Wachtwoordbeheerders zijn essentieel geworden — toch betalen de meeste mensen maandelijkse abonnementen voor cloudservices zoals 1Password of LastPass, of erger nog, hergebruiken ze overal dezelfde zwakke wachtwoorden. Maar er is een derde optie: host je eigen wachtwoordbeheerder die net zo goed is als de betaalde alternatieven, volledig gratis en onder jouw totale controle.
Maak kennis met Vaultwarden — een lichte, open-source server die compatibel is met alle officiële Bitwarden-clients. Het biedt je de volledige Bitwarden-ervaring (browserextensies, mobiele apps, desktopapps, CLI) terwijl je je versleutelde wachtwoorden op je eigen hardware opslaat. Geen abonnementen, geen afhankelijkheid van de cloud, geen vertrouwensproblemen.
In deze gids gaan we Vaultwarden vanaf nul opzetten met Docker Compose. Aan het einde heb je een gezinsklare wachtwoordbeheerder die niets kost om te draaien en je meest gevoelige gegevens precies daar houdt waar ze thuishoren — bij jou.
Waarom Vaultwarden?
Voordat we in de setup duiken, laten we begrijpen waarom Vaultwarden de favoriete keuze is voor zelf-gehoste wachtwoordbeheer:
| Kenmerk | Vaultwarden | Bitwarden Cloud | 1Password |
|---|---|---|---|
| Kosten | Gratis (zelf-gehoste) | /bin/zsh-40/jaar | -60/jaar |
| Gezinsplan | Gratis (ongelimiteerde gebruikers) | /jaar (6 gebruikers) | /jaar (5 gebruikers) |
| Gegevensopslag | Jouw server | Bitwarden cloud | 1Password cloud |
| Eind-tot-eind Encryptie | ✅ Zelfde als Bitwarden | ✅ | ✅ |
| Browserextensies | ✅ Alle browsers | ✅ | ✅ |
| Mobiele Apps | ✅ iOS & Android | ✅ | ✅ |
| Desktop Apps | ✅ Win/Mac/Linux | ✅ | ✅ |
| Organisaties/Delen | ✅ Volledige ondersteuning | ✅ (Premium) | ✅ |
| 2FA (TOTP) | ✅ Ingebouwd | ✅ (Premium) | ✅ |
| Noodtoegang | ✅ | ✅ (Premium) | ❌ |
| Verzenden (Veilig Delen) | ✅ | ✅ | ❌ |
| Offline Toegang | ✅ Lokale kluis kopie | ✅ | ✅ |
De belangrijkste inzicht: Vaultwarden implementeert dezelfde API als de officiële Bitwarden-server, zodat je de exact dezelfde klantervaring krijgt — gepolijste apps, naadloze autofill, veilige delen — zonder te betalen voor cloudhosting. De officiële Bitwarden-server vereist aanzienlijke middelen (meerdere containers, SQL Server), terwijl Vaultwarden gelukkig draait op een Raspberry Pi.
Wat je nodig hebt
De vereisten zijn minimaal:
- Een server — Elke Linux-machine, VPS, NAS, of zelfs een Raspberry Pi. Vaultwarden gebruikt ongeveer 50MB RAM.
- Docker en Docker Compose — de aanbevolen installatiemethode.
- Een domeinnaam (aanbevolen) — voor HTTPS-toegang. Je kunt een gratis subdomein van diensten zoals DuckDNS gebruiken indien nodig.
- Ongeveer 10 minuten — serieus, het is zo snel.
🔒 Beveiliging Eerst
- ⚠️HTTPS is verplicht voor productiegebruik. Bitwarden-clients vereisen een veilige context (HTTPS) om goed te functioneren. We zullen dit opzetten.
- 💡Je masterwachtwoord wordt nooit opgeslagen — alleen een cryptografische hash. Zelfs als iemand je server steelt, kunnen ze je wachtwoorden niet lezen zonder het masterwachtwoord.
Stap 1: Installeer Docker
Als Docker nog niet is geïnstalleerd, stel het dan in met het officiële gemaksscript:
# Installeer Docker
curl -fsSL https://get.docker.com | sh
# Voeg je gebruiker toe aan de docker-groep
sudo usermod -aG docker clawdbot
# Log uit en weer in, controleer dan
docker --version
docker compose versieStap 2: Maak de Vaultwarden-directory aan
Maak een speciale directory voor je wachtwoordbeheerder:
# Maak de directory aan en ga erin
mkdir ~/vaultwarden
cd ~/vaultwardenStap 3: Maak het Docker Compose-bestand aan
Maak een docker-compose.yml bestand aan:
# Maak het compose-bestand aan
nano docker-compose.ymlPlak deze configuratie:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.jouwdomein.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "je-veilige-beheer-token-hier"
SMTP_HOST: "smtp.gmail.com"
SMTP_FROM: "[email protected]"
SMTP_PORT: "587"
SMTP_SECURITY: "starttls"
SMTP_USERNAME: "[email protected]"
SMTP_PASSWORD: "je-app-wachtwoord"
volumes:
- ./vw-data:/data
ports:
- "127.0.0.1:8080:80"Laten we de belangrijkste instellingen bekijken:
- DOMAIN: Je volledige URL met HTTPS. Dit is vereist voor de webkluis om goed te functioneren.
