Datum
July 6, 2026
Typ
Audit

Nachgetestet: heylogin nach den Kriterien des BSI-Passwortmanager-Tests

Das BSI hat am 01.12.2025 eine Studie zur IT-Sicherheit von Passwortmanagern veröffentlicht, fachlich durchgeführt vom FZI Forschungszentrum Informatik. Zehn Produkte wurden nach einem einheitlichen Prüfschema bewertet, heylogin war nicht darunter. Wir haben das FZI Ende Januar 2026 beauftragt, heylogin (Variante „Privat") nach demselben Maßstab nachzutesten. Der Abschlussbericht liegt seit dem 04.05.2026 vor.

Das Gesamturteil ist eindeutig: Es ergaben sich keine grundsätzlichen Bedenken, die gegen die Nutzung von heylogin sprechen. Wir veröffentlichen den vollständigen Bericht und ordnen im Folgenden ein, wo wir grundsätzlich stärker aufgestellt sind als der Markt und welche Kritikpunkte wir seit dem Test bereits umgesetzt haben.

Wo wir grundsätzlich besser sind

Der FZI-Bericht stellt die Ergebnisse für heylogin direkt neben die zehn Produkte der BSI-Studie. Dabei fallen mehrere Punkte auf, bei denen wir uns vom Feld abheben:

  • Kein Master-Passwort. heylogin nutzt ein gekoppeltes Smartphone zum Entsperren statt eines Master-Passworts. Damit ist der Passwortmanager standardmäßig 2-Faktor-sicher, und ganze Angriffsklassen wie Shoulder-Surfing des Master-Passworts (Angreifermodell A01) entfallen von vornherein.
  • Der komplette Inhalt wird verschlüsselt. In der Vergleichstabelle des FZI ist das nur bei wenigen der untersuchten Produkte der Fall; bei vielen bekannten Managern wird eben nicht der gesamte Inhalt verschlüsselt. heylogin gehört zu der kleinen Gruppe, bei der dies mit „Ja" bewertet ist.
  • Neuverschlüsselung nach Schlüsselwechsel (Post-Compromise Security). Das ist der Punkt, der uns am deutlichsten heraushebt. heylogin verschlüsselt den gespeicherten Inhalt nach einer Änderung der Schlüssel neu, etwa wenn ein Login-Gerät entfernt wird. Dadurch bleiben Passwörter, die nach einem möglichen Kompromiss gespeichert wurden, geschützt, statt mit einem einmal erlangten Schlüssel weiterhin lesbar zu sein. In der FZI-Vergleichstabelle erfüllen das nur zwei der elf betrachteten Produkte: KeePassXC und heylogin. Bei einem lokalen Passwortmanager wie KeePassXC ist eine Neuverschlüsselung technisch einfach, bei einem Cloud-basierten Manager ist sie deutlich anspruchsvoller. heylogin ist damit der einzige getestete Cloud-Passwortmanager, der Post-Compromise Security bietet. Details dazu im Security Whitepaper, Abschnitt „Post-Compromise Security".
  • Kein Herstellerzugriff auf Ihre Daten. Das FZI bestätigt: Der Hersteller kann auf die gespeicherten Daten nicht zugreifen. Mehrere andere Produkte werden hier mit „Ja" oder „nicht bewertbar" geführt.

Dazu kommen sichere, brute-force-resistente kryptografische Verfahren. Gehostet wird ausschließlich in Europa, und wir setzen ausschließlich europäische Unterauftragsverarbeiter ein. Ihre Daten verlassen den europäischen Rechtsraum nicht.

Was wir seit dem Test verbessert haben

Ein unabhängiger Test ist nur dann etwas wert, wenn man auf die Ergebnisse reagiert. Basierend auf dem Bericht und mehreren technischen Gesprächen mit dem FZI haben wir folgende Punkte umgesetzt:

