In maart 2025 koppelden federale aanklagers een crypto-inbeslagname aan een diefstal die begon met de LastPass-inbreuk. Slachtoffers hadden seed-zinnen opgeslagen in beveiligde notities, aanvallers hadden in 2022 versleutelde kluisdata gestolen, en zwakke masterwachtwoorden werden later offline gekraakt. Lees de berichtgeving over de zaak.
Dat verhaal creëerde de categorie van zelf gehoste wachtwoordbeheerders niet, maar het duwde meer mensen in die richting.
Dit artikel slaat de gebruikelijke lijst met functies over. Het geeft u de keuze voor individueel gebruik, kleine teams en organisaties met auditbehoeften. Het behandelt ook de twee onderdelen die de meeste handleidingen weglaten: back-ups en migratie.
Het directe antwoord
- Solo-gebruiker, familie of homelab: Vaultwarden op een kleine VPS. Het gebruikt de officiële Bitwarden-clients, blijft licht en houdt de setup eenvoudig.
- Klein team of gedeelde inloggegevens workflow: Vaultwarden Organisaties voor teams met veel mobiel gebruik, of Passbolt als gedeelde inloggegevens de echte reden zijn dat u zelf host.
- Organisatie met audit- of compliancevereisten: Bitwardens officiële zelfgehoste server. Het is zwaarder, maar het heeft de audittrail en leveranciersondersteuning die de meeste organisaties nodig hebben.
- Welke u ook kiest: Een backup die u nooit heeft hersteld, is geen backup. Test een volledige hersteloperatie op een lege machine.
Wat Zelf Hosten Betekent
Het versleutelingsmodel verandert niet. Versleuteling vindt nog steeds plaats op de client. De server slaat versleutelde tekst op die hij niet kan lezen. Het verschil is wie de server beheert. Met cloud-Bitwarden beheert Bitwarden hem. Met Vaultwarden of Bitwarden zelfgehost, doet u dat.
Dit is niet hetzelfde als een secrets manager zoals HashiCorp Vault, Doppler of AWS Secrets Manager. Die tools bedienen apps. Wachtwoordmanagers bedienen mensen.
Wat hier in scope is: Vaultwarden, Bitwarden zelfgehost, Passbolt CE, Psono, en KeePassXC met Syncthing als de serverloze optie.
De vijf tools in één oogopslag
| Gereedschap | Stapel | Typisch verbruik | Auditstatus | Beste voor |
|---|---|---|---|---|
| Vaultwarden | Rust, enkele Docker-container | ~50 MB inactief | Geen formele externe audit | Individuen, gezinnen, kleine teams |
| Bitwarden zelf gehost | .NET, multi-container stack | ~2 GB inactief | Gepubliceerde externe audits | Organisaties die auditgeschiedenis nodig hebben |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB werkend | Door derde partij gecontroleerd | Team-gerichte gedeelde inloggegevens |
| Psono | Python / PostgreSQL, multi-container | ~512 MB+ | Gedeeltelijke auditgeschiedenis | Teams die een enterprise-achtig deelmodel willen |
| KeePassXC + Syncthing | Lokale DB + peer-synchronisatie | Geen server | Onafhankelijke beoordelingen gepubliceerd | Individuele gebruikers die helemaal geen server willen |
Vaultwarden
Vaultwarden is een Rust-herschrijving van de Bitwarden-server. Het gebruikt de officiële Bitwarden-clients, waardoor de dagelijkse ervaring hetzelfde aanvoelt als cloud-Bitwarden. Het draait in één Docker-container en houdt het resourcegebruik laag.
De afweging is eenvoudig. Vaultwarden heeft geen formele beveiligingsaudit door derden. Dat maakt het niet slecht. Het betekent alleen dat het vertrouwensmodel anders is.
Voor individuele gebruikers, koppels en gezinnen is die afweging doorgaans prima. Voor teams die sterk afhankelijk zijn van mobiel, is het nog steeds een solide keuze als ze voornamelijk persoonlijke kluizen met een paar gedeelde collecties gebruiken.
Een kleine VPS is voldoende voor de meeste Vaultwarden-setups. Rond de 1 GB is het zoete punt voor een persoonlijke kluis. Voor een klein huishouden of een team met iets meer activiteit biedt 2 GB meer speelruimte.
Houd het bijgewerkt. Wijzigingen in Bitwarden-clients kunnen oudere Vaultwarden-builds voor een korte tijd verbreken, dus laat de server niet maandenlang achter raken.
Kies: Vaultwarden voor de meeste persoonlijke gebruikssituaties.
Bitwarden Zelf Gehost
Bitwarden zelf gehost is de volledige leveranciersstack. Het is zwaarder dan Vaultwarden, maar dat is de prijs voor het exacte Bitwarden-servermodel, gepubliceerde auditwerk en een ondersteuningspad dat makkelijker te verdedigen is tegenover inkoop of beveiligingsbeoordelaars.
Bitwarden publiceert beoordelingswerk van derden voor al zijn producten.
