2025 márciusában szövetségi ügyészek egy kriptovaluta-lefoglalást a LastPass adatvédelmi incidenssel kezdődő lopáshoz kapcsoltak. Az áldozatok seed kifejezéseket tároltak Biztonságos Jegyzetekben, a támadók 2022-ben titkosított páncélszekrény-adatokat loptak, a gyenge fő jelszavakat pedig később offline feltörték. Olvassa el a témában megjelent tudósításokat.
Ez a történet nem teremtette meg az önállóan üzemeltetett jelszókezelők kategóriáját, de több embert tolt abba az irányba.
Ez a cikk kihagyja a szokásos funkciólistát. Megadja az egyéni felhasználók, kis csapatok és auditálási igényű szervezetek számára a megfelelő választást. Kitér arra is, amit a legtöbb útmutató elhagy: a biztonsági mentésekre és a migrációra.
A közvetlen válasz
- Egyéni felhasználó, család vagy homelab: Vaultwarden kis VPS-en. A hivatalos Bitwarden-klienseket használja, könnyű marad, és egyszerűen tartja a beállítást.
- Kis csapat vagy megosztott hitelesítő adatok munkafolyamata: Vaultwarden Szervezetek mobilintenzív csapatok számára, vagy Passbolt ha a megosztott hitelesítő adatok kezelése az igazi oka az önálló üzemeltetésnek.
- Audit- vagy megfelelési igényekkel rendelkező szervezet: Bitwarden hivatalos saját üzemeltetésű szervere. Nehezebb, de megvan benne az auditnapló és a szállítói támogatás, amelyre a legtöbb szervezetnek szüksége van.
- Mindegy, melyiket választja: Egy soha nem visszaállított mentés nem mentés. Tesztelje az üres gépre végzett teljes visszaállítást.
Mit Jelent az Önálló Üzemeltetés
A titkosítási modell nem változik. A titkosítás még mindig az ügyféloldalon történik. A szerver titkosított szöveget tárol, amelyet nem tud olvasni. A különbség az, hogy ki üzemelteti a szervert. A felhős Bitwarden esetén a Bitwarden üzemelteti. A Vaultwarden vagy a Bitwarden saját üzemeltetés esetén Ön.
Ez nem ugyanaz, mint egy titkosságkezelő, például a HashiCorp Vault, Doppler vagy AWS Secrets Manager. Ezek az eszközök alkalmazásokat szolgálnak ki. A jelszókezelők embereket szolgálnak ki.
Mi van itt a hatókörben: Vaultwarden, Bitwarden saját üzemeltetés, Passbolt CE, Psono, és KeePassXC Syncthinggel mint szerver nélküli opció.
Az Öt Eszköz Egy Pillantásra
| Eszköz | Verem | Jellemző erőforrásigény | Auditálási állapot | A legjobb választás: |
|---|---|---|---|---|
| Vaultwarden | Rust, egyetlen Docker-konténer | ~50 MB üresjáratban | Nincs formális harmadik feles audit | Egyének, családok, kis csapatok |
| Bitwarden önállóan üzemeltetve | .NET, többkonténeres verem | ~2 GB üresjáratban | Közzétett harmadik feles auditok | Auditnaplót igénylő szervezetek |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB futás közben | Harmadik fél által auditált | Csapat-elsőbbségű hitelesítő adatok megosztása |
| Psono | Python / PostgreSQL, multi-konténer | ~512 MB+ | Részleges auditnapló | Csapatok, amelyek vállalati szintű megosztási modellt szeretnének |
| KeePassXC + Syncthing | Helyi adatbázis + peer szinkronizáció | Nincs szerver | Közzétett független vélemények | Egyéni felhasználók, akik egyáltalán nem akarnak szervert |
Vaultwarden
A Vaultwarden a Bitwarden szerver Rust-alapú újraimplementációja. A hivatalos Bitwarden-klienseket használja, így a napi élmény ugyanolyan, mint a felhőalapú Bitwarden esetén. Egyetlen Docker-konténerben fut, és alacsony erőforrás-felhasználást tart fenn.
A kompromisszum egyszerű. A Vaultwardennek nincs formális harmadik feles biztonsági auditja. Ez nem teszi rosszá. Csak annyit jelent, hogy a bizalmi modell eltér.
Egyéni felhasználók, párok és családok számára ez a kompromisszum általában rendben van. Mobilközpontú csapatok számára még mindig szilárd választás, ha főként személyes értéktárakat és néhány megosztott gyűjteményt használnak.
Egy kis VPS elegendő a legtöbb Vaultwarden-telepítéshez. Körülbelül 1 GB az ideális pont egy személyes páncélszekrényhez. Kis háztartás vagy némileg aktívabb csapat számára 2 GB több mozgásteret biztosít.
Tartsa naprakészen. A Bitwarden kliens változtatásai rövid ideig megakaszthatják a régebbi Vaultwarden verziókat, ezért ne hagyja, hogy a szerver hónapokig lemaradjon.
Válasszon: Vaultwarden a legtöbb személyes felhasználási esethez.
Bitwarden Önállóan Üzemeltetve
A Bitwarden önálló üzemeltetés a teljes szállítói verem. Nehezebb a Vaultwardennél, de ez az ára annak, hogy megkaphassa a pontos Bitwarden szerver modellt, a közzétett auditeredményeket és egy olyan támogatási útvonalat, amelyet könnyebb megvédeni a beszerző részleg vagy biztonsági felülvizsgálók előtt.
A Bitwarden harmadik feles értékelési munkákat tesz közzé valamennyi termékéhez.
