Beste kostenlose Passwort-Manager 2026
Private Alternativen zu LastPass, Dashlane, geprüft nach unseren öffentlichen Kriterien.
Nach Bedrohungsstufe gruppiert
Proton Pass
Anzeige · Quelloffener, Ende-zu-Ende-verschlüsselter Passwortmanager vom Macher von Proton Mail, mit Sitz in der Schweiz. Speichert Logins, Notizen und Karten, mit integriertem E-Mail-Aliasing über SimpleLogin. Apps für Windows, macOS, Linux, Android, iOS und die wichtigsten Browser.
PrivacyNotes
Zero-Knowledge-Notizen, Aufgaben, Dateien, Passwörter und Tagebuch, gesichert durch eine einzige 12-Wort-Wiederherstellungsphrase, ohne E-Mail oder Passwort. Der Krypto-Kern und das Datenbankschema sind zur Prüfung veröffentlicht. Kein Abo-Modell.
KeePassXC
Speichere Passwörter sicher mit branchenüblicher Verschlüsselung, tippe sie per Auto-Type blitzschnell in Desktop-Anwendungen ein und melde dich über die Browser-Erweiterung auf Websites an. KeePassDX für…
Bitwarden
Bitwarden ist unsere erste Wahl. Du kannst deine bisherigen Passwörter problemlos aus anderen Passwortmanagern importieren. Kostenlos für den privaten Gebrauch. Verfügbar für Desktop, alle Browser, Android…
1Password
1Password ist ein kommerzieller Passwort-Manager für Einzelpersonen, Familien und Teams, verfügbar für Windows, Mac, Linux, Android, iOS und alle gängigen Browser. Er nutzt eine Architektur mit zwei Schlüsseln, die dein Master-Passwort mit einem lokal erzeugten Secret Key kombiniert.
KeePassDX
KeePassDX ist ein leichtgewichtiger, quelloffener, KeePass-kompatibler Passwort-Manager für Android, der Zugangsdaten in einer lokalen verschlüsselten Datenbankdatei (.kdbx) speichert, mit Unterstützung für biometrisches Entsperren, Autofill, TOTP und Passkeys.
KeePassium
KeePassium ist ein KeePass-kompatibler Passwort-Manager für iOS und macOS, der biometrisches Entsperren, Password AutoFill, automatische Synchronisierung mit iCloud Drive und Cloud-Speicher-Anbietern sowie Lese- und Schreibunterstützung für alle KeePass-Datenbankformate bietet.
Psono
Psono ist ein quelloffener, selbst hostbarer Passwortmanager für Teams und Organisationen, mit Browser-Erweiterungen für alle wichtigen Browser sowie Android- und iOS-Apps. Geheimnisse werden clientseitig Ende-zu-Ende-verschlüsselt, bevor sie den Server erreichen.
gopass
gopass ist ein quelloffener Kommandozeilen-Passwortmanager, geschrieben in Go und kompatibel mit dem Unix-pass-Store-Format. Zugangsdaten werden mit GPG (oder age) verschlüsselt und in git versioniert, mit Paketen für Linux, macOS und Windows.
LessPass
Wenn du Bitwarden magst, aber das Synchronisieren oder Speichern von Passwörtern nicht, dann ist LessPass deine Wahl. Browser, Mobiltelefone und die Kommandozeile werden als Plattformen unterstützt.
AliasVault
Ein selbst gehosteter Zero-Knowledge-Passwort-Manager mit eingebautem E-Mail-Alias-Server, Ende-zu-Ende-verschlüsselt und unter AGPLv3 lizenziert.
Spectre
Früher Master Password. Passwörter werden nicht gespeichert: Sie werden bei Bedarf aus deinem Namen, der Website und deinem Master-Passwort erzeugt. Keine Synchronisierung, Backups oder Internetzugang…
Keine Treffer für diese Filter.
