Wer seine Dateien in der Cloud speichert, möchte natürlich, dass diese auch sicher sind. Dropbox bot bis Oktober 2025 eine clevere Funktion, die viele Nutzer gar nicht kannten: App-spezifische Passwörter. Statt das Hauptpasswort an diverse Drittanbieter-Apps weiterzugeben, konnten Nutzer individuelle Zugangscodes erstellen, die jederzeit widerrufbar waren. Dieses Sicherheitskonzept ist mittlerweile bei Dropbox eingestellt worden, wird aber von anderen Cloud-Anbietern wie Apple weiterhin angeboten und bleibt ein wichtiges Prinzip für die sichere Nutzung von Cloud-Diensten.
Warum das Hauptpasswort zu wertvoll für Drittanbieter-Apps ist
Wenn eine Backup-App oder ein PDF-Editor Zugriff auf einen Cloud-Account erhält, verlangt die Anwendung meist das normale Passwort. Damit öffnen sich jedoch erhebliche Sicherheitsrisiken: Diese Apps erhalten dann dieselben Rechte wie der Accountinhaber selbst. Noch problematischer wird es, wenn eine solche App gehackt wird oder der Anbieter seine Server nicht ausreichend schützt. Plötzlich könnten Unbefugte das Hauptpasswort in den Händen halten und damit Zugriff auf sämtliche Dateien, Einstellungen und persönlichen Informationen erhalten.
App-spezifische Passwörter funktionieren nach einem anderen Prinzip. Sie sind wie temporäre Schlüssel, die nur für eine bestimmte Anwendung gelten. Wird einer dieser Schlüssel kompromittiert, bleiben alle anderen Zugänge sicher. Das Hauptpasswort muss nicht geändert werden und auch nicht alle anderen verbundenen Apps neu konfiguriert werden.
Wie App-spezifische Passwörter früher bei Dropbox funktionierten
Der Prozess war überraschend einfach, auch wenn er sich zunächst nach zusätzlicher Arbeit anhörte. Nach der Anmeldung im Browser führte der Weg über die Kontoeinstellungen zum Profilbild oben rechts. Unter dem Reiter „Sicherheit“ befand sich der Abschnitt „App-Passwörter“ oder „App-spezifische Passwörter“. Dort ließen sich möglicherweise bereits einige Einträge finden, falls die Funktion unbewusst schon genutzt wurde.
Der wichtige Teil bestand darin, der App einen aussagekräftigen Namen zu geben. Statt „App1“ oder „Test“ waren präzise Bezeichnungen wie „PDF-Editor MacBook“ oder „Backup-Tool Android“ sinnvoll. Das erleichterte später die Übersicht enorm, wenn entschieden werden musste, welche Zugänge behalten werden sollten.
Dropbox generierte dann ein zufälliges Passwort, das nur einmal angezeigt wurde. Dieses Passwort musste sofort kopiert und sicher gespeichert werden, am besten in einem Passwort-Manager. Es wurde dann anstelle des Hauptpasswords verwendet, wenn die Drittanbieter-App nach den Zugangsdaten fragte.
Welche Apps besonders von dieser Methode profitieren
Nicht für jeden Zugriff lohnt sich der Aufwand gleichermaßen. Bei offiziellen Cloud-Apps für verschiedene Geräte ist die normale Anmeldung meist die bessere Wahl. Anders sieht es bei folgenden Szenarien aus:
- Automatisierungs-Tools: Apps wie IFTTT oder Zapier, die automatisch Dateien zwischen verschiedenen Diensten synchronisieren, sollten niemals das Hauptpasswort kennen.
- Backup-Software: Programme, die regelmäßig Sicherungskopien in die Cloud hochladen, benötigen zwar dauerhaften Zugriff, aber eben keinen vollständigen.
- Spezielle Editoren: Foto- oder Video-Bearbeitungsprogramme, die direkt auf die Cloud zugreifen, müssen nicht die gesamten Kontodaten erhalten.
- Apps auf fremden Geräten: Wenn auf einem Arbeitsrechner oder einem geliehenen Computer eine Anwendung genutzt werden muss, die Cloud-Zugriff benötigt, minimieren App-Passwörter das Risiko.
- Experimentelle Software: Bei neuen Apps, deren Vertrauenswürdigkeit noch nicht eingeschätzt werden kann, bietet sich diese Absicherung besonders an.
Verwaltung und regelmäßige Kontrolle der Zugänge
Die Erstellung der Passwörter ist nur der erste Schritt. Der eigentliche Sicherheitsgewinn entsteht durch aktives Management. Regelmäßig, etwa alle drei bis sechs Monate, sollte die Liste der App-Passwörter überprüft werden. Dabei stellen sich wichtige Fragen: Wird diese App noch genutzt? Ist die Anwendung überhaupt bekannt? Manchmal sind Apps längst deinstalliert, aber die Zugänge bleiben aktiv. Genau diese vergessenen Türen sind potenzielle Sicherheitslücken. Mit einem Klick lässt sich jedes App-spezifische Passwort widerrufen, ohne dass sich das auf andere Verbindungen auswirkt.
