Featured image of post AliasVault: Selfhosted-Alternative zu Bitwarden und Vaultwarden
Open-Source – Freie Software für den Alltag Homelab

AliasVault: Selfhosted-Alternative zu Bitwarden und Vaultwarden

AliasVault im Check: selfhosted Passwortmanager mit E-Mail-Aliassen, Docker-Setup, Sicherheitsmodell und Vergleich zu Bitwarden/Vaultwarden.

Ein Passwortmanager löst nur die halbe Arbeit.

Ja, er erzeugt starke Passwörter. Ja, er merkt sie sich. Ja, er füllt Logins im Browser aus. Aber dein eigentliches Problem bleibt oft bestehen: Du gibst überall dieselbe E-Mail-Adresse ab. Bei Shops. Bei Foren. Bei Newslettern. Bei Diensten, denen du nach drei Tagen schon nicht mehr vertraust.

AliasVault geht genau an diese Lücke. Das Projekt kombiniert einen Passwortmanager mit E-Mail-Aliassen und generierten Identitäten. Für jeden Dienst entsteht nicht nur ein Passwort, sondern gleich ein eigenes kleines Profil: Alias-Adresse, Benutzername, Passwort und auf Wunsch weitere Identitätsdaten.

Das ist nicht neu im Sinne von „noch nie gesehen“. Proton Pass kann ebenfalls E-Mail-Aliasse erzeugen. Bitwarden ist als Passwortmanager etabliert. Vaultwarden ist im Homelab fast schon Standard, wenn jemand eine schlanke, Bitwarden-kompatible Server-Alternative sucht. AliasVault positioniert sich anders: nicht als kompatibler Bitwarden-Server, sondern als eigenständige Open-Source-Anwendung für Passwortverwaltung plus Alias-Inbox.

Genau deshalb ist der Vergleich interessant. Nicht: „Ist AliasVault besser als Bitwarden?“ Sondern: „Für wen ist AliasVault die bessere Baustelle?“

Inhaltsverzeichnis

Was AliasVault anders macht

AliasVault beschreibt sich selbst als „privacy-first password and email alias manager“. Laut GitHub-README erzeugt das Tool eindeutige Identitäten, starke Passwörter und zufällige E-Mail-Aliasse für Websites; die Daten sollen Ende-zu-Ende-verschlüsselt sein und es gibt einen eingebauten E-Mail-Server ohne Drittanbieter-Abhängigkeiten.

Der Unterschied zu einem klassischen Passwortmanager liegt im Workflow. Bei Bitwarden oder Vaultwarden legst du meistens einen Login an: Website, Benutzername, Passwort, vielleicht TOTP und Notizen. AliasVault denkt den Login als Wegwerf-Identität. Du meldest dich nicht mit deiner echten Adresse an, sondern mit einer Alias-Adresse. Wenn diese Adresse später Spam bekommt oder in einem Leak auftaucht, weißt du genauer, woher der Ärger kommt.

AliasVault zeigt eine gesperrte Vault-Ansicht mit Login-Oberfläche AliasVault im Web: Der Fokus liegt nicht nur auf Passwörtern, sondern auf getrennten Identitäten pro Dienst. Screenshot-Quelle: It’s FOSS / AliasVault.

Der Artikel von It’s FOSS beschreibt diesen Punkt sauber: AliasVault erzeugt pro Dienst eine einzigartige E-Mail-Adresse, einen Benutzernamen, ein starkes Passwort und eine fiktive Identität. E-Mails an diese Alias-Adresse tauchen direkt beim jeweiligen Vault-Eintrag auf. Das ist praktisch, wenn man Registrierungs-Mails, OTP-Codes oder Leak-Spuren direkt beim passenden Login sehen will.

Wichtig ist aber: AliasVault ist kein Vaultwarden-Ersatz im technischen Sinne. Vaultwarden implementiert die Bitwarden-Client-API und funktioniert mit den offiziellen Bitwarden-Clients. AliasVault ist ein eigenes Ökosystem mit Web-App, Browser-Erweiterungen und Mobile-Apps. Wer heute tief in Bitwarden-Clients, Organisationen und bestehende Workflows investiert ist, migriert nicht mal eben nebenbei.

Dafür unterstützt AliasVault Importpfade. Laut It’s FOSS kann die Oberfläche Daten aus mehreren Passwortmanagern importieren, darunter 1Password, Bitwarden, Chrome, Dashlane, Firefox, KeePass, KeePassXC, Proton Pass und Strongbox. Das senkt die Einstiegshürde, ersetzt aber keine saubere Migrationsplanung. Passwörter sind keine Lesezeichen.

