Start/ Tools & How-To's/ Passwort-Manager Grundlagen
🔐 Exit Google · Tools & How-To's

Was ist ein
Passwort-Manager?

57 % der Deutschen nutzen dieselben Passwörter für verschiedene Dienste. Das häufigste Passwort 2025 in Deutschland: „123456". Ein Passwort-Manager löst beide Probleme — aber was steckt eigentlich dahinter?

📅 April 2026 🔗 Alle Angaben mit Quellen ⏱ ca. 7 Min Lesezeit
⚠️ Wichtiger Hinweis zuerst

Lass keine KI deine Passwörter erstellen

Wer ChatGPT, Claude oder Gemini bittet, ein sicheres Passwort zu generieren, bekommt etwas, das sicher aussieht — aber es nicht ist. Das ist kein Meinungsstreit, sondern ein technisches Problem: KI-Sprachmodelle können keinen echten Zufall erzeugen.

Sie sind darauf trainiert, das wahrscheinlichste nächste Zeichen vorherzusagen — das genaue Gegenteil von dem, was ein sicheres Passwort braucht. Sicherheitsforscher von Irregular Security haben das im Februar 2026 systematisch getestet:

27 Bit
Reale Entropie von KI-Passwörtern — statt ~98 Bit bei kryptografisch sicheren
18×
Ein KI-Modell wiederholte dasselbe Passwort in 50 Versuchen 18-mal

Der Unterschied in der Praxis: Statt Milliarden von Jahren benötigt ein normaler Computer nur Stunden oder Minuten, um ein KI-generiertes Passwort zu knacken — obwohl es auf den ersten Blick komplex wirkt. Mehr dazu bei heise online (Februar 2026) und SwissCybersecurity.net.

Was stattdessen funktioniert: Passwort-Manager mit eingebautem Generator. Die nutzen sogenannte CSPRNGCSPRNGCryptographically Secure Pseudo-Random Number Generator — ein kryptografisch sicherer Zufallszahlengenerator. Erzeugt Zeichen ohne erkennbares Muster, das Angreifer ausnutzen könnten., die echte Zufälligkeit liefern. Genau darum geht es in diesem Artikel.

Inhalt

Das Problem mit Passwörtern

Wer heute regelmäßig das Internet nutzt, hat durchschnittlich mehr als 50 passwortgeschützte Konten — das ergab eine Umfrage der Verbraucherzentrale NRW unter 1.203 Teilnehmerinnen und Teilnehmern von August bis September 2025. E-Mail, Banking, Streaming, Shopping, soziale Netzwerke, Behördenportale — überall eigene Zugangsdaten.

Das theoretische Sicherheitsideal ist bekannt: Für jeden Dienst ein eigenes, langes, zufälliges Passwort. In der Praxis scheitert das an einer einfachen Grenze: dem menschlichen Gedächtnis.

57 %
der deutschen Internetnutzer verwenden teilweise dieselben Passwörter für verschiedene Dienste
Statista / YouGov, März 2024
48 %
der Befragten haben mehr als 50 passwortgeschützte Online-Konten
Verbraucherzentrale NRW, Sep. 2025
#1
Meistgeleaktes Passwort in Deutschland 2025: „123456"
Hasso-Plattner-Institut, Jan. 2026

Das Risiko dahinter ist konkret: Wer dasselbe Passwort für mehrere Dienste nutzt, gibt Angreifern nach einem einzigen erfolgreichen Einbruch Zugang zu allem. Diese Methode heißt Credential StuffingCredential StuffingAngriff, bei dem gestohlene Zugangsdaten (E-Mail + Passwort) automatisiert bei tausenden anderen Diensten ausprobiert werden — weil viele Menschen überall dasselbe Passwort nutzen. und ist laut HPI-Sicherheitsexperte Prof. Christian Dörr einer der häufigsten Angriffswege überhaupt: „Wurde ein Dienst gehackt und die Zugangsdaten sind offen — was milliardenfach passiert — probieren Kriminelle diese erbeuteten Zugangsdaten überall aus."

⚠ Warum schwache Passwörter so gefährlich sind

Das BSI nennt kompromittierte, schwache und wiederverwendete Passwörter als einen der häufigsten Einfallstore bei Cyberangriffen. Das Problem ist nicht Böswilligkeit — es ist schlichter Komfort. Wer sich 50 verschiedene starke Passwörter merken soll, wählt irgendwann doch wieder „123456".

Was ist ein Passwort-Manager?

Ein Passwort-Manager ist ein Programm, das alle deine Zugangsdaten verschlüsselt an einem Ort speichert und verwaltet. Statt 50 verschiedener Passwörter musst du dir nur noch eines merken: das Master-PasswortMaster-PasswortDas einzige Passwort, das du dir merken musst. Es entschlüsselt die gesamte Datenbank. Wenn es verloren geht, sind im schlimmsten Fall alle gespeicherten Zugangsdaten nicht mehr erreichbar..

