Passwort-Manager Vergleich 2026: Bitwarden, 1Password, KeePass, Proton Pass im Test
Der Markt für Passwort-Manager hat sich seit dem LastPass-Datenleak von 2022 grundlegend verschoben. Bitwarden, 1Password, KeePass und Proton Pass dominieren heute die Empfehlungen unabhängiger Tester. Dieser Vergleich misst die vier Anbieter an Verschlüsselung, Audit-Status, Preis und Familien-Sharing und ordnet ein, welcher Manager zu welchem Nutzungsprofil passt.
Der Markt für Passwort-Manager hat sich seit dem LastPass-Datenleak von 2022 grundlegend verschoben. Bitwarden, 1Password, KeePass und Proton Pass dominieren heute die Empfehlungen unabhängiger Tester. Dieser Vergleich misst die vier Anbieter an Verschlüsselung, Audit-Status, Preis und Familien-Sharing und ordnet ein, welcher Manager zu welchem Nutzungsprofil passt.
Warum Passwort-Manager Pflicht sind
Der Verizon Data Breach Investigations Report 2023 führt 49 Prozent aller Einbrüche auf gestohlene oder schwache Anmeldedaten zurück. Die Folge: ein Passwort pro Dienst, jedes mindestens 14 Zeichen, idealerweise zufällig erzeugt. Diese Menge an Geheimnissen kann kein Mensch im Kopf führen. Browser-eigene Speicher schließen die Lücke nur teilweise, weil sie weder geräteübergreifend stabil synchronisieren noch eine harte Master-Passwort-Trennung erzwingen. Dedizierte Manager bündeln Generierung, Speicherung und Auto-Fill in einem Werkzeug, das sich gegenüber dem Betriebssystem als isolierter Tresor verhält.
Die Bundesregierung empfiehlt den Einsatz solcher Werkzeuge im BSI-Grundschutz-Baustein ORP.4 ausdrücklich. Die NIST-Publikation SP 800-63B hebt seit der Revision 3 die Bedeutung langer, einzigartiger Passphrasen hervor und entlastet Anwender von der Pflicht, sich diese selbst auszudenken. Ein Passwort-Manager ist damit nicht mehr Komfort-Werkzeug, sondern Bestandteil der Mindestabsicherung.
Bitwarden: Open Source mit Cloud und Self-Host
Bitwarden ist seit 2016 verfügbar, hat seinen Sitz in Florida und veröffentlicht sämtliche Client- und Server-Komponenten unter der GPLv3 beziehungsweise AGPLv3. Die Verschlüsselung kombiniert AES-256-CBC für die Tresor-Daten mit PBKDF2-SHA-256 oder optional Argon2id zur Ableitung des Master-Schlüssels. Cure53 hat den Code zuletzt 2024 auditiert und das Resultat in einem öffentlich zugänglichen Bericht veröffentlicht. Die kostenlose Variante umfasst unbegrenzte Einträge, Geräte und Kollektionen. Der Premium-Tarif kostet 10 US-Dollar pro Jahr und ergänzt TOTP-Speicherung, Notfallkontakte sowie 1 GB verschlüsselten Datei-Anhang.
Self-Hosting läuft entweder über das Vaultwarden-Projekt, eine Rust-Reimplementierung des Servers, oder über die offizielle Docker-Distribution. Letztere setzt SQL Server voraus, was den Hardware-Bedarf gegenüber Vaultwarden spürbar erhöht. Browser-Erweiterungen existieren für Chrome, Firefox, Safari, Edge, Brave und Vivaldi. Die mobile App liegt in nativer Form für iOS und Android vor und unterstützt biometrisches Entsperren via Face ID, Touch ID und Android-Biometrie.
1Password: Das polierte Premium-Paket
1Password wird vom kanadischen Anbieter AgileBits seit 2006 entwickelt und bietet ausschließlich kommerzielle Tarife. Der Einzeltarif liegt bei 2,99 Euro pro Monat im Jahresabo, Familien zahlen 4,99 Euro für bis zu fünf Personen. Die Verschlüsselung kombiniert AES-256-GCM mit einem doppelten Schlüssel: dem Master-Passwort und einem 34 Zeichen langen Secret Key, der lokal generiert und nur auf den eigenen Geräten gespeichert wird. Diese Architektur verhindert, dass ein erbeuteter Server-Tresor allein durch Brute-Force gegen das Master-Passwort knackbar wird.
