في مارس 2025، ربط المدعون العامون الفيدراليون ضبط عملات مشفرة بسرقة بدأت باختراق LastPass. كانت الضحايا قد خزّنوا عبارات الاسترداد في الملاحظات الآمنة، وقد سرق المهاجمون بيانات الخزنة المشفرة عام 2022، ثم كُسرت كلمات المرور الرئيسية الضعيفة لاحقاً دون اتصال بالإنترنت. اقرأ التقارير حول القضية.
لم تُنشئ هذه القصة فئة مديري كلمات المرور ذاتية الاستضافة، لكنها دفعت المزيد من الناس نحوها.
تتخطى هذه المقالة قائمة الميزات المعتادة. تمنحك الاختيار للاستخدام الفردي والفرق الصغيرة والمؤسسات ذات احتياجات التدقيق. كما تغطي جزأين تغفل عنهما معظم الأدلة: النسخ الاحتياطي والهجرة.
الإجابة المباشرة
- مستخدم منفرد أو عائلة أو مختبر منزلي: Vaultwarden على VPS صغير. يستخدم عملاء Bitwarden الرسميين، ويبقى خفيفاً ويحافظ على بساطة الإعداد.
- فريق صغير أو سير عمل بأوراق اعتماد مشتركة: مؤسسات Vaultwarden للفرق التي تعتمد بكثافة على الأجهزة المحمولة، أو Passbolt إذا كان العمل بأوراق الاعتماد المشتركة هو السبب الحقيقي لاستضافتك الذاتية.
- المؤسسة ذات متطلبات التدقيق أو الامتثال: الخادم الرسمي المستضاف ذاتياً لـ Bitwarden. إنه أثقل، لكنه يوفر مسار التدقيق ودعم المورد الذي تحتاجه معظم المؤسسات.
- بغض النظر عن أيهما تختار: النسخة الاحتياطية التي لم تستعدها أبداً ليست نسخة احتياطية. اختبر الاستعادة الكاملة على جهاز فارغ.
ما معنى الاستضافة الذاتية
نموذج التشفير لا يتغير. لا يزال التشفير يحدث على العميل. يخزن الخادم نصاً مشفراً لا يمكنه قراءته. الفرق يكمن في من يدير الخادم. مع Bitwarden السحابي، يديره Bitwarden. مع Vaultwarden أو Bitwarden المستضاف ذاتياً، أنت من يديره.
هذا ليس نفس شيء كمدير أسرار مثل HashiCorp Vault أو Doppler أو AWS Secrets Manager. تلك الأدوات تخدم التطبيقات. مديرو كلمات المرور يخدمون الأشخاص.
ما هو ضمن النطاق هنا: Vaultwarden وBitwarden المستضاف ذاتياً وPassbolt CE وPsono وKeePassXC مع Syncthing كخيار بدون خادم.
الأدوات الخمس في لمحة سريعة
| الأداة | مكدس | البصمة الاستهلاكية النموذجية | حالة التدقيق | الأنسب لـ |
|---|---|---|---|---|
| Vaultwarden | Rust، حاوية Docker واحدة | ~50 MB في وضع الخمول | لا يوجد تدقيق رسمي من طرف ثالث | الأفراد والعائلات والفرق الصغيرة |
| Bitwarden ذاتي الاستضافة | .NET، حزمة متعددة الحاويات | ~2 GB في وضع الخمول | عمليات تدقيق خارجية منشورة | المؤسسات التي تحتاج إلى سجل تدقيق |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB تشغيلي | تم تدقيقه من طرف ثالث | مشاركة أوراق الاعتماد بنهج يضع الفريق أولاً |
| Psono | Python / PostgreSQL، متعدد الحاويات | ~512 MB+ | سجل تدقيق جزئي | الفرق التي تريد نموذج مشاركة على مستوى المؤسسات |
| KeePassXC + Syncthing | قاعدة بيانات محلية + مزامنة نظير إلى نظير | بدون خادم | مراجعات مستقلة منشورة | المستخدمون المنفردون الذين لا يريدون أي خادم على الإطلاق |
Vaultwarden
Vaultwarden هو إعادة كتابة بلغة Rust لخادم Bitwarden. يستخدم عملاء Bitwarden الرسميين، مما يجعل تجربة الاستخدام اليومية مطابقة لـ Bitwarden السحابي. يعمل في حاوية Docker واحدة ويستهلك موارد منخفضة.
