Passwort-Manager Vergleich 2026 | vpnsafe.de

Der Passwort-Manager-Markt hat zwischen Mitte 2025 und April 2026 mehr Umwälzungen erlebt als in den fünf Jahren davor. Dashlane hat seinen kostenlosen Plan komplett gestrichen. Bitwarden hat die Preise erstmals seit einem Jahrzehnt erhöht. 1Password hat am 27. März 2026 in Europa die Preise um rund 38 Prozent angehoben. ETH-Zürich-Forscher deckten 27 Angriffsszenarien gegen Cloud-Manager auf. Und der LastPass-Skandal von 2022 hat sich 2025/2026 zu einem der teuersten Datenschutzvorfälle der Branche ausgewachsen – mit 438 Millionen US-Dollar dokumentierten Kryptowährungsverlusten, einem 24,5-Mio.-USD-Vergleich und einer 1,23-Mio.-£-Strafe der britischen ICO. Dieser Vergleich zeigt dir, welcher Passwort-Manager 2026 wirklich noch Sinn ergibt – und warum Passkeys die Spielregeln gerade neu schreiben.

Warum ein Passwort-Manager 2026 unverzichtbar ist

2025 wurde eine Sammlung von rund 19 Milliarden kompromittierten Passwörtern in Hacker-Foren gefunden. Credential-Stuffing-Angriffe – bei denen automatische Skripte gestohlene Zugangsdaten gegen tausende Websites testen – sind so einfach wie nie. Wer Passwörter mehrfach verwendet, hat 2026 ein fundamentales Sicherheitsproblem.

Ein Passwort-Manager generiert für jedes Konto ein einzigartiges, langes und zufälliges Passwort (typisch 16-32 Zeichen mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen). Du musst dir nur ein einziges starkes Master-Passwort merken. Der Manager füllt alle anderen Passwörter automatisch aus.

Die Verschlüsselung ist das Herzstück. Die meisten Manager nutzen AES-256, den gleichen Standard, den Behörden einsetzen. Moderne Alternativen wie Proton Pass und NordPass setzen auf XChaCha20, einen modernen Stromchiffre-Standard, der auf mobilen Geräten effizienter ist. Beide Verschlüsselungen gelten nach heutigem Stand als unknackbar, wenn das Master-Passwort stark genug ist.

Die Marktverschiebungen 2025/2026 im Überblick

LastPass: Warum die Community abgeraten hat

LastPass erlitt 2022 zwei Einbrüche. Im zweiten wurde ein senior DevOps-Ingenieur über einen kompromittierten privaten Plex-Server angegriffen; ein Keylogger fing Zugangsdaten ab. Die Hacker kopierten verschlüsselte Vault-Backups von rund 30 Millionen Nutzern. Seither knacken sie offline die schwächsten Master-Passwörter.

• TRM Labs (Dezember 2025): 438 Mio. USD Kryptowährungsverluste direkt verknüpft mit dem 2022er-Breach
• US Secret Service 2025: 23 Mio. USD Krypto beschlagnahmt, Private Keys aus Vault-Decryption
• KrebsOnSecurity / Federal Court 2025: 150 Mio. USD Cyberheist mit Breach verknüpft
• Sammelklage-Vergleich Februar 2026: 24,5 Mio. USD, davon 16 Mio. USD für Krypto-Verluste
• UK ICO November 2025: 1,228 Mio. £ DSGVO-Bußgeld (Art. 5(1)(f) und Art. 32 UK GDPR)
• Januar 2026: aktive Phishing-Kampagne gegen LastPass-Nutzer mit gefälschten Wartungs-E-Mails

LastPass hat nachgebessert und ist nach eigenen Angaben ISO-27701-zertifiziert. Trotzdem: Die Mehrheit der Sicherheitsforscher:innen rät 2026 zum Wechsel, insbesondere für Krypto-Halter:innen.

