Security & Compliance

Wir haben uns nachtesten lassen: heylogin nach den Kriterien des BSI-Passwortmanager-Tests

Dr. Dominik Schrmann
Jul 9, 2026
Wir haben das FZI heylogin nach denselben Kriterien wie die BSI-Passwortmanager-Studie nachtesten lassen. Hier das Ergebnis, was wir verbessert haben, und der vollständige Bericht zum Selbernachlesen.

Im Dezember 2025 erschien ein Test, der in der Passwortmanager-Branche für Aufmerksamkeit gesorgt hat: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW haben gemeinsam zehn Passwortmanager untersucht, fachlich durchgeführt vom FZI Forschungszentrum Informatik. Bewertet wurde, wie sicher und wie datenschutzfreundlich diese Programme wirklich sind.

heylogin war nicht dabei.

Das wollten wir nicht auf sich beruhen lassen. Denn ein Test, an dem man nicht teilgenommen hat, sagt nichts über das eigene Produkt aus, und „Vertrauen Sie uns einfach" ist für einen Passwortmanager die denkbar schlechteste Antwort. Also haben wir das FZI beauftragt, heylogin nach genau demselben Prüfschema nachzutesten, das auch in der BSI-Studie angewandt wurde. Gleiche Kriterien, gleicher Prüfer, gleicher Maßstab.

Dieser Beitrag erklärt, worum es in dem Test ging, wie heylogin abgeschnitten hat, und was wir aufgrund der Ergebnisse noch verbessert haben. Den vollständigen Abschlussbericht veröffentlichen wir mit, damit Sie sich selbst ein Bild machen können.

Worum ging es in dem Test überhaupt?

Der BSI-Test hat einen wunden Punkt getroffen. In einer begleitenden Umfrage der Verbraucherzentrale NRW mit über 1.200 Teilnehmenden zeigte sich, dass die größte Hürde bei Passwortmanagern nicht die Bedienung ist, sondern das Vertrauen. Die meistgenannten Gründe, warum Menschen keinen Passwortmanager nutzen:

  • die Angst, dass die gespeicherten Passwörter gestohlen werden könnten,
  • die Angst, den Zugriff auf die eigenen Passwörter zu verlieren,
  • und die Sorge, dass der Anbieter selbst die gespeicherten Passwörter sehen könnte.

Rund jede vierte Person, die keinen Passwortmanager nutzt, gab an, dies aus Sorge vor dem Anbieterzugriff zu tun. Genau diese drei Ängste sind ein guter Maßstab, um einen Passwortmanager zu bewerten. Schauen wir also, wie heylogin in genau diesen Punkten dasteht.

Das Ergebnis zuerst

Das FZI kommt in seinem Abschlussbericht zu einem klaren Urteil:

„Insgesamt ergaben sich während der Untersuchung keine grundsätzlichen Bedenken, die gegen die Nutzung von heylogin sprechen."

Das ist die Kernaussage. Aber ein positives Fazit allein ist langweilig und wenig aussagekräftig. Interessanter ist, wo heylogin sich vom Feld abhebt, und welche Kritikpunkte der Test gefunden hat. Beides gehen wir hier ehrlich durch.

Die Ergebnisse im direkten Vergleich

Die folgende Tabelle übernimmt die technische Übersicht aus der Veröffentlichung von BSI und Verbraucherzentrale NRW und stellt heylogin (erste Spalte) direkt daneben. Alle Angaben zu heylogin stammen aus dem FZI-Abschlussbericht; die übrigen Werte aus der ursprünglichen BSI-Studie. Alle Angaben beziehen sich auf die Produktversion zum Zeitpunkt der jeweiligen Untersuchung und können sich durch spätere Updates verändert haben.

