password manager

Hoe migreer je van LastPass naar Bitwarden (of Proton Pass)

LastPass Bitwarden
Moeilijkheid: Makkelijk Geschatte tijd: 1-2 uur

Stapsgewijze handleiding om over te stappen van LastPass naar Bitwarden, de open-source wachtwoordmanager. Na de LastPass-inbreuken van 2022-2023 is de migratie overdue. We behandelen zowel Bitwarden (de meeste gebruikers) als Proton Pass (volledige EU-soevereiniteit).

Vereisten

  • LastPass-accounttoegang
  • Versleutelde schijf of USB-drive voor het tijdelijke exportbestand
  • Hardware security key aanbevolen (YubiKey of soortgelijk)

Stappen

  1. Kies tussen Bitwarden en Proton Pass

    Bitwarden = volwassen, afgewerkt, Amerikaans hoofdkantoor maar zelf hostbaar in EU. Proton Pass = nieuwer, volledig Zwitserse jurisdictie, geïntegreerd met Proton-ecosysteem.

  2. Maak een nieuw account aan op het gekozen platform

    Bitwarden gratis of Premium ($10/jaar), of Proton Pass gratis of als onderdeel van Proton Unlimited.

  3. Exporteer je LastPass-kluis

    LastPass → Advanced Options → Export. Kies CSV-formaat voor de breedste compatibiliteit.

  4. Importeer kluis in nieuw platform

    Zowel Bitwarden als Proton Pass hebben directe LastPass-importers die het standaard CSV-formaat schoon afhandelen.

  5. Stel tweefactorauthenticatie in

    Configureer TOTP, security key (YubiKey) of passkey op het nieuwe platform. Dit is niet onderhandelbaar voor de veiligheid van een wachtwoordmanager.

  6. Bouw mappenstructuur en tags opnieuw op

    Beide platforms gebruiken iets verschillende organisatieconcepten. Recreëer je belangrijkste categorieën.

  7. Installeer browserextensies en mobiele apps overal

    Bitwarden en Proton Pass hebben beide volledige cross-platform-dekking. Installeer op elk apparaat waar je momenteel LastPass gebruikt.

  8. Test kritieke logins

    Verifieer dat autofill werkt op je meest gebruikte diensten. Test wachtwoordgenerator, beveiligde notities en TOTP-opslag.

  9. Werk sites met zwakke of gelekte wachtwoorden bij

    De LastPass-inbreuken van 2022-2023 betekenen dat wachtwoorden opgeslagen voor de inbreuk als gecompromitteerd beschouwd moeten worden. Gebruik de migratie als kans om te roteren.

  10. Annuleer LastPass en verwijder export veilig

    Annuleer LastPass na 30 dagen vertrouwen, verwijder het niet-versleutelde CSV-exportbestand veilig.

Waarom je al gemigreerd had moeten zijn

LastPass had twee opeenvolgende ernstige inbreuken in 2022-2023:

  • Augustus 2022: broncode en propriëtaire technische informatie gestolen
  • December 2022: klantkluisdata gestolen, inclusief versleutelde wachtwoordkluizen

De inbreuk van december 2022 is de operationele zorg. LastPass meldde dat aanvallers klantkluisdata verkregen — versleuteld, maar met blootgestelde metadata (URL’s, gebruikersnamen). Voor gebruikers met zwakke hoofdwachtwoorden of oudere kluis-encryptie-iteraties zijn de versleutelde kluizen kwetsbaar voor brute-force-aanvallen, gegeven genoeg tijd en rekenkracht.

Praktische implicatie: elk wachtwoord opgeslagen in LastPass voor december 2022 moet als potentieel gecompromitteerd beschouwd worden. De urgentie van migratie varieert per threat model — accounts met hoge waarde (bankzaken, werk-e-mail) zouden al wachtwoorden moeten hebben geroteerd; accounts met lage waarde (eenmalige forum-logins) minder urgent maar nog steeds de moeite waard.