Selfhosting: Docker ja, aber E-Mail macht es ernster

Auf dem Papier wirkt die Installation angenehm homelab-tauglich. Laut AliasVault-README reichen als Mindestanforderung 1 vCPU, 1 GB RAM, 16 GB Speicher, Docker ab Version 20.10 und ein 64-Bit-Linux. Das ist weniger als viele offizielle Enterprise-Stacks verlangen.

AliasVault bietet zwei Selfhosting-Wege:

  1. Install-Script: ein verwalteter Multi-Container-Ansatz mit automatischem SSL über Reverse Proxy und Let’s Encrypt. Das ist eher für VPS, VM oder Proxmox-LXC gedacht, wenn AliasVault direkt erreichbar sein soll.
  2. Docker Compose: ein einzelner All-in-One-Container für bestehende Homelab-Infrastruktur, etwa hinter Traefik, Caddy, Nginx, HAProxy oder Cloudflare Tunnel.

Die Docker-Compose-Dokumentation zeigt den Kern deutlich: Der Container nutzt ghcr.io/aliasvault/aliasvault:latest, persistiert Daten in lokalen Ordnern wie database, logs, secrets und certificates und öffnet neben HTTP/HTTPS auch SMTP-Ports wie 25 und 587.

Und genau hier wird AliasVault ernster als ein normaler Passwortmanager.

Ein Passwortmanager braucht HTTPS, Backups und Updates. Ein Passwortmanager mit eigenem E-Mail-Alias-System braucht zusätzlich Mail-DNS, offene SMTP-Ports, MX-Records und im Idealfall eine Domain, die du sauber kontrollierst. Die AliasVault-Dokumentation weist darauf hin, dass man für volle Kontrolle eine eigene Domain konfigurieren sollte. Ohne eigene Domain kann AliasVault auf öffentliche SpamOK-Domains zurückfallen, was für Tests bequem ist, aber nicht dieselbe Kontrolle bietet.

Das ist der Punkt, an dem man ehrlich sein muss: Wer Vaultwarden betreibt, braucht einen Reverse Proxy und eine Backup-Strategie. Wer AliasVault sinnvoll selfhostet, betreibt zusätzlich ein Stück Mail-Infrastruktur. Das ist machbar. Aber es ist nicht „docker compose up -d und vergessen“.

AliasVault zeigt Importoptionen für bestehende Passwortmanager Migration ist vorgesehen: AliasVault bietet Importpfade aus mehreren Passwortmanagern. Screenshot-Quelle: It’s FOSS / AliasVault.

AliasVault gegen Bitwarden und Vaultwarden

Der Vergleich mit Bitwarden ist naheliegend, aber etwas schief.

Bitwarden ist der etablierte Passwortmanager mit Cloud-Angebot, offiziellen Apps, Enterprise-Funktionen und einer offiziellen Selfhosting-Variante. Die Linux-Selfhost-Dokumentation von Bitwarden nennt als Minimum 2 GB RAM, 12 GB Speicher und Docker Engine 26 plus Compose. Empfohlen werden 4 GB RAM und 25 GB Speicher. Dazu kommen Installations-ID, Installations-Key, SMTP-Konfiguration und ein eigener bwdata-Stack.

Vaultwarden ist die pragmatische Homelab-Antwort darauf. Das Projekt beschreibt sich als in Rust geschriebene, inoffizielle Implementierung der Bitwarden-Client-API. Es ist mit offiziellen Bitwarden-Clients kompatibel, nicht mit Bitwarden Inc. verbunden und laut README besonders für Selfhosting geeignet, wenn der offizielle Server zu ressourcenhungrig ist. Auf GitHub kommt Vaultwarden auf über 62.000 Sterne; AliasVault lag am 8. Juni 2026 bei rund 2.700 Sternen. Das sagt nichts über Qualität, aber viel über Reife und Verbreitung.

AliasVault spielt eine andere Karte aus.

  • Bitwarden ist die sichere Standardwahl, wenn du einen ausgereiften Passwortmanager mit großem Ökosystem willst.
  • Vaultwarden ist die leichte Selfhosted-Variante, wenn du Bitwarden-Clients behalten möchtest.
  • AliasVault ist spannend, wenn du Passwortmanager und Alias-Mailbox bewusst zusammenführen willst.

Die Alias-Funktion ist dabei der Kern. Proton Pass bewirbt Hide-my-email-Aliasse ebenfalls als Schutz für die echte Adresse und als Möglichkeit, kompromittierte Alias-Adressen zu deaktivieren. AliasVault bringt diese Idee in ein Open-Source- und Selfhosting-Paket. Das ist für Leute interessant, die SimpleLogin, AnonAddy oder Proton Pass mögen, aber ihre Infrastruktur lieber selbst betreiben.

Es ist aber auch der Grund, warum AliasVault nicht für jeden die bessere Wahl ist. Wenn du nur Passwörter speichern willst, ist AliasVault wahrscheinlich mehr System als nötig. Wenn du dagegen bei jedem neuen Account denkst „eigentlich will ich dafür eine eigene Adresse“, passt das Konzept sehr gut.

