passwort. Notiere Dir das alte Passwort nicht – Du wirst es nicht mehr brauchen.
Schritt 3: Beim nächsten Login auf irgendeiner anderen Website fragt der Manager: «Soll ich das Passwort speichern?» Sag ja. Ändere bei dieser Gelegenheit das Passwort auf eines, das der Manager generiert.
Nach drei Wochen sind die meisten Konten umgezogen, ohne dass Du einen Tag dafür blockiert hast.
Was, wenn das Master-Passwort verloren geht?
Bei einem ordentlichen Passwort-Manager: Pech. Die Anbieter können es nicht zurücksetzen, weil sie es nicht kennen. Ohne Master-Passwort kein Zugriff auf den Tresor. Das ist genau die Eigenschaft, die den Manager sicher macht.
Lösung: Schreib das Master-Passwort auf einen Zettel und deponiere ihn an einem sicheren Ort. Tresor zu Hause, oder ein Bankschliessfach. Nicht im Notizbuch auf dem Schreibtisch. Klingt analog – ist es auch. Funktioniert aber.
Fazit
Passwort-Manager sind 2026 keine Geek-Tools mehr. Sie sind Standard. Wenn Du keinen hast, ist das das Sicherheitsthema mit dem grössten Hebel für die wenigste Zeit. Eine Stunde Setup, dann 15 Jahre Ruhe.
Bitwarden, kostenlos, runterladen, loslegen. Schwierigste Aufgabe: das Master-Passwort wirklich gut wählen. Alles andere ist Routine.
Quellen: NCSC – Empfehlungen zur Passwort-Hygiene (ncsc.admin.ch); BSI – Sichere Passwörter für Online-Konten (bsi.bund.de).