Dashlane: Kein kostenloser Plan mehr

Dashlane hat am 16. September 2025 den Free-Plan eingestellt. Bestehende Free-Accounts werden am 16. September 2026 gelöscht. Wer noch Daten im Free-Plan hat, sollte jetzt exportieren. Premium kostet ca. 45 USD/Jahr.

Bitwarden: Erste Preiserhöhung seit zehn Jahren

Bitwarden hat im Januar 2026 den Premium-Tarif von 10 auf knapp 20 USD/Jahr (rund 18 €/Jahr oder 1,50 €/Monat) verdoppelt. Der kostenlose Plan bleibt voll funktional – unbegrenzte Geräte, unbegrenzte Passwörter, Passkeys, 2FA für den Manager-Login.

1Password: 38 Prozent teurer in Europa

1Password hat am 27. März 2026 in Europa die Einzelnutzer-Preise um rund 38 Prozent auf 43,80 €/Jahr (3,65 €/Monat) angehoben. Familie (5 Personen) bei rund 5,99 USD/Monat.

Passkeys haben kritische Masse erreicht

Seit iOS 26 (Herbst 2025) lassen sich Passkeys per CXP-Standard (Credential Exchange Protocol) zwischen Managern portieren. Bitwarden war der erste Drittanbieter mit CXP-Support. 1Password, Dashlane und Proton Pass ziehen nach. Passkey-Unterstützung ist 2026 Basisanforderung, kein Differenzierungsmerkmal mehr.

ETH-Zürich-Studie 2025/2026

Forscher:innen der ETH Zürich und der Università della Svizzera italiana haben 27 Angriffsszenarien gegen Cloud-Passwort-Manager bei vollständig kompromittierten Servern untersucht. Ergebnis: Bitwarden anfällig für 12 Szenarien, LastPass für 7, Dashlane für 6. Das branchenübliche „Zero-Knowledge"-Versprechen ist damit nicht so absolut wie beworben. 1Password schnitt durch die zusätzliche Secret-Key-Architektur am resistentesten ab. Wichtig: Die Szenarien setzen einen vollständig übernommenen Server voraus, was bisher bei keinem großen Anbieter passiert ist.

Die Top-Passwort-Manager 2026 im Detail

Bitwarden (Testsieger unter Open-Source, Preis-Leistungs-Tipp)

• Preis: Free-Plan vollwertig, Premium knapp 18 €/Jahr (1,50 €/Monat), Family-Plan 40 €/Jahr für 6 Nutzer:innen
• Verschlüsselung: AES-256 mit PBKDF2-SHA256 oder Argon2
• Sicherheit: Zero-Knowledge, Open-Source, regelmäßige unabhängige Audits (u. a. Cure53)
• Plattformen: Windows, macOS, Linux, iOS, Android, alle großen Browser, CLI
• Besonderheit: Self-Hosting möglich (Vaultwarden als schlanker Community-Server), erster Drittanbieter mit CXP-Passkey-Export
• Pro: bester Free-Plan am Markt, Open-Source-Transparenz, günstig, Self-Hosting
• Contra: UI weniger poliert als 1Password, TOTP nur in Premium, Phishing-Blocker neu in 2026

1Password (Testsieger Komfort, Apple-Empfehlung)

• Preis: 43,80 €/Jahr Einzelperson (seit 27.03.2026), Family 5 Personen ca. 72 €/Jahr
• Verschlüsselung: AES-256 plus 128-Bit Secret Key (zusätzlicher Schlüssel auf dem Gerät, macht Brute-Force praktisch unmöglich)
• Sicherheit: Zero-Knowledge, unabhängige Audits, Travel Mode (entfernt Tresore an Grenzen)
• Plattformen: Windows, macOS, Linux, iOS, Android, alle Browser
• Besonderheit: Watchtower-Funktion für Dark-Web-Monitoring, 123.000 Lizenzen bei Apple im Einsatz (auch Apple setzt nicht allein auf iCloud-Schlüsselbund)
• Pro: polierte Apps auf allen Plattformen, beste UX, Secret-Key-Architektur, Reisemodus
• Contra: kein Free-Plan, nicht Open-Source, teurer geworden