Sicherheit: Zero Knowledge ist nur der Anfang

AliasVaults Architektur-Dokumentation nennt mehrere Bausteine: Argon2id für Schlüsselableitung aus dem Master-Passwort, SRP für Authentifizierung ohne Übertragung des Passworts, AES-256-GCM für Vault-Daten und RSA-OAEP für verschlüsselte E-Mails. Laut Dokumentation verlässt das Master-Passwort den Client nicht. Vault-Daten werden clientseitig verschlüsselt, bevor sie auf dem Server landen. Eingehende E-Mails werden mit einem öffentlichen Schlüssel verschlüsselt, sodass nur der Nutzer sie mit dem privaten Schlüssel aus dem Vault lesen kann.

Das klingt gut. Trotzdem ersetzt Architektur keine Betriebsdisziplin.

Bei einem selfhosted Passwortmanager sind die langweiligen Dinge entscheidend: regelmäßige Backups, getestete Restore-Pfade, Updates, TLS, Admin-Zugänge, SMTP-Härtung, Monitoring und ein Plan für den Fall, dass das Master-Passwort weg ist. It’s FOSS weist in seinem Erfahrungsbericht ebenfalls darauf hin: Wenn du dein Master-Passwort verlierst, sind die Vault-Inhalte weg. Das ist bei Zero-Knowledge-Systemen kein Bug, sondern der Preis des Modells.

AliasVault ist außerdem noch jung. Das GitHub-Repository listete am 8. Juni 2026 die Version 0.29.4 als aktuelles Release, veröffentlicht am 4. Juni 2026. Das README spricht von inkrementellen Releases alle zwei bis drei Wochen und aktiver Entwicklung. Gut für Tempo. Weniger gut für Leute, die eine langweilige, jahrelang eingespielte Infrastruktur suchen.

Was noch fehlt

Der interessanteste Teil bei AliasVault ist nicht, was funktioniert. Es ist, was noch nicht so rund ist.

It’s FOSS nennt fehlende Bulk-Verwaltung als spürbare Grenze: keine Batch-Auswahl, kein Drag-and-drop für Ordner, keine Massenlöschung. Wer einen großen Bestand aus Bitwarden oder KeePassXC importiert und danach aufräumen will, sortiert schnell Eintrag für Eintrag. Das ist nervig.

Dazu kommt E-Mail. AliasVault kann E-Mails empfangen und beim jeweiligen Alias anzeigen. Laut It’s FOSS ist die eingebaute Alias-Mail-Funktion in der Cloud-Version derzeit receive-only; Antworten oder Weiterleiten aus Alias-Adressen sind als künftige bezahlte Funktion auf der Roadmap erwähnt. Für Selfhoster hängt zusätzlich viel an der eigenen Domain- und SMTP-Konfiguration.

AliasVault erstellt neben Login-Daten auch eine Alias-Identität Der eigentliche Unterschied: AliasVault erzeugt pro Dienst eine eigene Identität statt nur ein Passwort. Screenshot-Quelle: It’s FOSS / AliasVault.

Auch beim Ökosystem ist AliasVault noch nicht Bitwarden. Laut README gibt es Web, Chrome, Firefox, Edge und Safari; außerdem native iOS- und Android-Apps. Das ist beachtlich. Aber Reife zeigt sich nicht nur an Plattformlogos. Sie zeigt sich an Autofill-Zuverlässigkeit, Edge-Cases, Familienfreigaben, Organisationsfunktionen, Support, Audits und daran, wie gut Updates in drei Jahren noch laufen.

Auf der Roadmap stehen laut README unter anderem weitere Usability-Verbesserungen, FIDO2/WebAuthn-Hardware-Keys sowie Family- und Team-Sharing. Das sind wichtige Punkte, wenn AliasVault mehr als ein Solo-Tool für technisch versierte Nutzer werden soll.

Für wen AliasVault sinnvoll ist

AliasVault ist keine pauschale Empfehlung für alle, die gerade Vaultwarden betreiben.

Wenn dein Setup heute stabil läuft, du offizielle Bitwarden-Apps nutzt und nur Passwörter, TOTP und ein paar sichere Notizen brauchst, gibt es keinen Grund für Aktionismus. Vaultwarden ist verbreitet, schlank und versteht den Bitwarden-Client-Kosmos. Bitwarden selbst bleibt die konservativere Wahl, wenn du offiziellen Support und ein etabliertes Produkt willst.

AliasVault lohnt sich eher für diese Gruppe:

  • Du willst pro Dienst konsequent eigene E-Mail-Aliasse nutzen.
  • Du betreibst ohnehin eigene Domains und verstehst DNS, MX und Reverse Proxy.
  • Du willst ein Open-Source-Projekt testen, das Passwortmanager und Alias-Inbox zusammen denkt.
  • Du bist bereit, mit einem jungen Projekt zu leben und Updates aktiv zu verfolgen.
  • Du startest neu und musst nicht erst ein riesiges Bitwarden-Setup nachbauen.

