Warum Sie 2026 einen Passwortmanager brauchen (selbst wenn Passkeys kommen)
Passkeys werden im Web ausgerollt, doch 2026 ist die Abdeckung noch lückenhaft. Ein Passwortmanager verwaltet Passkeys, OTPs und den langen Rattenschwanz an Alt-Passwörtern. Hier die ehrliche Einordnung.
Was ein Passwortmanager leistet
Ein Passwortmanager erzeugt für jedes Konto ein eindeutiges Zufallspasswort, speichert diese Passwörter verschlüsselt mit einem aus einem einzigen Master-Passwort abgeleiteten Schlüssel und füllt die Zugangsdaten beim Login automatisch aus. Diese Architektur beseitigt die Wiederverwendung von Passwörtern — das mit Abstand am leichtesten ausnutzbare Verhalten bei Account-Übernahme-Angriffen. Alle fünf auf dieser Seite verglichenen Manager (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) setzen Zero-Knowledge-Verschlüsselung um: Wird der Server des Anbieters kompromittiert, enthält er nur verschlüsselte Datenblöcke, die sich ohne das Master-Passwort des Nutzers nicht entschlüsseln lassen.
Passkeys ersetzen 2026 keine Passwortmanager
Passkeys (FIDO2 / WebAuthn) sind phishing-resistente Anmeldedaten, die sich kryptografisch an eine bestimmte Origin binden. Wo sie unterstützt werden, sind sie ein klares Upgrade gegenüber Passwörtern. Der Haken ist der Rollout: Die Passkey-Unterstützung der großen Websites ist 2026 noch teilweise und uneinheitlich. Banken, Behördendienste, Nischen-SaaS und die meisten älteren Unternehmenssysteme setzen weiterhin auf Passwörter. Große Passwortmanager (Bitwarden, 1Password, Proton Pass) speichern Passkeys inzwischen neben Passwörtern, sodass der Manager der richtige Ort für beides bleibt.
Den ersten Manager auswählen
Drei Optionen decken die meisten Nutzer ab. Bitwarden Free deckt unbegrenzt viele Passwörter mit einer quelloffenen, auditierten Implementierung ab (laut github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free ist vergleichbar, mit Gerichtsstand Schweiz (laut proton.me/pass/pricing). KeePassXC ist die rein lokale Option ohne jede Cloud-Komponente (laut keepassxc.org). Wählen Sie, was zu Ihrer Sync-Präferenz passt (auditierte Cloud vs. lokal), importieren Sie Ihre im Browser gespeicherten Passwörter und aktivieren Sie 2FA für das Manager-Konto selbst.
Warum das Master-Passwort wichtiger ist als die Wahl des Managers
Jeder auditierte Zero-Knowledge-Passwortmanager schützt Ihren Tresor mit einem Schlüssel, der über eine speicherharte KDF aus Ihrem Master-Passwort abgeleitet wird (Argon2id ist der aktuelle Best Practice; PBKDF2 mit hoher Iterationszahl ist der ältere Standard). Ist das Master-Passwort kurz oder erratbar, ist die Verschlüsselungsstärke bedeutungslos — ein Angreifer, der den verschlüsselten Datenblock stiehlt, kann ihn offline per Brute Force knacken. Die Lösung ist eine Passphrase: 4–6 zufällige Wörterbuchwörter ergeben rund 50–80 Bit Entropie, mehr als jedes Passwort, das kurz genug ist, um es bequem zu tippen.
Quellen
Bitwarden-Audits: bitwarden.com/help/is-bitwarden-audited. Bitwarden-Quellcode: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (Gewinner der Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Alle URLs abgerufen am 2026-04-30.