[Tabelle] Passwortmanager | Vergleichstabelle

Butterplume · 23. März 2025 um 10:55

Da es bei den Suchmaschinen und DNS Server bereits erfolgreich lief, möchte ich gerne die nächste Tabelle ins Leben rufen: Passwortmanager-Vergleich

Wie immer gilt: Gerne mitmachen!
Artverwandte Lösungen (insb. KeePass-Forks) bitte untereinander erfassen.

Passwortmanager	Open Source	Cloudanbindung	Lokale Tresordatei	Verschlüsselungsart	Passkey-Support	Plattform	Firmensitz
1Password	Nein	1Password-Server	Nein	AES 256-Bit ^[1]	Ja	Windows, Linux, macOS, iOS, Android, Browser und CLI ^[2]	Kanada
AliasVault	Ja	selbst gehostet oder AliasVaultServer	Nein	AES 256-Bit	?	Web und Browser	Niederlande
Bitwarden	Ja	selbst gehostet oder Bitwarden-Server	Nein	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	USA
Buttercup	Ja	optional ^[3]	Ja	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	Finnland
Enpass	Nein	optional ^[3:1]	Ja	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	USA
heylogin	Nein	heylogin-Server	Nein	XSalsa20 + Poly1305	?	Windows, Linux, macOS, iOS, Android und Browser	Deutschland
Hypervault	Nein	Hypervault-Server	Nein	AES 256-Bit	?	Windows, Linux, macOS, iOS, Android und Browser	Belgien
KeePass	Ja	Nein ^[4]	Ja	AES 256-Bit oder Twofish 256-Bit	Nein	Windows, Linux, macOS	Deutschland
KeePassDX	Ja	Nein ^[4:1]	Ja	AES 256-Bit, Twofish 256-Bit oder ChaCha20 256-Bit	?	Android	Frankreich
KeePassium	Ja	Nein ^[4:2]	Ja	AES 256-Bit, Twofish 256-Bit oder ChaCha20 256-Bit	Ja	iOS und macOS	Luxemburg
KeePassXC	Ja	Nein ^[4:3]	Ja	AES 256-Bit, Twofish 256-Bit oder ChaCha20 256-Bit	Ja	Windows, Linux, macOS	Deutschland
Strongbox	Nein ^[5]	Nein ^[4:4]	Ja	AES 256-Bit, Twofish 256-Bit oder ChaCha20 256-Bit	Ja	iOS und macOS	USA
LessPass	Ja	optional ^[6]	Nein	PBKDF2 und der SHA-256 Hash-Funktion	Nein	Android, iOS, Browser und CLI	Portugal
Keeper	Nein	Keeper-Server	Nein	AES 255-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	USA
NordPass	Nein	NordPass-Server	Nein	XChaCha20	Ja	Windows, Linux, macOS, iOS, Android und Browser	Panama (de jure) \| Litauen (de facto)
Padloc	Ja	Padloc-Server	Nein	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	Deutschland
pass	Ja	Git-Repository	Ja	PGP	Nein	Linux, macOS, FreeBSD	USA
Passbolt	Ja	selbst gehostet oder Cloud	Nein	AES 256-Bit	?	Windows, Linux, macOS, iOS, Android und Browser	Luxemburg
Password Depot	Nein	Password Depot-Server	Nein	AES 256-Bit	Nein	Windows, Linux, macOS, iOS, Android und Browser	Deutschland
pCloud Pass	Nein	pCloud-Server	Nein	AES 256-Bit	?	Windows, Linux, macOS, iOS, Android und Browser	Schweiz
Proton Pass	Ja	Proton-Server	Nein	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	Schweiz
Psono	Ja	selbst gehostet oder Psono-Server	Nein	XSalsa20 + Poly1305	Ja	Windows, Linux, macOS, iOS, Android und Browser	Deutschland
RoboForm	Nein	RoboForm-Server	Nein	AES 256-Bit	Ja	Windows, Linux, macOS, iOS, Android und Browser	USA
SecureSafe	Nein	SecureSafe-Server	Nein	AES 256-Bit	Nein	Windows, Linux, macOS, iOS, Android und Browser	Schweiz

