1Password
Wir nutzen 1Password seit 2020. Dieser Guide basiert auf dieser Erfahrung.
1Password ist ein Passwort-Manager von AgileBits, einem kanadischen Unternehmen, das 2005 gegründet wurde. Er speichert Passwörter, Passkeys, sichere Notizen, Kreditkarten, Ausweisdokumente, SSH-Schlüssel, API-Tokens und Softwarelizenzen in einem verschlüsselten Tresor, der sich über alle Geräte synchronisiert.
Was 1Password von den meisten Alternativen abhebt, ist die Dual-Key-Architektur. Dein Tresor wird mit AES-256-GCM verschlüsselt. Der Schlüssel wird aus zwei Komponenten abgeleitet: deinem Master-Passwort und einem lokal gespeicherten Secret Key (ein 128-Bit-Zufallsstring, der beim Erstellen des Kontos generiert wird). Selbst wenn jemand die Tresordaten von 1Passwords Servern abgreifen sollte, braucht er beide Faktoren zum Entschlüsseln. Ein Brute-Force-Angriff allein auf das Master-Passwort reicht nicht.
Wie funktioniert 1Password?
Du merkst dir ein Master-Passwort. 1Password übernimmt den Rest und generiert starke, einzigartige Passwörter, füllt sie in Browsern und Apps automatisch aus, synchronisiert über Geräte und warnt, wenn etwas schwach, wiederverwendet oder kompromittiert ist. Die Browser-Erweiterung ist das tägliche Arbeitswerkzeug. Die meisten Nutzer öffnen die Desktop-App nur beim Einrichten oder für die Tresor-Verwaltung.
Neben Passwörtern speichert 1Password auch strukturierte Daten wie Kreditkarten mit Auto-Fill, Ausweisdokumente, sichere Notizen, Softwarelizenzen mit Schlüsseln und Registrierungsinfos, SSH-Schlüssel (mit integriertem SSH-Agent) und API-Zugangsdaten. Tags und mehrere Tresore erlauben es dir, nach Kontext zu organisieren (Privat, Arbeit, Kundenprojekte, geteilte Familie), ohne dass alles in einer einzigen Liste untergeht.
Für wen ist 1Password gedacht?
- Privatpersonen und Familien, die ein Tool für den ganzen Haushalt suchen. Der Family-Plan deckt bis zu fünf Nutzer ab, mit geteilten und privaten Tresoren. Auch nicht-technische Familienmitglieder kommen schnell zurecht, weil die Benutzeroberfläche so poliert ist, dass man keine Dauerhilfe leisten muss. Siehe: VPN und Passwort-Manager: Was lohnt sich?
- Freelancer und kleine Teams, die Zugangsdaten teilen müssen, ohne Passwörter im Klartext herumzuschicken. Teile ein Kunden-Login, ein Staging-Server-Passwort oder WLAN-Zugangsdaten mit gezielter Zugriffskontrolle pro Eintrag. Siehe: Security-Setup für Freelancer
- Entwicklerinnen und Entwickler, die täglich mit SSH-Keys, API-Tokens oder Umgebungsvariablen arbeiten. Der SSH-Agent verwaltet Schlüssel direkt in 1Password. Git-Operationen, Server-Verbindungen und Deployments laufen über 1Password (Biometrie oder Master-Passwort), statt dass Schlüsseldateien auf der Festplatte liegen. Siehe: Security-Tools für Founder
Wichtige Funktionen
Watchtower
Watchtower ist das Sicherheits-Dashboard von 1Password. Es scannt deinen Tresor auf schwache Passwörter, wiederverwendete Passwörter, kompromittierte Zugangsdaten (geprüft gegen Have I Been Pwned mit k-Anonymity, sodass der vollständige Passwort-Hash nie übertragen wird), Konten ohne 2FA und Dienste, die Passkeys unterstützen, bei denen du aber noch keinen eingerichtet hast.
Der praktische Wert liegt darin, dass du einen Score und eine priorisierte Liste bekommst. Du musst nicht alles auf einmal reparieren. Ändere zuerst die schlimmsten Fälle, dann arbeite dich über Wochen durch den Rest. Dieser schrittweise Ansatz ist realistischer als ein einmaliges Passwort-Audit und entspricht dem, wie die meisten Leute tatsächlich zu einem sicheren Tresor kommen.
Teilen
1Password unterstützt Tresor- und Eintrags-basiertes Sharing. Innerhalb eines Family- oder Teams-Plans kannst du geteilte Tresore für bestimmte Kontexte anlegen (Streaming-Logins im Haushalt, SaaS-Zugangsdaten eines Startups, ein Kundenprojekt), während private Tresore strikt privat bleiben.