Audits liefen 2018 bei Cure53 und 2022 bei Onica beziehungsweise AWS, jeweils mit veröffentlichten Berichten. Ein Watchtower-Modul gleicht gespeicherte Anmeldedaten gegen die Have-I-Been-Pwned-Datenbank ab. Die Travel-Mode-Funktion entfernt vor Grenzübergängen ausgewählte Tresore vom Gerät und stellt sie nach dem Reaktivieren wieder her. Browser-Erweiterungen, native Desktop-Clients für Windows, macOS und Linux sowie iOS- und Android-Apps decken alle gängigen Plattformen ab.
KeePass: Lokal, frei, robust
KeePass existiert seit 2003 und ist die einzige Lösung im Vergleich, die ohne Anbieter im Rücken auskommt. Die KDBX-Datenbank liegt als verschlüsselte Datei auf dem eigenen Gerät und wird mit AES-256 oder ChaCha20 sowie Argon2d zur Schlüsselableitung gesichert. Synchronisation ist nicht eingebaut, übernimmt aber jeder beliebige Datei-Sync wie Nextcloud, Syncthing, OneDrive oder ein USB-Stick. Die Referenzimplementierung in C# lief lange Zeit nur unter Windows, mittlerweile decken die Forks KeePassXC für Desktop und KeePassDX beziehungsweise Strongbox für Mobil das gesamte Betriebssystem-Spektrum ab.
Das Bundesamt für Sicherheit in der Informationstechnik hat KeePass 2018 und 2022 selbst auditiert und für den Einsatz in Behörden freigegeben. Wer eine maximale Trennung zwischen Tresor und Drittanbietern wünscht, fährt mit KeePass am sichersten, akzeptiert dafür aber die Mehrarbeit beim Sync und beim Onboarding nichttechnischer Familienmitglieder.
Proton Pass: Der Newcomer mit Schweizer Adresse
Proton Pass startete im Juni 2023 als jüngstes Produkt der Genfer Proton AG, bekannt durch Proton Mail und Proton VPN. Der Open-Source-Client steht unter GPLv3 und nutzt AES-256-GCM gemeinsam mit Argon2id. Eine Besonderheit: Pass integriert ab dem Plus-Tarif den hauseigenen E-Mail-Alias-Dienst SimpleLogin, der bei der Registrierung neue Aliasse generiert und damit das eigentliche Postfach vor Daten-Brokern abschirmt. Eine kostenlose Variante umfasst zehn Aliasse, der bezahlte Tarif liegt bei rund 1,99 Euro pro Monat im Jahresabo, das Bundle Proton Unlimited bei 9,99 Euro.
Securitum hat die Codebasis 2023 auditiert. Die Server stehen ausschließlich in der Schweiz und unterliegen damit nicht der DSGVO, aber dem strengen Schweizer Datenschutzgesetz. Browser-Erweiterungen liegen für Chrome, Firefox, Edge und Brave vor, Apps für iOS und Android. Eine native Desktop-Anwendung erschien im Frühjahr 2024 zunächst für Windows, macOS und Linux folgten im Verlauf des Jahres.
Kriterien-Matrix
| Kriterium | Bitwarden | 1Password | KeePass | Proton Pass |
|---|---|---|---|---|
| Speicher-Modell | Cloud + Self-Host | Cloud (proprietär) | Lokale Datei | Cloud (Schweiz) |
| Open Source | Ja, GPLv3/AGPLv3 | Nein | Ja, GPLv2 | Ja, GPLv3 |
| Kryptografie | AES-256, PBKDF2/Argon2id | AES-256-GCM + Secret Key | AES-256/ChaCha20, Argon2d | AES-256-GCM, Argon2id |
| Letztes externes Audit | Cure53, 2024 | Onica/AWS, 2022 | BSI, 2022 | Securitum, 2023 |
| Preis (Einzelnutzer) | 0 oder 10 USD/Jahr | 2,99 EUR/Monat | 0 | 0 oder 1,99 EUR/Monat |
| Familien-Sharing | 3,33 USD/Monat (6 Personen) | 4,99 EUR/Monat (5 Personen) | Manuell via Sync | Im Unlimited-Bundle |
| TOTP integriert | Ja (Premium) | Ja | Ja (Plug-in) | Ja (kostenlos) |
| Passkey-Support | Ja, seit 2024 | Ja, seit 2023 | KeePassXC seit 2024 | Ja, seit 2024 |
Preisvergleich auf einen Blick
Empfehlungen nach Nutzungsprofil
Privatperson mit Standardanforderungen
Bitwarden Free deckt Generator, Sync über alle Geräte, Browser-Erweiterungen und biometrisches Entsperren ohne Kosten ab. Wer TOTP gemeinsam mit dem Passwort-Eintrag speichern möchte oder Notfallkontakte braucht, zahlt 10 US-Dollar pro Jahr. Diese Kombination erreicht das beste Preis-Leistungs-Verhältnis im Markt.
