2025 年 3 月,联邦检察官将一起加密货币扣押案与源自 LastPass 数据泄露的盗窃行为挂钩。受害者曾将助记词存入安全笔记,攻击者于 2022 年窃取了加密的保险库数据,之后通过离线方式破解了弱主密码。 阅读关于该案件的报道。
那个事件并没有催生自托管密码管理器这一品类,但它确实让更多人走上了这条路。
本文略过常见的功能罗列,直接给出个人用户、小型团队和有审计需求的组织的推荐选择。同时涵盖大多数指南忽略的两个关键环节:备份与迁移。
直接答案
- 个人用户、家庭或 homelab: Vaultwarden 在小型 VPS 上运行。使用官方 Bitwarden 客户端,保持轻量级,让部署简单。
- 小团队或共享凭据工作流: Vaultwarden 组织 对于移动端使用量大的团队,或 Passbolt 如果共享凭据管理才是您自托管的真正原因。
- 有审计或合规需求的组织: Bitwarden 官方自托管服务器。它更重,但具备大多数组织所需的审计跟踪和厂商支持。
- 无论您选择哪个: 从未恢复过的备份不算备份。在空白机器上测试冷恢复。
自托管的含义
加密模型不会改变。加密仍在客户端进行。服务器存储它无法读取的密文。区别在于谁运行服务器。使用云端 Bitwarden 时,由 Bitwarden 运行。使用 Vaultwarden 或 Bitwarden 自托管时,由您运行。
这与 HashiCorp Vault、Doppler 或 AWS Secrets Manager 等密钥管理器不同。那些工具服务于应用程序。密码管理器服务于人。
本文涵盖范围:Vaultwarden、Bitwarden 自托管、Passbolt CE、Psono,以及作为无服务器选项的 KeePassXC 配合 Syncthing。
五大工具一览
| 工具 | 堆栈 | 典型资源占用 | 审计状态 | 最适合 |
|---|---|---|---|---|
| Vaultwarden | Rust,单个 Docker 容器 | 空闲时约 50 MB | 无正式第三方审计 | 个人、家庭、小型团队 |
| Bitwarden 自托管 | .NET,多容器架构 | 空闲时约 2 GB | 已公开的第三方审计报告 | 需要审计历史记录的组织 |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB 运行中 | 经第三方审计 | 以团队为核心的凭据共享 |
| Psono | Python / PostgreSQL,多容器 | ~512 MB+ | 部分审计历史 | 希望采用企业级共享模型的团队 |
| KeePassXC + Syncthing | 本地数据库 + 点对点同步 | 无服务器 | 已发布的独立评测 | 完全不需要服务器的单用户 |
Vaultwarden
Vaultwarden 是 Bitwarden 服务器的 Rust 重写版本。它使用官方 Bitwarden 客户端,因此日常体验与云端 Bitwarden 相同。它在单个 Docker 容器中运行,保持较低的资源占用。
权衡很简单。Vaultwarden 没有正式的第三方安全审计。这并不意味着它不好,只是信任模型不同。
对于个人用户、情侣和家庭来说,这种权衡通常是可以接受的。对于重度依赖移动端的团队,如果主要使用个人保险库加少量共享集合,这仍然是个稳健的选择。
小型 VPS 足以满足大多数 Vaultwarden 部署需求。约 1 GB 是个人保险库的最佳配置。对于小型家庭或活动稍多的团队,2 GB 可以提供更宽裕的空间。
保持更新。Bitwarden 客户端的变更有时会短暂导致旧版 Vaultwarden 出现兼容问题,因此不要让服务器长达数月未更新。
推荐:Vaultwarden 适用于大多数个人使用场景。
Bitwarden 自托管版
Bitwarden 自托管是完整的官方技术栈。它比 Vaultwarden 占用更多资源,但这是获得完整 Bitwarden 服务器模型、公开审计报告以及在采购或安全评审人员面前更易于说明的支持路径所必须付出的代价。