Für Familien, Teams und produktive Umgebungen mit geringem Wartungsappetit wäre ich vorsichtiger. Nicht weil AliasVault schlecht wirkt. Sondern weil Passwörter und E-Mail-Aliasse kritische Infrastruktur sind. Neue Projekte dürfen spannend sein. Sie müssen aber nicht sofort dein einziges Sicherheitsnetz werden.

FAQ

Ist AliasVault eine direkte Alternative zu Vaultwarden?

Nicht direkt. Vaultwarden ist eine inoffizielle Bitwarden-Server-Implementierung und funktioniert mit offiziellen Bitwarden-Clients. AliasVault ist ein eigenes System mit Passwortverwaltung, Alias-Mailbox, Web-App, Browser-Erweiterungen und Mobile-Apps.

Kann AliasVault selfhosted betrieben werden?

Ja. Laut offizieller Dokumentation gibt es ein Install-Script für einen verwalteten Multi-Container-Stack und Docker Compose mit einem All-in-One-Container. Beide Wege setzen Docker voraus.

Welche Mindestanforderungen nennt AliasVault?

Das GitHub-README nennt 1 vCPU, 1 GB RAM, 16 GB Speicher, Docker ab 20.10 und 64-Bit-Linux.

Ersetzt AliasVault SimpleLogin oder Proton Pass?

Teilweise. AliasVault bringt Passwortmanager und E-Mail-Aliasse zusammen. Proton Pass bietet ebenfalls Hide-my-email-Aliasse. SimpleLogin ist stärker als dedizierter Alias-/Relay-Dienst bekannt. AliasVault ist dann interessant, wenn du beides in einem selfhosted Open-Source-Stack testen willst.

Funktioniert AliasVault ohne eigene Mail-Domain?

Für Tests geht das einfacher. Die Dokumentation erwähnt öffentliche SpamOK-Domains als Fallback, wenn keine private Domain konfiguriert ist. Für volle Kontrolle empfiehlt AliasVault aber die Einrichtung einer eigenen Domain.

Ist AliasVault stabil genug für produktive Nutzung?

Das hängt von deinem Risiko ab. Das Projekt ist aktiv, aber noch jung. Version 0.29.4 war am 8. Juni 2026 das aktuelle GitHub-Release. Für private Tests und technisch betreute Setups ist es spannend. Für unersetzliche Produktiv-Vaults würde ich erst Backup, Restore und Migrationsweg testen.

Sind die Daten Ende-zu-Ende-verschlüsselt?

Laut AliasVault-Architektur werden Vault-Daten clientseitig verschlüsselt. Das Master-Passwort verlässt den Client nicht. E-Mails werden nach Empfang verschlüsselt gespeichert und im Browser entschlüsselt.

Was ist der größte Nachteil gegenüber Bitwarden?

Reife. Bitwarden und Vaultwarden sind in vielen Setups erprobt. AliasVault hat ein starkes Konzept, aber weniger Laufzeit, weniger Verbreitung und noch offene Roadmap-Punkte wie Family-/Team-Funktionen und weitere Usability-Verbesserungen.

Fazit

AliasVault ist interessant, weil es nicht nur „noch ein Passwortmanager“ sein will. Es trifft einen echten Nerv: Passwörter allein reichen nicht, wenn die gleiche E-Mail-Adresse überall klebt.

Als selfhosted Alternative zu Bitwarden oder Vaultwarden ist AliasVault aber keine 1:1-Ablösung. Es ist eher ein anderes Modell. Weniger kompatibel mit dem Bitwarden-Ökosystem, dafür konsequenter bei Alias-Identitäten und eigener Mail-Inbox.

Meine Einschätzung: Für Homelab-Nutzer mit eigener Domain ist AliasVault ein sehr gutes Testprojekt. Für den primären Passwortspeicher würde ich erst importieren, ausprobieren, Backups testen und mindestens ein paar Release-Zyklen beobachten.

Spannend ist es trotzdem. Vielleicht gerade deshalb.

Passende Produktrecherchen

Wenn du Passwortmanager und Alias-Infrastruktur selbst betreibst, sind diese Suchpfade thematisch passend. Keine Kaufempfehlung, keine Rangliste, nur Recherche-Einstiege:

Hinweis: Als Amazon-Partner verdient kalika.de an qualifizierten Verkäufen. Für dich ändert sich der Preis nicht.

Quellen

Weiterführende Artikel

© 2012 - 2026 kalika - Katja – Linus – Karsten
Erstellt mit Hugo
Theme Stack von Jimmy