De migratievraag in 2026 is niet ‘moet je?’ — dat is beklonken. Het is ‘naar welk alternatief?‘

Kiezen tussen Bitwarden en Proton Pass

Beide zijn geloofwaardig. De keuze hangt af van je soevereiniteitsprioriteiten:

Bitwarden (Amerikaans hoofdkantoor, volledig zelf hostbaar)

Voordelen:

  • Meest volwassen open-source wachtwoordmanager
  • Grootste ecosysteem van integraties en clients
  • Goedkoopste premium-versie ($10/jaar)
  • Zelf hostbaar op Hetzner via Vaultwarden voor volledige soevereiniteit
  • Battle-tested op enterprise-schaal

Nadelen:

  • Amerikaans hoofdkantoor (CLOUD Act-blootstelling voor gehoste versie)
  • Zelf hosten vereist technische capaciteit

Beste voor: de meeste gebruikers die afgewerkte UX, breed ecosysteem en de goedkoopste prijs willen. Host zelf op EU-infrastructuur voor volledige soevereiniteit.

Proton Pass (Zwitsers, volledig soeverein)

Voordelen:

  • Zwitserse juridische jurisdictie (sterker dan AVG)
  • Genereuze gratis versie met alle functies ontgrendeld
  • Geïntegreerd met Proton-ecosysteem (Mail, Drive, VPN)
  • Geaudite end-to-end-encryptie
  • Schonere privacy-positie dan Bitwarden

Nadelen:

  • Nieuwer (gelanceerd 2023, minder volwassen dan Bitwarden)
  • Kleiner ecosysteem van third-party integraties
  • Niet zelf hostbaar
  • Sommige geavanceerde functies (SAML SSO, Active Directory) alleen op enterprise-tiers

Beste voor: gebruikers in of die het Proton-ecosysteem overwegen, gebruikers die Zwitserse jurisdictie prioriteit geven, consumenten en kleine teams.

Deze handleiding focust op Bitwarden als de meest voorkomende migratiebestemming. De Proton Pass-migratie volgt dezelfde algemene stappen — beide hebben vergelijkbare LastPass-importers.

Gedetailleerde migratiestappen

Stap 1: Stel je nieuwe account in

Voor Bitwarden:

  1. Bezoek bitwarden.com en maak een account
  2. Kies een sterk hoofdwachtwoord — dit is het enige wachtwoord dat je hoeft te onthouden; maak het lang en uniek
  3. Bewaar je herstelcode veilig (geprint, in een brandkast, NIET in een wachtwoordmanager)
  4. Optioneel: upgrade naar Premium ($10/jaar) voor 1 GB versleutelde bestandsbijlagen en noodtoegang-functies

Voor Proton Pass:

  1. Bezoek proton.me/pass en maak een account (of gebruik bestaand Proton-account)
  2. Kies sterk hoofdwachtwoord — zelfde overwegingen als Bitwarden
  3. Bewaar herstelzin veilig
  4. Gratis versie dekt de meeste persoonlijke gebruikers; Plus-versie $1,99/maand voegt geavanceerde functies toe

Voor Bitwarden zelf gehost (gevorderd):

Voor organisaties of technische gebruikers die volledige EU-soevereiniteit willen:

Hetzner CX22 (2 vCPU, 4 GB RAM): €5/maand
Vaultwarden (Bitwarden-compatibel, lichter): open source
Caddy reverse proxy + Let's Encrypt SSL: gratis

Totale infrastructuurkosten: ~€60/jaar voor onbeperkt gebruikers, volledig zelf gecontroleerd.

Stap 2: Exporteer uit LastPass

LastPass vereist hoofdwachtwoord voor export:

  1. Log in op LastPass web-kluis
  2. Account Options → Advanced → Export (onder Manage Your Vault)
  3. Authenticeer opnieuw met hoofdwachtwoord
  4. Kies LastPass CSV File-formaat
  5. Sla op op versleutelde schijf of USB-drive

Cruciale beveiligingsnoot: het geëxporteerde CSV bevat al je wachtwoorden in platte tekst. Behandel het als het meest gevoelige bestand dat je ooit zult hebben:

  • Alleen opslaan op versleutelde schijf (FileVault, BitLocker, LUKS)
  • Niet e-mailen
  • Niet uploaden naar enige cloudservice
  • Niet opslaan op een mobiel apparaat
  • Verwijder het direct na migratie

Stap 3: Importeer in nieuw platform

Bitwarden:

