V březnu 2025 spojili federální prokurátoři zabavení kryptoměn s krádeží, která začala únikem dat LastPass. Oběti si uložily seed fráze do bezpečných poznámek, útočníci v roce 2022 odcizili zašifrovaná data trezoru a slabá hlavní hesla byla later prolomeny offline. Přečtěte si zprávy o tomto případu.
Ten příběh nevytvořil kategorii self-hosted správců hesel, ale posunul k ní více lidí.
Tento článek přeskakuje obvyklý seznam funkcí. Dává vám volbu pro samostatné použití, malé týmy a organizace s požadavky na audit. Pokrývá také dvě části, které většina průvodců vynechává: zálohy a migraci.
Přímá odpověď
- Sólo uživatel, rodina nebo homelab: Vaultwarden na malém VPS. Používá oficiální klienty Bitwarden, zůstává lehký a udržuje nastavení jednoduché.
- Malý tým nebo sdílený přihlašovací pracovní postup: Vaultwarden Organizace pro týmy s intenzivním používáním mobilních zařízení, nebo Passbolt pokud sdílení přihlašovacích údajů je skutečným důvodem pro vlastní hosting.
- Organizace s auditem nebo požadavky na compliance: Bitwarden oficiální vlastní server. Je náročnější, ale má auditní stopu a podporu dodavatele, kterou většina organizací potřebuje.
- Ať si vyberete jakýkoli: Záloha, kterou jste nikdy neobnovili, není záloha. Otestujte úplnou obnovu na čistém stroji.
Co znamená vlastní hosting
Model šifrování se nemění. Šifrování stále probíhá na klientovi. Server ukládá šifrovaný text, který nemůže číst. Rozdíl spočívá v tom, kdo server provozuje. U cloudového Bitwarden ho provozuje Bitwarden. U Vaultwarden nebo Bitwarden vlastní hosting to jste vy.
Toto není totéž co správce tajemství jako HashiCorp Vault, Doppler nebo AWS Secrets Manager. Tyto nástroje slouží aplikacím. Správci hesel slouží lidem.
Co je zde v záběru: Vaultwarden, Bitwarden vlastní hosting, Passbolt CE, Psono a KeePassXC se Syncthing jako bezseverovou variantou.
Pět nástrojů na první pohled
| Nástroj | Zásobník | Typická náročnost | Stav auditu | Nejlepší pro |
|---|---|---|---|---|
| Vaultwarden | Rust, jediný Docker kontejner | ~50 MB v nečinnosti | Žádný formální audit třetí stranou | Jednotlivci, rodiny, malé týmy |
| Bitwarden vlastní hosting | .NET, vícekontejnerový stack | ~2 GB v nečinnosti | Zveřejněné audity třetích stran | Organizace, které potřebují historii auditu |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB v provozu | Auditováno třetí stranou | Sdílení přihlašovacích údajů zaměřené na tým |
| Psono | Python / PostgreSQL, více kontejnerů | ~512 MB+ | Částečná historie auditu | Týmy, které chtějí podnikový model sdílení |
| KeePassXC + Syncthing | Místní DB + synchronizace peer | Žádný server | Zveřejněné nezávislé recenze | Jednotliví uživatelé, kteří nepotřebují žádný server |
Vaultwarden
Vaultwarden je přepis serveru Bitwarden v jazyce Rust. Využívá oficiální klienty Bitwarden, takže každodenní zkušenost se cítí stejně jako cloudový Bitwarden. Běží v jediném kontejneru Docker a udržuje nízkou spotřebu zdrojů.
Kompromis je jednoduchý. Vaultwarden nemá formální bezpečnostní audit třetí stranou. To z něj nedělá špatné řešení. Jen to znamená, že model důvěry je jiný.
Pro jednotlivé uživatele, páry a rodiny je tento kompromis obvykle přijatelný. Pro týmy silně závislé na mobilních zařízeních je to stále solidní volba, pokud převážně používají osobní trezory s několika sdílenými kolekcemi.
Malý VPS stačí pro většinu nastavení Vaultwarden. Kolem 1 GB je ideálním bodem pro osobní trezor. Pro malou domácnost nebo tým s trochou navíc aktivity 2 GB poskytují více prostoru.
Udržujte ho aktuální. Změny klientů Bitwarden mohou na krátkou dobu rozbít starší sestavení Vaultwarden, proto nenechte server zaostávat na měsíce.
Vyberte: Vaultwarden pro většinu osobních případů použití.
Bitwarden Vlastní Hosting
Bitwarden vlastní hosting je plný dodavatelský stack. Je těžší než Vaultwarden, ale to je cena za přesný serverový model Bitwarden, zveřejněné auditní výsledky a cestu podpory, která je snadněji obhajitelná před oddělením nákupu nebo bezpečnostními reviewery.
Bitwarden zveřejňuje hodnoticí práce třetích stran pro všechny své produkty.
