Phishing-Schutz mit Passwortmanagern

Beim Phishing imitieren Angreifer bekannte Login-Seiten, um Zugangsdaten abzugreifen. Klassisch per E-Mail mit Link, zunehmend auch per SMS, Messenger oder gefälschte Suchanzeigen.

Ziel ist es, dass das Opfer das echte Passwort auf einer gefälschten Seite eingibt - im Idealfall sogar zusammen mit dem aktuellen 2FA-Code.

Ein Passwortmanager schlägt Logins nur dann zum Ausfüllen vor, wenn die aufgerufene Domain mit dem gespeicherten Eintrag übereinstimmt. Auf einer gefälschten Seite passiert schlicht nichts - das ist ein sehr klares Warnsignal.

Damit ersetzt der Manager das fehleranfällige menschliche Erkennen ungewöhnlicher URLs durch eine harte technische Prüfung.

• Manuelles Eintippen oder Copy-Paste von Passwörtern auf der gefälschten Seite
• Sehr ähnliche Domains (z. B. mit Sonderzeichen oder anderen Top-Level-Domains)
• Phishing-Frames innerhalb echter Seiten
• Klassische SMS- oder Telefon-Tricks, die Nutzer zur manuellen Eingabe drängen

• Auto-Fill verwenden und stutzig werden, wenn der Manager nichts vorschlägt
• Für wichtige Konten (E-Mail, Banking, Cloud) wo möglich Passkeys oder Hardware-Keys einsetzen
• Login nur über eigene Lesezeichen oder die offizielle App, nicht über Links aus E-Mails
• Verdächtige E-Mails melden und keine 2FA-Codes telefonisch oder per Chat weitergeben

• "Ich erkenne Phishing schon" - moderne Phishing-Seiten sind oft kaum vom Original zu unterscheiden
• "2FA schützt vor Phishing" - klassische TOTP-Codes können ebenfalls in Echtzeit weitergeleitet werden
• "Wenn das Passwort eingetragen wird, ist die Seite echt" - der Manager füllt nur bei exakter Domain aus, alles andere sollte stutzig machen

Ein Passwortmanager senkt das Phishing-Risiko deutlich. Vollständig phishing-resistent werden Logins erst mit Passkeys oder Hardware-Sicherheitsschlüsseln.