  1. Bitwarden web-kluis → Tools → Import Data
  2. Selecteer bron: LastPass (csv)
  3. Kies je geëxporteerde CSV-bestand
  4. Klik op Import Data

Bitwarden importeert:

  • Logins (gebruikersnaam, wachtwoord, URL, notities)
  • Beveiligde notities
  • Folders → Bitwarden Folders
  • Form fill-items → Bitwarden Identity / Card-items

Proton Pass:

  1. Proton Pass web → Settings → Import
  2. Selecteer LastPass
  3. Kies je CSV-bestand
  4. Bevestig import

Beide verwerken het standaard LastPass-exportformaat schoon. Randgevallen:

  • Aangepaste velden kunnen handmatige review vereisen
  • Items met rare tekens in URL’s kunnen herchecken vereisen
  • Form fill-adressen migreren maar kunnen formataanpassing vereisen

Stap 4: Stel tweefactorauthenticatie in

Dit is niet onderhandelbaar voor de veiligheid van een wachtwoordmanager:

Bitwarden 2FA-opties:

  • Authenticator-app (Aegis, Raivo, Authy)
  • E-mail (minst veilig)
  • YubiKey (Premium, aanbevolen voor high-stakes gebruik)
  • Duo (Premium)
  • FIDO2 WebAuthn (Premium)

Proton Pass 2FA-opties:

  • Authenticator-app
  • Hardware security key (FIDO2)
  • Ingebouwde Proton 2FA

Aanbeveling voor beide: hardware security key (YubiKey 5 NFC of soortgelijk, ~€55) plus authenticator-app als back-up. De combinatie is sterkst.

Bewaar je 2FA-herstelcodes ergens offline (geprint in een brandkast, NIET in je wachtwoordmanager).

Stap 5: Recreëer mappenstructuur

LastPass-folders → Bitwarden Folders / Proton Pass-folders. Je import behoudt dit in de meeste gevallen, maar controleer:

  • Zijn alle folders correct geïmporteerd?
  • Zijn geneste folders behouden?
  • Zijn gedeelde LastPass-folders correct vertegenwoordigd?

Voor Bitwarden specifiek: gedeelde LastPass-folders moeten gerecreëerd worden als Bitwarden Organization Collections (een Premium-functie voor persoonlijk gebruik, of onderdeel van Family/Business-plannen).

Stap 6: Installeer overal

Zowel Bitwarden als Proton Pass hebben uitgebreide cross-platform-dekking:

  • Browserextensies: Chrome, Firefox, Safari, Edge, Brave, Opera, Vivaldi
  • Desktop-apps: Windows, macOS, Linux
  • Mobiele apps: iOS, Android (beide App Store en APK)
  • CLI: voor ontwikkelaars en scripting

Installeer op elk apparaat waar je momenteel LastPass gebruikt. Log in met hoofdwachtwoord en verifieer 2FA op elk apparaat.

Stap 7: Test kritieke logins

Voor het annuleren van LastPass, verifieer dat de migratie werkt:

  1. Log uit bij 5-10 kritieke diensten (bankzaken, e-mail, werktools, sociale media)
  2. Probeer opnieuw in te loggen met alleen de autofill van de nieuwe wachtwoordmanager
  3. Verifieer dat TOTP-codes correct gegenereerd worden (als je TOTP-secrets opslaat in je wachtwoordmanager)
  4. Test op mobiel — autofill werkt anders op iOS dan op Android, beide werken maar vereisen configuratie

Als er iets faalt, val terug op LastPass terwijl je het probleem oplost. Daarom is parallelle uitvoering gedurende 30 dagen essentieel.

Stap 8: Werk zwakke en gelekte wachtwoorden bij

De migratie is hét moment om wachtwoorden te roteren die geroteerd hadden moeten worden:

Voor LastPass-gebruikers specifiek: wachtwoorden opgeslagen voor december 2022 moeten als potentieel gecompromitteerd beschouwd worden. Prioriteit rotatie:

  1. Bank- en financiële diensten (hoogste prioriteit)
  2. E-mailaccounts (deze ontgrendelen al het andere)
  3. Werkgerelateerde accounts (compliance- en beveiligingsimplicaties)
  4. Cloudopslag- en back-updiensten
  5. Grote commerce-accounts (Amazon, eBay, enz.)
  6. Sociale media (vooral als je ze gebruikt voor SSO)

Gebruik de wachtwoordgenerator van Bitwarden of Proton Pass om sterke, unieke wachtwoorden te creëren. Beide hebben breach-detectie die gecompromitteerde wachtwoorden automatisch markeert.

