← Zurück zum Blog

Passwortmanager – warum ich bei Vaultwarden gelandet bin

Passwortmanager – warum ich bei Vaultwarden gelandet bin

Meine Passwörter waren früher eine Katastrophe. Dasselbe Passwort für alles, Notizen im Handy, "ich merk mir das schon". Irgendwann hatte ich dann Dutzende Konten mit demselben Passwort und keine Ahnung, wo ich mich registriert hatte. Ein Passwortmanager war überfällig.

Warum ein Passwortmanager überhaupt sinnvoll ist

Die Alternative ist: Entweder du benutzt überall dasselbe Passwort (dann reicht ein einziger Leak, und alle Konten sind kompromittiert), oder du merkst dir Dutzende komplexer Passwörter (was niemand tut).

Ein Passwortmanager löst das, indem er:

  • Einzigartige, komplexe Passwörter für jedes Konto generiert
  • Alles verschlüsselt aufbewahrt (AES-256, null- Knowledge)
  • Automatisch ausfüllt – kein Tippen, kein Kopieren
  • 2FA-Tokens mit verwaltet (optional)

Die Entscheidung ist also nicht ob, sondern welcher.

Die Auswahl: KeePassXC, Bitwarden, 1Password, Vaultwarden

Kriterium KeePassXC Bitwarden 1Password Vaultwarden
Speicherort lokale Datei Cloud (Bitwarden) Cloud (1Password) Eigener Server
Clients Desktop + Browser Alle Plattformen Alle Plattformen Alle Plattformen
Open Source Ja Ja Nein Ja
Self-Hosted Ja (Datei) Ja (offiziell) Nein Ja
Preis 0 € 0 € (Basic) ~36 €/Jahr 0 €
Browser-Extension Ja Ja Ja Ja
Sync zwischen Geräten Manuell (Dropbox/Nextcloud) Automatisch Automatisch Automatisch
Aufwand Niedrig Mittel Null Mittel

KeePassXC – der Offline-Klassiker

KeePassXC speichert alles in einer einzigen .kdbx-Datei. Kein Server, kein Account, keine Cloud. Die Datei kann auf einem USB-Stick liegen oder in einem Cloud-Synchronisationsordner.

Das Problem: Kein automatischer Sync. Wer auf drei Geräten arbeitet, muss die Datei manuell synchronisieren oder einen Weg finden (Dropbox, Syncthing), der funktioniert, aber Reibungen verursacht. Und: Die Browser-Integration ist nicht so nahtlos wie bei Cloud-Lösungen.

Bitwarden – die Cloud-Lösung

Bitwarden ist der Goldstandard für Passwortmanager: Open Source, günstig, funktionell. Die Cloud-Version bietet automatischen Sync, 2FA, Sharing und eine exzellente Browser-Extension.

Aber: Die Daten liegen auf Bitwardens Servern. Für die meisten ist das in Ordnung – Bitwarden ist null-knowledge, der Server sieht nie die Passwörter. Für mich war es trotzdem ein Unbehagen: Wenn ich schon selbst hoste, warum nicht auch den Passwortmanager?

1Password – der Bequeme

1Password ist geschlossener Code, aber verdammt gut. Die Benutzeroberfläche ist die beste aller Lösungen, die Integration in Browser und Betriebssystem ist nahtlos. Der Preis (~36 €/Jahr) ist fair.

Aber: Kein Self-Hosting, kein Open Source. Wenn ich schon meine Passwörter an eine Firma gebe, dann zumindest eine, deren Code ich prüfen kann.

Warum Vaultwarden?

Vaultwarden (ehemals Bitwarden_RS) ist eine in Rust geschriebene Alternative zum offiziellen Bitwarden-Server. Er ist vollständig kompatibel mit den originalen Bitwarden-Clients – du benutzt dieselben Apps, dieselbe Browser-Extension, dieselbe Benutzeroberfläche.

