password manager

KeePassXC vs Bitwarden

KeePassXC is een volledig offline, open-source wachtwoordmanager ontwikkeld door een Europees communityteam. In tegenstelling tot Bitwardens cloudafhankelijke model geeft KeePassXC je volledige controle over je versleutelde database — geen servers, geen abonnementen, geen data die je apparaat verlaat.

🏢 KeePassXC Team 📍 Duitsland AVG-conform Open Source
Onze Beoordeling
4.3/5
Jouw Beoordeling
🛡️ Privacybewuste </> Ontwikkelaar 🎓 Student

Waarom overstappen van Bitwarden naar KeePassXC?

Bitwarden heeft een sterke reputatie opgebouwd als een open-source, betaalbare cloud-wachtwoordmanager. Maar de architectuur vereist nog steeds dat je een Amerikaans bedrijf vertrouwt met je versleutelde kluisdata die worden opgeslagen op servers die je niet beheert. Wanneer je Bitwarden gebruikt, wordt je versleutelde wachtwoorddatabase geüpload naar Bitwardens cloudinfrastructuur (gehost op Microsoft Azure), waardoor een gecentraliseerd doelwit voor aanvallers ontstaat en een punt van blootstelling aan Amerikaanse juridische mechanismen zoals de CLOUD Act.

KeePassXC hanteert een fundamenteel andere aanpak: je wachtwoorden verlaten nooit je apparaat. De volledige wachtwoorddatabase is een enkel versleuteld bestand dat lokaal op je computer is opgeslagen, waardoor je absolute controle hebt over waar je meest gevoelige inloggegevens zich bevinden. Er zijn geen accounts aan te maken, geen servers te vertrouwen, geen abonnementskosten te betalen en geen bedrijf dat onder druk gezet kan worden om toegang tot je data te verlenen.

Ontwikkeld door een Europees communityteam met sterke wortels in Duitsland, bouwt KeePassXC voort op het legendarische KeePass-ecosysteem — het meest gebruikte open-source wachtwoordformaat ter wereld. Het combineert het robuuste KDBX-databaseformaat met een moderne, platformonafhankelijke desktopapplicatie, browserintegratie, SSH-agentondersteuning en TOTP-authenticatie — allemaal zonder ook maar een byte van je data over het internet te versturen.

Functievergelijking

FunctieKeePassXCBitwarden
Offline werken✅ Volledig offline standaard⚠️ Vereist internet voor synchronisatie
Open source✅ GPLv2/GPLv3✅ GPLv2 (clients), AGPLv3 (server)
Cloudafhankelijkheid✅ Geen — alleen lokaal bestand⚠️ Azure cloud (VS-gehost)
Desktopapp✅ Native (Windows, macOS, Linux)✅ Electron-gebaseerd (alle platformen)
Browserextensie✅ KeePassXC-Browser✅ Volwaardige extensie
Mobiele app⚠️ Via KeePassDX / Strongbox✅ Native iOS en Android
SSH-agent✅ Ingebouwd❌ Niet beschikbaar
TOTP-ondersteuning✅ Ingebouwd✅ Alleen Premium
Wachtwoorden delen⚠️ Databasebestand delen✅ Organisatiefunctie
Webkluis❌ Geen webinterface✅ Volledige webkluis
Prijs✅ Volledig gratis⚠️ Gratis tier / $10/jaar premium
Datalocatie✅ Alleen je apparaat⚠️ VS-cloud (Microsoft Azure)

Prijzen

Het prijsmodel van KeePassXC is verfrissend eenvoudig — het is volledig gratis:

  • KeePassXC: Gratis, voor altijd, met alle functies. Geen premium-tiers, geen functiebeperkingen, geen abonnementen. Elke mogelijkheid — TOTP, SSH-agent, browserintegratie, YubiKey-ondersteuning, database samenvoegen — is beschikbaar voor elke gebruiker zonder kosten.
  • Bitwarden Gratis: Gratis — onbeperkt wachtwoorden, 2 apparaten, basis 2FA
  • Bitwarden Premium: $10/jaar — TOTP-authenticator, geavanceerde 2FA (YubiKey), 1 GB bestandsopslag, noodtoegang
  • Bitwarden Families: $40/jaar — tot 6 gebruikers, gedeelde collecties
  • Bitwarden Teams: $4/gebruiker/maand — teamdelen, gebeurtenislogboeken
  • Bitwarden Enterprise: $6/gebruiker/maand — SSO, directoryintegratie, beleid