Voor lager-prioriteit accounts (eenmalige shoppingsites, fora), batch dit werk of accepteer het risico. Realistische tijdsinvestering voor volledige rotatie van 100+ accounts: 4-6 uur verspreid over een week of twee.

Stap 9: Stel wachtwoord-health-monitoring in

Beide platforms bevatten wachtwoord-health-checking:

Bitwarden Reports (Premium):

  • Exposed password report (gecontroleerd tegen Have I Been Pwned)
  • Reused password report
  • Weak password report
  • Inactive 2FA report
  • Unsecured website report

Proton Pass Pass Monitor:

  • Dark web monitoring
  • Zwakke wachtwoorddetectie
  • Hergebruikte wachtwoorddetectie
  • 2FA-aanbevelingen

Run de rapporten initieel maandelijks, daarna kwartaal. Elke bevinding is een actie-item: roteer, activeer 2FA, of update credentials.

Stap 10: Annuleer LastPass en verwijder export veilig

Na 30 dagen vertrouwen:

  1. Verifieer dat alle logins toegankelijk zijn in nieuw platform
  2. Verifieer TOTP-codes voor kritieke 2FA-configuraties
  3. Annuleer LastPass-abonnement via accountinstellingen
  4. Verwijder het CSV-exportbestand veilig:
    • macOS: srm -v file.csv (oudere macOS) of gebruik Finder secure empty trash
    • Linux: shred -u file.csv
    • Windows: BleachBit’s veilige bestandsverwijdering
    • Of overschrijf het bestand herhaaldelijk met willekeurige data en verwijder daarna

Sla de veilige verwijderingsstap niet over. Het CSV bevat al je wachtwoorden; gewone verwijdering laat herstelbare sporen achter.

Tips voor een soepele migratie

  • Plan een weekend hiervoor. Twee uur gefocust migratiewerk is beter dan twee weken ‘ik doe het later’.
  • Hardware security keys zijn de €55 waard. YubiKey 5 NFC gekoppeld aan Bitwarden of Proton Pass biedt phishing-resistente authenticatie die écht moeilijk te compromitteren is.
  • Familie- / gedeelde kluizen vereisen aandacht. Als je een LastPass Families-plan hebt met gedeelde folders, recreëer het delen in Bitwarden Family ($40/jaar voor 6 gebruikers) of Proton Family.
  • Voor ontwikkelaars telt de CLI. Bitwarden CLI (bw) is uitstekend voor scripting en CI/CD secret-management. Proton Pass CLI is nieuwer.
  • Zelf hosten van Bitwarden is écht haalbaar. Vaultwarden op een Hetzner-server van €5/maand geeft je volledig soevereine wachtwoordmanagement. De afweging is operationele verantwoordelijkheid — uptime, back-ups, beveiligingspatches.
  • Gebruik niet hetzelfde hoofdwachtwoord als LastPass. Sommige gebruikers doen dit ‘voor het spiergeheugen’. Doe het niet. Kies een ander, sterker hoofdwachtwoord voor het nieuwe platform.
  • TOTP-opslag in wachtwoordmanager heeft een afweging. Gemak (één plek) versus beveiliging (single point of failure). Zowel Bitwarden Premium als Proton Pass ondersteunen TOTP-opslag; voor accounts met de hoogste beveiliging, overweeg TOTP in een aparte authenticator-app.
  • Noodtoegang telt. Stel Bitwarden Premium’s noodtoegang in (of het equivalent van Proton) zodat een vertrouwd persoon toegang tot je kluis kan vragen als jou iets overkomt. Dit is het digitale equivalent van een testament.
  • Het Proton-ecosysteemverhaal telt als je er al bent. Als je Proton Mail en Proton Drive gebruikt, kan Proton Pass-integratie het boven Bitwarden rechtvaardigen. Als je niet in het Proton-ecosysteem zit, kan Bitwarden’s bredere functieset belangrijker zijn.

Was dit nuttig?