How they compare
| Tool | Storage | Based in | Cost |
|---|---|---|---|
| Cloud | Lithuania | Freemium |
| | Cloud | Switzerland | Freemium |
| | Cloud | Switzerland | Freemium |
| | Local | · | Free |
| | Both | United States | Freemium |
| | Cloud | Canada | Paid |
| | Local | France | Free |
| | Local | Luxembourg | Freemium |
| | Both | Germany | Freemium |
| | Local | · | Free |
| | Stateless | France | Free |
| Both | · | · |
| Stateless | · | Free |
Ein Passwort-Manager erzeugt für jedes Konto ein starkes, einzigartiges Passwort und schließt sie in einem verschlüsselten Tresor hinter einem einzigen Master-Passwort ein, sodass ein Datenleck bei einer Seite nie auf alle anderen überschwappt. Das ganze Modell beruht darauf, diesem Tresor zu vertrauen, weshalb es wichtiger ist, wie er deine Daten verschlüsselt und wo dieser Tresor liegt, als jede Komfortfunktion auf der Verpackung.
Warum eine starke Gewohnheit ein cleveres System schlägt
Ein Passwort wiederzuverwenden ist die eine Gewohnheit, die Menschen ins Datenleck führt, denn eine einzige geleakte Seite reicht einem Angreifer die Schlüssel zu jedem Konto, das es teilt. Kein Gedächtnistrick skaliert auf die rund hundert Logins, mit denen ein durchschnittlicher Mensch heute jongliert. Ein Passwort-Manager löst das, indem er sich lange, zufällige Passwörter für dich merkt, sodass jedes Konto ein anderes bekommt und jedes Datenleck auf die einzelne Seite begrenzt bleibt, auf der es passiert ist. Das Einzige, was du dir merkst, ist das Master-Passwort.
Wie wir diese auswählen
Jede Wahl wird an unseren öffentlichen Aufnahmekriterien gemessen, beginnend mit Verschlüsselung und Transparenz. Wir achten auf eine moderne Chiffre wie AES-256 oder XChaCha20 und idealerweise quelloffenen Code, sodass die Sicherheit des Tresors unabhängig überprüft und nicht auf Treu und Glauben hingenommen werden kann. Wir gewichten ein Zero-Knowledge-Design, bei dem der Anbieter deinen Tresor nicht lesen kann, selbst wenn er dazu gezwungen wird, neben einer klaren Antwort darauf, wo deine Daten tatsächlich liegen. Wir listen quelloffene Tresore für Menschen, die prüfen oder selbst hosten wollen, und ausgefeilte Mainstream-Apps für Menschen, die einfach nur wollen, dass es funktioniert.
Worauf du bei einem Passwort-Manager achten solltest
Vier Dinge zählen am meisten. Starke, moderne Verschlüsselung des Tresors, sodass die gespeicherten Daten nutzlos sind, falls sie je auslaufen. Eine Zero-Knowledge-Architektur, sodass das Unternehmen nur Chiffretext hält, den es nicht öffnen kann. Quelloffener Code, wo du ihn bekommst, denn ein Tresor, den du prüfen kannst, ist ein Tresor, dem du vertrauen kannst. Und ein Speichermodell, das zu dir passt: ein lokaler Tresor, den du selbst synchronisierst, ein Cloud-Konto, das automatisch überall synchronisiert, oder ein zustandsloses Werkzeug, das Passwörter bei Bedarf ableitet, ohne dass es etwas zu speichern gibt. Datenleck-Warnungen und Autofill sind willkommen, aber sie kommen nach den Sicherheitsgrundlagen.
Die einfache Mainstream-Wahl
Wenn du eine ausgefeilte App willst, die ohne Aufhebens auf jedem Gerät funktioniert, ist NordPass eine solide Mainstream-Wahl: ein Zero-Knowledge-Tresor, verschlüsselt mit XChaCha20, mit Autofill auf jeder Plattform und einem Scanner, der dich warnt, wenn ein gespeichertes Login in einem bekannten Datenleck auftaucht. Der ehrliche Haken ist, dass es nicht quelloffen ist, du vertraust also seinen Audits statt dem Code, und der Gratis-Tarif deckt nur ein Gerät gleichzeitig ab. Wenn du lieber quelloffene Software betreiben würdest, ist Bitwarden der Liebling der Community, der trotzdem überall synchronisiert, und KeePassXC hält den Tresor vollständig auf deinem eigenen Rechner.