Dit is de juiste keuze voor organisaties die vragen moeten beantwoorden met datums en rapporten, niet met vage beloften. Het heeft ook meer ruimte nodig. Een kleine organisatie zou moeten plannen met een 4 GB VPS als startpunt, met meer ruimte voor grotere teams of zwaardere back-uptaken.
Keuze: Bitwarden zelfgehost wanneer auditgeschiedenis belangrijker is dan een lean stack.
Passbolt CE
Passbolt is van het begin af aan gebouwd rond teams. Het deelmodel is granulairder dan wat de meeste persoonlijke wachtwoordmanager-setups bieden, en dat is precies het punt. Het werkt het best wanneer gedeelde inloggegevens de hoofdtaak zijn, niet een bijgedachte.
Het nadeel is het mobiele verhaal. Passbolt is in de praktijk nog steeds desktop-first. Een offline noodtoegang-modus staat op de roadmap, maar dat is niet hetzelfde als een volwassen offline-ervaring vandaag.
Passbolt wil ook meer machine dan Vaultwarden. Een 2 GB VPS is het minimum, en 4 GB is een veiligere startplaats voor een echte teamstack.
Keuze: Passbolt CE wanneer gedeelde inloggegevens workflow de enige reden is dat u zelf host.
Psono
Psono zit in het midden. Het heeft een enterprise-achtig deelmodel, aparte admin- en gebruikersportalen en een structuur die groepstoegang gemakkelijker te beheren maakt dan een gewone persoonlijke kluis.
Het is minder gangbaar dan Vaultwarden, Bitwarden of Passbolt, dus de community is kleiner.
Psono is zinvol voor teams die iets gestructureerder willen dan Vaultwarden Organizations, maar niet de mobiele compromissen van Passbolt willen.
Keuze: Psono voor teams die een meer enterprise-achtig deelmodel willen zonder direct naar Bitwarden zelfgehost te gaan.
KeePassXC + Syncthing
Dit is de serverloze route. KeePassXC slaat inloggegevens op in een lokaal versleuteld .kdbx bestand. Syncthing kopieert dat bestand naar al uw apparaten. Geen server. Geen API. Geen Docker. Geen maandelijkse rekening.
De afwegingen zijn reëel. Er is geen goede teamdeling. Conflictafhandeling wordt rommelig als twee apparaten tegelijkertijd schrijven. Er is geen webkluis, dus toegang via een geleend apparaat is uitgesloten.
Dit is het juiste antwoord voor een individuele gebruiker met twee of drie apparaten die geen infrastructuur wil beheren.
Kies: KeePassXC + Syncthing voor degenen zonder server.
Back-upregels die ertoe doen
Een zelf gehoste wachtwoordmanager is maar zo goed als het herstelproces erachter.
De veiligste aanpak is eenvoudig:
- drie kopieën van de gegevens bewaren
- ze op twee verschillende soorten media opslaan
- één kopie off-site bewaren
Een eenvoudige setup werkt prima. Maak elke nacht een database-dump, kopieer deze naar S3-compatibele opslag en bewaar een tweede kopie op verwijderbare media die ergens anders blijft.
Doe dan het deel dat de meeste mensen overslaan. Herstel een back-up naar een lege VM en log in. Als dat werkt, heb je een back-up. Als het niet werkt, heb je een bestand waarvan je hoopt dat het werkt.
Migreren van LastPass, 1Password of Bitwarden Cloud
De eenvoudigste overstap in deze lijst is van Bitwarden cloud naar Vaultwarden. Verander de server-URL in de client, log in en synchroniseer.
De overstap van LastPass naar Vaultwarden vergt meer werk. Exporteer de LastPass-kluis naar CSV, importeer via de Bitwarden-client en wijs diezelfde client vervolgens naar je zelf-gehoste server.
Drie dingen verdienen aandacht:
- Bijlagen worden apart van de CSV geëxporteerd. Upload ze handmatig opnieuw.
- De mapstructuur kan verschuiven. Doe een snelle check voordat je de nieuwe indeling vertrouwt.
- TOTP-seeds moeten worden gecontroleerd. Log in op een paar accounts voordat je de oude kluis verwijdert.
De universele regel is simpel: verwijder de bronkluis niet gedurende 30 dagen.
Welke optie past bij welke lezer
Als je de soepelste route voor persoonlijk gebruik wilt, kies dan Vaultwarden.
Als je team gedeelde inloggegevens nodig heeft en voornamelijk op de desktop werkt, is Passbolt de meest voor de hand liggende keuze.
Als auditgeschiedenis en leveranciersondersteuning het zwaarst wegen, is Bitwarden self-hosted de veiligere keuze.
Als u helemaal geen server wilt, is KeePassXC in combinatie met Syncthing de schoonste uitweg.
Afronden
Kies de opstelling die bij uw gebruik past, zet het bijbehorende tool in en ga verder.
De volgende stap is de cold-restore-test. Start een lege VM op, herstel uw laatste back-up en log in.