Toto je správná volba pro organizace, které potřebují odpovídat na otázky s daty a reporty, nikoli neurčitými sliby. Také potřebuje více místa. Malá organizace by měla počítat s VPS 4 GB jako výchozím bodem, s větší rezervou pro větší týmy nebo náročnější zálohovací úlohy.
Volba: Bitwarden vlastní hosting když je historie auditu důležitější než štíhlý stack.
Passbolt CE
Passbolt je od samého začátku postaven kolem týmů. Jeho model sdílení je granulovanější než to, co nabízí většina nastavení osobních správců hesel, a právě to je jeho silná stránka. Funguje nejlépe, když jsou sdílené přihlašovací údaje hlavní náplní práce, nikoli vedlejší myšlenkou.
Nevýhoda spočívá v mobilním zážitku. Passbolt je v praxi stále desktop-first. Offline nouzový přístupový režim je na roadmapě, ale to není totéž jako mít dnes vyspělou offline zkušenost.
Passbolt také vyžaduje více prostředků než Vaultwarden. VPS s 2 GB je minimum a 4 GB je bezpečnější výchozí bod pro skutečný týmový stack.
Volba: Passbolt CE pokud sdílení přihlašovacích údajů je jediným důvodem pro vlastní hosting.
Psono
Psono stojí uprostřed. Má podnikový model sdílení, oddělené portály pro administrátory a uživatele a strukturu, která usnadňuje správu skupinového přístupu ve srovnání s prostým osobním trezorem.
Je méně rozšířený než Vaultwarden, Bitwarden nebo Passbolt, takže komunita je menší.
Psono dává smysl pro týmy, které chtějí něco strukturovanějšího než Vaultwarden Organizations, ale nechtějí mobilní kompromisy, které přicházejí s Passbolt.
Volba: Psono pro týmy, které chtějí podnikový model sdílení, aniž by přešly přímo na Bitwarden vlastní hosting.
KeePassXC + Syncthing
Toto je cesta bez serveru. KeePassXC ukládá přihlašovací údaje do místního šifrovaného .kdbx souboru. Syncthing zkopíruje tento soubor na všechna vaše zařízení. Žádný server. Žádné API. Žádný Docker. Žádný měsíční účet.
Kompromisy jsou reálné. Neexistuje správné sdílení v týmu. Řešení konfliktů je chaotické, pokud dvě zařízení zapisují současně. Neexistuje webový trezor, takže přístup z půjčeného stroje nepřipadá v úvahu.
Toto je správná odpověď pro jednotlivého uživatele se dvěma nebo třemi zařízeními, který nechce provozovat infrastrukturu.
Vyberte: KeePassXC + Syncthing pro ty, kdo nechtějí server.
Zálohovací pravidla, na kterých záleží
Vlastně hostovaný správce hesel je jen tak dobrý, jako je proces obnovení za ním.
Nejbezpečnější přístup je jasný:
- uchovávat tři kopie dat
- uložit je na dvou různých druzích médií
- uchovávat jednu kopii na jiném místě
Jednoduché nastavení funguje dobře. Vezměte noční zálohu databáze, zkopírujte ji do S3-kompatibilního úložiště a uchovejte druhou kopii na výměnném médiu, které zůstane někde jinde.
Pak udělejte část, kterou většina lidí přeskočí. Obnovte zálohu na prázdný VM a přihlaste se. Pokud to funguje, máte zálohu. Pokud ne, máte soubor, který doufáte, že funguje.
Migrace z LastPass, 1Password nebo Bitwarden Cloud
Nejjednodušší přesun v tomto seznamu je z Bitwarden cloud na Vaultwarden. Změňte URL serveru v klientovi, přihlaste se a synchronizujte.
Přechod z LastPass na Vaultwarden vyžaduje více práce. Exportujte trezor LastPass do CSV, importujte ho přes klienta Bitwarden a poté nasměrujte tohoto klienta na váš vlastní server.
Tři věci si vyžadují pozornost:
- Přílohy se exportují odděleně od CSV. Nahrajte je ručně znovu.
- Struktura složek se může změnit. Proveďte rychlou kontrolu, než budete důvěřovat novému rozložení.
- Seeds TOTP je nutné zkontrolovat. Přihlaste se k několika účtům, než smažete starý trezor.
Univerzální pravidlo je jednoduché: nemaže zdrojový trezor po dobu 30 dní.
Která možnost se hodí pro jakého čtenáře
Pokud chcete nejhladší cestu pro osobní použití, zvolte Vaultwarden.
Pokud váš tým potřebuje sdílené přihlašovací údaje a pracuje převážně na počítači, je Passbolt nejjasnější volbou.
Pokud jsou pro vás nejdůležitější auditní záznamy a podpora dodavatele, Bitwarden self-hosted je bezpečnější volbou.
Pokud nechcete žádný server, KeePassXC spolu se Syncthing je nejčistší úniková cesta.
Shrnutí
Vyberte nastavení odpovídající vašemu případu použití, nasaďte příslušný nástroj a jděte dál.
Dalším krokem je test studeného obnovení. Spusťte prázdný VM, obnovte svou poslední zálohu a přihlaste se.
