Een wachtwoordmanager in eigen beheer: Vaultwarden
Privacy & Beveiliging, Veilig online

Een wachtwoordmanager in eigen beheer: Vaultwarden

Een reactie plaatsen

In mijn boek Loskomen van Big Tech, beschrijf ik hoe je met een Synology NAS je kunt bevrijden van de techbro’s. Als je die NAS eenmaal hebt draaien met je eigen cloud, met Immich als vervanger van Google Foto’s en Jellyfin als streamer voor muziek en films, dan voel je vast ook wel iets voor een eigen wachtwoordmanager! Op Computercreatief heb ik vaak en veel geschreven over het belang van veilige, lange wachtwoorden en wachtwoordmanagers. Elke dienst een eigen wachtwoord, dat is het ideaal. Dat kun je alleen bereiken met een wachtwoordmanager, die al die wachtwoorden voor je genereert en bewaart. Vaultwarden, dat je met Docker kunt gaan draaien, is een afgeleide van Bitwarden, een bekende, betrouwbare wachtwoordmanager.

In mijn boek leg ik uit hoe je aan de gang gaat met Docker, Portainer en Nginx Proxy Manager. Portainer gebruik je om de ‘applicaties’ mee te installeren. (Bij het boek krijg je een digitaal bestand met daarin nog eens stap voor stap hoe je het allemaal aan de gang krijgt. Met de docker-composebestanden voor NPM, Jellyfin en Immich. Lees dat eerst voordat je aan de gang gaat met Vaultwarden.)

Vaultwarden

Vaultwarden is een lichtere, onofficiële versie van de bekende wachtwoordmanager Bitwarden. Het mooie is: je kunt gewoon de officiële Bitwarden-apps en browser-extensies gebruiken, maar je inloggegevens staan op jouw eigen Synology NAS.

Hieronder zie je de code (de YAML) die ik gebruik om de digitale kluis te bouwen. Het lijkt misschien abracadabra, maar ik loop er stap voor stap met je doorheen:

Dit is een screendump van de YAML. Je kunt de YAML HIER downloaden.

Wat gebeurt hier precies?

Laten we de belangrijkste regels ontleden. Dit zijn de instellingen die jouw kluis veilig en bruikbaar maken:

  • SIGNUPS_ALLOWED=true (De belangrijkste regel!) Zodra je jouw kluis hebt ingericht en je de accounts hebt aangemaakt, zet je deze optie op false. Hiermee doe je de voordeur op slot. Niemand anders kan nu nog stiekem een account aanmaken op jouw server. Wel zo veilig.
  • WEBSOCKET_ENABLED=true Dit is een technisch snufje dat het gebruiksgemak enorm verhoogt. Als jij op je telefoon een wachtwoord wijzigt, zorgt deze instelling ervoor dat je laptop dat direct weet (‘live sync’), zonder dat je handmatig hoeft te verversen.
  • ADMIN_TOKEN=${ADMIN_TOKEN} Vaultwarden heeft een speciale ‘beheerders-pagina’ waar je instellingen kunt wijzigen. Om daar in te komen heb je een sleutel nodig. In plaats van die sleutel hier open en bloot in de tekst te zetten, gebruiken we een variabele (${…}). Het echte wachtwoord staat veilig opgeborgen in Portainer.
  • DOMAIN=… Hier vertel je de container op welk webadres hij bereikbaar is. Dit is nodig voor bepaalde beveiligingsfuncties (zoals FIDO2/YubiKeys).
  • volumes Alles wat in de container gebeurt, wordt opgeslagen in de map /docker/vaultwarden op je NAS. Die map moet je dus eerst aanmaken en van de juiste privileges voorzien (staat uitgelegd in het boek). Mocht de container crashen of geüpdatet worden, dan blijven je wachtwoorden veilig bewaard op je harde schijf.
  • networks We koppelen de container aan het shared_proxy_net. Dit is het interne netwerkje toegevoegd in Portainer waarmee hij kan praten met de beveiligde ‘voordeur’ (Nginx Proxy Manager), zodat je verbinding versleuteld is met een groen slotje.