Proton Pass (Datenschutz-Favorit, Schweizer Jurisdiktion)

• Preis: Free-Plan vollwertig, Plus ca. 2,99 €/Monat bei Jahreszahlung, Unlimited in Proton-Bundle
• Verschlüsselung: XChaCha20, keine AES-256-Abhängigkeit
• Sicherheit: Zero-Knowledge, keine Sicherheitsvorfälle bislang, Open-Source-Clients
• Besonderheit: Email-Masking (Einweg-Adressen), Time-Limited-Sharing, Schweizer Datenschutz-Jurisdiktion, Proton-Ökosystem (Mail, Drive, VPN)
• Pro: starker Datenschutz, solide Free-Version, moderne Verschlüsselung, Schweizer Recht
• Contra: Free-Plan nur 1 aktives Gerät gleichzeitig, weniger bekannt

KeePassXC (Open-Source, lokal)

• Preis: komplett kostenlos und Open-Source
• Verschlüsselung: AES-256, ChaCha20 und Argon2 als KDF wählbar
• Sicherheit: lokal auf dem Gerät, keine Cloud, keine Server-Risiken
• Besonderheit: Nachfolger von KeePass 2.x, aktiv entwickelt, Cross-Platform (Windows/macOS/Linux)
• Pro: maximale Datenkontrolle, keine Abo-Kosten, keine Cloud-Risiken, kein ETH-Zürich-Szenario anwendbar
• Contra: Synchronisation selbst organisieren (Nextcloud, Syncthing, Dropbox), keine offizielle iOS-App, mobile Nutzung über Drittanbieter-Apps wie KeePassium oder Strongbox

Keeper (Enterprise-Fokus, Regierungs-tauglich)

• Preis: ca. 35 €/Jahr Einzelperson, Family 74 €/Jahr
• Verschlüsselung: AES-256 mit Record-level-Keys, 1 Million PBKDF2-Iterationen
• Zertifizierungen: FedRAMP, FIPS 140-2, ISO 27001/27017/27018/27701, SOC 2 Type 2
• Sicherheit: Zero-Knowledge, keine bekannten Sicherheitsvorfälle, integrierter TOTP-Authentikator
• Pro: höchste Sicherheitsstandards, Business- und Enterprise-ready, Notfallzugang
• Contra: UI weniger intuitiv als 1Password, Add-ons teils kostenpflichtig

NordPass (VPN-Ökosystem, XChaCha20)

• Preis: Premium 1,99-2,99 USD/Monat je nach Laufzeit
• Verschlüsselung: XChaCha20
• Sicherheit: keine bekannten Sicherheitsvorfälle, in ETH-Zürich-Studie nicht enthalten
• Besonderheit: Teil des Nord-Ökosystems (NordVPN, NordLocker), Email-Masking
• Pro: moderne Verschlüsselung, Preis-Leistungs-attraktiv
• Contra: Free-Plan auf 1 aktives Gerät begrenzt

Apple Passwords (seit iOS 18)

• Preis: kostenlos für Apple-Nutzer:innen
• Verschlüsselung: AES-256 Ende-zu-Ende via iCloud-Schlüsselbund
• Plattformen: iOS, iPadOS, macOS, eingeschränkt Windows (iCloud für Windows)
• Pro: kostenlos, perfekt integriert, Passkey-Support, Face ID/Touch ID
• Contra: kein eigenes Master-Passwort (Gerätecode = Zugriff), keine Linux/Android-Unterstützung, kein Familien-Teilen über Apple-Grenzen hinweg

LastPass (nicht mehr empfehlenswert 2026)

Nach den dokumentierten Kryptowährungsverlusten, dem 24,5-Mio.-USD-Vergleich und der ICO-Strafe wird LastPass von der Mehrheit der Sicherheitsforscher:innen nicht mehr empfohlen. Bestehende Nutzer:innen sollten Master-Passwörter ändern, Vault exportieren und zu einer anderen Lösung migrieren.