Familien und gemeinsame Tresore
1Password Familien glänzt durch ausgereifte Rollen-Verwaltung, sichere Wiederherstellung und einen ausgesprochen polierten Onboarding-Prozess. Wer technische Erklärungen am Esstisch vermeiden will, bekommt hier die geringste Reibung. Bitwarden Family liegt funktional dicht dran und ist günstiger, fühlt sich beim Setup aber technischer an.
Selbstständige und kleine Teams
Beide kommerziellen Anbieter offerieren Business-Tarife mit SAML-Anbindung, Audit-Logs und Provisioning. Bitwarden Teams startet bei 4 US-Dollar pro Nutzer und Monat, 1Password Business bei 7,99 Euro. Self-Host kommt für Solo-Selbstständige selten in Frage, weil der Wartungsaufwand den Tarifpreis übersteigt.
Hochgradig kontrollbedürftige Anwender
KeePass mit Argon2d, einer Schlüsseldatei zusätzlich zum Master-Passwort und Sync über Syncthing erfüllt die Anforderung, dass kein Drittanbieter Zugriff auf den Tresor bekommt. Die Lernkurve ist messbar steiler, dafür fällt jede Lieferketten-Abhängigkeit weg.
Privatsphäre-fokussierte Nutzer
Proton Pass im Bundle mit Mail, VPN und Drive konsolidiert vier Werkzeuge bei einem Anbieter mit Schweizer Jurisdiktion. Die SimpleLogin-Integration ist im Markt einzigartig und entwertet vorhandene Tracking-Datensätze schrittweise.
Migration: Was beim Umstieg zu beachten ist
Sämtliche vier Manager unterstützen den Import aus CSV-Dateien sowie aus den nativen Exporten der Konkurrenz. Ein Wechsel verläuft im Regelfall in drei Schritten: Export beim alten Anbieter, Import beim neuen, anschließend Master-Passwort ändern und Sitzungen widerrufen. Die anschließende Pflichtaufgabe wird häufig vergessen: TOTP-Geheimnisse müssen für sicherheitskritische Konten neu erzeugt werden, wenn der Verdacht besteht, dass die alte Datenbank kompromittiert wurde. Wer von LastPass migriert, sollte exakt dies tun, weil die Frage offen ist, welche Datensätze tatsächlich entwendet wurden.
Beim Schreiben des Master-Passworts gilt die Regel der Electronic Frontier Foundation: mindestens fünf Diceware-Wörter aus einer Liste mit 7776 Einträgen, was rund 64 Bit Entropie liefert. Der NIST SP 800-63B widerspricht dem nicht, sondern empfiehlt schlicht eine Mindestlänge von acht Zeichen und keine Komplexitäts-Pflicht, weil diese empirisch zu vorhersagbaren Mustern führt.
Zwei-Faktor-Authentifizierung in der Praxis
Alle vier Manager unterstützen TOTP-Codes nach RFC 6238 als integrierte Funktion oder über die mobile App. Bitwarden Premium und 1Password Watchtower zeigen die Codes direkt im Tresor-Eintrag an, was die Eingabe per Auto-Fill beschleunigt. Sicherheitspuristen sehen genau diese Bequemlichkeit kritisch: Wer Passwort und zweiten Faktor in derselben App speichert, hebt die Trennung zwischen "etwas, das man weiß" und "etwas, das man hat" partiell auf. Bei einem kompromittierten Master-Passwort fallen beide Faktoren gleichzeitig.