Ein 32-stelliger Secret Key wird zusätzlich erzeugt, ohne den man sich nicht an neuen Geräten/Clients anmelden kann. Außerdem ist eine zusätzliche, optionale Einrichtung von „klassischer“ 2FA (OTP oder U2F) möglich. ↩︎
CLI = Befehlszeilentool ↩︎
Die Tresordatei kann standardmäßig über eine Cloudverbindung oder alternativ mit WebDAV bei einem beliebigen Cloudanbieter geräteübergreifend synchronisiert werden. ↩︎ ↩︎
Die Tresordatei kann in einer Cloud abgelegt und darüber mit anderen Geräten synchronisiert werden. Die Nutzung kann jedoch zu pfadabhängigen Problemen führen. ↩︎ ↩︎ ↩︎ ↩︎ ↩︎
Seit Juni 2024 veröffentlicht Strongbox nicht mehr alle Inhalte und Quellcodes. Damit erfüllt Strongbox nicht länger die Definition der Open Source Initiative (OSI). ↩︎
LessPass ist ein Passwort-Manager, der Passwörter auf der Grundlage von benutzerdefinierten Kriterien und einem Master-Passwort generiert. Dabei werden keine Passwörter oder Daten gespeichert, was die Sicherheit und den Datenschutz erhöht. Früher gab es einen Cloud-Dienst, mit dem man die Kriterien für verschiedene Domains speichern konnte, dieser wurde jedoch eingestellt. Heute ist es möglich, die Kriterien entweder lokal zu speichern oder das System selbst zu hosten, wobei die lokale Speicherung ausreicht. ↩︎

Selena · 23. März 2025 um 11:15

Warum steht bei KeePassXC Firmensitz = Deutschland? Gibt es eine Firma dahinter?

bleifrei · 23. März 2025 um 12:12

Ich habe es mal alphabetisch sortiert (würde ich auch beibehalten und bspw. KeePass-Forks dem unterordnen), 1Password hinzugefügt und dazu noch die Spalte bzgl. Passkey-Support ergänzt.

Darüber hinaus könnte man evtl. neben dem Aspekt von Open Source auch angeben, ob es freie Software ist und wer hinter der Software sitzt. Denn wenn es keine Firma ist, kann man den Firmensitz auch weglassen, um das aufzugreifen was @Selena schrieb.

sekret · 23. März 2025 um 13:27

Mir fehlt hier, so wie überall sonst, noch Lesspass. Von dem gibt es auf Linux eine Kommandozeilen-Variante, welche ich in einem Bash-Skript nutze. Dadurch werden die Passwörter generiert und mittels xdotool abgetippt. Ist super komfortabel in der Nutzung, man braucht kein extra Browserplugin, welches den Fingerabdruck ändert und es funktioniert quasi überall.

maloe · 23. März 2025 um 18:52

Bei KeePassXC ist ebenfalls eine CLI Variante mit dabei (keepassxc-cli).

Ich werfe dann mal KeePassDX mit in den Topf:
KeepassDX | Ja | Ja | Ja | AES, TwoFish, ChaCha20 | ? | Android | Frankreich

Features, die man evtl. aufnehmen könnte: autofill, otp

Reklow · 23. März 2025 um 20:39

Enpass erlaubt es Passkeys zu speichern / nutzen.

Crey · 23. März 2025 um 21:12

Macht es noch einen Unterschied wo die Server stehen?
Am Beispiel von Bitwarden, dort kann man neben US auch EU Server wählen.

nick · 23. März 2025 um 23:36

Wegen des CLOUD-Acts eigentlich nicht. Da Bitwarden in den USA ansässig ist, sehe ich bei einem EU-Server keinerlei Vorteile gegenüber einem US-Server, denn amerikanische Behörden können sich in beiden Fällen Zugriff verschaffen.

Das Risiko halte ich wegen des Verschlüsselungsmechanismus sämtlicher PW-Manager, die ich kenne, trotzdem für gering, erst recht bei Open-Source-Software wie Bitwarden. Theoretisch könnte es aber bei jeder Software as-a-service eine Backdoor geben, denn auch wenn ich mir den Sourcecode herunterladen kann, weiß ich nicht, welche Version davon auf dem Server läuft, den ich schließlich nur gemietet habe. Genauer gesagt: auf dem ich nur ein Konto besitze, neben vielen anderen Usern auch.

towaco · 24. März 2025 um 07:20

KeePassXC ist eher US.
Der Main Developer ist ein US Amerikaner, welcher hauptberuflich bei der U.S. Coast Guard arbeitet.
Ansonsten gibt es nicht viel weitere Entwickler, die nur ähnlich so viel beitragen, wie der Main Developer.