Kriterium heylogin 1Password Avira Password Manager Chrome Password Manager Keepass2 Android KeePassXC Mozilla Firefox Password Manager mSecure Password Manager PassSecurium SecureSafe Password-Manager S-Trust Password Manager
Verwendung eines Masterpassworts in der Standardkonfiguration Nein 3 Ja Ja Ja Ja Nein 2 Ja Ja Ja Ja Ja
Wiederherstellungsoption bei Verlust des Masterpassworts Ja Ja Nein 4 Nein 5 Nein Nein Ja Nein Ja Ja Ja
Kann mit zweitem Faktor geschützt werden Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Unterstützt Verwaltung zweiter Faktoren 6 Ja Ja Ja Nein Ja Ja Nein Ja Ja Nein Nein
Automatisches Leeren der Zwischenablage Nein Ja 7 Ja Nein Ja Ja Nein Ja 7 Nein Ja Ja
Automatische Sperre nach Zeitüberschreitung in der Standardkonfiguration Ja Ja Ja Ja Nein Nein Ja Ja Ja Ja Ja
Cloud-Synchronisation 8 Ja Ja Ja Ja Ja Nein Ja Ja Ja Ja Ja
Prüfung gegen Leaks Ja Ja Ja Ja Nein Ja Ja Nein Ja Nein Nein
Export von Passwörtern Ja Nein Nein Ja Ja Ja Ja Nein Ja Ja Ja
Der komplette Inhalt wird verschlüsselt. Ja Ja Nein Nein Ja Ja Nein Nein Nein Nein Nein
Nach Änderung des Masterpassworts wird der komplette Inhalt verschlüsselt Ja 9 Nein Nein Nein Ja Ja Nein Nein Nein Nein Nein
Hersteller kann auf die Daten zugreifen. 10 Nein Nein Nein Ja Nein Nein Nein Ja Ja Nicht bewertbar Nicht bewertbar
Es werden ausschließlich sichere, korrekt konfigurierte kryptografische Algorithmen eingesetzt. 11 Ja, mit geringen Abweichungen Ja, mit geringen Abweichungen Unbekannt 12 Unbekannt, nutzt Betriebssystemfunktionen Ja, mit geringen Abweichungen Ja, mit geringen Abweichungen Ja, mit geringen Abweichungen Unbekannt, mindestens geringe Abweichungen Nein Nein Nein

Diese Tabelle ist eine Kopie der Ergebnisse der BSI-Studie, erweitert um die Ergebnisse für heylogin. Alle Angaben stammen aus dem FZI-Abschlussbericht bzw. der BSI-Studie und beziehen sich auf die Produktversion zum Zeitpunkt der jeweiligen Untersuchung.

2
Anstelle des Masterpassworts wird die Windows-Authentifizierung verwendet, dies ist in diesem Kontext vergleichbar.
3
heylogin verwendet ein verbundenes Smartphone zum Entsperren anstelle eines Master-Passworts.
4
Die vorhandene Wiederherstellungsoption über Biometrie sollte aus Sicherheitsgründen deaktiviert werden.
5
Nutzende sollten eine eigene Passphrase setzen, eine Wiederherstellungsoption ist dann nicht mehr vorhanden.
6
Verwaltung von zusätzlichen Authentisierungsfaktoren für 2FA bei anderen Diensten.
7
Wird bei aktuellen Android-Versionen vom Betriebssystem übernommen.
8
Können gespeicherte Daten über eine einfach aktivierbare Funktion mit einer vom Hersteller oder Drittanbieter betriebenen Cloud synchronisiert werden?
9
Eine Neuverschlüsselung findet statt, sobald ein Push Authenticator entfernt wurde und eine Änderung an den Logins vorgenommen wird.
10
Die Einträge beziehen sich auf die Standardkonfiguration bei aktivierter Synchronisation.
11
Im Sinne der BSI TR-02102-1.
12
Einige Informationen konnten im Rahmen der Prüftiefe nicht erhoben werden.

In den nächsten Abschnitten ordnen wir die wichtigsten dieser Zeilen ein. Eine kompakte Zusammenfassung der Ergebnisse finden Sie auch in unserem Security Update zum BSI-Passwortmanager-Test.

Drei Punkte, in denen heylogin sich abhebt

1. Kann der Anbieter meine Passwörter sehen?

Das ist die Sorge, die laut Umfrage ein Viertel der Menschen vom Passwortmanager abhält. Und sie ist berechtigt: Die technische Untersuchung des BSI zeigte, dass bei mehreren der getesteten Produkte der Anbieter zumindest theoretisch auf die gespeicherten Passwörter zugreifen kann.

