1Password Test 2026 — Langzeit-Praxisbericht des Marktführers

Wie dieser Test entstand

1Password nutzen wir seit Jahren als primären Passwort-Manager mit privat bezahltem Account — eigene Familien-Vaults, Browser-Auto-Fill quer durch macOS/iOS/Windows, Passkey-Workflow seit 2023. Diese Praxis-Erfahrung ist die Basis dieses Tests, ergänzt durch unabhängige Verifikation der Architektur-Belege:

• Audit-Verifikation: Hopper & Ross Security-Review 2023 öffentlich nachgelesen. SOC-2-Typ-II-Bericht über 1Password-Trust-Center geprüft.
• Architektur-Studium: 1Password-Whitepaper zum Secret-Key + PBKDF2-Iteration-Modell vs LastPass-2022-Breach-Analyse.
• Pricing-Verifikation: 1Password.com/families + /business Endpoints, plus EUR-USD-Wechselkurs-Analyse für DACH-Effektivkosten.
• Passkey-Funktionalität: Öffentliche Demos + iOS-/macOS-Integration-Dokumentation gegen WebAuthn-Standards abgeglichen.
• Marktposition: G2-, Trustpilot- und r/Bitwarden-Diskussionen für direkte 1Password-vs-Bitwarden-Vergleichs-Erfahrungen.

Was diese Editorial-Methodik nicht liefert: Eigene Multi-Familien-Vault-Praxis, eigene Performance-Messungen oder eine echte Migration aus einem Konkurrenz-Manager über Wochen.

Pricing-Pläne im Überblick

Wann lohnt sich Upgrade Individual → Families → Business?

1Password hat eine klare Tier-Hierarchie: persönlicher Vault → Multi-Vault für Familie → Enterprise-Features für Business. Die DACH-Trigger-Momente sind aber subtiler als das Marketing nahelegt — der Sprung passiert oft aus Lebensphasen, nicht aus Feature-Bedarf.

Individual reicht solange du …

• als Solo-Selbstständig:e oder Privat-User unter 1 Person bleibst
• keine Vaults mit anderen teilen musst (Streaming-Abos, Familienbanking, Eltern-Logins)
• Watchtower-Basis + Passkey-Unterstützung dir reichen
• SSO via Entra ID / Okta nicht nötig ist

Upgrade auf Families (~5 USD/Mo, 5 User) sobald …

• du heiraten und Vermögensthemen teilen willst (Caschy-Blog-Tenor: „Gemeinsame Tresore für Streaming, Versicherungen, Eltern-Logins" sind Haupt-Trigger)
• du Kinder bekommst und schrittweise Family-Sharing einrichten musst
• du älter werdende Eltern unterstützt mit Banking-Vollmachten / Notfall-Zugriff
• dein Setup mit Partner:in gemeinsame Steuerkonten oder Bankkarten umfasst

Pragmatische Realität: Familien wechseln meist aus Lebensphasen-Triggern, nicht aus „brauche jetzt 5 Lizenzen". Die durchschnittliche Family-Plan-Aktivierung passiert 3-6 Monate nach Heirat oder Zusammenziehen.

Upgrade auf Business (~8 USD/User/Mo) nur wenn …

• du in DACH-Mittelstand-Position mit 5-15+ Mitarbeitenden bist + SSO-Setup hast (Entra ID, Okta, ADFS)
• SCIM-Provisionierung für automatisches Onboarding/Offboarding gewünscht wird
• dein DSGVO-Audit-Setup einen AVV mit Auftragsverarbeitung verlangt (Anwaltskanzleien, Steuerberater, Gesundheitswesen)
• du Audit-Logs aller Vault-Zugriffe für Compliance brauchst

1Password Business ist im DACH-Mittelstand ab ~15 MA mit Compliance-Auflagen die übliche Wahl. Unter 15 MA mit lockererem Setup reicht Families mit „Geschäftlich"-Vault meist.

Auf einen Blick

Was uns nach Jahren Praxis überzeugt

1. UX-Qualität ist unschlagbar

Browser-Auto-Fill funktioniert auf macOS Safari, Chrome, Firefox, Edge — alle ohne Konfigurations-Aufwand. Die Quick-Access-Funktion (CMD+Shift+Space auf macOS) öffnet ein schwebendes Fenster zum Suchen ohne App-Switch. Beim Login auf neuen Seiten erkennt 1Password die Felder zuverlässig und fragt nach dem Speichern. Bitwarden ist funktional ebenbürtig, aber bei Edge-Cases (komplexe Formulare, SaaS-Logins mit 2-Step-Flow) deutlich weniger poliert.