- SIGNUPS_ALLOWED: Zet in eerste instantie op "true" om je account aan te maken, wijzig dit daarna naar "false" na de setup.
- ADMIN_TOKEN: Een veilig token voor toegang tot het beheerpaneel. Genereer er een met:
openssl rand -base64 48 - SMTP_*: E-mailinstellingen voor wachtwoordreset en meldingen. Optioneel maar aanbevolen.
- Poortbinding: We binden alleen aan 127.0.0.1 — een reverse proxy zal externe toegang met HTTPS afhandelen.
🔑 Genereer een Veilige Beheer Token
# Genereer een veilig token
openssl rand -base64 48
# Voorbeeldoutput: kR9h2s8K...lange-willekeurige-string...
# Gebruik dit als je ADMIN_TOKENBewaar dit token veilig — het geeft volledige toegang tot je Vaultwarden-beheerpaneel.
Stap 4: Stel HTTPS in met Caddy (Aanbevolen)
De Bitwarden-clients vereisen HTTPS. De gemakkelijkste manier om dit in te stellen is met Caddy, dat SSL-certificaten automatisch beheert.
Voeg Caddy toe aan je docker-compose.yml:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.jouwdomein.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "je-veilige-beheer-token-hier"
volumes:
- ./vw-data:/data
networks:
- vaultwarden
caddy:
image: caddy:latest
container_name: caddy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- ./caddy-data:/data
- ./caddy-config:/config
networks:
- vaultwarden
networks:
vaultwarden:
driver: bridgeMaak het Caddyfile aan:
# Maak het Caddyfile aan
nano CaddyfileVoeg deze configuratie toe:
vault.jouwdomein.com {
reverse_proxy vaultwarden:80
}Vervang vault.jouwdomein.com door je werkelijke domein. Caddy zal automatisch Let's Encrypt-certificaten verkrijgen en vernieuwen.
Stap 5: Start Vaultwarden
Start alles:
# Trek afbeeldingen en start
docker compose up -d
# Controleer de logs
docker compose logs -fGeef Caddy een minuut om je SSL-certificaat te verkrijgen. Je zou iets moeten zien zoals:
caddy | succesvol certificaat verkregen voor vault.jouwdomein.comStap 6: Maak je Account aan
Navigeer naar https://vault.jouwdomein.com in je browser. Je ziet de Bitwarden webkluis interface. Klik op "Account Aanmaken" en stel je masterwachtwoord in.
🔐 Tips voor het Masterwachtwoord
- ✅Gebruik een wachtzin — 4+ willekeurige woorden zijn gemakkelijker te onthouden en veiliger dan complexe wachtwoorden
- ✅Voorbeeld: "correct-horse-battery-staple-piano" (maar maak je eigen!)
- ⚠️Dit wachtwoord kan niet worden hersteld als het verloren gaat — er is geen "wachtwoord vergeten" voor je master sleutel
- 💡Schrijf het op en bewaar het op een veilige plaats (fysieke kluis, kluisje)
Stap 7: Schakel Publieke Registraties uit
Als je account is aangemaakt, schakel dan publieke registratie uit:
# Bewerk je docker-compose.yml
nano docker-compose.yml
# Verander:
SIGNUPS_ALLOWED: "false"
# Herstart
docker compose up -dNieuwe gebruikers kunnen nu alleen worden uitgenodigd via het beheerpaneel of aangemaakt door bestaande gebruikers met organisatieprivileges.
Stap 8: Stel de Bitwarden Clients in
Dit is waar zelf-hosting schittert — je gebruikt de officiële Bitwarden-apps, gewoon gericht op je server.
Browserextensies
Installeer de Bitwarden-extensie voor je browser (Chrome, Firefox, Safari).
- Klik op het extensie-icoon en selecteer "Zelf-gehoste"
- Voer je server-URL in:
https://vault.jouwdomein.com - Log in met je account
Mobiele Apps
Installeer Bitwarden vanuit de App Store of Google Play.
- Tik op de regio-selector (toont standaard "bitwarden.com")
- Selecteer "Zelf-gehoste"
- Voer je server-URL in en log in
Schakel biometrische ontgrendeling (Face ID, vingerafdruk) in voor snelle toegang zonder elke keer je masterwachtwoord in te voeren.