Der Unterschied: Der Server läuft bei mir, und er braucht keinen PostgreSQL- oder MariaDB-Container. Eine einzige Binary, eine SQLite-Datei, fertig. Ich betreibe ihn in einem Alpine-LXC via Incus – kein Docker nötig.

Die Bits und Bytes

Aspekt Vaultwarden Offizieller Bitwarden-Server
Sprache Rust C# (.NET)
Datenbank SQLite PostgreSQL/MariaDB
RAM-Verbrauch ~30 MB ~200 MB
Binary-Größe ~15 MB ~300 MB
Client-Kompatibilität 100 % 100 %
Features Alle + extras Alle
Aufwand Minimal Mittel

Vaultwarden ist quasi Bitwarden, nur schlanker. Die Clients sind dieselben, die API ist dieselben, die Datenbank ist kompatibel. Der Unterschied ist die Infrastruktur dahinter.

Einrichtung

Am einfachsten per Docker, bei mir läuft es aber in einem Alpine-LXC via Incus – kein Docker nötig. In Alpine ist Vaultwarden direkt als APK-Paket verfügbar:

apk add vaultwarden

Das war's. In Alpine gibt es kein systemd, sondern OpenRC. Der Dienst wird automatisch konfiguriert:

rc-update add vaultwarden default
rc-service vaultwarden start

Wichtige Konfiguration in /etc/conf.d/vaultwarden:

DOMAIN="https://vault.frischux.de"
SIGNUPS_ALLOWED="false"
WEBSOCKET_ENABLED="true"
DATA_DIR="/var/lib/vaultwarden"

Nach dem Start unter https://vault.frischux.de anmelden, Konto anlegen, und loslegen.

Der Alltag

Browser-Extension

Die Bitwarden-Browser-Extension funktioniert mit Vaultwarden wie erwartet. Autofill, Passwort-Generierung, 2FA – alles dabei. Die Extension erkennt automatisch, wo du gerade bist und schlägt die passenden Zugangsdaten vor.

Handy

Die Bitwarden-Apps (iOS/Android) zeigen nach der Eingabe des Servers an, wohin die Daten sollen. Dort https://vault.frischux.de eintragen, und der Client synchronisiert sich mit dem eigenen Server.

2FA/TOTP

Vaultwarden kann TOTP-Codes direkt generieren und speichern. Das heißt: Dein Passwortmanager verwaltet nicht nur die Zugangsdaten, sondern auch die Zwei-Faktor-Tokens. Das ist bequem, aber auch ein Kompromiss – wenn jemand dein Master-Passwort kennt, hat er auch die 2FA-Codes.

Wer strikter sein will, nutzt einen Hardware-Key (Yubikey) oder eine separate 2FA-App.

Was Vaultwarden nicht kann

  • Kein Sharing mit Nicht-Vaultwarden-Nutzern – Bitwarden bietet
  • Kein offizieller Support – du bist auf die Community angewiesen
  • Kein Audit-Team – Bitwarden hat ein dediziertes Sicherheitsteam,

"Send"-Funktion, die fehlt (oder ist eingeschränkt) Vaultwarden nicht

  • Kein Emergency Access – die Business-Feature von Bitwarden fehlt

Das sind echte Einschränkungen. Für einen Ein-Mann-Betrieb sind sie allerdings irrelevant.

Fazit

Vaultwarden ist der Passwortmanager, den ich mir gewünscht habe: Open Source, selbst gehostet, voll kompatibel mit den besten Clients auf dem Markt, und so leicht, dass er auf jedem kleinsten Server läuft.

Die Einrichtung dauert fünf Minuten, der Sync funktioniert zuverlässig, und das Gefühl, die eigenen Passwörter auf dem eigenen Server zu haben, ist es mir wert. KeePassXC ist zu umständlich für den Alltag, Bitwardens Cloud zu fremd, 1Password zu proprietär. Vaultwarden ist der sweet spot zwischen Komfort und Kontrolle.

Das Master-Passwort sollte man sich trotzdem merken können. Und niemals wiederverwenden.