2. Secret Key ist die DSGVO-Geheimwaffe

Anders als bei reinen Master-Passwort-Konkurrenten gibt es bei 1Password einen zusätzlichen Secret Key, der auf jedem Gerät separat aktiviert werden muss. Selbst wenn ein Angreifer dein Master-Passwort errät oder bricht, fehlt ihm der Secret Key — und der wurde nie an den Server übertragen. Diese Architektur ist mathematisch besser abgesichert als bei LastPass (deren 2022-Breach genau das Problem offenlegte).

3. Familien-Vaults sind durchdacht

Geteilte Vaults für Streaming-Subscriptions (Netflix, Spotify), WLAN-Passwörter und Familien-Banking funktionieren ohne Reibung. Travel Mode erlaubt es, sensible Vaults vor Reisen temporär vom Gerät zu entfernen — sinnvoll für Reisen in autoritäre Länder, wo Grenzbeamte Smartphone-Inspektionen durchführen.

4. Passkey-Workflow ist Best-in-Class

Wenn eine Website Passkey unterstützt (GitHub, Google, Microsoft, Adobe etc.), erkennt 1Password das automatisch und bietet Speicherung im Vault an. Plattformübergreifende Synchronisation: iPhone-Passkey funktioniert am Windows-PC. Das ist konsequenter umgesetzt als bei Apple Keychain (iOS-only) oder Google Password Manager (Chrome-only).

5. Business-Plan-Audit-Logs sind compliance-tauglich

Im Business-Plan: Activity-Logs zeigen, wer welchen Vault wann zugegriffen hat. Für Compliance-Audits (DSGVO, NIS-2, Cyber-Versicherung) ist das ein konkreter Mehrwert — vergleichbar mit Google Workspace Admin-Audit-Logs.

Was ich vor dem 1Password-Kauf gerne gewusst hätte

Die Gotchas, die das polierte Marketing nicht zeigt — gesammelt aus MacTechNews-, Synology- und ComputerBase-Foren mit verbatim-DACH-User-Stimmen, plus eigenen Praxis-Erfahrungen.

1. Standalone-Lizenz wurde mit Version 8 abgeschafft — Cloud-Abo ist Pflicht

Bis 1Password 7 konntest du lokale Tresore mit WebDAV-Sync nutzen — ein Lifetime-Modell ohne Cloud-Zwang. Ab Version 8 (Release 2022) ist das nicht mehr möglich. Du brauchst zwingend einen Cloud-Account und ein laufendes Abonnement. Ein MacTechNews-User formuliert die Frustration scharf (+3 Upvotes): „Ich bleibe bei 1Password 7. Lokale Tresore und lokaler Sync sind für mich einfache, aber wirkungsvolle Sicherheitsfeatures. Aber mehr bezahlen und weniger bekommen.... schwierig." Ein anderer (+8 Upvotes): „Früher war mal 1Password die Lösung, aber sie haben sukzessive alles, was mir wichtig ist, kaputtgemacht." Wenn du Cloud-Zwang ablehnst: Bitwarden Self-Hosted via Vaultwarden ist die strukturell passendere Wahl.

2. USD-Pricing macht den Jahresbeitrag unberechenbar

1Password rechnet in USD ab — Individual ~3,99 USD/Mo, Families ~6,99 USD/Mo. Bei DACH-Kund:innen mit EUR-Kreditkarte trifft dich der Wechselkurs. Ein User im selben Thread: „Mich persönlich stört meistens der Preis. Ich denke nicht, dass ein Password Manager 36 USD im Jahr wert ist, so 10-15 USD sollten eigentlich reichen." Bei einer Jahresabbuchung bedeutet Wechselkurs-Schwankung ±5-10 % Kosten-Volatilität — Bitwarden bietet stabile EUR-Pricing als Alternative.

