Chromes eingebauter Passwort-Speicher ist bequem. Aber wer sein Geschäft darauf aufbaut, übersieht vier Schwachstellen, die im Ernstfall richtig teuer werden. Was die Alternativen leisten und wann sich der Wechsel lohnt.
Marcel Pötschke
Freiberuflicher Webentwickler
Chrome bietet seit Jahren einen eingebauten Passwort-Manager an. Der ist bequem: Sie loggen sich auf einer Webseite ein, Chrome fragt „soll ich das speichern?“, Sie klicken Ja, und beim nächsten Besuch wird das Formular automatisch ausgefüllt. Über eine Milliarde Menschen nutzen ihn — die meisten, ohne sich je Gedanken über Alternativen gemacht zu haben.
Das war 2015 vertretbar. 2026 nicht mehr. Was der Browser-Tresor leistet, wo seine Grenzen sind, und ab wann ein dedizierter Passwort-Manager wirklich Pflicht ist.
Technisch hat Google in den letzten Jahren viel verbessert. Die Passwörter werden:
Für den Alltag eines Privatnutzers, der nur Chrome benutzt und alle Geräte über ein Google-Konto synchronisiert, reicht das überraschend weit.
Vier Bereiche, in denen die Browser-Lösung an Grenzen stößt:
1. Geräte-Sync zwischen Browsern. Sie haben Chrome auf dem Laptop, Safari auf dem iPad, Edge im Büro? Dann müssen Sie sich entscheiden, in welchem Browser die Passwörter leben — oder Sie pflegen drei verschiedene Tresore. Dedizierte Manager (Bitwarden, 1Password) laufen in jedem Browser identisch.
2. Sharing mit Familie oder Mitarbeitenden. Sie wollen Ihrer Mitarbeiterin den Login zur Buchhaltungs-Software geben, ohne das Passwort in Klartext per E-Mail zu schicken? Chrome hat dafür keine Lösung. Dedizierte Manager haben das eingebaut: geteilte Tresore, granular pro Person, mit Audit-Log.
3. Phishing-Schutz auf Domain-Ebene. Chrome füllt Passwörter aus, wenn die Domain im URL „ähnlich“ zur gespeicherten ist. Bei Phishing-Seiten mit „amaz0n.com“ oder „google-login-help.com“ kann Chrome unter Umständen ausfüllen — der Nutzer denkt, er ist auf der echten Seite, gibt das Passwort frei. Dedizierte Manager prüfen die Domain strikter und verlangen explizite Bestätigung bei Verdacht.
4. Recovery. Was passiert, wenn Sie Ihr Google-Passwort vergessen? Sie verlieren Zugriff auf alle gespeicherten Passwörter. Sie können sich aus allem aussperren, das nur in Chrome lebt. Dedizierte Manager haben Recovery-Codes, Notfallkontakte und Hardware-Key-Backup. Mehr zu Hardware-Keys im 2FA-Beitrag.
Ich richte Ihnen einen dedizierten Passwort-Manager ein, übernehme die bestehenden Logins aus Chrome und zeige Ihnen, wie Sharing mit Familie oder Mitarbeitenden sauber funktioniert. Eine Stunde, einmal, fertig.
Drei realistische Alternativen für deutsche Selbstständige:
Bitwarden ist Open Source, mit einem kostenlosen Plan, der für die meisten Privatnutzer ausreicht. Premium kostet 1 € im Monat. Der Code ist auditierbar, Server in der EU verfügbar. Stark für: technikaffine Selbstständige, kleine Teams. Schwach bei: Design (funktional, nicht schön).
1Password ist proprietär, ab 3 € im Monat. Beste UX am Markt, sehr saubere Familien- und Team-Pläne. Schweizer Server-Option für höhere Privacy-Anforderungen. Stark für: Familien, kleine Agenturen, alle, die Wert auf flüssige Bedienung legen. Schwach bei: kein kostenloser Tier.
KeePass / KeePassXC ist Open Source, kostenlos, lokal — Sie speichern eine verschlüsselte Datei auf Ihrer Festplatte. Sync läuft über Cloud-Speicher Ihrer Wahl (Dropbox, Nextcloud, OneDrive). Stark für: maximale Datenkontrolle. Schwach bei: Setup ist anspruchsvoller, Mobile-Apps existieren, sind aber rauer.
Browser ist genug, wenn:
Dedizierter Manager ist Pflicht, wenn:
Bei Bitwarden:
passwords.google.com öffnen, alle Passwörter exportieren als CSVDas Master-Passwort dürfen Sie nicht verlieren — als Sicherheit notieren Sie es einmalig und legen es an einen physisch sicheren Ort (Bank-Schließfach, Notar, vertrauensvoller Familienangehöriger).