Wachtwoorden op een lokale Pi: Vaultwarden als eigen Bitwarden
Op een gegeven moment realiseerde ik me dat ik dan wel mijn eigen mail host, mijn eigen cloud heb en mijn eigen geripte muziek kan draaien — maar dat ik mijn wachtwoorden gewoon nog bij een ’externe aanbieder’ (lees: Apple) had ondergebracht. Dat begon ik een beetje raar te vinden. Niet omdat Apple onbetrouwbaar is, maar omdat het niet goed paste met de richting die ik op wil.
Na wat zoeken en navragen bij ‘iemand’ had ik gevonden wat ik zocht: Vaultwarden.
Wat is het?
Vaultwarden is een lichtgewicht, zelfgehoste versie van de Bitwarden API. Bitwarden zelf is open source en een prima wachtwoordmanager — maar hun server is zwaar en bedoeld voor teams en bedrijven. Vaultwarden doet precies hetzelfde, maar draait gewoon op een Raspberry Pi.
Wat ik er ook mooi aan vond: je kunt de gewone Bitwarden-apps en browserextensies gebruiken. Die denken dat ze tegen een officiële Bitwarden-server praten, maar alles staat gewoon thuis op je eigen hardware.
Hoe het draait
Vaultwarden draait als Docker-container, naast de andere services op mijn Pi 5. Bereikbaar achter een inlog via warden.jbtroost.nl, mijn Hetzner VPS en een WireGuard-tunnel. Caddy regelt de SSL op de VPS, dus daar heb ik geen omkijken naar.
De configuratie heb ik bewust simpel gehouden. Registraties zijn gesloten — ik heb één account aangemaakt en daarna meteen SIGNUPS_ALLOWED=false gezet. Niemand kan dus nog een account aanmaken.
Wat ik nu gebruik
Op mijn MacBook de Bitwarden-browserextensie, gekoppeld aan mijn eigen server. Op mijn iPhone de Bitwarden-app als AutoFill-aanbieder. TOTP-codes lopen ook via Vaultwarden, waardoor ik geen aparte authenticator-app meer nodig heb - ik zou zelfs zonder de Nextcloud Passwords app kunnen.
Dat betekent ook dat mijn 2FA-codes thuis draaien. Dat maakt het geheel completer passend in de opzet van dit project, maar het betekent ook, dat als mijn Pi eruit ligt, ik een probleem heb. Dat realiseer ik me en calculeer ik in.
En Apple Passwords dan?
Die gebruik ik bijvoorbeeld nog voor accounts die via een Apple ID met private relay-mailadres zijn aangemaakt. De rest staat bij Vaultwarden.
Het is niet volledig waterdicht, maar wel een stuk consequenter dan ervoor.
Vibecoding om los te komen van BigTech blijft een mooi streven.