Die besten Passwortmanager: Sicherheit und Komfort im Vergleich

1Password – Der „Fort Knox“ mit Komfort

1Password hebt sich vor allem durch seine Sicherheitsarchitektur und die nahtlose Integration in Apple-, Windows- und Linux-Systeme ab.

Der „Secret Key“ (Alleinstellungsmerkmal): Die meisten Cloud-Passwortmanager schützen Ihre Daten nur mit Ihrem Master-Passwort. 1Password fügt eine zweite Ebene hinzu: den Secret Key. Dies ist ein 128-Bit-Schlüssel, der lokal auf Ihrem Gerät generiert wird, wenn Sie sich das erste Mal anmelden. Er verlässt niemals Ihr Gerät.

Selbst wenn Angreifer die Server von 1Password hacken und Ihre verschlüsselte Datenbank stehlen würden, könnten sie diese nicht knacken – selbst nicht mit dem stärksten Supercomputer. Ohne den Secret Key (den nur Sie auf Ihrem Gerät haben) und das Master-Passwort ist der Datensatz wertlos.

Watchtower: Dies ist das Sicherheits-Dashboard. Es gleicht Ihre Logins nicht nur mit Datenbanken geleakter Passwörter (wie Have I Been Pwned) ab, sondern prüft auch:

• Ob Websites HTTP statt HTTPS verwenden.
• Ob eine Website 2-Faktor-Authentifizierung anbietet, Sie diese aber noch nicht aktiviert haben.
• Ob Zertifikate von Websites abgelaufen sind.

Reisemodus (Travel Mode): Für Vielreisende essenziell. Sie können bestimmte „Tresore“ (Ordner mit Passwörtern) als „nicht reisefähig“ markieren. Wenn Sie den Reisemodus aktivieren, werden diese Daten komplett vom Gerät gelöscht (nicht nur versteckt). Erst wenn Sie den Modus nach der Grenzkontrolle wieder deaktivieren, werden die Daten neu synchronisiert. Das schützt vor erzwungenen Geräte-Durchsuchungen an Grenzen.

Bitwarden – Transparenz und Flexibilität

Bitwarden überzeugt durch seine Philosophie, dass Sicherheit für jeden zugänglich sein muss.

Open Source & Audits:

• Der Quellcode von Bitwarden ist für jeden auf GitHub einsehbar. Das bedeutet, dass Sicherheitsexperten weltweit den Code ständig auf Hintertüren oder Schwachstellen prüfen können. Zudem lässt Bitwarden regelmäßig unabhängige Sicherheitsfirmen (wie Cure53) Audits durchführen und veröffentlicht die Ergebnisse.

Bitwarden Send:

• Eine unterschätzte Funktion. Sie ermöglicht es Ihnen, Texte oder Dateien (bis 500 MB) sicher und verschlüsselt an andere Personen zu senden – auch wenn diese kein Bitwarden nutzen. Sie können festlegen, dass sich der Link nach 1 Stunde oder nach 1 Mal öffnen selbst zerstört (ähnlich wie bei Mission Impossible).

Kostenlos vs. Premium: Die kostenlose Version ist extrem mächtig (unbegrenzte Passwörter, unbegrenzte Geräte).

Was Premium (ca. 10 €/Jahr) bietet:

• Den integrierten Authenticator (ersetzt Google Authenticator für 2FA-Codes), Unterstützung für Hardware-Sicherheitsschlüssel (YubiKey) für den Login in den Tresor und 1 GB verschlüsselten Speicherplatz.
• Self-Hosting: Für IT-Profis bietet Bitwarden einen Docker-Container an. Sie können den kompletten Bitwarden-Server auf Ihrem eigenen Raspberry Pi oder NAS zu Hause betreiben. Damit haben Sie die Cloud-Komfort-Funktionen, aber die Daten verlassen niemals Ihr Hausnetzwerk.

Proton Pass – Identitätsschutz statt nur Passwortschutz

Proton Pass ist der jüngste Kandidat und denkt das Konzept weiter: Es geht nicht nur um Passwörter, sondern um die Verschleierung Ihrer Identität.

⇒ Hide-My-Email (Aliasse): Das Killer-Feature. Wenn Sie sich bei einem neuen Dienst (z. B. einem Newsletter oder einem Online-Shop) anmelden, schlägt Proton Pass vor, eine E-Mail-Alias-Adresse zu generieren (z. B. shop.name@passmail.com).

• Der Vorteil: Der Händler erfährt Ihre echte E-Mail-Adresse nie. Wenn der Shop gehackt wird oder Ihnen Spam schickt, können Sie diesen spezifischen Alias einfach deaktivieren, ohne Ihre Haupt-E-Mail-Adresse ändern zu müssen.

⇒ Vollverschlüsselung: Im Gegensatz zu einigen Konkurrenten verschlüsselt Proton Pass nicht nur das Passwortfeld, sondern alles: URLs, Notizen und Benutzernamen. Bei anderen Managern kann der Anbieter theoretisch sehen, wo Sie Accounts haben (z. B. „paypal.com“), auch wenn er das Passwort nicht kennt. Proton sieht nichts.

⇒ Integration: Es ist tief in Proton Mail integriert. Wenn Sie eine E-Mail mit einem Bestätigungslink erhalten, erkennt Proton Pass dies oft im Kontext. Allerdings ist der Funktionsumfang (z. B. Teilen von Passwörtern, Organisieren in Ordnern) noch etwas geringer als bei den etablierten Riesen wie 1Password.

KeePassXC – Der lokale Bunker

KeePassXC ist kein Dienst, sondern ein Programm. Es ist ein „Fork“ (Abspaltung) des alten Windows-Klassikers KeePass, aber modernisiert und plattformübergreifend.

⇒ Das Datenbank-Format (.kdbx): Ihre Passwörter liegen in einer einzigen, stark verschlüsselten Datei. Sie entscheiden, wo diese liegt. Auf der Festplatte, auf einem USB-Stick oder in Ihrer privaten Cloud. Es gibt keinen zentralen Server, der gehackt werden kann. Wenn Sie die Datei verlieren, kann Ihnen niemand helfen – aber niemand kann sie stehlen, ohne physischen Zugriff auf Ihren Speicherort.

⇒ Auto-Type (Verschleierung): Eine mächtige Funktion gegen Keylogger. Anstatt das Passwort in die Zwischenablage zu kopieren und einzufügen (was Malware auslesen könnte), simuliert KeePassXC Tastaturanschläge. Es „tippt“ das Passwort millisekundenschnell in das Feld ein. Dies umgeht die Zwischenablage komplett.

⇒ Das App-Ökosystem: Da KeePassXC ein offenes Format nutzt, gibt es keine „offizielle“ App für Android oder iOS. Sie haben jedoch eine riesige Auswahl an kompatiblen Community-Apps:

iOS: Strongbox oder KeePassium.

• Android: KeePassDX. Sie speichern die Datenbankdatei einfach in iCloud oder Google Drive, und diese Apps greifen darauf zu. Das erfordert etwas mehr Einrichtungsaufwand, bietet aber maximale Freiheit.