Eine Kennwortverwaltung, auch Kennwortverwaltungsprogramm, Kenn- oder Passwortverwalter oder Passwortverwaltung (englisch Password Manager, Password Safe) genannt, ist ein Computerprogramm, mit dessen Hilfe ein Computer-Benutzer Kennwörter und Geheimzahlen verschlüsselt speichern, verwalten und in der Regel auch sichere Kennwörter erzeugen kann. Verfügbare Programme gibt es sowohl für Desktop-Computer und Laptops als auch für Smartphones.

Diese Programme sind aus dem Problem entstanden, dass Anwender in ihrem System und auf vielen Internetseiten Benutzernamen mit sicheren Kennwörtern benötigen. Es stellt ein hohes Sicherheitsrisiko dar, für verschiedene Dienste gleiche Benutzernamen und Kennwörter zu nutzen, da ein einzelnes entwendetes Passwort den Zugriff auf alle Dienste ermöglichen würde. Daher werden viele unterschiedliche Passwörter benötigt. Sichere Passwörter sind lang und bestehen aus schwer zu merkenden Buchstaben-, Zahlen- und Sonderzeichenkombinationen (siehe dazu „Wahl sicherer Passwörter“). Um diese vielen und langen Passwörter vor unberechtigtem Zugriff zu schützen und trotzdem einfach nutzen zu können, kann eine Kennwortverwaltung verwendet werden.

Besonders Systemadministratoren brauchen viele verschiedene und sehr starke Kennwörter, da diese immer noch das schwächste Glied der Kette zum Schutz eines Netzes darstellen.

In der Kennwortverwaltung kann der Anwender Benutzernamen, zugehörige Kennwörter und weitere Informationen ablegen und ordnen. Diese im Inhalt verschlüsselte Datenbank ist durch ein dementsprechend starkes Hauptkennwort gesichert. Der Anwender trägt bei der Einrichtung alle Kennwörter, Benutzernamen und andere damit verknüpfte Zugangsdaten in die Datenbank ein und kopiert bei Bedarf die Zugangsdaten in die entsprechenden Anmeldefelder. Eine Automatisierung des gesamten Eingabevorgangs ist möglich.

Dieses Hauptkennwort kann der Anwender als Schlüsseldatei auf einem USB-Stick oder ähnlichem sichern, und er muss es entsprechend umsichtig verwahren, stellt es doch die Zugangsberechtigung zur Kennwortdatenbank dar. Mit einem zusätzlichen Kennwort kann man diese Technik kombinieren und die Sicherheit erhöhen.

In der Regel verschlüsseln die Programme nicht nur die Kennwörter, sondern die gesamte Datenbank. Idealerweise kommen dabei starke Verschlüsselungsalgorithmen zum Einsatz.

Integriert ist meist auch ein Kennwortgenerator, mit dem verschieden starke Kennwörter generiert werden können. Auf Grundlage der zufälligen Eingabe des Benutzers mit Maus oder Tastatur erstellt dieser Kennwörter mit beliebiger Länge und verschiedenen Zeichensätzen. Leicht lassen sich Kennwörter mit 100 und mehr Bit erstellen. Diese starken Kennwörter mit 15 und mehr Zeichen sind dann allerdings nur noch mit einer Kennwortverwaltung praktisch verwendbar. Beispiel: D`k+oGw(^#"mPoO

Die Sicherung einer Kennwortdatenbank gestaltet sich einfacher als die Sicherung einer Mischung aus speziellen Kennwortdateien des Browsers, anderen Programmdateien sowie Zetteln oder ungünstigenfalls ungeschützten Dateien auf dem Rechner, welche Kennwörter enthalten.