Besonders aufmerksam sollte man werden, wenn der Cloud-Anbieter über ungewöhnliche Anmeldeaktivitäten informiert. Stammen diese von einer Drittanbieter-App mit eigenem Passwort, kann gezielt nur dieser Zugang gesperrt werden, während in Ruhe geprüft wird, was passiert ist.
Kombination mit Zwei-Faktor-Authentifizierung verstärkt den Schutz
App-spezifische Passwörter entfalten ihre volle Wirkung in Kombination mit der Zwei-Faktor-Authentifizierung. Diese sollte für den Hauptzugang unbedingt aktiviert sein und bietet eine zusätzliche Sicherheitsebene, die Cloud-Accounts wirksam schützt.
Das Prinzip dahinter: Selbst wenn jemand eines der App-spezifischen Passwörter erbeutet, erschwert die Zwei-Faktor-Authentifizierung den Zugriff erheblich. Der Hauptaccount bleibt durch die zusätzliche Sicherheitsebene geschützt, während die Drittanbieter-Apps trotzdem funktionieren können.
Praktische Tipps für den Alltag mit App-Passwörtern
Nach der ersten Einrichtung werden App-Passwörter schnell zur Routine. Ein paar Gewohnheiten helfen dabei, das System effizient zu nutzen. Beschreibende Namen mit Datum verwenden macht später vieles einfacher. Statt „Backup-App“ eignet sich „Backup-App-installiert-März-2024“. So bleibt nachvollziehbar, wie alt eine Verbindung ist und ob sie möglicherweise nicht mehr benötigt wird.
Im Passwort-Manager sollte nicht nur das generierte Passwort dokumentiert werden, sondern auch der Zweck. Eine kurze Notiz wie „Für automatische Foto-Uploads vom Handy“ erspart später Ratlosigkeit. Für jedes Gerät separate Passwörter erstellen lohnt sich ebenfalls, selbst wenn darauf dieselbe App läuft. Läuft eine Backup-Software sowohl auf dem Laptop als auch auf dem Desktop-PC, sollten zwei verschiedene App-Passwörter vergeben werden. So lässt sich bei einem Gerätewechsel oder -verlust präzise reagieren.
Was tun bei Problemen mit App-Passwörtern
Manchmal verweigern Apps die Anmeldung mit einem App-spezifischen Passwort. Das liegt meist daran, dass die Software eine spezielle OAuth-Authentifizierung verwendet, die ein anderes Verfahren nutzt. In solchen Fällen erscheint beim Anmeldeversuch oft ein Browser-Fenster, über das der Cloud-Dienst direkt autorisiert wird, ohne Passworteingabe.
Diese OAuth-Verbindungen tauchen ebenfalls in den Sicherheitseinstellungen auf, allerdings in einem separaten Bereich namens „Verbundene Apps“ oder „Verknüpfte Anwendungen“. Auch hier lohnt sich die regelmäßige Kontrolle. Falls eine App weder App-Passwort noch OAuth akzeptiert, sollte der Support des Entwicklers kontaktiert werden. Moderne Software sollte beide Methoden unterstützen. Tut sie das nicht, stellt sich die Frage, ob dieser App wirklich Zugriff auf persönliche Dateien gewährt werden sollte.
Der Unterschied zu herkömmlichen Zugriffstoken
App-spezifische Passwörter unterscheiden sich von Access-Token, die Entwickler beim Programmieren verwenden. Während Token oft zeitlich begrenzt sind und automatisch erneuert werden, bleiben App-Passwörter dauerhaft gültig, bis sie widerrufen werden. Sie ähneln eher einem dauerhaften, aber eingeschränkten Zweitpasswort.
Diese Beständigkeit hat Vor- und Nachteile. Einerseits müssen nicht ständig neue Passwörter generiert werden, andererseits erfordert es eben jene regelmäßige manuelle Überprüfung. Die Balance zwischen Bequemlichkeit und Sicherheit wird durch das eigene Verwaltungsverhalten bestimmt.
Das Konzept bei anderen Anbietern nutzen
Dropbox hat seine App-Passwort-Funktion zum 28. Oktober 2025 eingestellt und empfiehlt Nutzern den Umstieg auf alternative Passwort-Manager. Das Konzept selbst lebt jedoch bei anderen Anbietern weiter. Apple bietet beispielsweise ein vergleichbares System für den Apple Account an. Wer sich einmal mit diesem Prinzip vertraut gemacht hat, kann dieselbe Strategie also auch für andere Dienste anwenden und sein gesamtes digitales Leben sicherer gestalten. Die investierte Zeit zahlt sich mehrfach aus, nicht nur durch mehr Sicherheit, sondern auch durch ein besseres Verständnis dafür, welche Apps eigentlich Zugriff auf welche Daten haben. Cloud-Sicherheit beginnt mit bewusstem Umgang mit Zugriffsrechten, und App-spezifische Passwörter bleiben ein wichtiges Werkzeug in diesem Bereich.
Inhaltsverzeichnis