So wechselst du
Die meisten Manager importieren direkt aus den gespeicherten Passwörtern deines Browsers oder aus einer CSV-Datei, die dein alter Manager exportiert, sodass der Umzug meist ein einziger Schritt ist. Lege als Master-Passwort eine lange Passphrase fest, die du nirgends sonst verwendet hast, aktiviere dann die Zwei-Faktor-Authentifizierung und installiere die Browser-Erweiterung und die Mobil-App, damit Autofill dir überallhin folgt. Arbeite dich anschließend durch deine wichtigsten Logins und ersetze jedes schwache oder wiederverwendete Passwort durch ein erzeugtes. Bewahre deinen zweiten Faktor in einer getrennten Authenticator-App auf, damit er nicht im selben Tresor sitzt wie die Passwörter, die er schützen soll.
Häufige Fragen
- Ist es sicher, alle meine Passwörter an einem Ort aufzubewahren?
- Ja, denn dieser eine Ort ist ein verschlüsselter Tresor, den nur dein Master-Passwort öffnen kann. Ein guter Manager nutzt ein Zero-Knowledge-Design, sodass selbst das Unternehmen, das ihn betreibt, nichts als unlesbaren Chiffretext speichert. Das Risiko, das du beseitigst, nämlich wiederverwendete und schwache Passwörter über Dutzende von Seiten, ist weit größer als das Risiko, das du eingehst.
- Was passiert, wenn ich mein Master-Passwort vergesse?
- Bei einem echten Zero-Knowledge-Manager lässt sich in der Regel nichts machen, und genau das ist der Sinn: Könnte der Anbieter es zurücksetzen, könnte es auch ein Angreifer. Die meisten bieten einen Wiederherstellungsschlüssel oder ein Notfall-Kit, das du bei der Anmeldung speicherst. Schreib deine Master-Passphrase auf und bewahre sie offline an einem sicheren Ort auf, und behalte diesen Wiederherstellungsschlüssel.
- Sind kostenlose Passwort-Manager gut genug?
- Für die meisten Menschen ja. Quelloffene Optionen wie Bitwarden und KeePassXC sind kostenlos und decken alles ab, was ein durchschnittlicher Nutzer braucht, einschließlich Sync und Autofill. Kostenpflichtige Tarife fügen meist Komfort- und Freigabefunktionen hinzu, keine grundlegend bessere Sicherheit, also fang kostenlos an und steige nur auf, wenn du an eine echte Grenze stößt.
- Reicht der eingebaute Passwort-Manager meines Browsers?
- Er ist besser, als Passwörter wiederzuverwenden, aber schwächer als ein eigener Manager. Browser-Tresore sind an diesen einen Browser gebunden, oft weniger streng verschlüsselt und für Schadsoftware auf deinem Rechner leichter auszulesen. Ein eigener Manager funktioniert über jede App und jeden Browser hinweg und ist darauf ausgelegt, den Tresor zu schützen, als seine einzige Aufgabe.
- Sollte ich einen lokalen oder einen Cloud-Tresor wählen?
- Ein lokaler Tresor verlässt deine Geräte nie, sodass es auf einem Server nichts gibt, das jemand erbeuten könnte, aber du kümmerst dich selbst um Sync und Backups. Ein Cloud-Konto synchronisiert automatisch überall, um den Preis, der Verschlüsselung des Anbieters zu vertrauen. Beide sind sicher, wenn man es richtig macht, wähle also danach, ob dir volle Kontrolle oder müheloser Komfort wichtiger ist.
- Wurde nicht ein großer Passwort-Manager gehackt?
- Ja, und das ist das deutlichste Argument dafür, sorgfältig zu wählen. Wird ein Anbieter gehackt, sind ein starkes Master-Passwort und ein Zero-Knowledge-Design das, was die gestohlenen Tresore für Angreifer nutzlos macht. Quelloffener Code, den Außenstehende prüfen können, und Ehrlichkeit darüber, was ein Datenleck offengelegt hat, sind genau das, was einen vertrauenswürdigen Manager von einem riskanten trennt.