I marts 2025 koblede føderale anklagere en kryptobeslaglæggelse til et tyveri, der begyndte med LastPass-bruddet. Ofre havde gemt seed-sætninger i sikre noter, angribere havde i 2022 taget krypterede kælderdata, og svage master-adgangskoder blev knækket offline senere. Læs rapporteringen om sagen.
Den historie skabte ikke kategorien for selvhostede adgangskodeadministratorer, men den pressede flere folk i den retning.
Denne artikel springer den sædvanlige funktionsoversigt over. Den giver dig valget for solobrug, små teams og organisationer med auditbehov. Den dækker også de to dele, som de fleste guider udelader: backups og migration.
Det direkte svar
- Solo-bruger, familie eller homelab: Vaultwarden på en lille VPS. Den bruger de officielle Bitwarden-klienter, forbliver let og holder opsætningen enkel.
- Lille team eller delt legitimationsoplysninger workflow: Vaultwarden Organisationer til teams med meget mobil brug, eller Passbolt hvis delt legitimationsoplysningsarbejde er den egentlige grund til, at du selv hoster.
- Organisation med revisions- eller compliancebehov: Bitwardens officielle selvhostede server. Det er tungere, men det har revisionsloget og leverandørsupport, som de fleste organisationer har brug for.
- Uanset hvilken du vælger: En backup, du aldrig har gendannet, er ikke en backup. Test en komplet gendannelse på en blank maskine.
Hvad Selvhosting Betyder
Krypteringsmodellen ændrer sig ikke. Kryptering sker stadig på klienten. Serveren gemmer krypteret tekst, den ikke kan læse. Forskellen er, hvem der kører serveren. Med cloud-Bitwarden kører Bitwarden den. Med Vaultwarden eller Bitwarden selvhostet gør du det.
Dette er ikke det samme som en secrets manager som HashiCorp Vault, Doppler eller AWS Secrets Manager. Disse værktøjer tjener apps. Adgangskodeadministratorer tjener mennesker.
Hvad der er i scope her: Vaultwarden, Bitwarden selvhostet, Passbolt CE, Psono og KeePassXC med Syncthing som den serverløse mulighed.
De fem værktøjer på et øjeblik
| Værktøj | Stak | Typisk ressourceforbrug | Auditstatus | Bedst til |
|---|---|---|---|---|
| Vaultwarden | Rust, enkelt Docker-container | ~50 MB inaktiv | Ingen formel tredjeparts audit | Enkeltpersoner, familier, små teams |
| Bitwarden selvhostet | .NET, multi-container stack | ~2 GB inaktiv | Offentliggjorte tredjeparts audits | Organisationer der har brug for audithistorik |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB i drift | Revideret af tredjepart | Team-første legitimationsoplysningsdeling |
| Psono | Python / PostgreSQL, multi-container | ~512 MB+ | Delvis revisionshistorik | Teams der ønsker en enterprise-lignende delingsmodel |
| KeePassXC + Syncthing | Lokal DB + peer-synkronisering | Ingen server | Uafhængige anmeldelser offentliggjort | Enkeltbrugere, der slet ikke ønsker en server |
Vaultwarden
Vaultwarden er en Rust-omskrivning af Bitwarden-serveren. Den bruger de officielle Bitwarden-klienter, så den daglige oplevelse føles den samme som cloud-Bitwarden. Den kører i én Docker-container og holder ressourceforbruget lavt.
Afvejningen er enkel. Vaultwarden har ingen formel tredjeparts sikkerhedsaudit. Det gør den ikke dårlig. Det betyder blot, at tillidsmodellen er anderledes.
For solobrugere, par og familier er den afvejning normalt fin. For mobilintensive teams er det stadig et solidt valg, hvis de primært bruger personlige kældre med et par delte samlinger.
En lille VPS er nok til de fleste Vaultwarden-opsætninger. Omkring 1 GB er sweet-spot for en personlig kælder. For en lille husstand eller et team med lidt ekstra aktivitet giver 2 GB mere åndeplads.
Hold det opdateret. Bitwarden klientændringer kan midlertidigt bryde ældre Vaultwarden-builds, så lad ikke serveren drive i måneder ad gangen.
Vælg: Vaultwarden for de fleste personlige brugsscenarier.
Bitwarden Selvhostet
Bitwarden selvhostet er den fulde leverandørstack. Det er tungere end Vaultwarden, men det er prisen for at få den præcise Bitwarden-servermodel, publiceret auditarbejde og en supportsti, der er lettere at forsvare over for indkøb eller sikkerhedsgennemgangspersoner.
Bitwarden offentliggør tredjeparts vurderingsarbejde for alle sine produkter.