المقايضة بسيطة. لا تخضع Vaultwarden لتدقيق أمني رسمي من طرف ثالث. هذا لا يجعلها سيئة، بل يعني فقط أن نموذج الثقة مختلف.
بالنسبة للمستخدمين الفرديين والأزواج والعائلات، عادةً ما تكون هذه المقايضة مقبولة. بالنسبة للفرق التي تعتمد كثيراً على الأجهزة المحمولة، لا تزال خياراً جيداً إذا كانوا يستخدمون أساساً خزائن شخصية مع بعض المجموعات المشتركة.
يكفي VPS صغير لمعظم إعدادات Vaultwarden. نحو 1 GB هو النقطة المثالية للخزنة الشخصية. بالنسبة لمنزل صغير أو فريق ذي نشاط إضافي قليل، توفر 2 GB مساحة تنفس أكبر.
حافظ على تحديثه. قد تُتلف تغييرات عملاء Bitwarden الإصدارات القديمة من Vaultwarden مؤقتاً، لذا لا تدع الخادم يتأخر لأشهر في كل مرة.
اختر: Vaultwarden لمعظم حالات الاستخدام الشخصي.
Bitwarden ذاتي الاستضافة
Bitwarden ذاتي الاستضافة هو الحزمة الكاملة للمورّد. إنه أثقل من Vaultwarden، لكن هذا هو ثمن الحصول على نموذج خادم Bitwarden الدقيق وأعمال التدقيق المنشورة ومسار دعم يسهل الدفاع عنه أمام مسؤولي المشتريات أو مراجعي الأمان.
ينشر Bitwarden أعمال التقييم الخارجي عبر جميع منتجاته.
هذا هو الاختيار الصحيح للمؤسسات التي تحتاج إلى الإجابة على الأسئلة بالتواريخ والتقارير، وليس بالكلام المبهم. كما أنه يحتاج إلى مساحة أكبر. يجب على المؤسسة الصغيرة التخطيط لـ VPS بسعة 4 جيجابايت كنقطة بداية، مع هامش أكبر للفرق الأكبر أو مهام النسخ الاحتياطي الأثقل.
الاختيار: Bitwarden مستضاف ذاتياً عندما يكون سجل التدقيق أهم من كونه خفيف الحمل.
Passbolt CE
Passbolt مبني حول الفرق منذ البداية. نموذج المشاركة الخاص به أكثر دقة مما تقدمه معظم إعدادات مدير كلمات المرور الشخصية، وهذا بالضبط هو هدفه. يعمل بشكل أفضل عندما تكون أوراق الاعتماد المشتركة هي المهمة الأساسية، وليست فكرة لاحقة.
العيب يكمن في تجربة الجوّال. Passbolt لا يزال يعمل بنهج سطح المكتب أولاً من الناحية العملية. وضع الوصول غير المتصل في حالات الطوارئ موجود في خارطة الطريق، لكنه ليس نفس امتلاك تجربة غير متصلة ناضجة اليوم.
Passbolt أيضاً يحتاج إلى موارد أكثر من Vaultwarden. VPS بسعة 2 جيجابايت هو الحد الأدنى، و4 جيجابايت هو مكان أكثر أماناً للبدء لمكدس فريق حقيقي.
الاختيار: Passbolt CE عندما يكون سير عمل أوراق الاعتماد المشتركة هو السبب الكامل لاستضافتك الذاتية.
Psono
Psono يقع في المنتصف. يمتلك نموذج مشاركة على مستوى المؤسسات، وبوابات منفصلة للمسؤول والمستخدم، وهيكلاً يجعل إدارة وصول المجموعات أسهل من مجرد خزينة شخصية بسيطة.
إنه أقل شيوعاً من Vaultwarden وBitwarden وPassbolt، لذا فإن المجتمع أصغر.
Psono منطقي للفرق التي تريد شيئاً أكثر تنظيماً من مؤسسات Vaultwarden، لكنها لا تريد التنازلات المتعلقة بالأجهزة المحمولة التي تأتي مع Passbolt.
