Affiliate-Hinweis: Einige Links auf dieser Seite sind Partnerlinks. Bei Abschluss über unsere Links erhalten wir eine Provision – für Sie ohne Mehrkosten. Mehr erfahren

Passwort-Sicherheit

Passwort-Manager: Warum ein gestohlenes Masterpasswort trotzdem nicht reicht

Juli 2026

Im Dezember 2022 erschütterte ein Vorfall die Passwort-Manager-Branche: LastPass gab bekannt, dass Angreifer verschlüsselte Tresore von Nutzern gestohlen hatten. Trotz der Schlagzeilen zeigte der Vorfall paradoxerweise, warum moderne Passwort-Manager fundamental sicher sind — wenn das Masterpasswort stark genug ist.

Was ist Zero-Knowledge-Architektur?

Zero-Knowledge bedeutet: Der Anbieter weiß nicht, was in Ihrem Tresor steht — und kann es auch nicht wissen. Ihre Passwörter werden lokal auf Ihrem Gerät mit Ihrem Masterpasswort verschlüsselt, bevor sie den Server des Anbieters erreichen. Auf dem Server liegt nur unlesbarer, verschlüsselter Kryptografietext.

Selbst die Mitarbeiter des Anbieters können Ihren Tresor nicht lesen. Selbst wenn der Server gehackt wird, erbeuten Angreifer nur verschlüsselte Daten ohne Entschlüsselungsschlüssel.

AES-256: Der Verschlüsselungsstandard

AES-256 (Advanced Encryption Standard mit 256-Bit-Schlüssel) ist der aktuelle Industriestandard und wird von Regierungen, Banken und Militär weltweit eingesetzt. Mit modernen Computern würde es länger dauern, AES-256 zu knacken, als das Universum alt ist — selbst bei optimistischen Annahmen über Quantencomputer in den nächsten Jahrzehnten.

Was passierte bei LastPass 2022?

Angreifer stahlen verschlüsselte Tresore. Kritikpunkte: LastPass verwendete veraltete Iterationszahlen beim Schlüsselableitungsalgorithmus PBKDF2 (100.100 Iterationen statt empfohlener 310.000+), was Brute-Force-Angriffe bei schwachen Masterpasswörtern beschleunigt. Zudem speicherte LastPass einige Metadaten unverschlüsselt (URLs). Nutzer mit starken Masterpasswörtern (16+ Zeichen, zufällig) sind nicht gefährdet — solche Passwörter sind mit aktueller Hardware nicht zu knacken.

Der Secret Key bei 1Password

1Password geht einen Schritt weiter: Neben dem Masterpasswort gibt es einen 128-Bit-Secret-Key, der beim ersten Setup generiert und lokal gespeichert wird. Selbst wenn Angreifer Server-Daten und Ihr Masterpasswort kennen, können sie den Tresor ohne den Secret Key nicht entschlüsseln. Das macht 1Password weitgehend immun gegen Server-Einbrüche.

Fazit: Was bedeutet das für Sie?

  • Wählen Sie ein starkes Masterpasswort: mindestens 16 Zeichen, zufällig (kein Wort, kein Datum)
  • Verwenden Sie 2FA für Ihren Passwort-Manager
  • Bevorzugen Sie Anbieter mit regelmäßigen unabhängigen Audits
  • Ein Passwort-Manager ist immer sicherer als überall dasselbe Passwort — selbst nach dem LastPass-Vorfall