Die Empfehlung der Sicherheitsforscher fällt zwiespältig aus. Für niedrige Risiko-Konten überwiegt die Komfortrendite, für Banking, E-Mail und Cloud-Backup ist die Trennung in eine separate Authenticator-App oder ein FIDO2-Token sinnvoll. YubiKey, Token2 und SoloKey bieten Hardware-Sicherheitsschlüssel zwischen 25 und 70 Euro, die als physisch getrennter zweiter Faktor dienen. 1Password unterstützt YubiKeys als Master-Passwort-Ergänzung seit 2018, Bitwarden seit 2019, Proton Pass seit 2024.
Browser-Erweiterungen und Auto-Fill
Die alltägliche Nutzererfahrung steht und fällt mit der Browser-Erweiterung. Der Funktionsumfang unterscheidet sich subtil. 1Password integriert Auto-Fill am tightesten in den Browser, erkennt Login-Formulare zuverlässig auch in Single-Page-Anwendungen und füllt Zwei-Faktor-Codes automatisch ins richtige Feld. Bitwarden funktioniert vergleichbar gut, fällt bei manchen JavaScript-lastigen Seiten aber öfter auf manuelles Klicken zurück. KeePassXC nutzt eine native Browser-Brücke, was sie sicherer macht als reine Erweiterungen, dafür aber eine zusätzliche Konfiguration verlangt. Proton Pass liegt funktional zwischen Bitwarden und 1Password, hatte zum Start 2023 noch sichtbare Lücken, hat diese im Verlauf von 2024 geschlossen.
Phishing-Schutz ist der härteste Test für jede Erweiterung. Eine korrekt implementierte Auto-Fill-Logik prüft die exakte Origin der Seite und füllt das Passwort nur, wenn sie mit dem gespeicherten Eintrag übereinstimmt. Tippfehler-Domains wie "amaz0n.de" erhalten so kein Passwort, weil der Manager die Diskrepanz erkennt. Forschende der Princeton University zeigten 2018 in einer Analyse, dass nicht alle Manager diese Prüfung sauber implementieren. Die genannten vier Anbieter haben die Lücken bis 2022 geschlossen, ältere Manager und browser-eigene Speicher tun dies bis heute nicht durchgängig.
Recovery, Notfall und das Tod-Szenario
Was passiert mit dem Tresor, wenn der primäre Anwender stirbt oder das Master-Passwort dauerhaft vergisst, ist eine selten diskutierte, aber praktisch relevante Frage. 1Password Family bietet einen Wiederherstellungs-Code, den ein Familienmitglied mit Recovery-Rolle ausstellen kann. Bitwarden setzt auf Notfall-Zugriff: Ein vertrauenswürdiger Kontakt fordert Zugang an, nach einer voreingestellten Wartezeit von einer bis 90 Tagen erhält er Zugriff, sofern der Anwender den Vorgang nicht abbricht. Proton Pass orientiert sich an diesem Modell. KeePass kennt diese Funktion nicht, dafür lässt sich die Datenbank-Datei einfach kopieren und einem Treuhänder im Bankschließfach übergeben.
Die juristische Dimension ist nicht trivial. Das Bundesgerichtshof-Urteil zum digitalen Nachlass von 2018 (Az. III ZR 183/17) hat klargestellt, dass Erben grundsätzlich Anspruch auf den digitalen Nachlass haben, technische Sicherungen wie das Master-Passwort gehen aber ohne Vorsorge verloren. Anwälte für Erbrecht empfehlen daher, das Master-Passwort in einem Testament-Anhang oder in einem versiegelten Umschlag beim Notar zu hinterlegen, ergänzt durch klare Anweisungen zum Tresor-Inhalt.
Marktbild
Open-Source-Lösungen haben den Premium-Markt eingeholt. Bitwarden zeigt, dass freie Software ein Geschäftsmodell trägt, ohne die Codebasis zu schließen. 1Password bleibt das Maß der Dinge bei Familien-Onboarding und visuellem Feinschliff. KeePass ist das Werkzeug der Wahl, wenn jede Drittanbieter-Komponente ein Risiko darstellt. Proton Pass hat sich in 18 Monaten von Newcomer zu ernstzunehmender Alternative entwickelt, vor allem für Anwender, die ohnehin im Proton-Ökosystem leben. Die Antwort auf die Frage nach dem besten Manager hängt damit weniger an objektiver Sicherheit, sondern an Ergonomie, Preisbereitschaft und Vertrauen in die jeweilige Jurisdiktion.