Ez a megfelelő választás olyan szervezetek számára, amelyeknek dátumokkal és jelentésekkel kell válaszolniuk a kérdésekre, nem homályos ígéretekkel. Több helyre is szüksége van. Egy kis szervezetnek 4 GB-os VPS-t kell terveznie kiindulópontként, több tartalékkal a nagyobb csapatok vagy nehezebb mentési feladatok számára.
Választás: Bitwarden saját üzemeltetés amikor az auditnapló fontosabb, mint egy karcsú stack.
Passbolt CE
A Passbolt kezdettől fogva csapatok köré épül. Megosztási modellje részletesebb, mint amit a legtöbb személyes jelszókezelő-beállítás kínál, és pontosan ez a lényege. Akkor működik a legjobban, ha a megosztott hitelesítő adatok a fő feladat, nem egy utógondolat.
A hátrány a mobil élménynél van. A Passbolt a gyakorlatban még mindig desktop-first. Az offline vészhelyzeti hozzáférési mód van az ütemtervben, de ez nem ugyanaz, mint ma már érett offline élménnyel rendelkezni.
A Passbolt is több erőforrást igényel, mint a Vaultwarden. A 2 GB-os VPS a minimum, a 4 GB pedig biztonságosabb kiindulópont egy valódi csapatos stack esetén.
Választás: Passbolt CE amikor a megosztott hitelesítő adatok munkafolyamata az egész oka az önálló üzemeltetésnek.
Psono
A Psono középen helyezkedik el. Vállalati szintű megosztási modellel, külön rendszergazda- és felhasználói portálokkal, és olyan struktúrával rendelkezik, amely egyszerűbbé teszi a csoportos hozzáférés kezelését, mint egy egyszerű személyes jelszótároló.
Kevésbé elterjedt, mint a Vaultwarden, Bitwarden vagy Passbolt, ezért a közösség kisebb.
A Psono logikus választás olyan csapatok számára, amelyek a Vaultwarden Organizations-nál strukturáltabbat szeretnének, de nem akarják a Passbolt mobil kompromisszumait.
Választás: Psono olyan csapatok számára, amelyek vállalatibb megosztási modellt szeretnének, anélkül, hogy egyből a Bitwarden saját üzemeltetésre ugranának.
KeePassXC + Syncthing
Ez a szerver nélküli megközelítés. KeePassXC a hitelesítési adatokat egy helyi, titkosított .kdbx fájlban. A Syncthing átmásolja ezt a fájlt az összes eszközére. Nincs szerver. Nincs API. Nincs Docker. Nincs havi számla.
A kompromisszumok valósak. Nincs megfelelő csapatmegosztás. Az ütközések kezelése zavarossá válik, ha két eszköz egyszerre ír. Nincs web-értéktár, így a kölcsönzött gépről való hozzáférés szóba sem jöhet.
Ez a helyes válasz egy olyan egyéni felhasználónak, akinek két-három eszköze van, és nem akar infrastruktúrát üzemeltetni.
Válasszon: KeePassXC + Syncthing azok számára, akik nem akarnak szervert.
A fontos biztonsági mentési szabályok
Az önállóan üzemeltetett jelszókezelő annyira jó, amilyen jó a mögötte lévő visszaállítási folyamat.
A legbiztonságosabb megközelítés egyszerű:
- az adatokból három másolatot kell megőrizni
- kétféle adathordozón tárolni azokat
- egy másolatot külső helyen tárolni
Egy egyszerű beállítás is tökéletesen működik. Vegyen fel éjszakai adatbázis-másolatot, másolja azt S3-kompatibilis tárhelyre, és tartson egy második másolatot cserélhető adathordozón, amely valahol máshol marad.
Aztán csináld meg azt a részt, amit a legtöbben kihagynak. Állítsd vissza a biztonsági mentést egy üres VM-re, és lépj be. Ha ez működik, van biztonsági mentésed. Ha nem, van egy fájlod, amiről reméled, hogy működik.
Átköltözés LastPass-ről, 1Password-ről vagy Bitwarden Cloud-ról
A legegyszerűbb lépés ezen a listán a Bitwarden cloudból a Vaultwarden-re való átváltás. Módosítsd a szerver URL-jét a kliensben, lépj be, és szinkronizálj.
A LastPass-ről Vaultwarden-re való átköltözés több munkát igényel. Exportáld a LastPass tárhelyet CSV-be, importáld be a Bitwarden kliensen keresztül, majd irányítsd ugyanazt a klienst az önállóan üzemeltetett szerveredre.
Három dologra kell figyelni:
- A mellékletek a CSV-től külön kerülnek ki. Töltsd fel őket kézzel újra.
- A mappastruktúra megváltozhat. Végezz egy gyors átvizsgálást, mielőtt megbíznál az új elrendezésben.
- A TOTP seed-eket ellenőrizni kell. Jelentkezz be néhány fiókba, mielőtt törölnéd a régi tárolót.
Az általános szabály egyszerű: 30 napig ne töröld a forrás tárolót.
Melyik opció melyik olvasónak való
Ha a legzökkenőmentesebb megoldást szeretnéd személyes használatra, válaszd a Vaultwarden-t.
Ha a csapatodnak megosztott hitelesítő adatokra van szüksége, és főként asztali gépen dolgozik, a Passbolt a legkézenfekvőbb választás.
Ha az auditnapló és a szállítói támogatás a legfontosabb szempont, a Bitwarden saját szerveren a biztonságosabb választás.
Ha egyáltalán nem akar szervert, a KeePassXC és Syncthing páros a legtisztább megoldás.
Lezárásként
Válassza ki az igényeihez illő konfigurációt, telepítse a megfelelő eszközt, és haladjon tovább.
A következő lépés a hideg visszaállítási teszt. Indítson el egy üres VM-et, állítsa vissza a legutóbbi biztonsági mentést, és lépjen be.