Der Manager übernimmt dann alles andere: Er generiert für jeden neuen Account ein einzigartiges, zufälliges Passwort — lang, komplex, ohne Muster. Wenn du dich auf einer Website anmeldest, füllt er die Felder automatisch aus.

💡 Was ein Passwort-Manager konkret tut

Speichern: Alle Zugangsdaten (Benutzername, Passwort, Website) landen verschlüsselt in einer Datenbank.

Generieren: Beim Erstellen eines neuen Accounts schlägt der Manager ein sicheres Zufallspasswort vor — du musst es dir nicht selbst ausdenken.

Ausfüllen: Auf bekannten Websites erkennt der Manager die Login-Felder und füllt sie automatisch aus.

Warnen: Viele Manager vergleichen deine Passwörter mit bekannten Datenlecks und warnen dich, wenn eines kompromittiert wurde.

Mehr als Passwörter: Die meisten Manager können auch Kreditkarten, EC-Karten, IBAN, Personalausweis-Nummern, Versicherungsnummern und andere sensible Daten verschlüsselt speichern — und bei Online-Einkäufen automatisch ausfüllen. Alles an einem Ort, mit demselben starken Schutz.

Wie funktioniert er technisch?

Die Technik dahinter ist nicht kompliziert zu verstehen, auch ohne IT-Studium. Das Kernprinzip: Deine Passwörter werden mit einem starken Verschlüsselungsverfahren in unlesbaren Datenmüll verwandelt — und nur mit dem richtigen Master-Passwort wieder lesbar gemacht.

So läuft ein Login mit Passwort-Manager ab
Du
Master-Passwort
eingeben
entschlüsselt
Passwort-Manager
AES-256 Tresor
alle Zugangsdaten
füllt automatisch aus
Website
Login-Felder
automatisch befüllt

AES-256 — der Industriestandard

Gute Passwort-Manager verschlüsseln die gesamte Datenbank mit AES-256AES-256Advanced Encryption Standard mit 256-Bit-Schlüssel. Gilt als praktisch unknackbar mit heutiger Hardware. Wird auch von Regierungen und Militär für geheime Daten eingesetzt.. Das ist derselbe Standard, den Regierungen und Militärbehörden für ihre geheimen Daten nutzen. Ohne das Master-Passwort ist die verschlüsselte Datenbank wertloser Datenmüll — auch für den Anbieter selbst.

Zero-Knowledge — der Anbieter weiß nichts

Seriöse Passwort-Manager arbeiten nach dem sogenannten Zero-Knowledge-PrinzipZero-KnowledgeDer Anbieter speichert deine Daten, kann sie aber nicht lesen — weil die Verschlüsselung auf deinem Gerät stattfindet, bevor die Daten den Server erreichen. Selbst bei einem Servereinbruch landen nur verschlüsselte Datenpakete beim Angreifer.: Die Verschlüsselung findet auf deinem Gerät statt — bevor irgendwelche Daten den Server erreichen. Der Anbieter sieht nur einen unlesbaren Dateiblock. Das ist aber nicht bei allen Managern so — im Vergleichsartikel schauen wir das konkret nach.

Der Passwortgenerator — echter Zufall statt KI

Passwort-Manager nutzen für die Passwortgenerierung sogenannte CSPRNGCSPRNGCryptographically Secure Pseudo-Random Number Generator — liefert Zufallszahlen, die für Angreifer nicht vorhersagbar sind. Grundlage jedes sicheren Passwortgenerators. — kryptografisch sichere Zufallszahlengeneratoren. Das Ergebnis: Passwörter ohne Muster, ohne Wiederholungen, ohne erkennbare Struktur. Genau das Gegenteil von dem, was KI-Sprachmodelle liefern.

Lokal, Cloud oder Browser — drei Typen

Nicht alle Passwort-Manager funktionieren gleich. Es gibt drei grundlegende Varianten, die sich in Komfort und Sicherheitsprofil unterscheiden:

💻
Lokal
Die Passwortdatenbank liegt nur auf deinem Gerät. Kein Server, keine Cloud, keine Datenübertragung. Beispiele: KeePassXC (PC/Mac), KeePass2Android.
✓ Maximale Kontrolle, keine Abhängigkeit vom Anbieter
✓ Datenschutzfreundlichste Option laut BSI/VZ-Test 2025
✗ Kein automatischer Sync zwischen Geräten
✗ Backup liegt in eigener Verantwortung
☁️
Cloud-basiert
Die verschlüsselte Datenbank wird auf Servern des Anbieters gespeichert und zwischen Geräten synchronisiert. Beispiele: Bitwarden, 1Password, Proton Pass.
✓ Zugriff von jedem Gerät, automatischer Sync
✓ Backup übernimmt der Anbieter
✗ Vertrauen in den Anbieter notwendig
✗ Serverstandort und Datenschutzrecht beachten
🌐
Browser-integriert
Im Browser eingebaut, kein Extra-Programm nötig. Beispiele: Chrome Password Manager, Firefox Password Manager.
✓ Kein Aufwand, sofort verfügbar
✓ Gut für Einsteiger geeignet
✗ Anfälliger für Schadsoftware laut BSI
✗ Schwächere Verschlüsselung bei einigen Anbietern
📋 BSI-Empfehlung zu Browser-Managern

Das BSI weist ausdrücklich darauf hin, dass Browser komplexe Programme sind, bei denen Passwortverwaltung nicht die oberste Priorität ist. Gespeicherte Passwörter können dadurch leichter von Schadsoftware ausgelesen werden als bei einem dedizierten Passwort-Manager. Wer dennoch den Browser nutzt, sollte unbedingt ein starkes Master-Passwort setzen und den Browser immer aktuell halten.

Mehr als Passwörter — Karten & Dokumente

Ein Passwort-Manager ist kein reines Passwort-Tool. Er ist ein verschlüsselter digitaler Tresor — und in den passt weit mehr als nur Login-Daten. Viele Menschen wissen nicht, dass sie dort auch ihre Kreditkarten, EC-Karten, IBAN oder Ausweisdaten sicher ablegen können.

💳 Was sich noch im Tresor ablegen lässt

Kreditkarten & EC-Karten: Kartennummer, Ablaufdatum, CVV, PIN — verschlüsselt gespeichert. Viele Manager füllen die Daten bei Online-Einkäufen automatisch aus.

Banking: IBAN, BIC, Kontonummern — praktisch wenn man sie schnell griffbereit braucht, ohne das Portemonnaie zu zücken.

Ausweisdokumente: Personalausweis- und Reisepassnummern, Ablaufdaten — nützlich für Online-Formulare oder Reisebuchungen.

Versicherungen: Krankenkassen- und Versicherungsnummern, Policennummern — statt im E-Mail-Archiv suchen.

Sonstiges: WLAN-Passwörter, Software-Lizenzen, Steuer-ID, Sicherheitsfragen-Antworten, Mitgliedsnummern.

Der Vorteil gegenüber Zetteln, Fotos im Kameraarchiv oder unverschlüsselten Notizen: Im Passwort-Manager sind diese Daten mit AES-256 geschützt — demselben Standard, den Banken und Behörden nutzen. Wer die Kartendaten im Tresor hat, muss sie nicht mehr abtippen oder fotografieren. Wie das konkret in KeePassXC, Proton Pass und 1Password funktioniert, zeigt Artikel 3.

Häufige Fragen & Missverständnisse

Falsch
„Wenn der Passwort-Manager gehackt wird, sind alle meine Passwörter weg."
Bei seriösen Managern mit Zero-Knowledge-Architektur liegt auf dem Server nur verschlüsselter Datenmüll. Ohne dein Master-Passwort ist er für Angreifer wertlos. Das zeigt etwa der LastPass-Einbruch 2022: Die Angreifer erbeuteten verschlüsselte Datenpakete — an die Passwörter selbst kamen sie nicht heran, solange die Master-Passwörter stark genug waren.
Falsch
„Ich vertraue keiner Software mit all meinen Passwörtern."
Das ist verständlich — aber die Alternative ist meistens schlechter: dasselbe Passwort überall, ein Notizbuch, oder eine Excel-Tabelle ohne Verschlüsselung. Wer seinen Passwörtern kein Tool vertraut, vertraut ihnen de facto seinem Gedächtnis oder einem Zettel. Lokale Manager wie KeePassXC lösen das Problem: keine Cloud, keine Server, kein Anbieter, den man blind vertrauen muss.
Teilweise
„Passwort-Manager sind kompliziert einzurichten."
Cloud-basierte Manager wie Bitwarden oder Proton Pass sind in wenigen Minuten startklar — App installieren, Konto anlegen, Master-Passwort festlegen, fertig. Lokale Manager wie KeePassXC brauchen etwas mehr Setup, bieten dafür maximale Kontrolle. Komplizierter als ein neues Smartphone einzurichten sind sie jedenfalls nicht.
Falsch
„Gute Passwort-Manager kosten immer Geld."
KeePassXC ist kostenlos und quelloffen. Bitwarden hat eine vollwertige Gratisversion. Proton Pass ebenfalls. Im Vergleichsartikel schauen wir konkret nach, welche Funktionen kostenlos verfügbar sind und wo Bezahlversionen tatsächlich einen Unterschied machen.

