Meine Passwörter waren früher eine Katastrophe. Dasselbe Passwort für alles, Notizen im Handy, "ich merk mir das schon". Irgendwann hatte ich dann Dutzende Konten mit demselben Passwort und keine Ahnung, wo ich mich registriert hatte. Ein Passwortmanager war überfällig.
Warum ein Passwortmanager überhaupt sinnvoll ist
Die Alternative ist: Entweder du benutzt überall dasselbe Passwort (dann reicht ein einziger Leak, und alle Konten sind kompromittiert), oder du merkst dir Dutzende komplexer Passwörter (was niemand tut).
Ein Passwortmanager löst das, indem er:
- Einzigartige, komplexe Passwörter für jedes Konto generiert
- Alles verschlüsselt aufbewahrt (AES-256, null- Knowledge)
- Automatisch ausfüllt – kein Tippen, kein Kopieren
- 2FA-Tokens mit verwaltet (optional)
Die Entscheidung ist also nicht ob, sondern welcher.
Die Auswahl: KeePassXC, Bitwarden, 1Password, Vaultwarden
| Kriterium | KeePassXC | Bitwarden | 1Password | Vaultwarden |
|---|---|---|---|---|
| Speicherort | lokale Datei | Cloud (Bitwarden) | Cloud (1Password) | Eigener Server |
| Clients | Desktop + Browser | Alle Plattformen | Alle Plattformen | Alle Plattformen |
| Open Source | Ja | Ja | Nein | Ja |
| Self-Hosted | Ja (Datei) | Ja (offiziell) | Nein | Ja |
| Preis | 0 € | 0 € (Basic) | ~36 €/Jahr | 0 € |
| Browser-Extension | Ja | Ja | Ja | Ja |
| Sync zwischen Geräten | Manuell (Dropbox/Nextcloud) | Automatisch | Automatisch | Automatisch |
| Aufwand | Niedrig | Mittel | Null | Mittel |
KeePassXC – der Offline-Klassiker
KeePassXC speichert alles in einer einzigen .kdbx-Datei. Kein Server, kein Account, keine Cloud. Die Datei kann auf einem USB-Stick liegen oder in einem Cloud-Synchronisationsordner.
Das Problem: Kein automatischer Sync. Wer auf drei Geräten arbeitet, muss die Datei manuell synchronisieren oder einen Weg finden (Dropbox, Syncthing), der funktioniert, aber Reibungen verursacht. Und: Die Browser-Integration ist nicht so nahtlos wie bei Cloud-Lösungen.
Bitwarden – die Cloud-Lösung
Bitwarden ist der Goldstandard für Passwortmanager: Open Source, günstig, funktionell. Die Cloud-Version bietet automatischen Sync, 2FA, Sharing und eine exzellente Browser-Extension.
Aber: Die Daten liegen auf Bitwardens Servern. Für die meisten ist das in Ordnung – Bitwarden ist null-knowledge, der Server sieht nie die Passwörter. Für mich war es trotzdem ein Unbehagen: Wenn ich schon selbst hoste, warum nicht auch den Passwortmanager?
1Password – der Bequeme
1Password ist geschlossener Code, aber verdammt gut. Die Benutzeroberfläche ist die beste aller Lösungen, die Integration in Browser und Betriebssystem ist nahtlos. Der Preis (~36 €/Jahr) ist fair.
Aber: Kein Self-Hosting, kein Open Source. Wenn ich schon meine Passwörter an eine Firma gebe, dann zumindest eine, deren Code ich prüfen kann.
Warum Vaultwarden?
Vaultwarden (ehemals Bitwarden_RS) ist eine in Rust geschriebene Alternative zum offiziellen Bitwarden-Server. Er ist vollständig kompatibel mit den originalen Bitwarden-Clients – du benutzt dieselben Apps, dieselbe Browser-Extension, dieselbe Benutzeroberfläche.