Sicherheit und Verschlüsselung: Was wirklich zählt

Zero-Knowledge-Architektur

Der Anbieter kann deine Daten nicht entschlüsseln. Alle großen Manager (Bitwarden, 1Password, Keeper, Proton Pass, NordPass) arbeiten nach diesem Prinzip. Die ETH-Zürich-Studie zeigte aber: Bei vollständig kompromittiertem Server sind weiche Angriffsstellen bei Recovery, Sharing und Rückwärtskompatibilität möglich.

Zwei-Faktor-Authentifizierung (2FA) für den Manager selbst

• Authenticator-Apps (TOTP): Aegis Authenticator, Google Authenticator, Microsoft Authenticator
• Hardware-Keys (FIDO2/WebAuthn): YubiKey, Nitrokey – sicherste Option, nur bei Premium-Plänen
• SMS: am wenigsten sicher, SIM-Swapping möglich – möglichst vermeiden

Unabhängige Audits und Zertifizierungen

• Cure53, Kudelski Security führen regelmäßig Audits für Bitwarden, 1Password, Keeper durch
• Keeper hat FedRAMP, FIPS 140-2, ISO 27001/27701 – wichtig für Unternehmen in regulierten Branchen
• Open-Source-Code (Bitwarden, KeePassXC, Proton Pass Clients) ermöglicht Peer-Review durch die Community

Passkeys und die passwortlose Zukunft

Passkeys ersetzen Passwörter durch ein kryptografisches Schlüsselpaar. Der private Schlüssel bleibt auf deinem Gerät, der öffentliche liegt beim Dienst. Vorteile: kein Phishing möglich, kein Credential-Stuffing, keine Datenlecks beim Anbieter. Alle großen Manager 2026 unterstützen Passkeys; die CXP-Portabilität (seit iOS 26) macht Wechsel zwischen Anbietern einfacher.

Rechtslage und Empfehlungen deutscher Behörden

BSI-Empfehlungen 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt:

• Passwort-Manager nutzen – generell und plattformübergreifend
• Master-Passwort mindestens 12-16 Zeichen, Passphrase mit 4-6 zufälligen Wörtern als Alternative
• 2FA für den Passwort-Manager und alle kritischen Konten aktivieren
• Master-Passwort darf in einem physischen Tresor aufbewahrt werden – das ist BSI-konform, nur das Post-it am Monitor ist problematisch
• Regelmäßige Prüfung auf Datenlecks über Dienste wie HPI Identity Leak Checker (Hasso-Plattner-Institut) oder Have I Been Pwned

Stiftung Warentest

Die Stiftung Warentest hat in ihren Tests seit 2020 wiederholt 1Password und Bitwarden als Testsieger ausgezeichnet. KeePass wurde bei reinen Open-Source-/Offline-Lösungen als führend bewertet.

DSGVO und Datenverarbeitung

Passwort-Manager verarbeiten sensible personenbezogene Daten nach Art. 9 DSGVO. Anbieter in der EU oder in Ländern mit Angemessenheitsbeschluss (Schweiz, UK) bieten rechtlich bessere Grundlagen. Proton Pass und Tresorit haben Sitz in der Schweiz. US-Anbieter unterliegen dem CLOUD Act – aber bei Zero-Knowledge-Architektur können auch US-Behörden die verschlüsselten Daten nicht lesen.