Wil je precies weten hoe je dit installeert? In mijn boek “Loskomen van Big Tech” neem ik je stap voor stap mee in het proces, van het installeren van Docker tot het beveiligen van je verbinding.

Instellingen in NPM

In de YAML gebruiken we ports: – “8780:80”. Dat betekent dat Vaultwarden lokaal bereikbaar is op http://jouw-nas-ip:8780. Als je in Nginx Proxy Manager (NPM) de koppeling maakt, moet je daar dus verwijzen naar:

  • Hostname: vaultwarden (container naam)
  • Port: 80 (de interne poort van de container, niet 8780!)

Hoe voeg ik mijn gezin of collega’s toe?

Je ziet in de code dat ik SIGNUPS_ALLOWED=false gebruik. Dat is veilig, maar ook onhandig als je net begint en je partner of kinderen ook een account willen.

Dit is de veilige manier van werken in Vaultwarden:

  1. Deur open: Verander in Portainer (of je YAML-bestand) false naar true.
  2. Toepassen: Klik op ‘Update the stack’ / ‘Deploy’. De digitale kluis start opnieuw op.
  3. Account aanmaken: Laat nu iedereen in het gezin naar warden.eigendomein.nl gaan en een account aanmaken.
  4. Deur dicht: Is iedereen binnen? Zet de regel direct weer terug naar false. En klik op ‘Update the stack’ / ‘Deploy’.
  5. Veilig: Nu zit de deur op slot en kunnen vreemden geen account meer aanmaken, maar kunnen de gezinsleden gewoon inloggen en hun wachtwoorden opslaan.

Misschien gaan mijn/jouw gezinsleden eindelijk ook eens een wachtwoordmanager gebruiken. Bij een bedrijf ligt dat natuurlijk anders.

Hier download je de YAML voor Vaultwarden.

Loskomen van Big Tech

Dit artikel is een voorproefje uit het boek Loskomen van Big Tech: je eigen cloud met een Synology NAS door Hans Frederiks, dat begin 2026 verschijnt. Dit boek biedt een praktische gids om je eigen cloud op te zetten met een Synology NAS. Geen theoretisch verhaal, maar de echte ervaring van een Nederlands gezin en klein bedrijf dat volledig overstapt. Met een investering van ongeveer €750 bouw je een complete vervanging voor Google Drive, Google Photos en Microsoft Office – zonder maandelijkse kosten en met volledige controle over je data. Het boek begint met het waarom: de Cloud Act, privacy-schendingen, de werkelijke kosten van ‘gratis’ diensten. Vervolgens duikt het de praktijk in: een Synology NAS kiezen, opzetten en configureren. Niet alleen de technische kant, maar ook de realiteit van een gezin dat overstapt. 

Hoe krijg je je partner en kinderen mee? Wat als iets niet werkt? Foto’s uit Google Photos halen, documenten verhuizen van Google Drive, afstappen van Office 365; het boek is eerlijk over de beperkingen. Synology Office mist add-ons, gezichtsherkenning is minder geavanceerd dan Google’s AI. Voor wie meer wil: Docker containers met krachtigere alternatieven zoals Immich en Nextcloud. Het vereist wat technische kennis, maar het boek neemt je stap-voor-stap mee. Beveiliging komt uitgebreid aan bod. Hoe maak je je NAS veilig toegankelijk? Wat zijn de risico’s van open poorten? Hoe zorg je voor goede back-ups volgens de 3-2-1 regel?

Dit boek is voor Nederlandse gezinnen en kleine bedrijven die privacy serieus nemen, maar geen Linux-experts zijn. Je leert Docker begrijpen zonder programmeur te worden, je installeert je eigen cloud zonder IT-opleiding. De eerlijke conclusie in het boek: complete loskoppeling lukt niet altijd (Google Maps blijft waarschijnlijk op je telefoon), maar je krijgt wel controle terug over je meest persoonlijke data – je foto’s, documenten en communicatie.

Bestel hier het boek Loskomen van Big Tech

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.