Pada Maret 2025, jaksa federal mengaitkan penyitaan kripto dengan pencurian yang dimulai dari pelanggaran LastPass. Korban telah menyimpan frasa seed di Catatan Aman, penyerang telah mengambil data vault terenkripsi pada 2022, dan kata sandi master yang lemah kemudian dipecahkan secara offline. Baca laporan tentang kasus ini.
Kisah itu tidak menciptakan kategori manajer kata sandi self-hosted, tetapi mendorong lebih banyak orang ke arahnya.
Artikel ini melewatkan daftar fitur biasa. Ini memberi Anda pilihan untuk penggunaan solo, tim kecil, dan organisasi dengan kebutuhan audit. Ini juga mencakup dua bagian yang ditinggalkan sebagian besar panduan: backup dan migrasi.
Jawaban Langsung
- Pengguna tunggal, keluarga, atau homelab: Vaultwarden pada VPS kecil. Menggunakan klien Bitwarden resmi, tetap ringan, dan membuat pengaturan sederhana.
- Tim kecil atau alur kerja dengan kredensial bersama: Organisasi Vaultwarden untuk tim yang banyak menggunakan perangkat mobile, atau Passbolt jika pengelolaan kredensial bersama adalah alasan sebenarnya Anda melakukan self-hosting.
- Organisasi dengan kebutuhan audit atau kepatuhan: Server self-hosted resmi Bitwarden. Ini lebih berat, tetapi memiliki jejak audit dan dukungan vendor yang dibutuhkan sebagian besar organisasi.
- Tidak peduli mana yang Anda pilih: Backup yang belum pernah Anda pulihkan bukanlah backup. Uji pemulihan lengkap pada mesin yang kosong.
Apa Arti Self-Hosting
Model enkripsi tidak berubah. Enkripsi tetap terjadi di klien. Server menyimpan ciphertext yang tidak bisa dibacanya. Perbedaannya adalah siapa yang menjalankan server. Dengan Bitwarden cloud, Bitwarden yang menjalankannya. Dengan Vaultwarden atau Bitwarden self-hosted, Anda yang menjalankannya.
Ini tidak sama dengan secrets manager seperti HashiCorp Vault, Doppler, atau AWS Secrets Manager. Alat-alat itu melayani aplikasi. Manajer kata sandi melayani orang.
Apa yang ada dalam cakupan di sini: Vaultwarden, Bitwarden self-hosted, Passbolt CE, Psono, dan KeePassXC dengan Syncthing sebagai opsi tanpa server.
Lima Alat Sekilas Pandang
| Alat | Tumpukan | Jejak sumber daya tipikal | Status audit | Terbaik untuk |
|---|---|---|---|---|
| Vaultwarden | Rust, satu kontainer Docker | ~50 MB saat idle | Tidak ada audit pihak ketiga formal | Individu, keluarga, tim kecil |
| Bitwarden self-hosted | .NET, stack multi-container | ~2 GB saat idle | Audit pihak ketiga yang dipublikasikan | Organisasi yang memerlukan riwayat audit |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB bekerja | Diaudit oleh pihak ketiga | Berbagi kredensial yang mengutamakan tim |
| Psono | Python / PostgreSQL, multi-container | ~512 MB+ | Riwayat audit parsial | Tim yang menginginkan model berbagi gaya enterprise |
| KeePassXC + Syncthing | DB lokal + sinkronisasi peer | Tanpa server | Ulasan independen yang diterbitkan | Pengguna tunggal yang tidak menginginkan server sama sekali |
Vaultwarden
Vaultwarden adalah penulisan ulang Rust dari server Bitwarden. Menggunakan klien Bitwarden resmi, sehingga pengalaman sehari-hari terasa sama seperti Bitwarden cloud. Berjalan dalam satu kontainer Docker dan menjaga penggunaan sumber daya tetap rendah.
Pertimbangannya sederhana. Vaultwarden tidak memiliki audit keamanan pihak ketiga yang resmi. Itu tidak membuatnya buruk. Itu hanya berarti model kepercayaan berbeda.
Untuk pengguna tunggal, pasangan, dan keluarga, pertimbangan tersebut biasanya tidak masalah. Untuk tim yang banyak menggunakan ponsel, ini masih cocok jika sebagian besar menggunakan vault pribadi dengan beberapa koleksi bersama.
VPS kecil sudah cukup untuk sebagian besar pengaturan Vaultwarden. Sekitar 1 GB adalah titik manis untuk vault pribadi. Untuk rumah tangga kecil atau tim dengan sedikit aktivitas tambahan, 2 GB memberikan lebih banyak ruang gerak.
Tetap perbarui. Perubahan klien Bitwarden dapat merusak build Vaultwarden lama untuk sementara waktu, jadi jangan biarkan server tertinggal selama berbulan-bulan.
Pilih: Vaultwarden untuk sebagian besar kasus penggunaan pribadi.
Bitwarden Self-Hosted
Bitwarden self-hosted adalah stack vendor penuh. Ini lebih berat dari Vaultwarden, tetapi itu adalah harga untuk mendapatkan model server Bitwarden yang tepat, pekerjaan audit yang dipublikasikan, dan jalur dukungan yang lebih mudah dipertahankan di depan pengadaan atau peninjau keamanan.
Bitwarden mempublikasikan pekerjaan penilaian pihak ketiga di seluruh produknya.