Bitwarden 公开发布针对其所有产品的第三方评估报告。
这是适合需要用日期和报告来回答问题的组织的正确选择,而不是模糊的承诺。它也需要更多资源。小型组织应将 4 GB VPS 作为起点,为更大的团队或更繁重的备份任务留出更多余量。
选择:Bitwarden 自托管 当审计历史比精简的技术栈更重要时。
Passbolt CE
Passbolt 从一开始就是为团队而设计的。它的共享模型比大多数个人密码管理器的设置更加精细,这正是它的价值所在。当共享凭据是核心工作而非事后补充时,它的表现最为出色。
缺点在于移动端体验。实际上 Passbolt 仍以桌面端为优先。离线应急访问模式在路线图中,但这与现在就拥有成熟的离线体验是两回事。
Passbolt 也比 Vaultwarden 需要更多资源。2 GB VPS 是最低配置,4 GB 是真实团队环境更安全的起点。
选择:Passbolt CE 当共享凭据工作流是您自托管的全部原因时。
Psono
Psono 处于中间位置。它拥有企业级共享模型、独立的管理员和用户门户,以及比普通个人密码库更易于管理群组访问权限的结构。
它不如 Vaultwarden、Bitwarden 或 Passbolt 常见,因此社区规模较小。
Psono 适合希望比 Vaultwarden 组织更有结构感但不想接受 Passbolt 移动端限制的团队。
选择:Psono 适合希望采用更接近企业级共享模型而不想直接转向 Bitwarden 自托管的团队。
KeePassXC + Syncthing
这是无服务器方案。KeePassXC 将凭据存储在本地加密的 .kdbx 文件。Syncthing 将该文件同步到您的所有设备。无需服务器,无需 API,无需 Docker,无需月费。
这些权衡是真实存在的。没有适当的团队共享功能。如果两台设备同时写入,冲突处理会变得混乱。没有网页版保险库,因此无法在借用的设备上访问。
这是适合拥有两三台设备、不想自己运维基础设施的单个用户的正确答案。
推荐:KeePassXC + Syncthing 适合不想要服务器的用户。
真正重要的备份规则
自托管密码管理器的好坏,取决于其背后的恢复流程是否可靠。
最安全的做法很简单:
- 保存三份数据副本
- 存储在两种不同类型的介质上
- 在异地保存一份副本
简单的设置就够用了。每晚进行一次数据库转储,将其复制到兼容 S3 的存储中,并在可移动介质上保留第二份副本,存放在其他地方。
然后做大多数人跳过的那一步。将备份恢复到一台空白虚拟机并登录。如果成功,你才真正拥有一份备份。如果失败,你只不过有一个你希望能用的文件。
从 LastPass、1Password 或 Bitwarden Cloud 迁移
此列表中最简单的迁移是从 Bitwarden 云端切换到 Vaultwarden。只需在客户端更改服务器 URL,登录,然后同步即可。
从 LastPass 迁移到 Vaultwarden 需要更多步骤。将 LastPass 密码库导出为 CSV,通过 Bitwarden 客户端导入,然后将同一客户端指向您的自托管服务器。
有三件事需要注意:
- 附件与 CSV 分开导出。 手动重新上传它们。
- 文件夹结构可能会发生变化。 在信任新的布局之前,先快速检查一遍。
- TOTP 种子需要检查。 在删除旧密码库之前,先登录几个账户验证一下。
通用规则很简单:30 天内不要删除源密码库。
哪个选项适合哪类读者
如果你想要个人使用最顺畅的方案,选择 Vaultwarden。
如果您的团队需要共享凭证且主要在桌面端工作,Passbolt 是最合适的选择。
如果审计记录和供应商支持最为重要,Bitwarden 自托管是更安全的选择。
如果你完全不想要服务器,KeePassXC 加上 Syncthing 是最简洁的解决方案。
总结一下
选择适合你使用场景的配置,部署对应的工具,然后继续前进。
下一步是冷恢复测试。启动一台空白 VM,恢复最新的备份,然后登录。