  • Passwort-Qualität im Privatplan. Analog zum Passwort-Richtlinien-Feature für Unternehmen zeigt heylogin nun auch für private Accounts einen Qualitätsindikator für gespeicherte Passwörter an. Die Kriterien orientieren sich an den Empfehlungen des BSI (Faktenblatt „Sichere Passwörter") und an NIST SP 800-63B: Mit mindestens 16 Zeichen und allen vier Zeichenarten übererfüllen die von heylogin generierten Passwörter die BSI-Vorgaben, während Länge und automatische Leak-Prüfung dem Fokus von NIST auf das Wesentliche entsprechen. Das FZI hatte angeregt, gespeicherte Passwörter hinsichtlich ihrer Qualität zu bewerten; genau das haben wir umgesetzt.
  • Kürzere Sperrzeiten. Die längste Option von „1 Tag" haben wir entfernt. Neuer Maximal- und Standardwert für die automatische Sperre ist jetzt 8 Stunden statt des zuvor kritisierten Werts von „2 Uhr morgens am Folgetag" (Angreifermodell A02). Wichtig dabei: Dieser Timer läuft ausschließlich bei Inaktivität. Jede Nutzeraktion im Browser (Scrollen, Tabwechsel, Tippen) setzt ihn zurück; die eingestellte Zeit beginnt erst zu laufen, wenn der Browser durchgehend im Leerlauf ist. Ein kürzerer Wert bedeutet also im Normalbetrieb keinen spürbaren Bedienungsnachteil, sondern greift nur dann, wenn ein Gerät tatsächlich unbeaufsichtigt liegen bleibt.
  • Schutz vor Screenshots. Auf Android werden Screenshots nun unterbunden, auch während ein Passwort im Klartext angezeigt wird. Auf iOS besteht durch das Fehlen einer Media-Capture-API kein entsprechendes Risiko (Angreifermodell A05).
  • Modernisierte Kryptografie-Bibliothek. Wir haben TweetNaCl durch die aktiv gepflegte Bibliothek noble ersetzt. Das reduziert das Risiko aus dem Supply-Chain-Szenario (A03b), das der Bericht im Zusammenhang mit dem veralteten TweetNaCl-Stand anspricht. Details dazu in unserem Security Whitepaper (v3.8), Abschnitt 6.1 „Cryptographic algorithms and key notation".

Ergänzend: Öffentlich verfügbare SBOMs (Software Bill of Materials), die der Bericht ebenfalls anspricht, setzen wir im Laufe des Jahres 2027 im Rahmen unserer CRA-Vorbereitung um.

Zwei Punkte zur Einordnung

Zwei Feststellungen des Berichts haben wir bewusst nicht durch eine Produktänderung beantwortet, sondern wollen sie transparent einordnen:

  • Zwischenablage auf Android. Der Bericht merkt an, dass die Android-App die Zwischenablage beim manuellen Kopieren nicht selbst leert (Angreifermodell A05). Hier greift jedoch das Betriebssystem: Ab Android 13 wird die Zwischenablage nach kurzer Zeit automatisch von Android geleert. Wir setzen voraus, dass eine Android-Version mit aktuellen Sicherheitsupdates genutzt wird; für diese ist der Schutz damit gegeben. Das FZI verweist in der Vergleichstabelle auf denselben Mechanismus.
  • Domain-Matching beim Auto-Fill. Das FZI merkt an, dass unser Domain-Matching einen Login auch auf verwandten Subdomains vorschlägt (Angreifermodell A06). Das ist ein bewusster Trade-off: Ein für dash.example.com gespeicherter Login soll auch auf auth.dash.example.com funktionieren, ebenso über verwandte Domains wie amazon.com und amazon.de hinweg. Ein zu striktes Matching würde diese Alltagsfälle brechen und Nutzende zum manuellen Kopieren zwingen, was ein eigenes Risiko ist. Naives Suffix-Matching (example.com.evil.de) und Hochmatchen auf die übergeordnete Domain sind dagegen ausgeschlossen. Dieselbe Feststellung hat das FZI im BSI-Bericht auch bei 1Password getroffen, mit demselben Fazit, dass keine grundsätzlichen Bedenken gegen die Nutzung sprechen. Details in unserer Hilfe zur Webseiten-Zuordnung.

Volle Transparenz

Wir veröffentlichen die vollständigen Dokumente, damit Sie sich selbst ein Bild machen können:

Timeline

  • 01.12.2025: Veröffentlichung der BSI-Studie (durchgeführt vom FZI).
  • 30.01.2026: Beauftragung des FZI durch heylogin zur Nachprüfung nach demselben Schema.
  • 09.03.2026: Beantwortung der Herstellerfragen des FZI durch heylogin.
  • 04.05.2026: Abschlussbericht liegt vor.
  • 06.07.2026: Umsetzung der Verbesserungen (Passwort-Qualität, Sperrzeiten, Screenshot-Schutz, noble) und Veröffentlichung dieses Reports.