Du kannst auch einzelne Einträge per zeitlich begrenztem Link mit beliebigen Personen teilen, selbst wenn diese kein 1Password nutzen. Der Link läuft automatisch ab. Für Teams regeln Tresor-Berechtigungen, wer einsehen, bearbeiten oder verwalten darf. Der Sharing-Ablauf braucht weniger Schritte als bei NordPass oder Bitwarden, was besonders zählt, wenn nicht-technische Personen einfach ein geteiltes Netflix-Passwort brauchen.
Passkey-Unterstützung
1Password kann Passkeys erstellen, speichern und in allen grossen Browsern und Plattformen automatisch ausfüllen. Watchtower zeigt dir, welche Logins inzwischen Passkeys unterstützen, sodass der Umstieg sichtbar wird, statt dass du ihn zufällig entdeckst. Bei der Passkey-Unterstützung liegt 1Password vor den meisten Passwort-Managern und etwa gleichauf mit Bitwarden. Apple Keychain ist der wichtigste Konkurrent auf Plattformebene.
Geräteübergreifende Synchronisation
1Password synchronisiert über Mac, Windows, Linux, iOS, Android und Browser. Auto-Fill funktioniert nativ auf iOS und Android (über die systemweite Passwort-Auto-Fill-Schnittstelle) und über die Browser-Erweiterung auf dem Desktop. Die mobile Erfahrung wird durchgehend als Stärke genannt, besonders von Nutzern, die von LastPass oder KeePass migrieren.
Integriertes TOTP
1Password kann zeitbasierte Einmalpasswörter speichern und automatisch ausfüllen. Beim Login füllt es Passwort und TOTP-Code in einem Schritt aus, was den Wechsel zu einer separaten Authenticator-App überflüssig macht.
Dabei gilt es abzuwägen. Wenn Passwort und TOTP-Seed im selben Tresor liegen, sind bei einem kompromittierten Tresor beide Faktoren betroffen. Für die meisten Konten überwiegt der Komfort das theoretische Risiko (zumal der Tresor selbst durch Master-Passwort und Secret Key geschützt ist). Für hochsensible Konten wie Banking oder die primäre E-Mail-Adresse lohnt es sich, TOTP in einer separaten Authenticator-App (Ente Auth, Aegis) zu belassen oder einen Hardware-Schlüssel zu verwenden.
SSH-Agent und Developer-Tools
1Password enthält einen SSH-Agent, der Schlüssel im verschlüsselten Tresor speichert, statt dass sie auf der Festplatte liegen. Du authentifizierst Git-Operationen, Server-Verbindungen und Deployments, indem du 1Password entsperrst (Biometrie oder Master-Passwort), anstatt ~/.ssh/-Dateien zu verwalten. Für Entwicklerinnen und Entwickler, die zwischen Rechnern wechseln oder an mehreren Kundenprojekten arbeiten, fällt damit eine Sache weg, die man sonst bei jedem neuen Setup einrichten muss.
Die Secrets Automation-Plattform erweitert das auf CI/CD-Pipelines, Infrastructure-as-Code-Tools und Team-Secrets-Management, was aber vor allem für grössere Engineering-Teams relevant ist.
Wo 1Password an seine Grenzen stösst
- Keine kostenlose Version. 1Password erfordert ein kostenpflichtiges Abo. Wenn Budget die Hauptrolle spielt, bietet Bitwarden eine grosszügige kostenlose Version.
- Nicht Open Source. Die Clients sind proprietär. 1Password veröffentlicht unabhängige Sicherheitsaudits, aber der Quellcode ist nicht einsehbar. Wenn dir Überprüfbarkeit besonders wichtig ist, ist Bitwarden die Alternative.
- Watchtower auf Org-Ebene ist eingeschränkt. Admins bei Teams- und Business-Plänen können die privaten Tresore von Mitarbeitenden nicht auf schwache oder wiederverwendete Passwörter scannen. Watchtower funktioniert als persönliches Hygiene-Tool, kann aber keine Richtlinien über die gesamte Organisation durchsetzen. Wenn du organisationsweite Passwort-Richtlinien durchsetzen möchtest, muss alles in geteilte Tresore oder du brauchst ein zusätzliches Identity-Governance-Tool.
- Electron-basierte Desktop-App. Version 8 hat die nativen macOS- und Windows-Apps durch eine Electron-Architektur ersetzt. Für die meisten Nutzer ist das unsichtbar (die Browser-Erweiterung ist ohnehin die primäre Oberfläche), aber Power-User mit grossen Tresoren oder tiefer OS-Integration (Alfred, Raycast) bemerken möglicherweise höheren Speicherverbrauch und gelegentliche Verlangsamung.