KeePassXC levert functies die Bitwarden reserveert voor zijn premium-tier (TOTP, YubiKey-ondersteuning) volledig gratis. De afweging is dat je je eigen synchronisatie- en back-upinfrastructuur beheert, maar voor gebruikers die soevereiniteit boven gemak stellen, is dit een eigenschap, geen beperking.

Privacy & Datasoevereiniteit

Het privacymodel van KeePassXC is architecturaal ongeëvenaard:

  • Geen servers, geen cloud, geen accounts — je versleutelde database bestaat alleen waar jij hem neerzet
  • Geen telemetrie, geen analytics, geen crashrapportages — KeePassXC verstuurt nul data
  • Geen bedrijf kan worden gedagvaard voor je wachtwoorden omdat geen enkel bedrijf ze bezit
  • Niet onderworpen aan de Amerikaanse CLOUD Act, FISA Section 702 of welke buitenlandse datatoeganswet dan ook
  • AES-256 of ChaCha20-versleuteling met Argon2id-sleutelafleiding — toonaangevende cryptografische primitieven
  • Het KDBX-formaat is een open standaard, al meer dan 20 jaar beoordeeld en gecontroleerd door de beveiligingsgemeenschap
  • Europese communitygedreven ontwikkeling met sterke Duitse open-source traditie
  • Volledige broncode beschikbaar voor audit op GitHub onder GPLv2/GPLv3-licenties
  • Geen commerciële entiteit met financiële prikkels die mogelijk conflicteren met gebruikersprivacy

Bitwarden is weliswaar open-source en over het algemeen privacyvriendelijk, maar slaat je versleutelde kluis nog steeds op op in de VS gevestigde Microsoft Azure-servers. Dit creëert jurisdictionele blootstelling — een Amerikaanse rechtbank zou Bitwarden Inc. kunnen dwingen zijn software aan te passen of versleutelde data onder geheimhouding te overhandigen. KeePassXC elimineert dit complete dreigingsvector door helemaal geen serverinfrastructuur te hebben.

Migratiegids

Migreren van Bitwarden naar KeePassXC kost minimale moeite:

  1. Exporteer je Bitwarden-kluis door in te loggen op de Bitwarden-webkluis, te navigeren naar Extra > Kluis exporteren en te downloaden als onversleuteld JSON-bestand. Bewaar dit bestand slechts tijdelijk — het bevat al je wachtwoorden in platte tekst. (5 minuten)
  2. Installeer KeePassXC van keepassxc.org. Download de officiële release voor je besturingssysteem. Op Linux is het beschikbaar via de meeste pakketbeheerders (apt, flatpak, snap). (5 minuten)
  3. Maak een nieuwe KeePassXC-database — start KeePassXC, klik op “Nieuwe database aanmaken”, kies een sterk hoofdwachtwoord en voeg optioneel een sleutelbestand of hardwaresleutel toe voor extra beveiliging. Selecteer Argon2id als sleutelafleidingsfunctie. (5 minuten)
  4. Importeer je Bitwarden-data — ga naar Database > Importeren > Bitwarden (JSON) en selecteer je geëxporteerde bestand. Alle wachtwoorden, notities, URI’s en mapstructuur worden geïmporteerd in je nieuwe KeePassXC-database. (5 minuten)
  5. Installeer KeePassXC-Browser extensie voor Firefox, Chrome of Edge. Open KeePassXC desktop, ga naar Extra > Instellingen > Browserintegratie, schakel integratie in en verbind de extensie. Test automatisch invullen op enkele websites. (10 minuten)
  6. Stel synchronisatie in (optioneel) — kopieer je .kdbx-bestand naar een gesynchroniseerde map (Nextcloud, Syncthing, Tresorit) voor toegang op meerdere apparaten. Installeer KeePassDX (Android) of Strongbox (iOS) voor mobiele toegang. Verwijder veilig de Bitwarden-export en deactiveer je Bitwarden-account. (20 minuten)

Geschatte totale tijd: 45 minuten tot 1 uur. Moeilijkheidsgraad: Makkelijk tot gemiddeld — basisvaardigheden in bestandsbeheer vereist.