Chief1945 · 24. März 2025 um 11:34

Ein paar Ergänzungen:

Keepassxc hat keine Cloud-Synchronisation. Einfach die Datei auf ein Netzlaufwerk schieben wird dem nicht gerecht, da so pfadabhängige Probleme auftreten können. Das „optional“ sollte also entfernt werden.

Bitwarden kann passkeys und es gibt zum selbst hosten sogar mehrere Optionen: Vaultwarden und Bitwarden.

Butterplume · 25. März 2025 um 09:31

Die Angabe stammt aus dem Impressum. Dort ist Janek aus Weimar als ladungsfähige Person angegeben. Wenn die Angabe nicht korrekt ist, gerne anpassen. Jeder darf mitmachen.

Müsste bei allen KeePass-Forks dann rausgenommen werden, richtig? Wobei wiederum KeePassXC dieses Vorgehen vorschlägt, wenn man seine Daten über mehrere Geräte hinweg synchronisieren will.

Habe ich für dich ergänzt. Da ich kein Android nutze, kann ich die Angaben nicht verifizieren.

Gerne die Daten, die oben benötigt werden mitteilen oder selbstständig ergänzen.

Chief1945 · 25. März 2025 um 12:05

Keine Ahnung. Müsstest du selbst recherchieren. KeepassXC und KeepassDX können es jedenfalls nicht.

Kann ja sein, aber das ist keine Funktion von KeepassXC.

Universalgelehrt · 26. März 2025 um 20:57

Und vor allem: Wenn die Tresor-Datei clientseitig verschlüsselt ist mit Zero-Knowledge beim Anbieter (wie bei Bitwarden und Proton, die anderen kenne ich nicht), dann ist es schön egal, wo der Server steht. Der einzige Kasus knaxus wäre, wenn der Anbieter den Dienst einstellt. Für den Fall legt man sich halt in passenden Abständen lokale Kopien an. Die SW ist ja FOSS (etwas anderes würde ich eh nicht anfassen).

sekret · 28. März 2025 um 18:17

Lesspass ist natürlich VIEL minimalistischer!

Passwortmanager: Lesspass (https://lesspass.com)
Open Source: Ja
Cloudanbindung: optional / selbst gehostet
Lokale Tresordatei: Nein
Verschlüsselungsart: keine
Passkey-Support: nein

Lesspass generiert dein Passwort anhand von bereitgestellten Kriterien und anhand eines Master-Passworts. Nichts wird gespeichert. Es gab mal einen Cloud-Dienst, wo man seine Kriterien für die verschiedenen Domains speichern konnte, der wurde aber eingestellt. Jetzt muss man selbst hosten, das ist aber nicht notwendig, weil man die Kriterien auch lokal speichern kann.

Für mich nur nutzbar als Werkzeug, das ich in meinem eigenen Skript für Passwörter nutzen kann. Dann aber in Verbindung mit dmenu und xdotool absolut genial

Reklow · 29. März 2025 um 17:51

Ich stelle mir gerade am Beispiel von Proton Pass eine Kernfrage:

Wenn ich es richtig verstehe, dann wird für Proton Pass ein asymetrischer Benutzerschlüssel erzeugt, der über einen aus dem Benutzer Passwort abgeleiteten und mit einem Account Salt bycrpt hash verschlüsselt wird.

Dieses bedeutet, wenn ich den Benutzernamen und Passwort des Proton Pass habe, dass man hierüber den bei Proton gespeicherten Benutzerschlüssel nutzen und dann Zugriff auf alle im Proton Pass gespeicherten Informationen erhalte.

Da jedoch der Benutzernamen und Passwort bei der Anmeldung an Proton Pass genutzt wird, kann doch der Betreiber Proton prinzipiell die Authentisierungs-Daten durch die Anwendung ausleiten und mit diesen dann selbst oder eben eine berechtigte Behörde auf die Proton Pass Daten zugreifen.