Häufige Fragen
Sind Open-Source-Passwort-Manager sicherer als kommerzielle?
Open Source bedeutet zunächst nur, dass jeder den Code prüfen kann. Sicher wird ein Manager erst, wenn diese Prüfung tatsächlich stattfindet, also externe Auditoren regelmäßig Berichte veröffentlichen. Bitwarden, KeePass und Proton Pass erfüllen das, 1Password gleicht die fehlende Quelloffenheit mit kommerziellen Audits aus. Praktisch unterscheiden sich die vier Lösungen kryptografisch kaum. Der größere Sicherheitsfaktor liegt in einem starken Master-Passwort und einer aktivierten Zwei-Faktor-Authentifizierung, nicht im Lizenzmodell.
Lohnt sich Self-Hosting von Bitwarden für Privatpersonen?
Selten. Self-Hosting verlagert die Verantwortung für Verfügbarkeit, Backups und Sicherheits-Updates komplett auf den Anwender. Wer den Server falsch konfiguriert oder vergisst, ihn zu patchen, schwächt die Sicherheit gegenüber der gemanagten Cloud. Sinnvoll wird die Variante, sobald regulatorische Vorgaben den Datentransfer in die USA verbieten oder ein bestehender Heimserver mit Backup-Routine ohnehin läuft. Der Wartungsaufwand frisst den Preisvorteil bei privaten Einzelnutzern in der Regel auf.
Was passiert, wenn ich mein Master-Passwort vergesse?
Bei Bitwarden, 1Password und Proton Pass ist der Tresor ohne Master-Passwort nicht wiederherstellbar, weil der Anbieter den Schlüssel nicht kennt. 1Password bietet eine Notfall-Wiederherstellung über den Secret Key plus Account-Wiederherstellungsformular für Family-Tarife an, Bitwarden setzt auf Notfallkontakte mit Wartezeit. Bei KeePass ist die Datenbank ohne das korrekte Passwort verloren, sofern keine Schlüsseldatei ein Backup darstellt. Eine schriftliche Hinterlegung an einem sicheren Ort, etwa im Bankschließfach, ist daher kein Luxus.
Kann ich Passkeys statt Passwörter speichern?
Alle vier Manager unterstützen Passkeys nach dem WebAuthn-Standard. 1Password integrierte die Funktion 2023 als erster großer Anbieter, Bitwarden, Proton Pass und KeePassXC zogen 2024 nach. Das ergibt eine pragmatische Übergangslösung: Konten ohne Passkey-Support speichern weiterhin Passwörter, neue Dienste werden direkt mit Passkey angelegt. Apple, Google und Microsoft haben sich auf das Format geeinigt, langfristig wird der Passwort-Manager damit zum Passkey-Tresor.
Welcher Manager hat das beste Preis-Leistungs-Verhältnis für Familien?
Bitwarden Family kostet rund 3,33 US-Dollar pro Monat für sechs Personen und liefert TOTP-Speicher, 1 GB Anhänge sowie Notfallzugriff. 1Password Families liegt bei 4,99 Euro für fünf Personen, dafür mit ausgereiftem Onboarding und Reise-Modus. Proton Family im Unlimited-Bundle bei 9,99 Euro pro Monat enthält auch Mail, VPN und Drive, ist also nur attraktiv, wenn diese Dienste tatsächlich genutzt werden. KeePass eignet sich für Familien praktisch nicht, weil der gemeinsame Tresor manuelle Sync-Disziplin verlangt.
Verwendete Quellen
- https://bitwarden.com/help/security/
- https://1password.com/files/1Password-White-Paper.pdf
- https://keepass.info/help/base/security.html
- https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passwoerter-verwalten/passwoerter-verwalten_node.html
Stand: 2026-05-04. Korrektur-Hinweise an info@akara-solutions.de oder über die Methodik-Seite.