Eine Kennwortverwaltung sammelt die Kennwörter zentral, so ist nur eine Datei für alle Kennwörter zu sichern. Exportiert werden kann die Datenbank meist als CSV-Datei, welche alle gängigen Kennwortverwaltungsprogramme und Texteditoren unterstützen. Auch der flexible XML-Export oder einfaches Ausdrucken ist möglich. Nachteil bei diesen Formaten ist, dass sie die Kennwörter unverschlüsselt speichern. So bleibt zur Sicherung nur die Speicherung im programmeigenen verschlüsselten Format. Die oben genannten Formate dienen dem Datenaustausch und der Datenverarbeitung.

Die normale Kennwortverwaltung der Webbrowser Mozilla Firefox, Google Chrome und Internet Explorer speichert die Passwörter unverschlüsselt. Mozilla Firefox verschlüsselt die Kennwörter optional mit einem so genannten Master-Passwort. Ohne Eingabe dieses Master-Passworts kann der Nutzer die gespeicherten Passwörter nicht nutzen.

Wird das Hauptkennwort für die Passwort-Datenbank in einer Datei gespeichert, z. B. ein 512-Bit-Schlüssel, muss es zusätzlich gesichert werden, um einem Verlust des Trägermediums vorzubeugen.

Nutzer von Kennwortverwaltern sind von ihrer Passwort-Datenbank abhängig. Da einzelne Passwörter nicht mehr gemerkt werden, benötigt der Anwender möglichst dauerhaften Zugriff. Für den Fall einer Beschädigung sollten deshalb Sicherheitskopien regelmäßig angefertigt und vorgehalten werden.

Im Browser unverschlüsselt gespeicherte Passwörter können, vorausgesetzt ein Datendieb hat Zugriff auf den Computer des Anwenders, einfach entwendet werden und stellen eine Sicherheitslücke dar. In modernen Webbrowsern ist der Standard-Schutz bislang unzulänglich. Mit zusätzlicher Software zur Kennwortverwaltung, oder durch Verwendung eines Master-Kennwortes im Browser, kann man die Kennwörter ausreichend schützen.^[1]

Untersuchungen ergaben, dass bei verbreiteten Passwortmanagern die Passwörter unnötig lange im Arbeitsspeicher verbleiben, sogar dann noch, wenn der Manager gesperrt wird.^[2]

Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Der Nutzer merkt sich eine für alle Passwörter geltende Formel, die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Unternehmensname. Von einer solchen Zeichenkette nimmt man bestimmte Zeichen und kombiniert sie mit nach einem festen Schema vorgegebenen Zahlen und Sonderzeichen. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Chiffriercode und erhält damit individuelle und gleichzeitig sichere Passwörter. Wenn allerdings dieser Chiffriercode bekannt wird, sind gleichzeitig alle vom Nutzer erstellten Passwörter unsicher. Ein weiteres Manko stellen die unterschiedlichen Anforderungen an Passwörter dar, die von Diensten wie Internetforen, -shops etc. gestellt werden. Diese verhindern eventuell die Anwendung des selbst ausgedachten Algorithmus.

Die bisher aufgeführten Nachteile sind durch eine Zweiteilung des Passwortes möglich. Dazu wird ein weiteres Tool (sog. Passcoder) notwendig, welches den zweiten Teil des Passwortes („Salt“) anhängt und ggf., um die Regeln der Seite zu erfüllen, noch Sonderzeichen oder ähnliches anfügt. Damit der zweite Teil des Passwortes beim Ausspähen einer Seite nicht offenbart wird, ist das Ergebnis selbst noch zu verschlüsseln (Passwort aus Passwortmanager + „Salt“ + Verschlüsselung = Passwort zum Login).

• KeePass – OpenSource-Passwortverwaltung für Windows-, Linux-, Mac-Betriebssysteme
• LastPass – Browser-Addon

1. ↑ Markus Kasanmascheff: Eklatante Sicherheitslücke: Firefox, Chrome und IE verraten gespeicherte Passwörter. In: softonic. Archiviert vom Original am 7. März 2016; abgerufen am 13. Oktober 2019. 
2. ↑ Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. In: golem.de. 21. Februar 2019, abgerufen am 14. Oktober 2019.