Bitwarden за $0 даёт 95% того, что 1Password продаёт за $36 в год. KeePass бесплатен полностью, но потребует десятки часов на настройку, которые большинство пользователей никогда не окупят. Правильный ответ зависит не от рейтингов, а от того, чего именно вы боитесь.
Менеджер паролей — единственное приложение, которому вы доверяете ключи от всей цифровой жизни. Выбирать его по звёздочкам в обзоре — как выбирать замок для дома по цвету.
В декабре 2022 года компания LastPass сообщила, что хакеры украли зашифрованные хранилища её пользователей. Звучало штатно: зашифровано же. На деле компания годами держала ключевую деривацию на 100 000 итераций PBKDF2 — порог, при котором подбор мастер-пароля на арендованном GPU-кластере обходится в сотни долларов. Миллионы людей обнаружили, что их пароли защищал замок, который можно вскрыть за цену хорошего ужина. Пользователи побежали. Побежали в основном к Bitwarden и 1Password. Третьи — те, кто решил не доверять облакам вообще — выбрали KeePass.
Bitwarden даёт 95% возможностей за ноль долларов
Бесплатный план включает неограниченное количество паролей на неограниченном количестве устройств, генератор, автозаполнение на всех платформах и хранение passkeys. Это не демо-версия с урезанными функциями.
Это полноценный продукт.
Premium за $19.80 в год добавляет встроенный TOTP-аутентификатор, экстренный доступ и отчёты о безопасности. Полезно, но не критично — бесплатная версия закрывает базовые потребности целиком.
Код открыт. Любой разработчик может прочитать исходники на GitHub, убедиться, что данные шифруются как заявлено, и что бэкдоров нет. Bitwarden проходит ежегодные аудиты безопасности и пентесты, имеет SOC2 Type II, SOC3, ISO 27001 (с марта 2025) и HIPAA compliance. Для проекта с открытым кодом — набор сертификаций, которого нет ни у одного конкурента.
Шифрование — AES-CBC-256 с HMAC-аутентификацией. Ключевая деривация — PBKDF2 с 600 000 итераций по умолчанию или Argon2id на выбор. Argon2id устойчив к GPU-атакам: алгоритм требует не только вычислительной мощности, но и памяти, что делает массовый перебор на видеокартах экономически бессмысленным. У LastPass на момент взлома было 100 000 итераций. Шестикратная разница.
Bitwarden можно развернуть на своём сервере. Официальный вариант требует ресурсов, но существует Vaultwarden — неофициальная реализация на Rust, совместимая с клиентами Bitwarden и популярная среди домашних серверщиков. Привлекательная идея, пока не осознаёшь масштаб ответственности: бэкапы, обновления, защита сервера от атак. Девять из десяти людей, которые выбирают self-hosting, переоценивают свою способность его поддерживать.
Слабые места: автозаполнение на мобильных устройствах периодически не находит поля ввода, расширение для Safari тормозит, десктопное приложение на Electron жрёт память. Не катастрофа. Но если вы привыкли к отполированному UX — почувствуете.
1Password продаёт спокойствие — и Secret Key это не маркетинг
Secret Key — главное архитектурное отличие 1Password. Это 128-битный ключ, который генерируется при создании аккаунта, хранится только на ваших устройствах и никогда не покидает их. Данные шифруются комбинацией мастер-пароля и Secret Key. Если кто-то украдёт зашифрованное хранилище с серверов 1Password — как произошло с LastPass — брутфорс бессмысленен. 128 бит энтропии делают подбор физически невозможным, даже если мастер-пароль — имя вашей собаки.
Это не маркетинговое преимущество. Это архитектурное решение, которое устраняет целый класс атак.
$35.88 в год при годовой оплате, $47.88 при помесячной. Бесплатного плана нет. Семья — $4.49 в месяц на пятерых. Бизнес — $7.99 за пользователя с интеграциями Okta, Entra ID, OneLogin, Duo.
За что платишь помимо Secret Key? Watchtower показывает слабые и повторяющиеся пароли, сайты из утечек. Travel Mode скрывает хранилища при пересечении границы — пограничник с доступом к телефону увидит только то, что вы решили оставить видимым. Для тех, кто летает через страны с агрессивным досмотром электроники, это не игрушка. SSH Agent и CLI превратили 1Password в рабочий инструмент разработчиков: ключи, токены, секреты хранятся в хранилище и подставляются автоматически.
В сентябре 2023 года 1Password обнаружил подозрительную активность в своём Okta-инстансе. Источник — взлом Okta Support System, не уязвимость 1Password. Данные пользователей не скомпрометированы. Скептик скажет: «Осадочек остался». Инженер ответит: «Система сработала как задумано — атаку обнаружили и остановили за часы».