Master-Passwort richtig erstellen

Ein Beispiel mit zeitgemäßer Länge (16+ Zeichen):

• Passphrase-Methode: „Korrekt-Pferd-Batterie-Heftklammer-2026" – lang, merkbar, sehr hoher Entropy-Wert
• Akronym-Methode: „Mein Hund Bruno isst jeden Sonntag 2 große Stunden lang Futter auf der Terrasse!" wird zu „MHBijS2gSlFadT!" – 15 Zeichen, aber mit Erweiterung auf 16+ sinnvoll
• Vom Manager generiert: 20-32 zufällige Zeichen – nur mit Export und Offline-Backup (Tresor) als Fallback

Wichtig: Das Master-Passwort nie digital speichern, außer in einem separaten Passwort-Manager (klingt paradox, funktioniert aber), und niemals bei einem Dienst nutzen, wo das Passwort kompromittiert werden könnte.

Kaufempfehlungen nach Profil

1. Einsteiger:innen, maximale UX: 1Password (43,80 €/Jahr), Apple Passwords (kostenlos, nur Apple-Ökosystem)
2. Preis-Leistung: Bitwarden Free oder Premium (18 €/Jahr)
3. Maximaler Datenschutz: Proton Pass (Schweiz, XChaCha20) oder KeePassXC (lokal)
4. Maximale Kontrolle und Self-Hosting: Vaultwarden oder KeePassXC mit Nextcloud
5. Unternehmen und regulierte Branchen: Keeper (FedRAMP, FIPS), 1Password Business
6. Apple-only-Haushalt ohne Drittanbieter-Bedarf: Apple Passwords
7. Familie, 5+ Personen: 1Password Family, Bitwarden Family, Proton Family
8. LastPass-Bestandsnutzer:innen: jetzt exportieren und zu Bitwarden oder 1Password wechseln

Migration und Umstieg

Alle großen Manager bieten Import-Funktionen (CSV, 1PUX, JSON). Der Wechsel dauert typisch 10-20 Minuten für den Export, dann einige Wochen passive Nutzung, in denen der neue Manager nach und nach alle Zugänge übernimmt. Wichtig nach der Migration: Alte Datenbank sicher löschen, nicht nur den Account – exportierte CSV-Dateien enthalten Klartext-Passwörter und sollten sofort vernichtet werden.

Fazit

1. Bitwarden Free ist 2026 die beste kostenlose Option für die meisten Privatnutzer:innen – unbegrenzte Geräte, Passkeys, Open-Source
2. 1Password ist die Premium-Empfehlung, trotz Preiserhöhung 2026 – beste UX, Secret-Key-Architektur, Stiftung-Warentest-Testsieger
3. Proton Pass ist die Datenschutz-Wahl – Schweizer Jurisdiktion, keine Sicherheitsvorfälle, XChaCha20
4. KeePassXC ist die Wahl für technikaffine Nutzer:innen mit Offline-Anspruch
5. LastPass ist nach den Skandalen 2022-2026 keine Empfehlung mehr
6. Dashlane hat den Free-Plan gestrichen – wer dort war, sollte migrieren
7. Passkeys werden 2026-2028 Passwörter schrittweise ablösen; der gewählte Manager sollte CXP-Export unterstützen

Und der wichtigste Satz: Der beste Passwort-Manager ist der, den du heute installierst und konsequent nutzt. Jede der oben genannten Lösungen ist besser als kein Manager, als Browser-Speicherung oder als wiederverwendete Passwörter.

Quellen und weiterführende Informationen

• Bundesamt für Sicherheit in der Informationstechnik (BSI, bsi.bund.de): Empfehlungen für Passwörter und Passwort-Manager
• Stiftung Warentest: Passwort-Manager-Tests
• Myung & Park / TRM Labs (Dezember 2025): Kryptowährungsverluste und LastPass-Breach
• ICO UK (November 2025): Bußgeld gegen LastPass UK Ltd
• ETH Zürich / USI (2025/2026): Studie zu 27 Angriffsszenarien gegen Cloud-Manager
• KrebsOnSecurity, The Hacker News, BleepingComputer: fortlaufende LastPass-Berichterstattung
• Cure53, Kudelski Security: Audit-Reports Bitwarden und 1Password
• Have I Been Pwned (haveibeenpwned.com) und HPI Identity Leak Checker (sec.hpi.de): Datenleck-Prüfung
• apfelpatient.de, cybernews.com, decodeit.app: Passwort-Manager-Vergleiche 2026
• Digital-Magazin, Sachsen-Fernsehen, A7.de: deutsche Passwort-Manager-Tests