Desktop Apps
Download van bitwarden.com/download — beschikbaar voor Windows, macOS en Linux. Zelfde setup: Instellingen → Zelf-gehoste → voer je URL in.
Gezinsdeling Instellen
Een van de beste functies van Vaultwarden is ongelimiteerde organisaties — perfect voor het delen van wachtwoorden met gezinsleden.
Maak een Gezinsorganisatie aan
- Log in op je webkluis
- Klik op "Nieuwe Organisatie"
- Geef het een naam (bijv. "Gezinswachtwoorden")
- Kies het "Gratis" plan (alle functies zijn beschikbaar)
Uitnodigen van Gezinsleden
- Ga naar je organisatie → Leden
- Klik op "Nodig Gebruiker Uit"
- Voer hun e-mailadres in
- Kies hun rol (Lid, Beheerder of Eigenaar)
Als registraties zijn uitgeschakeld, gebruik dan het beheerpaneel (https://vault.jouwdomein.com/admin) om accounts direct aan te maken.
Maak Gedeelde Collecties aan
Collecties zijn als mappen die met specifieke leden kunnen worden gedeeld:
- Streamingdiensten — Netflix, Disney+, enz. (deel met iedereen)
- WiFi-wachtwoorden — thuisnetwerk, huizen van familieleden
- Gedeelde Abonnementen — gezinsaccounts die iedereen gebruikt
- Noodinformatie — bankrekeningen, verzekering (beperk tot vertrouwde leden)
Essentiële Beveiligingsversterking
Je wachtwoordkluis is een waardevol doelwit. Hier is hoe je het kunt beveiligen:
Schakel Twee-Factor Authenticatie in
Log in op je webkluis → Accountinstellingen → Twee-staps Inloggen. Opties zijn onder andere:
- Authenticator App (Google Authenticator, Authy, enz.) — aanbevolen
- YubiKey — hardware sleutel voor maximale beveiliging
- E-mail — stuurt een code naar je e-mail (vereist SMTP-instelling)
Stel Fail2Ban in
Bescherm tegen brute-force aanvallen door IP's te verbannen na mislukte inlogpogingen. Maak /etc/fail2ban/filter.d/vaultwarden.conf aan:
[Definition]
failregex = ^.*Gebruikersnaam of wachtwoord is onjuist\. Probeer het opnieuw\. IP: <ADDR>\. Gebruikersnaam:.*$
ignoreregex =En /etc/fail2ban/jail.d/vaultwarden.local:
[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /pad/naar/vw-data/vaultwarden.log
maxretry = 5
bantime = 1u
findtime = 15mRegelmatige Back-ups
Je kluisgegevens bevinden zich in de ./vw-data directory. Maak regelmatig een back-up:
# Eenvoudig back-upscript
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210
# Stop de container voor consistentie
docker compose -f ~/vaultwarden/docker-compose.yml stop
# Maak een versleutelde back-up
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"
# Herstart
docker compose -f ~/vaultwarden/docker-compose.yml up -dBewaar back-ups op een andere locatie — een andere server, cloudopslag met client-side encryptie, of zelfs een USB-stick in een kluis.
Geavanceerde Functies
Bitwarden Verzenden
Verzenden stelt je in staat om tekst of bestanden veilig te delen met iedereen — zelfs mensen zonder een Bitwarden-account. Perfect voor het delen van WiFi-wachtwoorden met gasten of het verzenden van gevoelige documenten.
- In een Bitwarden-client, ga naar Verzenden
- Maak een nieuwe Verzending (tekst of bestand)
- Stel vervaldatum, maximaal toegangsaantal en optioneel wachtwoord in
- Deel de gegenereerde link
Noodtoegang
Wijs vertrouwde contacten aan die toegang tot je kluis kunnen aanvragen als er iets met jou gebeurt:
- Ga naar Instellingen → Noodtoegang
- Voeg vertrouwde contacten toe (ze hebben Vaultwarden-accounts nodig)
- Stel een wachttijd in (bijv. 7 dagen)
- Als ze toegang aanvragen en je ontkent niet binnen de wachttijd, krijgen ze alleen-lezen toegang tot je kluis
Beheerpaneel
Toegang tot het beheerpaneel via https://vault.jouwdomein.com/admin met je ADMIN_TOKEN. Hier kun je:
- Alle gebruikers en organisaties bekijken
- Nieuwe gebruikers uitnodigen of accounts verwijderen
- Serverconfiguratie en diagnostiek bekijken
- Databaseonderhoud uitvoeren
Importeren van Bestaande Wachtwoorden
Verhuis je van een andere wachtwoordbeheerder? Bitwarden importeert uit vrijwel alles:
Van Chrome/Firefox
- Exporteer wachtwoorden uit je browser (meestal CSV-formaat)
- In de Bitwarden webkluis: Hulpmiddelen → Gegevens Importeren
- Selecteer je browser als het bronformaat
- Upload het bestand
Van 1Password, LastPass, Dashlane, enz.
