Nel marzo 2025, i procuratori federali hanno collegato un sequestro di criptovalute a un furto iniziato con la violazione di LastPass. Le vittime avevano conservato le seed phrase nelle Note sicure, gli aggressori avevano prelevato dati cifrati del vault nel 2022, e le password master deboli sono state violate successivamente in modalità offline. Leggi i reportage sul caso.
Quella storia non ha creato la categoria dei gestori di password self-hosted, ma ha spinto più persone verso di essa.
Questo articolo salta il solito elenco di funzionalità. Ti dà la scelta per uso individuale, piccoli team e organizzazioni con esigenze di audit. Copre anche le due parti che la maggior parte delle guide tralascia: backup e migrazione.
La risposta diretta
- Utente singolo, famiglia o homelab: Vaultwarden su un piccolo VPS. Usa i client ufficiali di Bitwarden, rimane leggero e mantiene la configurazione semplice.
- Team piccolo o flusso di lavoro con credenziali condivise: Organizzazioni Vaultwarden per team con uso intensivo del mobile, o Passbolt se la gestione delle credenziali condivise è la vera ragione per cui ti ospiti da solo.
- Organizzazione con esigenze di audit o conformità: Il server self-hosted ufficiale di Bitwarden. È più pesante, ma ha il percorso di audit e il supporto del fornitore di cui la maggior parte delle organizzazioni ha bisogno.
- Indipendentemente da quale scegli: Un backup che non hai mai ripristinato non è un backup. Testa un ripristino completo su una macchina vuota.
Cosa Significa il Self-Hosting
Il modello di crittografia non cambia. La crittografia avviene ancora sul client. Il server memorizza testo cifrato che non può leggere. La differenza sta in chi gestisce il server. Con Bitwarden cloud, lo fa Bitwarden. Con Vaultwarden o Bitwarden self-hosted, lo fai tu.
Questo non è la stessa cosa di un secrets manager come HashiCorp Vault, Doppler o AWS Secrets Manager. Quegli strumenti servono le app. I password manager servono le persone.
Cosa è nell'ambito qui: Vaultwarden, Bitwarden self-hosted, Passbolt CE, Psono e KeePassXC con Syncthing come opzione senza server.
I Cinque Strumenti in Sintesi
| Strumento | Stack | Impronta tipica | Stato dell'audit | Ideale per |
|---|---|---|---|---|
| Vaultwarden | Rust, singolo container Docker | ~50 MB in stato di inattività | Nessun audit formale di terze parti | Individui, famiglie, piccoli team |
| Bitwarden self-hosted | .NET, stack multi-container | ~2 GB in stato di inattività | Audit di terze parti pubblicati | Organizzazioni che necessitano di uno storico di audit |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB funzionante | Verificato da terze parti | Condivisione delle credenziali orientata al team |
| Psono | Python / PostgreSQL, multi-container | ~512 MB+ | Cronologia di audit parziale | Team che vogliono un modello di condivisione enterprise |
| KeePassXC + Syncthing | DB locale + sincronizzazione peer | Nessun server | Recensioni indipendenti pubblicate | Utenti singoli che non vogliono alcun server |
Vaultwarden
Vaultwarden è una riscrittura in Rust del server Bitwarden. Usa i client ufficiali di Bitwarden, quindi l'esperienza quotidiana è identica a Bitwarden cloud. Funziona in un unico container Docker e mantiene basso il consumo di risorse.
Il compromesso è semplice. Vaultwarden non ha un audit di sicurezza formale da parte terza. Questo non lo rende cattivo. Significa solo che il modello di fiducia è diverso.
Per utenti singoli, coppie e famiglie, quel compromesso di solito va bene. Per i team che usano molto il mobile, è ancora una scelta solida se usano prevalentemente vault personali con alcune raccolte condivise.
Un piccolo VPS è sufficiente per la maggior parte delle configurazioni Vaultwarden. Circa 1 GB è il punto ideale per un vault personale. Per una piccola famiglia o un team con un po' di attività in più, 2 GB offre più margine.
Tienilo aggiornato. Le modifiche ai client Bitwarden possono rompere versioni più vecchie di Vaultwarden per un breve periodo, quindi non lasciare che il server rimanga indietro per mesi.
Scegli: Vaultwarden per la maggior parte dei casi d'uso personale.
Bitwarden Self-Hosted
Bitwarden self-hosted è il full stack del fornitore. È più pesante di Vaultwarden, ma è il prezzo da pagare per ottenere il modello esatto del server Bitwarden, il lavoro di audit pubblicato e un percorso di supporto più facile da difendere davanti agli acquisti o ai revisori della sicurezza.