Ini adalah pilihan tepat untuk organisasi yang perlu menjawab pertanyaan dengan tanggal dan laporan, bukan dengan jawaban samar. Ini juga membutuhkan lebih banyak ruang. Organisasi kecil harus merencanakan VPS 4 GB sebagai titik awal, dengan lebih banyak ruang untuk tim yang lebih besar atau pekerjaan pencadangan yang lebih berat.
Pilihan: Bitwarden self-hosted ketika riwayat audit lebih penting daripada stack yang ringan.
Passbolt CE
Passbolt dibangun di sekitar tim sejak awal. Model berbaginya lebih granular dari yang ditawarkan sebagian besar pengaturan manajer kata sandi pribadi, dan itulah intinya. Ini paling baik digunakan ketika kredensial bersama adalah pekerjaan utama, bukan renungan belakangan.
Kekurangannya adalah pada sisi mobile. Passbolt dalam praktiknya masih mengutamakan desktop. Mode akses offline untuk darurat ada di roadmap, tetapi itu tidak sama dengan memiliki pengalaman offline yang matang hari ini.
Passbolt juga membutuhkan lebih banyak sumber daya dari Vaultwarden. VPS 2 GB adalah batas minimum, dan 4 GB adalah titik awal yang lebih aman untuk stack tim yang sebenarnya.
Pilihan: Passbolt CE ketika alur kerja kredensial bersama adalah satu-satunya alasan Anda melakukan self-hosting.
Psono
Psono berada di tengah. Ia memiliki model berbagi gaya enterprise, portal admin dan pengguna yang terpisah, dan struktur yang membuat akses grup lebih mudah dikelola dibandingkan brankas pribadi biasa.
Ini kurang umum daripada Vaultwarden, Bitwarden, atau Passbolt, jadi komunitasnya lebih kecil.
Psono masuk akal untuk tim yang menginginkan sesuatu yang lebih terstruktur dari Vaultwarden Organizations, tetapi tidak menginginkan kompromi mobile yang hadir dengan Passbolt.
Pilihan: Psono untuk tim yang menginginkan model berbagi yang lebih seperti enterprise tanpa langsung beralih ke Bitwarden self-hosted.
KeePassXC + Syncthing
Ini adalah jalur tanpa server. KeePassXC menyimpan kredensial dalam .kdbx file. Syncthing menyalin file tersebut ke seluruh perangkat Anda. Tidak ada server. Tidak ada API. Tidak ada Docker. Tidak ada tagihan bulanan.
Pertimbangannya nyata. Tidak ada berbagi tim yang tepat. Penanganan konflik menjadi berantakan jika dua perangkat menulis pada saat yang bersamaan. Tidak ada web vault, sehingga akses dari mesin yang dipinjam tidak memungkinkan.
Ini adalah jawaban yang tepat untuk pengguna tunggal dengan dua atau tiga perangkat yang tidak ingin mengelola infrastruktur.
Pilih: KeePassXC + Syncthing untuk mereka yang tidak menginginkan server.
Aturan Backup yang Penting
Pengelola kata sandi self-hosted hanya sebaik proses pemulihan di baliknya.
Pendekatan paling aman itu jelas:
- simpan tiga salinan data
- simpan di dua jenis media yang berbeda
- simpan satu salinan di luar lokasi
Pengaturan sederhana berfungsi dengan baik. Ambil dump database setiap malam, salin ke penyimpanan yang kompatibel dengan S3, dan simpan salinan kedua di media yang dapat dilepas yang disimpan di tempat lain.
Kemudian lakukan bagian yang dilewati kebanyakan orang. Pulihkan cadangan ke VM kosong dan masuk. Jika itu berhasil, Anda memiliki cadangan. Jika tidak, Anda memiliki file yang Anda harapkan berfungsi.
Migrasi dari LastPass, 1Password, atau Bitwarden Cloud
Langkah paling mudah dalam daftar ini adalah dari Bitwarden cloud ke Vaultwarden. Ubah URL server di klien, masuk, dan sinkronkan.
Migrasi dari LastPass ke Vaultwarden membutuhkan lebih banyak langkah. Ekspor vault LastPass ke CSV, impor melalui klien Bitwarden, lalu arahkan klien yang sama ke server self-hosted Anda.
Tiga hal perlu diperhatikan:
- Lampiran keluar secara terpisah dari CSV. Unggah ulang secara manual.
- Struktur folder mungkin berubah. Lakukan pemeriksaan cepat sebelum mempercayai tata letak baru.
- Seed TOTP perlu diperiksa. Masuk ke beberapa akun sebelum menghapus vault lama.
Aturan universalnya sederhana: jangan hapus vault sumber selama 30 hari.
Mana yang Cocok untuk Pembaca Mana
Jika Anda menginginkan jalur paling mudah untuk penggunaan pribadi, pilih Vaultwarden.
Jika tim Anda membutuhkan kredensial bersama dan bekerja terutama di desktop, Passbolt adalah pilihan paling tepat.
Jika riwayat audit dan dukungan vendor adalah prioritas utama, Bitwarden self-hosted adalah pilihan yang lebih aman.
Jika Anda tidak ingin server sama sekali, KeePassXC ditambah Syncthing adalah solusi paling bersih.
Merangkum Semuanya
Pilih pengaturan yang sesuai dengan kasus penggunaan Anda, deploy alat yang cocok, dan terus melangkah.
Langkah berikutnya adalah uji cold-restore. Jalankan VM kosong, pulihkan backup terbaru Anda, dan masuk.