- Exporteer uit je huidige beheerder (controleer hun documentatie voor exportopties)
- In Bitwarden: Hulpmiddelen → Gegevens Importeren
- Selecteer de bronapplicatie uit de dropdown
- Upload je exportbestand
Na importeren: Verwijder het exportbestand veilig — het bevat al je wachtwoorden in platte tekst!
Vaultwarden Up-to-date Houden
Updates brengen beveiligingsfixes en nieuwe functies. Update regelmatig:
# Navigeer naar je Vaultwarden-directory
cd ~/vaultwarden
# Trek de nieuwste afbeelding
docker compose pull
# Herstart met de nieuwe versie
docker compose up -d
# Ruim oude afbeeldingen op
docker image prune -fControleer de Vaultwarden releases pagina voor changelogs en breaking changes voor grote updates.
Probleemoplossing
Kan de Webkluis niet Toegang Krijgen
- Controleer of je
DOMAINomgevingsvariabele exact overeenkomt met je werkelijke URL - Controleer SSL-certificaat:
curl -I https://vault.jouwdomein.com - Controleer Caddy-logs:
docker compose logs caddy
E-mailmeldingen Werken Niet
- Als je Gmail gebruikt, heb je een App-wachtwoord nodig (niet je reguliere wachtwoord)
- Controleer SMTP-instellingen in het beheerpaneel → Diagnostiek
- Probeer een test-e-mail te verzenden vanuit het beheerpaneel
Mobiele App Kan Geen Verbinding Maken
- Zorg ervoor dat je HTTPS gebruikt (niet HTTP)
- Controleer of het SSL-certificaat geldig is (niet zelf-ondertekend, tenzij je het op je apparaat hebt geïnstalleerd)
- Probeer eerst de webkluis-URL in de browser van je telefoon te openen
FAQ
Is Vaultwarden net zo veilig als Bitwarden?
Ja. Vaultwarden implementeert hetzelfde encryptieschema (AES-256-CBC met PBKDF2-SHA256 of Argon2id). Je kluis is lokaal versleuteld met je masterwachtwoord voordat enige gegevens de server raken. Zelfs als iemand je server compromitteert, kunnen ze je wachtwoorden niet lezen zonder je masterwachtwoord.
Wat gebeurt er als mijn server uitvalt?
Bitwarden-clients cachen je kluis lokaal. Je kunt nog steeds toegang krijgen tot en wachtwoorden offline invullen. Je kunt alleen geen nieuwe wijzigingen synchroniseren totdat de server weer online is.
Kan ik dit met meerdere apparaten gebruiken?
Absoluut. Log in op zoveel apparaten als je wilt — telefoons, tablets, computers, browsers. Wijzigingen synchroniseren automatisch.
Is er een limiet aan wachtwoorden of gebruikers?
Geen kunstmatige limieten. Bewaar zoveel wachtwoorden als je wilt, maak zoveel gebruikersaccounts en organisaties aan als je nodig hebt. De enige limiet is de opslagcapaciteit van je server.
Kan ik later terug migreren naar Bitwarden cloud?
Ja. Exporteer je kluis uit Vaultwarden (Hulpmiddelen → Exporteer Kluis), importeer het vervolgens in een Bitwarden cloudaccount. Je gegevens zijn draagbaar.
Wat Nu?
Je hebt nu een professionele wachtwoordbeheerder die draait op je eigen infrastructuur. Hier is hoe je er het meeste uit kunt halen:
- Importeer al je wachtwoorden uit browsers en andere beheerders
- Installeer de browserextensie op elk apparaat — autofill is een game-changer
- Stel gezinsdeling in voor gedeelde abonnementen en accounts
- Schakel 2FA overal in — Vaultwarden kan ook je TOTP-codes opslaan
- Verken meer zelf-gehoste apps op Hostly's directory — misschien een foto-backupoplossing als volgende?
Wachtwoordbeveiliging is niet langer optioneel — het is essentieel. Met Vaultwarden krijg je het beste van twee werelden: de gepolijste ervaring van commerciële wachtwoordbeheerders, met de privacy en controle van zelf-hosting. Je wachtwoorden blijven van jou, versleuteld op je hardware, alleen toegankelijk met je masterwachtwoord.
Geen maandelijkse kosten. Geen datamining. Geen vertrouwen vereist. Gewoon veilige, privé wachtwoordbeheer voor jou en je gezin.