Ich selbst nutze Enpass wo ich zwei unterschiedlichen Passwörter für

a.) die lokale Entschlüsselung des Passwort-Safe
b.) eine Anmeldung an einem Cloud-Service für die Synchronisation der verschlüsselten Daten habe

Das erste Passwort für die Entschlüsselung des Passwort-Safe gebe ich nur lokal an meinen Endgeräten ein, sodass dieses niemals zu einem Anbieter übertragen werden muss.

Dieses Verfahren leuchtet mir ein, während ich bei Proton Pass irgendwie ein sehr ungutes Gefühl in Hinsicht auf die Sicherheit habe.

Habe ich hier einen Denkfehler? Oder müsste ein solche Vorgehensweise, wo das Entschlüsselungskennwort an die Anbeiter übertragen werden muss, nicht automatisch eine Abwertung erhalten die aus der Tabelle ersichtlich sein sollte? Oder ist dieses sogar schon mit dem Spalte „lokale Tresordatei“ gemeint?

Butterplume · 30. März 2025 um 09:04

Nein, so habe ich das auch verstanden.

Ist es nicht aber trifft in diesem Fall zu. Die Spalte bezieht sich simpel auf die Frage, ob es eine lokale Tresordatei gibt, die ich sehen und auch bewegen kann (s. KeePass).

Die Tabelle soll alle wichtigen Informationen, die man anfänglich gebrauchen könnte darstellen ohne diese wiederum zu verkomplizieren. Tatsächlich sind deine Gedankengänge bezüglich Proton Pass zutreffend. Ich verstehe das genauso.

Reklow · 30. März 2025 um 09:32

Das bedeutet dann also, dass Proton Pass und andere Passwortmanager mit Web-Zugriff keine Ende-zu-Ende-Verschlüsselung der gespeicherten Daten sicherstellt, bei denen nur meine Endgeräte Zugriff auf die Daten haben.

Es ist eher ein „ich vertraue dem Anbieter, dass er mein Passwort nicht ausleitet“ Sicherheitsniveau.

Das empfinde ich jetzt nicht so überzeugend.

Butterplume · 18. April 2025 um 00:08

Ich habe eben eine wichtige Änderung bei Strongbox vorgenommen:

Strongbox ist seit Mitte 2024 nicht länger im klassischen Sinne Open-Source und veröffentlicht nicht mehr alle Inhalte zur Überprüfung. Der Entwickler von Strongbox hat sich bei Reddit dazu geäußert.

Seit dem 15. März 2025 ist der neue Eigentümer die Applause Group, Inc. ein us-amerikanisches Unternehmen.

Reklow · 18. April 2025 um 04:55

Ich muss mich korrigieren. In der Zwischenzeit habe ich über das Login-Verfahren bei Proton Mail erfahren, dass das eigene Zugangs-/Schlüssel-Passwort nicht an Proton übertragen wird, sondern aus diesem ein Zugangs-Passwort errechnet wird. Der Anbieter bekommt also im Rahmen des Konzeptes keinen Zugriff auf das Passwort. Ich gehe davon aus, dass dieses Verfahren bei Proton Pass identisch genutzt wird.

Wie wichtig ist eine verschlüsselte Mailbox? (Zero Access Encryption)

In this scheme, however, the login password cannot be sent to Proton Mail directly, as it can be used to calculate the mailbox password and thus decrypt mail. To solve this problem, we have re-engineered our entire login process to never send the login password to our server, which has the added benefit of helping protect against MITM (man-in-the-middle) attacks.

Secure Remote Password (SRP) Protocol

The Secure Remote Password (SRP) protocol(new window) is widely-tested and widely-deployed password-authenticated key agreement (PAKE) protocol which mutually authenticates both the user and server while never sending any password-equivalent data over the network. Authentication attempts cannot be replayed, and the protocol remains secure even in the presence of active tampering by a third party. More information about SRP can be found here(new window) and here(new window).

https://proton.me/blog/encrypted-email-authentication

Mir war bisher nicht bewusst, dass Proton kein normales Anmeldeverfahren mit übertragenen Passwörtern nutzt und daher der Server niemals das Anwenderpasswort erfährt. Damit kann Proton ohne eine Veränderung des Anmeldeprozesses wirklich das Passwort nicht erfahren.

Damit hätte sich mein Einwand in Hinsicht nicht vorhandene Ende-zu-Ende-Verschlüsselung in Proton Pass zuvor erledigt.