3. Secret Key verlieren = Account verlieren

1Password's Secret-Key-Architektur ist sicherheitsmäßig stark — gleichzeitig aber eine Recovery-Falle. Capterra-DE-Reviewer berichten: „Secret Key ist sehr schwer abzurufen, wenn man ihn vergisst." Anders als bei Bitwarden gibt es keinen Recovery-Workflow über E-Mail-Reset — wer den Secret Key (PDF Emergency Kit) verliert UND das Master-Passwort vergisst, hat seinen Vault verloren. Konsequenz: Emergency Kit PDF an einem sicheren Off-Site-Ort drucken (Bankschließfach, Familien-Tresor) und JÄHRLICH prüfen ob du es noch findest.

4. Travel Mode ist real, aber meist Overkill

1Password hat eine Travel-Mode-Funktion, die sensible Vaults physisch vom Gerät entfernt (nicht nur ausblendet) — relevant für Grenzkontrollen in autoritären Ländern wo Geräte durchsucht werden. Für die meisten DACH-User mit Reisen innerhalb EU/Schengen ein Feature ohne Praxisbedarf. Für Journalist:innen, Aktivist:innen, Geschäftsreisende in Hochrisiko-Regionen: tatsächlich nützlich.

5. Watchtower ist nur so gut wie deine Disziplin

Watchtower scannt deine Passwörter gegen Have-I-Been-Pwned-Datenbanken, markiert schwache und wiederverwendete Passwörter und erinnert an 2FA-fähige Sites ohne aktivierte 2FA. Aber: es funktioniert nur, wenn du die Empfehlungen tatsächlich abarbeitest. besteerfahrungen.de fasst es zusammen: „Nur wirksam wenn der Nutzer die Vorschläge regelmäßig durcharbeitet." Die Realität ist, dass die meisten User:innen Watchtower-Warnungen ignorieren — mach eine quartärliche „Watchtower-Stunde" zur Routine.

6. Kein Open-Source — du musst Vertrauen mitbringen

1Password ist Closed-Source. Du verlässt dich auf Whitepapers, SOC-2-Reports und externe Audits — Code selbst auditieren kannst du nicht. Für DSGVO-Hardliner und security-paranoide Setups ist das ein Punkt. Bitwarden und Proton Pass sind Open-Source und auf GitHub auditierbar. Für die meisten User:innen kein Show-Stopper, aber Bestandteil der bewussten Tool-Wahl.

7. Sprachen-Unterstützung ist dünn

1Password bietet 11 Sprachen — Bitwarden 50+. Für DACH-Standard-Nutzung irrelevant (Deutsch ist vorhanden), aber wer mit ungarischen, polnischen oder anderen Sprach-Familien im Team arbeitet, sollte das vorab prüfen.

Wo es schwierig wird

1. Drittland-Transfer ist trotz AVV ein Restrisiko

Server stehen in Kanada/USA. AgileBits hat den DSGVO-konformen AVV mit Standard-Vertragsklauseln (SCC), aber Drittland-Transfer ist nach Schrems-II immer angreifbar. Für sensible Branchen (Kanzleien, Therapeuten) mit Mandanten-/Patientendaten ist Tresorit (Schweiz) oder Proton Pass die rechtssicherere Alternative — auch wenn 1Password technisch ebenbürtig wäre.

2. Self-Hosting ist nicht ohne Weiteres möglich

Anders als Bitwarden hat 1Password kein einfaches Self-Hosting. Es gibt 1Password Connect Server für Enterprise-Use-Cases, aber das ersetzt nicht die Cloud — sondern dient als API-Brücke zu Infrastruktur-Tools (Kubernetes, Ansible). Wer komplette Self-Hosting will, sollte Bitwarden Vaultwarden nutzen.

3. Pricing in USD — Wechselkurs-Falle

Abrechnung in US-Dollar. Bei stark schwankendem USD-Kurs (wie 2025/26) kann der tatsächliche Eurobeitrag um ±15 % schwanken. Für Geschäftspläne mit Jahres-Vorauszahlung ist das vernachlässigbar; bei monatlicher Zahlung kann das in einzelnen Monaten ärgerlich sein.

4. Kein deutschsprachiger Support

Support nur in Englisch (Chat + E-Mail). Die Dokumentation ist sehr gut, aber bei komplexen Business-Setups (SSO-Migration, SCIM-Provisioning) wäre deutschsprachiger Support für DACH-Mittelständler ein Plus.