Bei heylogin bestätigt das FZI: Der Hersteller kann auf die gespeicherten Daten nicht zugreifen. Das liegt an unserer Architektur. heylogin nutzt kein Master-Passwort, sondern den Sicherheitschip in Ihrem Smartphone. Ihre Passwörter werden Ende-zu-Ende-verschlüsselt, und die Schlüssel dafür liegen ausschließlich auf Ihren Geräten, niemals bei uns. Für uns als Anbieter sind Ihre Passwörter eine Blackbox.

2. Wird wirklich alles verschlüsselt?

Man könnte annehmen, dass jeder Passwortmanager den gesamten Inhalt verschlüsselt. Der Test zeigt: Das stimmt nicht. Bei vielen der untersuchten Produkte wird eben nicht der komplette Inhalt verschlüsselt. heylogin gehört zu der kleinen Gruppe, bei der das FZI diesen Punkt mit „Ja" bewertet hat.

3. Was passiert nach einem Sicherheitsvorfall?

Das ist der technisch spannendste Befund. Stellen Sie sich vor, ein Angreifer erlangt einmalig Zugriff auf Ihre verschlüsselten Daten und den passenden Schlüssel. Bei den meisten Passwortmanagern ist dann jedes Passwort kompromittiert, das Sie danach speichern, sobald erneut ein Abbild Ihres Tresors gestohlen wird. Denn der Schlüssel bleibt derselbe.

heylogin macht das anders. Wir verschlüsseln Ihre Daten nach einem Schlüsselwechsel automatisch neu, etwa wenn ein Login-Gerät entfernt wird. Fachbegriff dafür: Post-Compromise Security. Der Effekt: Passwörter, die Sie nach einem Vorfall neu anlegen, bleiben geschützt, selbst wenn die alten Schlüssel in falsche Hände geraten sind.

In der Vergleichstabelle des FZI erfüllen genau zwei von elf Produkten diesen Punkt: KeePassXC und heylogin. Und hier kommt der Unterschied: KeePassXC ist ein lokaler Passwortmanager, bei dem eine Neuverschlüsselung technisch einfach ist. Bei einem Cloud-basierten Manager, der Ihre Passwörter über mehrere Geräte synchronisiert, ist das ungleich anspruchsvoller. heylogin ist damit der einzige getestete Cloud-Passwortmanager, der Post-Compromise Security bietet. Wer die Details nachlesen möchte, findet sie in unserem Security Whitepaper im Abschnitt „Post-Compromise Security".

Was wir aufgrund des Tests verbessert haben

Ein unabhängiger Test ist nur so viel wert wie das, was man daraus macht. Der Bericht hat einige Punkte benannt, und wir haben in mehreren technischen Gesprächen mit dem FZI daran gearbeitet. Das haben wir seither umgesetzt:

Passwort-Qualität jetzt auch im Privatplan

Der Bericht regte an, gespeicherte Passwörter hinsichtlich ihrer Qualität zu bewerten. Diese Funktion, die es bei uns für Unternehmen bereits gab, haben wir nun auch für private Accounts eingeführt. heylogin zeigt für jedes gespeicherte Passwort an, ob es den Empfehlungen entspricht.

Die Kriterien orientieren sich am BSI-Faktenblatt „Sichere Passwörter" und an NIST SP 800-63B. Da heylogin die Passwörter selbst generiert, sind sie mit mindestens 16 Zeichen und allen vier Zeichenarten deutlich stärker als das, was diese Standards als Mindestmaß vorsehen. Ergänzt wird das durch eine automatische Prüfung gegen bekannte Datenlecks.

Kürzere Sperrzeiten

Der Test kritisierte, dass sich heylogin in der Standardeinstellung erst spät automatisch sperrt. Wir haben die längste Option („1 Tag") entfernt. Neuer Maximal- und Standardwert sind jetzt 8 Stunden.

Wichtig zu verstehen: Diese Zeit läuft nur bei Inaktivität. Jede Aktion im Browser, Scrollen, Tippen, ein Tabwechsel, setzt den Timer zurück. Die Sperre greift also nur, wenn ein Gerät wirklich unbeaufsichtigt liegen bleibt, nicht mitten in der Arbeit. Ein kürzerer Wert bringt damit mehr Sicherheit, ohne die Bedienung im Alltag zu stören.

Schutz vor Screenshots

Auf Android verhindert heylogin jetzt Screenshots, auch während ein Passwort im Klartext angezeigt wird. Auf iOS gibt es durch das Fehlen einer entsprechenden Schnittstelle kein vergleichbares Risiko.