Praktijkvoorbeelden

  • Een systeembeheerder aan een universiteit in Hamburg schakelde de IT-afdeling over van Bitwarden Teams naar KeePassXC met gedeelde databases op de Nextcloud-instantie van de universiteit. De migratie elimineerde een terugkerende SaaS-kost en stelde de functionaris voor gegevensbescherming tevreden, die zorgen had geuit over inloggegevens die zich op Amerikaanse cloudinfrastructuur bevonden. De SSH-agentfunctie werd bijzonder populair bij het team en stroomlijnde servertoegang zonder privésleutels bloot te stellen.

  • Een informatica-studente in München nam KeePassXC aan als haar primaire wachtwoordmanager nadat ze over het KeePass-ecosysteem had geleerd in een beveiligingscursus. Het volledig gratis model zonder functiebeperkingen was ideaal voor een studentenbudget, en de lokale architectuur diende als een praktische les in cryptografische opslag. Ze synchroniseert haar database tussen haar laptop en telefoon met Syncthing, zonder enige cloudblootstelling terwijl ze toch mobiele toegang heeft via KeePassDX.

  • Een freelance journalist die EU-politiek verslaat in Brussel migreerde van Bitwarden naar KeePassXC na overleg met trainers in digitale beveiliging. Bronbescherming vereiste dat geen derde partij — inclusief een wachtwoordmanagerbedrijf — mogelijk toegang zou kunnen krijgen tot accountgegevens die gebruikt werden voor gevoelige communicatie. De lokale opslag van KeePassXC, gecombineerd met een YubiKey als tweede factor voor het ontgrendelen van de database, bood de sterkst mogelijke bescherming voor inloggegevens gekoppeld aan versleutelde e-mailaccounts en beveiligde afleverdiensten.

Achtergrond van het bedrijf

KeePassXC is een door de community aangestuurd open-sourceproject, geen commercieel product. Het is ontstaan als een fork van KeePassX, dat op zijn beurt een platformonafhankelijke port was van de oorspronkelijke KeePass-wachtwoordmanager, gemaakt door Dominik Reichl in Duitsland in 2003. Toen de ontwikkeling van KeePassX rond 2016 stagneerde, forkte een groep community-ontwikkelaars het project om KeePassXC te creëren — de KeePass Cross-Platform Community Edition.

Het KeePassXC-team is een verspreide groep vrijwillige ontwikkelaars, velen gevestigd in Duitsland en andere Europese landen, die de software onderhouden en verbeteren als puur open-source initiatief. Het project wordt gehost op GitHub, accepteert bijdragen van iedereen en wordt volledig gefinancierd door vrijwillige donaties. Er is geen bedrijf achter KeePassXC, geen durfkapitaal, geen commerciële licenties — alleen een gemeenschap die zich inzet voor het bouwen van de best mogelijke offline wachtwoordmanager.

Het bredere KeePass-ecosysteem is een van de meest duurzame in open-source beveiligingssoftware. Het KDBX-databaseformaat is al meer dan twee decennia in gebruik, wordt ondersteund door tientallen toepassingen op elk platform en heeft uitgebreid cryptografisch onderzoek doorstaan. Deze ecosysteemrijpheid betekent dat kiezen voor KeePassXC je niet vastzet in één applicatie — als KeePassXC ooit zou stoppen met ontwikkelen, blijven je wachtwoorden toegankelijk via elk van de tientallen andere KeePass-compatibele toepassingen.

