storage-p

Beste selbst gehostete Passwortmanager 2026 (Open Source)

Ein selbst gehosteter Passwortmanager hält deine Zugangsdaten von fremden Servern fern und unter deiner eigenen Kontrolle — für datenschutzbewusste Nutzer in Deutschland oft das entscheidende Argument. Datensouveränität, DSGVO-konforme Verarbeitung ohne Umweg über Drittländer und die Nähe zu BSI-Empfehlungen sprechen fürs Self-Hosting. Hier sind die stärksten Optionen 2026, worin jede glänzt und wo storage-p hineinpasst.

Worauf es ankommt

Ein guter selbst gehosteter Manager gibt dir echte Kontrolle, ohne neue Risiken zu schaffen: Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip, damit der Server nie Klartext sieht, eine einfache Bereitstellung (idealerweise ein einziger Docker-Container), offengelegte oder transparente Interna sowie ein durchdachtes Backup- und Wiederherstellungskonzept. Der Preis dafür: Updates und Verfügbarkeit liegen nun in deiner Verantwortung.

Vaultwarden

Ein leichtgewichtiger, Bitwarden-kompatibler Server, geschrieben in Rust, der mit deutlich unter 50 MB RAM auskommt und aus einem einzigen Docker-Container läuft. Er funktioniert mit allen offiziellen Bitwarden-Clients und ist damit die naheliegende Wahl für Einzelpersonen und Familien, die Bitwardens Apps ohne den schweren offiziellen Server wollen.

Bitwarden (offiziell, selbst gehostet)

Der offizielle Server ist der Unternehmensstandard — jährliche unabhängige Audits, SSO, Verzeichnissynchronisation und Organisationsrichtlinien — aber er ist im Betrieb schwerer (2 GB+ RAM, eine echte Datenbank). Die richtige Wahl, wenn du Compliance-Funktionen und Anbieter-Support brauchst.

Passbolt

Quelloffen und für Teams gebaut, rund um ein OpenPGP-Modell mit öffentlichem und privatem Schlüssel und feingranularer Freigabe je Ressource. In der EU entwickelt (Luxemburg) — ein europäischer Open-Source-Passwortmanager, was in Deutschland Vertrauen schafft. Die Community Edition ist kostenlos und selbst hostbar. Am stärksten, wenn sicheres Teilen im Team im Vordergrund steht.

Psono

Ein selbst gehosteter Manager mit Fokus auf Unternehmen, mit SAML/LDAP, Audit-Logs und Compliance-Richtlinien. Für kleine Teams kostenlos; größere Installationen werden pro Nutzer abgerechnet.

KeePassXC (Variante ganz ohne Server)

Gar kein Server: eine einzelne verschlüsselte KDBX-Datei, die du selbst synchronisierst (Syncthing, Nextcloud). Als Passwortmanager offline hat er keine Server-Angriffsfläche und unterstützt Hardware-Schlüssel — der Preis ist die manuelle Synchronisation über mehrere Geräte.

Wo storage-p hineinpasst

storage-p ist ein selbst gehosteter Zero-Knowledge-Tresor: Dein Schlüssel wird im Browser mit Argon2id abgeleitet, der Server speichert ausschließlich XChaCha20-Poly1305-Chiffretext, und die Datenbank ist im Ruhezustand zusätzlich mit SQLCipher verschlüsselt. Über Passwörter hinaus verwahrt er SSH-/TLS-Schlüssel, API-Keys und TOTP, erzeugt Ed25519-Schlüssel clientseitig und vergibt eng begrenzte API-Tokens, deren Lesezugriffe eine Bestätigung in der App oder per Telegram erfordern können. Die Bereitstellung erfolgt als Container hinter Caddy.

So triffst du die Wahl

Du willst Bitwardens Apps bei minimalem Ressourcenbedarf — Vaultwarden. Du brauchst Compliance für Unternehmen — das offizielle Bitwarden. Team-Freigabe zuerst — Passbolt oder Psono. Ganz ohne Server — KeePassXC. Du willst browserseitiges Zero-Knowledge plus SSH/TLS/API/TOTP in einem selbst betriebenen Tresor — storage-p.