Preise
1Password bietet Individual-, Family- (bis zu 5 Nutzer), Teams-Starter- (bis zu 10 Nutzer) und Business-Pläne. Es gibt keine kostenlose Version. Preislich liegt 1Password im Premium-Bereich für Passwort-Manager, grob 3-4x so viel wie Bitwarden Premium, wobei der Family-Plan auf fünf Personen verteilt ein gutes Preis-Leistungs-Verhältnis bietet. Jährliche Abrechnung ist günstiger als monatliche.
Aktuelle Preise auf der 1Password-Preisseite.
Wie schlägt sich 1Password im Vergleich?
| 1Password | NordPass | Bitwarden | |
|---|---|---|---|
| Kostenlose Version | Nein | Ja (eingeschränkt) | Ja (umfangreich) |
| Verschlüsselung | AES-256-GCM + Secret Key | XChaCha20 | AES-256 |
| Open Source | Nein | Nein | Ja |
| Passkey-Unterstützung | Ja (vollständig) | Ja | Ja |
| Breach-Monitoring | Watchtower (integriert) | Datenpannen-Scanner (Premium) | Reports (Premium) |
| Integriertes TOTP | Ja | Nur Premium | Nur Premium |
| SSH-Agent | Ja | Nein | Nein |
| Familien-Plan-UX | Ausgezeichnet | Ausreichend | Gut |
| Ideal für | Familien, Entwickler, polierte UX | Nord-Ökosystem-Nutzer, Budget | Budgetbewusste, Open-Source-Präferenz |
Einen breiteren Vergleich von Passwort-Managern im Kontext eines Security-Setups findest du in VPN und Passwort-Manager: Was lohnt sich?
Relevanz für die Schweiz
Für Unternehmen in der Schweiz, die unter dem nDSG operieren, gehört die ordentliche Verwaltung von Zugangsdaten zu den «angemessenen technischen und organisatorischen Massnahmen» zum Schutz personenbezogener Daten (Art. 8 nDSG). Ein Passwort-Manager eliminiert wiederverwendete Passwörter, die häufigste Schwachstelle bei Zugangsdaten, und ist für die meisten Bedrohungsmodelle wirkungsvoller als ein VPN.
1Password ist ein kanadisches Unternehmen. Die Tresordaten sind Zero-Knowledge-verschlüsselt (1Password kann sie nicht lesen, egal in welchem Land die Server stehen), womit sich die meisten Bedenken zur Datenresidenz für den Tresorinhalt erübrigen. Im März 2026 hat 1Password sein Device-Trust-Produkt auf EU-Infrastruktur in Frankfurt erweitert, gezielt für Organisationen mit strikten Anforderungen an die Datenresidenz. Für reguläre Tresordaten stehen die primären Server in Kanada. Wenn dein Compliance-Framework verlangt, dass selbst verschlüsselte Zugangsdaten innerhalb der EU oder der Schweiz bleiben, kläre das mit dem 1Password-Vertriebsteam über einen DPA.
In der Praxis spielt der Serverstandort bei einem Zero-Knowledge-Passwort-Manager eine geringere Rolle als bei Diensten, die deine Daten lesen können. Die Verschlüsselung schützt dich, unabhängig davon, wo der Server steht.
Tipps, um das Beste aus 1Password herauszuholen
- Starte mit Watchtower. Nachdem du deine bestehenden Passwörter importiert hast, prüfe zuerst Watchtower. Behebe die kritischen Einträge (wiederverwendete Passwörter bei Banking, E-Mail und Cloud-Konten), dann arbeite dich schrittweise durch den Rest. Alles auf einmal reparieren zu wollen, führt zu Frust.
- Nutze Tags für Ordnung. Tags ermöglichen es dir, quer über Tresorgrenzen hinweg zu filtern: nach Kunde, nach Projekt oder nach Dringlichkeit («needs-2fa», «shared-with-team»). Zusammen mit mehreren Tresoren bleibt alles übersichtlich, selbst mit Hunderten von Einträgen.
- Aktiviere 2FA für dein 1Password-Konto selbst. Verwende einen Hardware-Schlüssel oder eine separate Authenticator-App, nicht 1Passwords eigenes TOTP. Der Tresor, der alles andere schützt, verdient seinen eigenen unabhängigen zweiten Faktor.
- Nutze die Sharing-Links. Wenn jemand ausserhalb deines Family- oder Teams-Plans vorübergehend Zugangsdaten braucht (ein Freelancer, ein Freund, der sich ein Streaming-Login leiht), generiere einen zeitlich begrenzten Link, statt das Passwort in einem Chat zu verschicken. Er läuft automatisch ab.
- Probiere den SSH-Agent aus, wenn du Code schreibst. Er ersetzt Schlüsseldateien auf der Festplatte durch tresorgestützte Authentifizierung. Eine Sache weniger, die du beim Einrichten eines neuen Rechners oder beim Rotieren von Schlüsseln verwalten musst.