Beveiliging & Compliance

KeePassXC implementeert strenge beveiligingsmaatregelen in zijn lokale-eerst-architectuur:

  • AES-256 of ChaCha20-versleuteling — kies tussen twee industriestandaard versleutelingsmethoden voor databaseversleuteling
  • Argon2id-sleutelafleiding — de winnaar van de Password Hashing Competition, met sterke weerstand tegen GPU-gebaseerde en ASIC-gebaseerde brute-force-aanvallen
  • Hardwaresleutelondersteuning — YubiKey Challenge-Response en OnlyKey voor tweefactordatabasebescherming
  • Sleutelbestandondersteuning — gebruik een extra sleutelbestand naast je hoofdwachtwoord voor multifactorontgrendeling van de database
  • Geheugenbescherming — gevoelige data wordt versleuteld in het RAM gehouden en gewist wanneer niet meer nodig
  • Automatisch vergrendelen en klembord wissen — database vergrendelt na inactiviteit, klembord wordt gewist na een instelbare time-out
  • Geen netwerktoegang — KeePassXC maakt standaard nul netwerkverbindingen, waardoor aanvalsvectoren op afstand worden geëlimineerd
  • Open-source auditspoor — elke codewijziging is publiek controleerbaar op GitHub; meerdere beveiligingsbeoordelingen door de community zijn uitgevoerd
  • KDBX 4.0-formaat — nieuwste databaseformaat met geauthenticeerde versleuteling (HMAC-SHA256) die onopgemerkte manipulatie voorkomt
  • Invoergeschiedenis — bewaart versiebeheer van wachtwoordwijzigingen voor hersteldoeleinden

Integratie-ecosysteem

KeePassXC integreert met je werkproces via lokale tools en standaarden:

  • KeePassXC-Browser extensie voor Firefox, Chrome, Edge en Brave — automatisch invullen, automatisch opslaan en wachtwoordgeneratie via beveiligd native messaging met de desktopapp
  • SSH-agentintegratie — sla SSH-sleutels op in je KeePassXC-database en gebruik ze voor serveauthenticatie zonder sleutelbestanden op schijf bloot te stellen
  • TOTP-authenticator — genereer tijdgebaseerde eenmalige wachtwoorden voor 2FA-accounts direct binnen KeePassXC
  • YubiKey Challenge-Response — hardwarematige tweede factor voor het ontgrendelen van de database met YubiKey of OnlyKey
  • KeePass-databaseformaat (KDBX) — compatibel met KeePassDX (Android), Strongbox (iOS), KeePassium (iOS), KeeWeb en tientallen andere toepassingen
  • Opdrachtregelinterface (keepassxc-cli) — scriptbare toegang tot database-items voor automatisering en CI/CD-pipelines
  • Importeren vanuit grote managers — directe import vanuit Bitwarden, 1Password, LastPass, Chrome, Firefox en CSV-formaten
  • FreeDesktop.org Secret Service — integratie met Linux-desktopomgevingen voor systeembrede opslag van inloggegevens
  • Auto-Type — platformeigen toetsaanslagemulatie voor het invullen van inloggegevens in elke toepassing, niet alleen browsers
  • Databases samenvoegen — voeg meerdere databases samen voor samenwerkingsprocessen zonder een centrale server

Voor wie is de overstap geschikt?

KeePassXC is ideaal voor:

  • Privacyvoorvechters die nul cloudblootstelling willen voor hun meest gevoelige inloggegevens
  • Ontwikkelaars en systeembeheerders die SSH-agentintegratie, CLI-toegang en scriptbaar wachtwoordbeheer waarderen
  • Studenten die een volwaardige wachtwoordmanager nodig hebben zonder enige kosten
  • Beveiligingsbewuste gebruikers die lokale architectuur verkiezen boven het vertrouwen van welke clouddienst dan ook
  • Linux-gebruikers die een native, goed geïntegreerde wachtwoordmanager willen die het open-source-ecosysteem respecteert
  • Organisaties met strikte datasoevereiniteitseisen die inloggegevensopslag op servers van derden verbieden

Het eindoordeel

KeePassXC en Bitwarden vertegenwoordigen twee filosofisch verschillende benaderingen van wachtwoordbeheer. Bitwarden geeft prioriteit aan gemak — naadloze synchronisatie, webkluistoegang, beheerde infrastructuur. KeePassXC geeft prioriteit aan soevereiniteit — je wachtwoorden bestaan alleen waar jij beslist, zonder tussenpersoon, zonder abonnement en zonder bedrijf in de keten.

