Vergleich zwischen heylogin und 1Password

Serverstandorte

Deutschland

USA, Kanada, teilweise EU

Unternehmen & Gerichtsbarkeit

heylogin GmbH, Deutschland

AgileBits Inc., Kanada

Unterstütze Browser

Chrome, Firefox, Edge, Safari

Chrome, Firefox, Edge, Brave, Safari

Unterstütze Geräte

Android Smartphones, iPhone, iPad, Apple Watch, Wear OS Watch

Synchronisation

Automatische Synchronisierung über die Cloud

Zero-Knowledge Architecture

Anbieter hat keinen Zugriff auf gespeicherte Daten

1-Klick-Login mit Login-Overlay

3-Klick-Login mit Feld-Dropdown

Ende-zu-Ende verschlüsselte Daten

Alle Felder innerhalb eines Logins und Teamnamen

Alle Felder innerhalb eines Elements, keine Verschlüsselung von Teamnamen

Sicherheit bei einem Infrastruktur-Breach

Ende-zu-Ende-Verschlüsselung mit Sicherheits-
chip, 2FA lokal mit PIN/ Biometrie
biometrics

Ende-zu-Ende-Verschlüsselung mit Master-Passwort und Secret Key (Emergency Kit)

Standardmäßige 2-Faktor-Sicherheit

Der Sicherheitschip muss mit PIN/Biometrie entsperrt werden

Optional mit TOTP-App oder Sicherheits-Schlüssel; nicht Teil der Verschlüsselung

Post-Compromise Security

Automatische Key Rotation und Neu-
verschlüsselung

Keine automatische Neuverschlüsselung; neue Tresore mit alten Keys entschlüsselbar

Kostenlose Nutzung für Privat

Kostenlos für den privaten Gebrauch, ohne Freigabe- und Teamfunktionen

Kostenloses Familienkonto nur im Business-Tarif enthalten

Serverstandorte

Unternehmen & Gerichtsbarkeit

Unterstütze Browser

Unterstütze Geräte

Synchronisation

Zero-Knowledge-Architektur

Ende-zu-Ende verschlüsselte Daten

Sicherheit bei einem Infrastruktur-Breach

Standardmäßige 2-Faktor-Sicherheit

Post-Compromise Security

Kostenlose Nutzung für Privat

Deutschland

heylogin GmbH, Deutschland

Chrome, Firefox, Edge, Safari

Android Smartphones, iPhone, iPad, Apple Watch, Wear OS Watch

Automatische Synchronisierung über die Cloud

Anbieter hat keinen Zugriff auf gespeicherte Daten

1-Klick-Login mit Login-Overlay

Alle Felder innerhalb eines Logins und Teamnamen

Ende-zu-Ende-Verschlüsselung mit Sicherheitschip, 2FA lokal mit PIN/Biometrie

Der Sicherheitschip muss mit PIN/Biometrie entsperrt werden

Automatische Key Rotation und Neuverschlüsselung

Kostenlos für den privaten Gebrauch, ohne Freigabe- und Teamfunktionen

USA, Kanada, teilweise EU

AgileBits Inc., Kanada

Chrome, Firefox, Edge, Brave, Safari

Android Smartphones, iPhone, iPad, Apple Watch, Wear OS Watch

Automatische Synchronisierung über die Cloud

Anbieter hat keinen Zugriff auf gespeicherte Daten

3-Klick-Login mit Feld-Dropdown

Alle Felder innerhalb eines Elements, keine Verschlüsselung von Teamnamen

Ende-zu-Ende-Verschlüsselung mit Master-Passwort & Secret Key (Emergency Kit)

Optional mit TOTP-App oder Sicherheits-Schlüssel; nicht Teil der Verschlüsselung

Keine automatische Neuverschlüsselung; neue Tresore mit alten Keys entschlüsselbar

Kostenloses Familienkonto nur im Business-Tarif enthalten

Zeitpunkt des Vergleichs: Januar 2026 (1Password Security Whitepaper version 0.5.1, Feb 14, 2025)

In-Depth-Analyse

Echte 2-Faktor-Sicherheit

1Password verwendet den Secret Key zusammen mit dem Master-Passwort zur Ende-zu-Ende-Verschlüsselung des Tresors. Der Secret Key wird hauptsächlich zur Einrichtung neuer Geräte genutzt und ist daher kein 2. Faktor im klassischen Sinne, da er nicht regelmäßig verwendet wird. Stattdessen bietet 1Password einen optionalen 2. Faktor über TOTP oder einen Security Key an. Dieser ist standardmäßig nicht aktiviert und nicht Teil der Tresorverschlüsselung, sondern schützt lediglich die Anmeldung an der Cloud. Bei heylogin ist der 2. Faktor standardmäßig aktiv und fester Bestandteil der Ende-zu-Ende-Verschlüsselung, da der Zugriff das lokale Entsperren eines physischen Sicherheitschips erfordert.

2. Faktor ist nutzlos

Die Tresor-Verschlüsselung nutzt zwei Geheimnisse
(Master-Passwort und Secret Key)

2. Faktor ist nur eine Cloud-Authentifizierung

2. Faktor ist nur optional und im Normalfall nicht aktiviert

Echte 2-Faktor-Sicherheit

2. Faktor ist Teil der Tresor-Verschlüsselung

2. Faktor kann frei gewählt werden

2-Faktor-sicher by default

Schutz gegen Brute-Force-Angriffe

Wenn Tresore aus der Cloud gestohlen werden, kann ein Angreifer das Master-Passwort nur dann erraten, wenn zusätzlich das Emergency Kit mit dem Secret Key entwendet wurde. Sobald beides vorliegt, sind unbegrenzte Offline-Brute-Force-Versuche möglich. Im Vergleich dazu, muss der Angreifer bei heylogin den Sicherheitschip physisch klauen und hat nur eine begrenzte Anzahl an Versuchen die richtige PIN zu raten. Das sind bei iOS beispielsweise 9 Versuche bevor das Gerät vollständig blockiert.

Offline Brute-Force-Angriff möglich

Der Angreifer muss den Secret Key (Emergency Kit) des Opfers stehlen

Wird der Secret Key kompromittiert, ist das Master-Passwort angreifbar

⌀ 100 EUR Kosten um 12-stelliges Master-Passwort zu knacken

Sicherheitschip und 2. Faktor erforderlich

Angreifer muss physisch die Geräte der Opfer klauen (skaliert nicht!)

Begrenzte Versuche die PIN zu raten (10 Versuche bei iOS)

Kosten des Angreifers: unbezahlbar

Bessere Login-Erfahrung für Nicht-IT-Mitarbeiter

Einfach mit einem Klick einloggen, statt umständlich den richtigen Account aus einem Dropdown auszuwählen. Das reduziert den Mental Load beim Browsen und macht das Einloggen auch für Nicht-IT-Mitarbeiter extrem einfach.

3-Step Login

Mehrere Klicks notwendig

Verwirrende Nutzerführung

Nicht direkt sichtbar welche Accounts verfügbar sind

1-Step Login

1-Klick-Login

Reduktion des Mental Loads

Direkte Übersicht über alle Accounts

Europäische Entwicklung & Datenschutz

Unsere Software ist ein Vertrauens- und Sicherheitsprodukt, darum verzichten wir auf Marketing-Datenerhebung in unserem Produkt. Zusätzlich verpflichten wir uns als deutsches Unternehmen, alle personenbezogenen Daten ausschließlich in der EU zu speichern.