Welke wachtwoordmanager moet je kiezen?
Voor de meeste mensen is een wachtwoordmanager de grootste veiligheidswinst per uur. Niet omdat het spannend is, maar omdat hergebruikte of in de browser opgeslagen wachtwoorden nog steeds de makkelijkste route naar accountmisbruik zijn.
Welke wachtwoordmanager moet je kiezen?
Voor de meeste mensen is een wachtwoordmanager de grootste veiligheidswinst per uur. Niet omdat het spannend is, maar omdat hergebruikte of in de browser opgeslagen wachtwoorden nog steeds de makkelijkste route naar accountmisbruik zijn.
De praktische keuze is meestal eenvoudig:
- Bitwarden als je iets wilt dat op laptop en telefoon meteen werkt
- KeePassXC als je bewust geen cloudkluis wilt en synchronisatie zelf wilt dragen
Deze gids helpt je die keuze maken zonder van een reviewvergelijking een hobbyproject te maken.
Voor wie deze gids is
Deze gids is voor lezers die:
- nog geen wachtwoordmanager gebruiken
- nu vooral browser-wachtwoorden of hergebruikte wachtwoorden hebben
- twijfelen tussen Bitwarden en KeePassXC
- een simpele migratieroute willen zonder alles op een avond perfect te maken
Dit is geen gids voor teams met enterprise SSO, privileged access tooling of volledig gescheiden admin-vaults. Voor de meeste lezers op PrivacyGear ligt de juiste eerste keuze veel lager in frictie.
Wat deze gids wel en niet oplost
Een wachtwoordmanager lost dit wél op:
- hergebruikte wachtwoorden tussen meerdere accounts
- zwakke handmatig bedachte wachtwoorden
- chaos rond logins, notities en herstelcodes
Maar hij lost dit niet automatisch op:
- phishing als je je wachtwoord op een nepwebsite invult
- slechte account recovery via onveilige e-mail of sms
- ontbrekende 2FA
- ontbrekende back-ups of slordige apparaatbeveiliging
Zie een wachtwoordmanager dus als basislaag, niet als eindstation.
De praktische default
Voor de meeste lezers is Bitwarden de standaardkeuze.
Waarom:
- werkt direct op Windows, macOS, Linux, Android en iPhone
- synchroniseert zonder extra puzzelwerk tussen apparaten
- heeft goede browserextensies en een bruikbare mobiele app
- gratis versie is voor persoonlijk gebruik ruim genoeg
Voor een gewone gebruiker, student, kleine ondernemer of zorgverlener is dat meestal de beste verhouding tussen veiligheid en onderhoud.
KeePassXC is de sterkere keuze als je een ander probleem probeert op te lossen:
- je wilt geen cloudkluis, ook niet versleuteld
- je wilt het databasebestand zelf beheren
- je hebt al een sync- of back-uproutine die je vertrouwt
- je accepteert dat mobiel gebruik en synchronisatie meer discipline vragen
Dat is geen “betere privacy voor iedereen”, maar een andere tradeoff.
Kies Bitwarden als…
- je nieuw bent met wachtwoordmanagers
- je meerdere apparaten gebruikt
- je iPhone of Android zonder extra omwegen wilt ondersteunen
- je gezinsleden of collega’s later misschien iets wilt laten delen
- je vooral een route zoekt die je echt gaat volhouden
Bitwarden is meestal de juiste keuze als je nu nog wachtwoorden in Chrome, Safari, Firefox, iCloud Sleutelhanger of losse notities hebt staan en gewoon wilt overstappen zonder extra systeembeheer.
Kies KeePassXC als…
- je bewust geen afhankelijkheid van een cloudservice wilt
- je vooral op desktop werkt
- controle belangrijker is dan gemak
- je synchronisatie zelf wilt regelen via Syncthing, een versleutelde cloudmap of handmatige kopieën
- je begrijpt dat mobiel gebruik via compatibele apps loopt, niet via één officiële first-party stack
KeePassXC is sterk, maar alleen als je ook het operationele deel echt draagt: waar staat het .kdbx-bestand, hoe maak je back-ups, en hoe voorkom je versieconflicten?
Wanneer browser-wachtwoorden niet genoeg zijn
Browser-opslag is beter dan overal hetzelfde wachtwoord gebruiken, maar het heeft grenzen:
- het werkt vaak minder goed buiten die ene browser
- export, back-up en herstel zijn minder duidelijk
- het nodigt uit om alles in één browserprofiel te laten hangen
- het helpt minder bij bewuste accounthygiëne en migratie
Als je al jaren op browser-opslag leunt, hoef je je daar niet voor te schamen. Gebruik het als tussenstap, maar niet als eindtoestand.
Zo stap je over zonder chaos
Stap 1: kies eerst je hoofdroute
Kies niet drie wachtwoordmanagers tegelijk. Neem één route:
- Bitwarden voor de meeste lezers
- KeePassXC als je bewust local-first wilt
Twee managers naast elkaar houden is voor de meeste mensen geen extra veiligheid maar extra foutkans.