Haftungsausschluss

Dieser Artikel dient der allgemeinen Information und stellt keine individuelle Sicherheits- oder Datenschutz-Beratung dar. Alle Angaben zu Produkten (Bitwarden, 1Password, Proton Pass, KeePassXC, Keeper, NordPass, Apple Passwords, Dashlane, LastPass, Vaultwarden), Preisen, Sicherheitsvorfällen und Zertifizierungen entsprechen dem Recherchestand April 2026 und können sich durch Hersteller-Updates, Preisänderungen und neue Sicherheitsereignisse jederzeit ändern. Die genannten Sicherheitsvorfälle (LastPass-Breach 2022 mit 30 Mio. betroffenen Vaults; TRM Labs Dezember 2025 mit 438 Mio. USD dokumentierten Kryptowährungsverlusten; Class-Action-Settlement Februar 2026 mit 24,5 Mio. USD; ICO-Bußgeld November 2025 mit 1,228 Mio. £; ETH-Zürich/USI-Studie 2025/2026 mit 27 Angriffsszenarien) sind aus öffentlich zugänglichen Quellen dokumentiert und dienen der informierten Kaufentscheidung; Haftungsansprüche gegen die genannten Unternehmen sind damit nicht verbunden. Die Verarbeitung personenbezogener Daten durch Passwort-Manager unterliegt in der EU der Datenschutz-Grundverordnung (Art. 5, 6, 9, 25, 28, 32 DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG); außereuropäische Anbieter (insbesondere mit Sitz in den USA) unterliegen zusätzlich dem CLOUD Act und können unter bestimmten Bedingungen zur Herausgabe verschlüsselter Daten an US-Behörden verpflichtet werden. Bei Zero-Knowledge-Architektur sind auch herausgegebene Daten ohne Master-Passwort nicht entschlüsselbar – die ETH-Zürich-Studie 2025/2026 zeigt allerdings, dass dieses Versprechen bei vollständig kompromittierten Servern nicht absolut gilt. Für Unternehmen gelten zusätzlich NIS-2-Richtlinie (Umsetzung in Deutschland durch NIS2UmsuCG), § 203 StGB (Berufsgeheimnisse bei Mandanten-/Patientendaten), IT-Sicherheitsgesetz 2.0 sowie branchenspezifische Regelungen (DORA für Finanzsektor, KRITIS-Verordnung für kritische Infrastrukturen, BSI-Grundschutz). Nutzer:innen mit Kryptowährungen, geschäftlichen Zugangsdaten, medizinischen oder juristischen Daten sollten Passwort-Manager besonders sorgfältig auswählen und möglichst Hardware-2FA (YubiKey, Nitrokey) einsetzen. Bei Unsicherheit zur passenden Lösung empfiehlt sich eine Beratung durch eine:n zertifizierte:n IT-Sicherheitsberater:in nach ISO 27001, BSI-Grundschutz-Praktiker:in oder die Hinzuziehung eines Datenschutzbeauftragten nach Art. 37 DSGVO. Für Entscheidungen auf Grundlage dieses Artikels, Sicherheitsvorfälle, Datenverluste oder Kompromittierung von Zugängen übernimmt der Autor keine Haftung.

* Dieser Beitrag enthält Affiliate-Links. Bei einem Kauf oder Abschluss über diese Links erhalten wir eine kleine Provision – für dich entstehen keine Mehrkosten.