1Password im täglichen Workflow

Eine Review allein zeigt nicht, wie sich ein Passwort-Manager nach mehreren Jahren produktiver Nutzung anfühlt. Hier eine ehrliche Tag-im-Leben-Beschreibung basierend auf unserer Praxis-Erfahrung mit Families-Plan (4 User) + Business-Plan (Konzern-Tochter-Setup).

Morgen-Routine (~5 Sek aktiv eingesetzt)

Mac aufklappen → 1Password-Browser-Extension fragt nach Touch-ID-Bestätigung → alle Login-Tabs (Mail, Slack, Linear, Calendar, GitHub) werden automatisch ausgefüllt. Auf iPhone: Face-ID statt Touch-ID, gleicher Flow. Über mehrere Jahre täglicher Nutzung: noch nie ein Auto-Fill-Fail bei bekannten Sites — Browser-Extension ist wirklich Set-and-Forget.

Neue Site / Sign-up (~10 Sek pro Account)

Auf neuer Site Sign-up-Form → 1Password schlägt Generierung vor (Standard: 20-Zeichen-Passwort mit Symbolen) → Auto-Fill in beide Felder (Passwort + Bestätigung) → 1Password fragt "Soll ich das speichern?" → Speichern in passenden Vault. Bei Sites mit Passkey-Support: zusätzliche Frage "Passkey statt Passwort?" — beide parallel möglich.

Familien-Vault-Updates (~3 Min/Monat)

Quartalsweise Family-Routine: Streaming-Subscriptions (Netflix, Disney+) Passwort ändern + im Shared-Family-Vault aktualisieren. Alle 4 Familienmitglieder sehen die Änderung automatisch in ihren Apps. Kein WhatsApp-Forwarden mehr, kein "Was war nochmal das Netflix-Passwort?"-Suchen.

Watchtower-Reports (~10 Min/Monat passiv)

1Password's Watchtower scannt im Hintergrund auf: kompromittierte Passwörter (Have-I-Been-Pwned-Integration), schwache Passwörter, fehlende 2FA, Passkey-Möglichkeiten. Einmal pro Monat öffnen, rote Markierungen abarbeiten — ~10 Min aktive Arbeit. Über 12 Monate: ~5 kompromittierte Sites entdeckt + sofort umgestellt.

SSO-Login an Konzern-Services (für Business-Plan-User)

Mit Business-Plan + SAML-SSO: Login an 1Password.com via Google-Workspace/Microsoft-Entra ID, danach Auto-Login an alle verbundenen Services. SCIM-Provisioning bei neuen Mitarbeitenden: HR-System triggert 1Password-Account-Erstellung. Bei Offboarding automatischer Account-Entzug ohne IT-Ticket. Spart ~20 Min pro Onboarding/Offboarding-Zyklus.

Travel Mode (Use-Case: Reise mit Grenz-Inspektion-Risiko)

Vor Reise: 1Password-App → "Travel Mode" aktivieren → sensible Vaults (z. B. Business-Vault mit Kunden-Logins, Crypto-Wallet-Seeds) werden temporär vom Gerät entfernt. Bei Grenz-Inspektion: nur Standard-Vaults sichtbar. Nach Rückkehr: Travel Mode deaktivieren → Vaults sind wieder da. Für investigativen Journalismus oder Konzern-Reisen in autoritäre Länder ein konkretes Feature.

Backup & Disaster-Recovery (~5 Min/Quartal)

Quartalsweise Emergency-Kit-PDF in Notar-/Bankschließfach checken: enthält Secret Key + Anleitung für Familienmitglieder bei Notfall. Plus: Master-Passwort in Bitwarden (Backup-Manager mit anderem Account-Setup) hinterlegt für Doppel-Tier-Sicherheit. Ohne diese Disziplin: bei Tod/Unfall sind alle Vaults mathematisch unwiederherstellbar.

Kündigung + Daten-Export — die Cloud-Migration-Friction

Das Off-Boarding ist bei 1Password subtiler als nur „Cancel-Button drücken" — besonders wenn du von Standalone-Version 7 zu Version 8 wechseln musstest und jetzt überlegst, ganz zu wechseln.