Modernisierte Verschlüsselungs-Bibliothek

Ein eher technischer Punkt: Der Bericht wies darauf hin, dass eine von uns genutzte Softwarebibliothek (TweetNaCl) länger kein Update erhalten hatte. Wir haben sie durch die aktiv gepflegte Bibliothek „noble" ersetzt. Das verringert das Risiko sogenannter Supply-Chain-Angriffe, bei denen Angreifer versuchen, Schadcode über veraltete Bausteine einzuschleusen. Details stehen in unserem Security Whitepaper, Abschnitt 6.1.

Zusätzlich arbeiten wir im Laufe des Jahres 2027 an öffentlich verfügbaren SBOMs (einer Art Stückliste aller verwendeten Software-Komponenten), im Rahmen unserer Vorbereitung auf den europäischen Cyber Resilience Act.

Zwei Punkte, die wir bewusst nicht geändert haben

Ehrlichkeit heißt auch, über die Dinge zu sprechen, die man nicht umgesetzt hat, und zu erklären, warum.

Die Zwischenablage auf Android

Der Bericht merkt an, dass heylogin auf Android die Zwischenablage nicht selbst leert, wenn man ein Passwort manuell kopiert. Das stimmt, aber hier greift das Betriebssystem: Ab Android 13 leert Android die Zwischenablage nach kurzer Zeit automatisch. Voraussetzung ist eine Android-Version, die noch Sicherheitsupdates erhält, was ohnehin die Grundvoraussetzung für ein sicheres Gerät ist. Das FZI verweist in seiner Vergleichstabelle selbst auf diesen Mechanismus.

Das Domain-Matching

Das ist der einzige Punkt, den das FZI als zentrale Prüffeststellung hervorhebt, und der eine Erklärung verdient. Es geht darum, wann heylogin einen gespeicherten Login auf einer Webseite vorschlägt.

heylogin schlägt einen Login auch auf verwandten Subdomains vor. Ein Beispiel: Wer einen Login für dash.example.com gespeichert hat, bekommt ihn auch auf auth.dash.example.com vorgeschlagen. Das Gleiche gilt über verwandte Domains hinweg, etwa bei amazon.com und amazon.de. Das ist bewusst so gebaut, denn es ist ein Abwägen zwischen Sicherheit und Bedienbarkeit.

Ein sehr striktes Matching würde all diese Alltagsfälle brechen. Nutzende müssten ihre Passwörter dann manuell heraussuchen und kopieren, und genau dieses manuelle Kopieren ist ein eigenes Sicherheitsrisiko. Was heylogin dabei sehr wohl verhindert: Der klassische Phishing-Trick, die echte Domain als Vorsilbe an eine fremde Adresse zu hängen (example.com.evil.de), führt zu keinem Vorschlag. Und ein für eine Subdomain gespeicherter Login wird nicht auf die übergeordnete Domain hochgereicht.

Dass dies eine grundsätzliche Design-Abwägung ist und kein heylogin-spezifisches Versäumnis, zeigt ein Blick in den BSI-Bericht selbst: Dieselbe Feststellung hat das FZI dort auch bei 1Password getroffen, einem der etabliertesten Passwortmanager überhaupt, mit demselben Fazit, dass keine grundsätzlichen Bedenken gegen die Nutzung sprechen. Wie unser Matching im Detail funktioniert, ist in unserer Hilfe zur Webseiten-Zuordnung dokumentiert.

Unser Verständnis von Sicherheit

Sicherheit bedeutet für uns nicht, keine Kritikpunkte zu haben. Sie bedeutet, sich unabhängig prüfen zu lassen, offen über die Ergebnisse zu sprechen und Abwägungen nachvollziehbar zu erklären. Genau deshalb veröffentlichen wir nicht nur diesen Beitrag, sondern die vollständigen Dokumente:

Die drei Ängste vom Anfang, Diebstahl, Zugriffsverlust und Anbieterzugriff, sind ernst zu nehmen. Ein guter Passwortmanager sollte auf alle drei eine überzeugende Antwort haben. Wir sind überzeugt, dass heylogin das tut, und der Test des FZI gibt uns dabei recht. Aber Sie müssen uns nicht glauben: Lesen Sie den Bericht.