الاختيار: Psono للفرق التي تريد نموذج مشاركة أكثر شبهاً بالمؤسسات دون القفز مباشرة إلى Bitwarden المستضاف ذاتياً.
KeePassXC + Syncthing
هذا هو المسار بدون خادم. يخزّن KeePassXC بيانات الاعتماد في ملف محلي مشفّر .kdbx ملف. يقوم Syncthing بنسخ هذا الملف على جميع أجهزتك. لا خادم. لا واجهة برمجة تطبيقات. لا Docker. لا فاتورة شهرية.
هناك مقايضات حقيقية. لا توجد مشاركة جماعية مناسبة. تصبح معالجة التعارضات فوضوية إذا كتب جهازان في وقت واحد. لا يوجد خزنة ويب، لذا فإن الوصول عبر جهاز مستعار غير ممكن.
هذه هي الإجابة الصحيحة لمستخدم منفرد يمتلك جهازين أو ثلاثة ولا يريد إدارة بنية تحتية.
اختر: KeePassXC + Syncthing لمن لا يريدون خادماً.
قواعد النسخ الاحتياطي التي تهم
لا يتجاوز مدير كلمات المرور ذاتي الاستضافة جودة عملية الاستعادة التي تدعمه.
النهج الأكثر أماناً واضح:
- الاحتفاظ بثلاث نسخ من البيانات
- تخزينها على نوعين مختلفين من وسائط التخزين
- الاحتفاظ بنسخة واحدة خارج الموقع
الإعداد البسيط يعمل بشكل جيد. قم بأخذ نسخة احتياطية ليلية لقاعدة البيانات، وانسخها إلى تخزين متوافق مع S3، واحتفظ بنسخة ثانية على وسيط قابل للإزالة يُحفظ في مكان آخر.
ثم افعل ما يتجاهله معظم الناس. استعِد النسخة الاحتياطية على VM فارغ وسجّل الدخول. إذا نجح الأمر، فلديك نسخة احتياطية حقيقية. وإن لم ينجح، فلديك ملف تتمنى أن يعمل.
الانتقال من LastPass أو 1Password أو Bitwarden Cloud
أسهل انتقال في هذه القائمة هو من Bitwarden cloud إلى Vaultwarden. غيّر عنوان URL للخادم في التطبيق، سجّل الدخول، ثم زامن.
الانتقال من LastPass إلى Vaultwarden يتطلب مزيدًا من العمل. صدّر خزنة LastPass بصيغة CSV، واستوردها عبر عميل Bitwarden، ثم وجّه هذا العميل نفسه إلى خادمك المستضاف ذاتيًا.
ثلاثة أمور تستدعي الاهتمام:
- تخرج المرفقات بشكل منفصل عن ملف CSV. أعِد رفعها يدويًا.
- قد تتغير بنية المجلدات. أجرِ فحصًا سريعًا قبل الوثوق بالتخطيط الجديد.
- يجب التحقق من بذور TOTP. سجّل الدخول إلى بعض الحسابات قبل حذف الخزنة القديمة.
القاعدة الشاملة بسيطة: لا تحذف خزنة المصدر لمدة 30 يومًا.
أيهما يناسب أي قارئ
إذا كنت تريد المسار الأكثر سلاسة للاستخدام الشخصي، فاختر Vaultwarden.
إذا كان فريقك يحتاج إلى بيانات اعتماد مشتركة ويعمل أساسًا على سطح المكتب، فإن Passbolt هو الخيار الأنسب.
إذا كانت سجلات التدقيق ودعم المورّد هي الأهم، فإن Bitwarden المستضاف ذاتيًا هو الخيار الأكثر أمانًا.
إذا كنت لا تريد أي خادم على الإطلاق، فإن KeePassXC مع Syncthing هو المخرج الأنظف.
خلاصة
اختر الإعداد الذي يناسب حالة استخدامك، انشر الأداة المناسبة، وانطلق.
الخطوة التالية هي اختبار الاستعادة الباردة. شغّل جهازًا ظاهريًا فارغًا، استعِد أحدث نسخة احتياطية لديك وسجّل الدخول.