Was das BSI empfiehlt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Nutzung von Passwort-Managern ausdrücklich. Auf seiner Website hält das BSI fest: „Ja, in der Regel lohnt sich der Einsatz eines Passwort-Managers. Es ist in jedem Fall besser, als gängige Passwörter wiederholt zu benutzen."

Im ersten Halbjahr 2025 hat das BSI gemeinsam mit der Verbraucherzentrale NRW und dem FZI Forschungszentrum Informatik zehn Passwort-Manager untersucht. Das Ergebnis ist als gemeinsame Veröffentlichung beim BSI abrufbar. Trotz Mängeln bei einzelnen Anbietern bleibt die Gesamtempfehlung klar: Passwort-Manager nutzen — und dabei auf Sicherheit und Datenschutz achten. Was das konkret bedeutet, zeigt der Vergleichsartikel.

✓ BSI-Mindestempfehlungen für die Nutzung

Starkes Master-Passwort: Mindestens 20 Zeichen, am besten eine Passphrase aus mehreren zufälligen Wörtern. Das Master-Passwort ist das einzige, das du dir wirklich merken musst.

Zwei-Faktor-Authentifizierung aktivieren: Zusätzlicher Schutz für das Manager-Konto selbst — falls das Master-Passwort kompromittiert wird.

Regelmäßige Backups: Bei lokalen Managern: Datenbank an mehreren Orten sichern. Bei Cloud-Managern: Notfall-Export der Passwörter aufbewahren.

Manager aktuell halten: Updates schließen Sicherheitslücken. Gilt besonders für Browser-Manager.

📌 Redaktionelle Einschätzung — thx4data.de

Ein Passwort-Manager ist keine Luxuslösung für Technik-Enthusiasten — er ist die einzig realistische Antwort auf das Problem, das wir alle haben: zu viele Konten, zu wenig Gedächtnis. Wer sich 50 starke, einzigartige Passwörter merken kann, braucht ihn nicht. Alle anderen schon.

Die Frage ist nicht ob, sondern welchen. Wer maximale Kontrolle möchte und kein Cloud-Abo will: KeePassXC — kostenlos, quelloffen, lokal, vom BSI/VZ-Test 2025 als einer der datenschutzfreundlichsten ausgewiesen. Wer Sync zwischen Geräten braucht: Bitwarden — Open-Source, kostenlos nutzbar, Zero-Knowledge. Beide kommen ohne monatliche Gebühr aus.

Was wir ausdrücklich abraten: Passwörter per KI generieren lassen — aus den oben genannten technischen Gründen. Und: Passwörter im Browser speichern ohne Master-Passwort — das ist der Komfort, der Sicherheit kostet.

Welcher Manager passt zu dir?
Im Vergleichsartikel schauen wir alle 10 vom BSI getesteten Manager konkret durch — mit Bewertung zu Verschlüsselung, Datenschutz, Preis und Alltagstauglichkeit.
Zum Vergleich →
Quellen
01
Irregular Security — „Vibe Password Generation"
Systematischer Test von KI-generierten Passwörtern: ~27 Bit Entropie statt der nötigen ~98 Bit, 18-fache Wiederholung identischer Passwörter
irregular.io/blog/vibe-password-generation
02
heise online — „Mit ChatGPT erstellte Passwörter sind nicht sicher"
Deutschsprachige Einordnung des Irregular-Security-Tests (Februar 2026)
heise.de/news/Mit-ChatGPT-erstellte-Passwoerter-sind-nicht-sicher
03
HPI — Meist geleakte Passwörter 2025
„123456" bleibt das häufigste Passwort in Deutschland; Credential-Stuffing als häufigster Angriffsweg (Prof. Christian Dörr)
hpi.de/artikel/hpi-veroeffentlcht-meist-geleakte-passwoerter-2025/
04
Verbraucherzentrale NRW — 10 Passwort-Manager im Vergleich
Umfrage unter 1.203 Teilnehmenden (Aug.–Sep. 2025): Durchschnittlich mehr als 50 passwortgeschützte Konten pro Person
verbraucherzentrale.nrw/wissen/digitale-welt/apps-und-software/10-passwortmanager-im-vergleich
05
BSI — Empfehlungen zu Passwort-Managern
Offizielle BSI-Seite mit Empfehlungen zur Nutzung von Passwort-Managern und Hinweisen zu Browser-Managern
bsi.bund.de · Passwort-Manager
06
BSI/VZ NRW/FZI — Passwort-Manager-Test H1 2025
Gemeinsamer Testbericht von BSI, Verbraucherzentrale NRW und FZI zu 10 Passwort-Managern — Sicherheit, Datenschutz, Nutzbarkeit
bsi.bund.de · Passwortmanager Sicherheit & Datenschutz