Der Unterschied: Der Server läuft bei mir, und er braucht keinen PostgreSQL- oder MariaDB-Container. Eine einzige Binary, eine SQLite-Datei, fertig. Ich betreibe ihn in einem Alpine-LXC via Incus – kein Docker nötig.
Die Bits und Bytes
| Aspekt | Vaultwarden | Offizieller Bitwarden-Server |
|---|---|---|
| Sprache | Rust | C# (.NET) |
| Datenbank | SQLite | PostgreSQL/MariaDB |
| RAM-Verbrauch | ~30 MB | ~200 MB |
| Binary-Größe | ~15 MB | ~300 MB |
| Client-Kompatibilität | 100 % | 100 % |
| Features | Alle + extras | Alle |
| Aufwand | Minimal | Mittel |
Vaultwarden ist quasi Bitwarden, nur schlanker. Die Clients sind dieselben, die API ist dieselben, die Datenbank ist kompatibel. Der Unterschied ist die Infrastruktur dahinter.
Einrichtung
Am einfachsten per Docker, bei mir läuft es aber in einem Alpine-LXC via Incus – kein Docker nötig. In Alpine ist Vaultwarden direkt als APK-Paket verfügbar:
apk add vaultwarden
Das war's. In Alpine gibt es kein systemd, sondern OpenRC. Der Dienst wird automatisch konfiguriert:
rc-update add vaultwarden default
rc-service vaultwarden start
Wichtige Konfiguration in /etc/conf.d/vaultwarden:
DOMAIN="https://vault.frischux.de"
SIGNUPS_ALLOWED="false"
WEBSOCKET_ENABLED="true"
DATA_DIR="/var/lib/vaultwarden"
Nach dem Start unter https://vault.frischux.de anmelden, Konto anlegen, und loslegen.
Der Alltag
Browser-Extension
Die Bitwarden-Browser-Extension funktioniert mit Vaultwarden wie erwartet. Autofill, Passwort-Generierung, 2FA – alles dabei. Die Extension erkennt automatisch, wo du gerade bist und schlägt die passenden Zugangsdaten vor.
Handy
Die Bitwarden-Apps (iOS/Android) zeigen nach der Eingabe des Servers an, wohin die Daten sollen. Dort https://vault.frischux.de eintragen, und der Client synchronisiert sich mit dem eigenen Server.
2FA/TOTP
Vaultwarden kann TOTP-Codes direkt generieren und speichern. Das heißt: Dein Passwortmanager verwaltet nicht nur die Zugangsdaten, sondern auch die Zwei-Faktor-Tokens. Das ist bequem, aber auch ein Kompromiss – wenn jemand dein Master-Passwort kennt, hat er auch die 2FA-Codes.
Wer strikter sein will, nutzt einen Hardware-Key (Yubikey) oder eine separate 2FA-App.
Was Vaultwarden nicht kann
- Kein Sharing mit Nicht-Vaultwarden-Nutzern – Bitwarden bietet
- Kein offizieller Support – du bist auf die Community angewiesen
- Kein Audit-Team – Bitwarden hat ein dediziertes Sicherheitsteam,
"Send"-Funktion, die fehlt (oder ist eingeschränkt) Vaultwarden nicht
- Kein Emergency Access – die Business-Feature von Bitwarden fehlt
Das sind echte Einschränkungen. Für einen Ein-Mann-Betrieb sind sie allerdings irrelevant.
Fazit
Vaultwarden ist der Passwortmanager, den ich mir gewünscht habe: Open Source, selbst gehostet, voll kompatibel mit den besten Clients auf dem Markt, und so leicht, dass er auf jedem kleinsten Server läuft.
Die Einrichtung dauert fünf Minuten, der Sync funktioniert zuverlässig, und das Gefühl, die eigenen Passwörter auf dem eigenen Server zu haben, ist es mir wert. KeePassXC ist zu umständlich für den Alltag, Bitwardens Cloud zu fremd, 1Password zu proprietär. Vaultwarden ist der sweet spot zwischen Komfort und Kontrolle.
Das Master-Passwort sollte man sich trotzdem merken können. Und niemals wiederverwenden.