Код закрыт. Вы доверяете компании и её аудиторам. Для одних — приемлемо. Для других — нет.
Интерфейс из 2005
KeePass выглядит так, будто его рисовали в Paint под Windows XP.
И это ровно та причина, по которой определённые пользователи его обожают.
Пароли хранятся в локальной зашифрованной базе. Серверов нет. Облака нет. Синхронизация — ваша забота: Dropbox, Syncthing, WebDAV или флешка в кармане. Мобильного приложения от разработчика нет — есть KeePassDX для Android и Strongbox для iOS, оба написаны сторонними командами разного качества. Шифрование — AES-256, ChaCha20 или Twofish на выбор. Текущая версия — 2.61.1, вышла в мае 2026.
Бесплатен полностью. Лицензия, обновления, все функции — ноль рублей.
Безупречно. До первого CVE.
CVE-2023-32784: мастер-пароль KeePass извлекался из дампа оперативной памяти. Не в теории — в практике, с рабочим эксплойтом. Атакующему требовался доступ к машине, но для целевой атаки это не препятствие. Исправлено в версии 2.54. Все менеджеры паролей уязвимы к атакам на скомпрометированном устройстве — здесь KeePass не уникален. Уникально другое: у проекта нет формальных аудитов безопасности. Нет SOC2. Нет ISO 27001. Нет bug bounty. Код открыт, но «открытый» и «проверенный» — разные слова. Людей, которые регулярно читают исходники KeePass, — десятки. Не тысячи.
Плагины — отдельный риск. Они работают с полным доступом к расшифрованной базе в памяти, без песочницы, без процесса проверки. Один вредоносный плагин — все пароли скомпрометированы. Как расширения браузера до того, как Chrome ввёл sandboxing: мощно, гибко и потенциально разрушительно.
KeePass — для тех, кто понимает, что делает. Для остальных он бесплатен только если ваше время ничего не стоит.
Passkeys не убили пароли — они переехали внутрь менеджеров
Стандарт FIDO2/WebAuthn обещал заменить пароли. Три года спустя поддержку passkeys реализовали 15-20% сайтов. Google, Apple, Microsoft — да. Ваш банк, форум, корпоративный портал — вряд ли.
Passkeys не уничтожили менеджеры паролей. Они поселились внутри них. Bitwarden и 1Password хранят passkeys нативно, KeePass — через плагины с типичными для KeePass оговорками.
Новый фронт — AI-агенты. Bitwarden в 2025 выпустил Agent Access SDK: открытый стандарт для безопасного доступа AI-агентов к учётным данным. Проблема не абстрактная — сотрудники уже скармливают языковым моделям логины и пароли для автоматизации, без ведома IT-отдела. Bitwarden назвал это «shadow AI agents» и выпустил инструмент контроля. 1Password аналога не предложил. KeePass — вне этой гонки.
Менеджеры паролей будут актуальны минимум 5-10 лет. Вопрос не «нужен ли». Вопрос — какой.
Три вопроса перед выбором
Выбор сводится к трём развилкам.
Готовы платить? Если нет — бесплатный Bitwarden закрывает все базовые потребности. KeePass тоже бесплатен, но потребует часы на настройку. Если готовы — Bitwarden Premium за $19.80 в год или 1Password за $35.88.
Нужен контроль над серверами? KeePass или Bitwarden с self-hosting. Если доверяете облаку — Bitwarden или 1Password.
Это для команды или для себя? Семья: Bitwarden Families — $3.99 в месяц на шестерых ($7.98 на человека в год), 1Password Families — $4.49 в месяц на пятерых ($10.78 на человека в год). Бизнес: Bitwarden Enterprise за $6 на сотрудника (ISO 27001, self-hosting, AI Agent SDK) или 1Password Business за $7.99 (Okta, Entra ID, Watchtower).
Bitwarden побеждает для восьми из десяти пользователей. Открытый код, полный набор сертификаций, бесплатный план, self-hosting по желанию. 1Password — для тех, кому Secret Key и Travel Mode стоят тридцати шести долларов в год. KeePass — для системных администраторов, которые знают, что такое WebDAV, и не доверяют ни одному облаку на планете.
Те самые пользователи LastPass, которые побежали в 2022, в основном побежали к Bitwarden. Не потому что он был на слуху. Потому что он был открытым, бесплатным и с шестикратно более стойкой ключевой деривацией. Лучший момент перенести пароли в нормальный менеджер был три года назад. Второй лучший — сейчас.