Stap 2: begin met je belangrijkste accounts
Verhuis niet eerst elk forumaccount uit 2014. Begin hiermee:
- bank
- DigiD of vergelijkbare overheidslogin
- cloudopslag
- sociale media
Dit zijn de accounts waarmee aanvallers de meeste schade kunnen doen of andere accounts kunnen resetten.
Stap 3: maak een sterk hoofdwachtwoord
Je hoofdwachtwoord moet:
- uniek zijn
- lang zijn
- niet hergebruikt worden voor iets anders
Praktisch minimum: een passphrase van 4 tot 6 willekeurige woorden, of een lange unieke zin die je nergens anders gebruikt.
Schrijf dit hoofdwachtwoord op papier op en bewaar het veilig. Niet in een plaknotitie op je laptop, maar ook niet alleen in je hoofd als je weet dat je het dan ooit kwijtraakt.
Stap 4: importeer alleen als dat je helpt
Import uit Chrome, Safari of een andere manager kan tijd schelen. Maar importeer niet blind alles en noem het dan klaar.
Na import moet je nog steeds:
- dubbele entries opruimen
- oude zwakke wachtwoorden vervangen
- kijken welke accounts je echt nog gebruikt
Migratie is geslaagd als je de belangrijke accounts op orde hebt, niet als je duizend oude logins hebt verzameld.
Stap 5: verander wachtwoorden tijdens het verhuizen
Voor belangrijke accounts:
- open het account
- genereer een nieuw uniek wachtwoord in je manager
- sla het meteen op
- log uit en test of je opnieuw kunt inloggen
Deze test is belangrijker dan snelheid. Anders ontdek je pas later dat je één teken verkeerd hebt opgeslagen.
Back-up en herstel: dit deel hoort erbij
Een wachtwoordmanager zonder herstelroutine is half af.
Bitwarden
Minimaal:
- schrijf je hoofdwachtwoord op papier op
- zet 2FA aan op je Bitwarden-account
- bewaar herstelcodes waar je ze terug kunt vinden
Sterker:
- exporteer af en toe een versleutelde back-up
- plan wat er gebeurt als je je telefoon kwijt bent
KeePassXC
Minimaal:
- maak een back-up van je
.kdbx-bestand - documenteer waar het staat
- test of je die back-up ook echt kunt openen
Sterker:
- houd één offline of offsite kopie apart
- leg vast hoe synchronisatie werkt als je meerdere apparaten gebruikt
- gebruik alleen een sleutelbestand of hardware key als je zeker weet dat je herstelpad nog werkbaar blijft
Een “sterkere” setup die je later niet meer kunt openen is geen winst.
Wanneer de sterkere setup de moeite waard is
Voor sommige lezers is de extra frictie van KeePassXC of een strengere back-uproutine wel logisch:
- je werkt met vertrouwelijke dossiers
- je wilt geen cloudafhankelijkheid voor je kluis
- je hebt al een volwassen local-first routine
- je accepteert dat dit meer onderhoud kost
Maar voor een gewone gebruiker of iemand die nu nog overal hetzelfde wachtwoord gebruikt, is dat vaak niet de beste eerste stap. Eerst een werkende routine, daarna pas extra controle.
Veelgemaakte fouten
- meteen elk account tegelijk willen migreren
- twee managers naast elkaar laten bestaan zonder duidelijke hoofdroute
- 2FA vergeten op het e-mailaccount en de wachtwoordmanager zelf
- geen herstelcodes bewaren
- KeePassXC kiezen om ideologische redenen, maar zonder sync- of back-upplan
- Bitwarden premium TOTP gebruiken zonder te beseffen dat wachtwoord en tweede factor dan in dezelfde kluis zitten
Kort advies per profiel
- Gewone gebruiker: begin met Bitwarden
- Student of werknemer: begin met Bitwarden, tenzij je al een strikte local-first routine hebt
- Kleine ondernemer: Bitwarden is meestal logischer; KeePassXC alleen als je de operationele last bewust wilt dragen
- Zorgverlener / vertrouwelijke beroepen: kies op basis van workflow, maar neem back-up, herstel en toegangsdiscipline serieuzer dan de gemiddelde lezer
Volgende stap
Kies je route
- Bitwarden review — de eenvoudigste open-source keuze voor de meeste lezers
- KeePassXC review — local-first keuze voor wie bewust geen cloudkluis wil
Maak je accountlaag af
- Twee-factor authenticatie gids — zet daarna 2FA aan op e-mail en je wachtwoordmanager
- Back-up implementatie gids — als je herstel en offsite back-up nog niet geregeld zijn
Gebruik dit in context
- De normale basis — als je vooral je basis wilt opbouwen
- Profiel: student of werknemer — als werk- en privéaccounts door elkaar lopen
- Profiel: ZZP’er of kleine organisatie — als bedrijfscontinuïteit en klantdata meespelen