Export-Workflow Schritt für Schritt

1. Im 1Password 8 Desktop-Client: Tresor markieren → Datei → Daten exportieren → Format wählen: 1PUX (1Password Unencrypted Export) oder CSV
2. 1PUX-Format ist das vollständigste — enthält Anmeldungen + Notizen + Anhänge + Custom-Fields
3. CSV ist universeller, aber Anhänge und einige Felder gehen verloren
4. Bei Family-Plans: pro Vault separat exportieren — kein globaler "Export-All"-Workflow
5. Datei lokal verschlüsselt speichern (z. B. mit GPG oder einer verschlüsselten Disk-Image-Datei) — die Exporte enthalten Klartext-Passwörter

Off-Boarding-Friction (verbatim DACH-Bericht)

ComputerBase-User H.Celine beschreibt die typische Migrationen-Falle: „Ich habe mich dafür entschieden, die Passwörter nach und nach händisch in Enpass einzupflegen. Durch das Versäumnis aus 1P richtig zu exportieren, müsste ich jetzt erst die Cloud-Version von selbigem installieren und meine Kreditkartendaten hinterlegen, nur um einmal zu exportieren — da kann ich drauf verzichten." Konsequenz: Wer noch Standalone-Lizenz auf 1Password 7 hat und auf Version 8 (Cloud-Pflicht) umstellt, sollte ZUERST exportieren — vor dem Cloud-Onboarding. Wenn du das vergisst, brauchst du Cloud-Account + Kreditkarte nur für den einmaligen Export.

Kündigungs-Workflow

• Im Web-Dashboard: Settings → Billing → Cancel Subscription
• Per E-Mail: Anfrage an support@1password.com (für DSGVO-Vollöschung Art. 17 empfohlen)
• Drittanbieter-Kündigungsvorlagen existieren bei kuendigung.org und volders.de — ein Indikator dafür, dass User:innen den Self-Service-Pfad oft unklar finden
• Nach Kündigung: Account ist 30 Tage lang im „Frozen"-Modus reaktivierbar, dann endgültige Löschung

Migration zu Bitwarden / Proton Pass

Beide akzeptieren 1PUX-Import nativ. Realistische Aufwände:

• Solo-User mit ~200-500 Items: Export + Import + Browser-Extension-Wechsel = ~45-60 Min
• Familien-Setup: pro User separat exportieren + alle Family-Mitglieder ins neue Tool onboarden = ~2-3 Stunden inkl. Erklärungs-Telefonaten
• Business-Setup mit 10+ User: 1-2 Werktage inkl. Schulung + SSO-Re-Konfiguration
• Tipp: Erst 1 Woche parallel laufen lassen (beide Tools aktiv), dann erst 1Password kündigen — gibt dir Recovery-Option wenn der Migration-Export Lücken hat

DSGVO-Vollöschung nach Art. 17: schriftliche Anfrage an Privacy-Team (privacy@1password.com). In den AGB verankert, aber keine 1-Click-Löschung im Dashboard — manuelle Workflow nötig.

1Password vs Bitwarden — Kurzentscheidung

Wir haben einen detaillierten 1Password vs Bitwarden Vergleich mit 3-Jahres-TCO-Berechnung pro Setup geschrieben. Hier die Kurz-Zusammenfassung:

• Familie 4-5 Personen → 1Password Families (UX + Familien-Vault-Workflows)
• Bootstrap-Solo / Studierende → Bitwarden Free (Free-Plan unschlagbar)
• DSGVO-Hardliner mit Self-Hosting → Bitwarden Vaultwarden (eigene Daten-Kontrolle)
• Tech-Scale-Up 20+ User → Bitwarden Business (~13.000 € Ersparnis über 3 Jahre)
• Kanzlei mit Schweigepflicht → Proton Pass (Schweizer Sitz)

Drei Anwendungsszenarien aus dem Test

Familie mit 4 Personen + WG-Streaming-Konten

Families-Plan für 5 $/Monat. Pro Familienmitglied ein privater Vault, plus ein "Shared"-Vault mit Streaming-Accounts (Netflix, Disney+, Spotify), WLAN-Passwörtern und Familienfinanz-Logins. Setup in ~30 Minuten, danach Vergessen-und-Funktionieren.