Dette er det rigtige valg for organisationer, der skal besvare spørgsmål med datoer og rapporter, ikke med vage svar. Det kræver også mere plads. En lille organisation bør planlægge med en 4 GB VPS som udgangspunkt, med mere plads til større teams eller tungere backupjobs.
Valg: Bitwarden selvhostet når revisionshistorik betyder mere end en slank stack.
Passbolt CE
Passbolt er bygget omkring teams fra starten. Dets delings model er mere granulær end det, de fleste personlige adgangskode-manager-opsætninger tilbyder, og det er pointen. Det fungerer bedst, når delte legitimationsoplysninger er hovedopgaven, ikke en eftertanke.
Ulempen er den mobile oplevelse. Passbolt er stadig desktop-first i praksis. Offline katastrofeadgangstilstand er på roadmappen, men det er ikke det samme som at have en moden offline-oplevelse i dag.
Passbolt vil også have mere maskine end Vaultwarden. En 2 GB VPS er gulvet, og 4 GB er et sikrere sted at starte for en rigtig teamstack.
Valg: Passbolt CE når delt legitimationsoplysningerne workflow er hele grunden til, at du selv hoster.
Psono
Psono sidder i midten. Det har en enterprise-lignende delingsmodel, separate admin- og brugerportaler og en struktur, der gør gruppeadgang nemmere at administrere end en simpel personlig boks.
Det er mindre udbredt end Vaultwarden, Bitwarden eller Passbolt, så fællesskabet er mindre.
Psono giver mening for teams, der ønsker noget mere struktureret end Vaultwarden Organizations, men ikke vil have de mobile kompromiser, der følger med Passbolt.
Valg: Psono for teams, der ønsker en mere enterprise-lignende delingsmodel uden at gå direkte til Bitwarden selvhostet.
KeePassXC + Syncthing
Dette er vejen uden server. KeePassXC gemmer legitimationsoplysninger i en lokal krypteret .kdbx fil. Syncthing kopierer den fil til alle dine enheder. Ingen server. Ingen API. Ingen Docker. Ingen månedlig regning.
Afvejningerne er reelle. Der er ingen ordentlig teamdeling. Konflikthåndtering bliver rodet, hvis to enheder skriver samtidigt. Der er ingen webkælder, så adgang fra en lånt maskine er udelukket.
Dette er det rigtige svar for en enkelt bruger med to eller tre enheder, der ikke ønsker at drive infrastruktur.
Vælg: KeePassXC + Syncthing for dem uden server.
Backup-regler der betyder noget
En selvhostet adgangskodeadministrator er kun så god som gendannelsesprocessen bag den.
Den sikreste fremgangsmåde er enkel:
- bevar tre kopier af dataene
- opbevar dem på to forskellige slags medier
- bevar en kopi off-site
En simpel opsætning fungerer fint. Tag et natligt database-dump, kopier det til S3-kompatibel lagerplads og hold en anden kopi på flytbare medier, der opbevares et andet sted.
Gør derefter det, de fleste springer over. Gendan en backup til en tom VM og log ind. Hvis det virker, har du en backup. Hvis ikke, har du en fil, du håber virker.
Migrering fra LastPass, 1Password eller Bitwarden Cloud
Det nemmeste træk på denne liste er fra Bitwarden cloud til Vaultwarden. Skift server-URL'en i klienten, log ind og synkroniser.
Overgangen fra LastPass til Vaultwarden kræver mere arbejde. Eksportér LastPass-boksen til CSV, importér via Bitwarden-klienten, og peg derefter samme klient mod din selvhostede server.
Tre ting kræver opmærksomhed:
- Vedhæftede filer eksporteres separat fra CSV. Upload dem manuelt igen.
- Mappestrukturen kan ændre sig. Lav et hurtigt tjek, inden du stoler på det nye layout.
- TOTP seeds skal kontrolleres. Log ind på et par konti, inden du sletter den gamle boks.
Den universelle regel er enkel: slet ikke kildeboksen i 30 dage.
Hvilken mulighed passer til hvilken læser
Hvis du vil have den nemmeste vej til personlig brug, vælg Vaultwarden.
Hvis dit team har brug for delte loginoplysninger og primært arbejder på desktop, er Passbolt det mest oplagte valg.
Hvis audithistorik og leverandørsupport er vigtigst, er Bitwarden self-hosted det sikreste valg.
Hvis du slet ikke ønsker en server, er KeePassXC plus Syncthing den reneste løsning.
Afsluttende bemærkninger
Vælg den opsætning, der passer til dit use case, installer det tilsvarende værktøj, og kom videre.
Næste trin er cold-restore-testen. Start en tom VM, gendan din seneste backup og log ind.