Bitwarden blijft een uitstekende keuze voor gebruikers die cloudsynchronisatie willen zonder de complexiteit van zelfbeheerde infrastructuur, en de organisatiefuncties maken het geschikter voor teams die gecentraliseerd wachtwoorden delen nodig hebben.

Maar voor individuen en organisaties die geloven dat het veiligste wachtwoord datgene is dat nooit je controle verlaat, is KeePassXC de gouden standaard — beproefde versleuteling, een 20-jarig ecosysteem en volledige vrijheid van cloudafhankelijkheden, abonnementskosten en jurisdictioneel risico.

Veelgestelde Vragen

Is KeePassXC hetzelfde als KeePass?

Nee. KeePass is de oorspronkelijke Windows-only wachtwoordmanager gemaakt door Dominik Reichl in Duitsland. KeePassXC (KeePass Cross-Platform Community Edition) is een door de community aangestuurde fork die is herschreven in C++ met het Qt-framework om native ondersteuning voor Windows, macOS en Linux te bieden. KeePassXC gebruikt hetzelfde KDBX-databaseformaat als KeePass, dus je databases zijn volledig compatibel tussen de twee. KeePassXC biedt echter een modernere interface, betere platformonafhankelijke ondersteuning en functies zoals browserintegratie en SSH-agent die niet beschikbaar zijn in standaard KeePass.

Hoe synchroniseer ik mijn KeePassXC-database over meerdere apparaten?

Aangezien KeePassXC je wachtwoorden opslaat in een lokaal versleuteld bestand (KDBX), kun je het synchroniseren met elke bestandssynchronisatiedienst die je vertrouwt. Veelgebruikte methodes zijn het databasebestand opslaan in een Nextcloud-, Syncthing-, Tresorit- of zelfs Dropbox-map. De database is AES-256-versleuteld, dus zelfs als de synchronisatiedienst gecompromitteerd wordt, kunnen aanvallers je wachtwoorden niet lezen zonder je hoofdsleutel. Veel privacybewuste gebruikers geven de voorkeur aan Syncthing voor peer-to-peer synchronisatie zonder tussenliggende cloud.

Kan ik KeePassXC op mijn telefoon gebruiken?

KeePassXC zelf is alleen voor desktop (Windows, macOS, Linux). Maar omdat het het standaard KeePass KDBX-formaat gebruikt, kun je dezelfde database openen op mobiel met compatibele apps. Op Android is KeePassDX een uitstekende open-source optie beschikbaar op F-Droid en Google Play. Op iOS zijn Strongbox en KeePassium populaire keuzes. Al deze apps kunnen KDBX-bestanden openen die gesynchroniseerd zijn via je favoriete cloud- of bestandssynchronisatiedienst.

Hoe werkt de browserintegratie van KeePassXC?

KeePassXC bevat een bijbehorende browserextensie genaamd KeePassXC-Browser, beschikbaar voor Firefox, Chrome, Edge en Brave. De extensie communiceert met de KeePassXC-desktopapplicatie via een beveiligd native-messagingkanaal. Eenmaal verbonden kan het automatisch gebruikersnamen en wachtwoorden invullen op websites, nieuwe inloggegevens opslaan en wachtwoorden genereren — vergelijkbaar met hoe cloudgebaseerde wachtwoordmanagers werken, maar met alle data op je lokale machine.

Is KeePassXC minder veilig dan Bitwarden omdat het wachtwoorden lokaal opslaat?

Lokale opslag is in veel dreigingsmodellen juist een beveiligingsvoordeel. Met KeePassXC verlaat je versleutelde database nooit je apparaat, tenzij je expliciet kiest voor synchronisatie. Er is geen centrale server die gehackt kan worden, geen cloudinfrastructuur om aan te vallen en geen bedrijf dat gedwongen kan worden je data te overhandigen. De database is versleuteld met AES-256 (of ChaCha20) met behulp van een sleutel afgeleid van je hoofdwachtwoord via Argon2. Het aanvalsoppervlak is fundamenteel kleiner dan bij elke cloudgebaseerde oplossing.

Was dit nuttig?

Ontdek Meer Europese Alternatieven

150 privacy-first, AVG-conforme alternatieven voor Amerikaanse techdiensten.

Bekijk Alle Alternatieven → Europa vs VS: De Feiten →