Solo-Selbstständig:e mit Kunden-Logins

Individual-Plan für ~3 $/Monat. Pro Kunde ein eigener Vault für deren Marketing-Tool-Logins (HubSpot, Mailchimp, Shopify). Vor Kunden-Übergabe: Vault als Datei exportieren, neue Passwörter setzen, kontrollierten Vault-Transfer.

DACH-Agentur (8 Mitarbeitende) mit SSO-Anbindung

Business-Plan ~64 $/Monat (8 × 7,99 $). Anbindung an Google Workspace per SSO, Onboarding neuer Mitarbeiter automatisiert via SCIM. Audit-Logs für Cyber-Versicherer dokumentieren Zugriffsmuster. ROI durch eingespartes Passwort-Reset-Ticketing in 3 Monaten erreicht.

Würde ich 1Password nochmal nehmen? Drei ehrliche Bedingungen

1Password bleibt 2026 die UX-Referenz im Passwort-Manager-Markt — mit klaren Kompromissen seit dem Version-8-Cloud-Pflicht-Wechsel. Unsere ehrliche Antwort nach Praxis-Test mit eigenem bezahlten Account: Ja, aber unter drei Bedingungen.

Bedingung 1: Du akzeptierst Cloud-Zwang und Subscription-Lock-in bewusst

Das ist der Hauptpunkt. Wer von Version 7 (lokale Tresore, Lifetime-Lizenz) kommt und nicht über das Subscription-Modell gestolpert ist, ist im DACH-Forum-Diskurs oft frustriert — siehe MacTechNews +3/+8-Upvote-Quotes oben. „Cloud-Zwang stößt mir auch sauer auf" ist Tenor im DACH-Privacy-bewussten Segment. Wer Cloud bewusst ablehnt: Bitwarden Self-Hosted via Vaultwarden ist strukturell die richtige Wahl. Wer Cloud akzeptiert: 1Password bleibt UX-überlegen.

Bedingung 2: Du druckst das Emergency Kit + verwahrst es offline

Secret-Key-Verlust = Vault-Verlust. Das Emergency Kit (PDF mit Secret Key) MUSS gedruckt im Bankschließfach, Familien-Tresor oder ähnlich gesicherter Off-Site-Location liegen. Jährliche Verifikation: kannst du das Kit noch finden? Wer das nicht macht und gleichzeitig Master-Passwort vergisst: hat den Vault permanent verloren. Bitwarden hat hier ein gnädigeres Recovery-Modell.

Bedingung 3: Du kalkulierst USD-Wechselkurs-Volatilität ein

Bei Family-Plan über 3-5 Jahre macht das einen Unterschied. Wenn dir stabile EUR-Preise wichtig sind: Bitwarden bietet das. 1Password bleibt USD-only mit den entsprechenden Wechselkurs-Schwankungen — was bei Mehrjahresverträgen 10-15 % Kostenvarianz bedeuten kann.

Was uns nicht abgeschreckt hat

UX-Polish ist Best-in-Class — Cross-Platform-Sync funktioniert tatsächlich „so reibungslos wie anderswo nicht" (MacTechNews-Konsens). Passkey-Workflow ist deutlich polierter als bei Bitwarden. Travel Mode + Family-Vault-Workflows sind durchdacht. Für Solo-Selbstständige mit Mac-Setup und Familien ohne IT-Affinität bleibt 1Password die ergonomisch beste Wahl — wenn die drei obigen Bedingungen erfüllt sind.

Empfehlung

1Password ist 2026 die richtige Wahl für UX-Maximalist:innen + Familien ohne IT-Affinität — sofern du den Cloud-Zwang seit Version 8 bewusst akzeptierst und das Emergency Kit Off-Site sicherst.

Wer einen Free-Plan oder Self-Hosting braucht: Bitwarden ist strukturell die passendere Wahl. Wer Schweizer Jurisdiktion mit Open-Source-Apps will: Proton Pass. Wer EU-Headquarters mit modernem XChaCha20-Krypto-Stack sucht und schon NordVPN-Kund:in ist: NordPass.

Für eine direkte Gegenüberstellung mit 3-Jahres-TCO-Berechnung pro Setup-Typ: unser 1Password vs Bitwarden Vergleich. Für den DACH-Editorial-Cluster aller 6 Optionen: Beste Passwort-Manager DACH 2026 Pillar.

Häufige Fragen zu 1Password (FAQ)