Bitwarden pubblica lavori di valutazione di terze parti su tutti i suoi prodotti.
Questa è la scelta giusta per le organizzazioni che devono rispondere alle domande con date e report concreti, non con risposte vaghe. Necessita anche di più spazio. Una piccola organizzazione dovrebbe pianificare un VPS da 4 GB come punto di partenza, con più margine per team più grandi o lavori di backup più pesanti.
Scelta: Bitwarden self-hosted quando la cronologia di audit conta più di uno stack leggero.
Passbolt CE
Passbolt è costruito attorno ai team fin dall'inizio. Il suo modello di condivisione è più granulare di quello che la maggior parte delle configurazioni di gestori di password personali offre, ed è proprio questo il punto. Funziona meglio quando le credenziali condivise sono il lavoro principale, non un ripensamento.
Lo svantaggio è l'esperienza mobile. Passbolt è ancora desktop-first in pratica. Una modalità di accesso offline per emergenze è nel roadmap, ma non è la stessa cosa di avere un'esperienza offline matura oggi.
Passbolt richiede anche più risorse di Vaultwarden. Un VPS da 2 GB è il minimo, e 4 GB è un punto di partenza più sicuro per uno stack di team reale.
Scelta: Passbolt CE quando il flusso di lavoro delle credenziali condivise è l'intera ragione per cui ti ospiti da solo.
Psono
Psono si trova nel mezzo. Ha un modello di condivisione enterprise, portali separati per admin e utenti, e una struttura che rende la gestione dell'accesso di gruppo più facile rispetto a un semplice vault personale.
È meno comune di Vaultwarden, Bitwarden o Passbolt, quindi la community è più piccola.
Psono ha senso per i team che vogliono qualcosa di più strutturato rispetto alle organizzazioni di Vaultwarden, ma non vogliono i compromessi mobile che vengono con Passbolt.
Scelta: Psono per i team che vogliono un modello di condivisione più enterprise senza passare direttamente a Bitwarden self-hosted.
KeePassXC + Syncthing
Questo è il percorso senza server. KeePassXC memorizza le credenziali in un file locale crittografato .kdbx file. Syncthing copia quel file su tutti i tuoi dispositivi. Nessun server. Nessuna API. Nessun Docker. Nessun costo mensile.
I compromessi sono reali. Non c'è una condivisione di gruppo adeguata. La gestione dei conflitti diventa caotica se due dispositivi scrivono contemporaneamente. Non c'è un web vault, quindi l'accesso da una macchina in prestito è escluso.
Questa è la risposta giusta per un singolo utente con due o tre dispositivi che non vuole gestire infrastrutture.
Scegli: KeePassXC + Syncthing per chi non vuole un server.
Regole di backup che contano
Un gestore di password self-hosted vale quanto il processo di ripristino che c'è dietro.
L'approccio più sicuro è semplice:
- mantenere tre copie dei dati
- conservarle su due tipi diversi di supporto
- conservare una copia fuori sede
Una configurazione semplice funziona bene. Fai un dump notturno del database, copialo su uno storage compatibile con S3 e conserva una seconda copia su supporti rimovibili che restino altrove.
Poi fai la parte che la maggior parte delle persone salta. Ripristina un backup su una VM vuota e accedi. Se funziona, hai un backup. Se non funziona, hai un file che speri funzioni.
Migrazione da LastPass, 1Password o Bitwarden Cloud
Il passaggio più semplice in questo elenco è da Bitwarden cloud a Vaultwarden. Cambia l'URL del server nel client, accedi e sincronizza.
La migrazione da LastPass a Vaultwarden richiede più passaggi. Esporta il vault di LastPass in CSV, importalo tramite il client Bitwarden, quindi punta lo stesso client al tuo server self-hosted.
Tre cose richiedono attenzione:
- Gli allegati vengono esportati separatamente dal CSV. Ricaricali manualmente.
- La struttura delle cartelle potrebbe cambiare. Fai un rapido controllo prima di fidarti del nuovo layout.
- I seed TOTP necessitano di verifica. Accedi a qualche account prima di eliminare il vecchio vault.
La regola universale è semplice: non eliminare il vault di origine per 30 giorni.
Quale opzione si adatta a quale lettore
Se vuoi il percorso più semplice per uso personale, scegli Vaultwarden.
Se il tuo team ha bisogno di credenziali condivise e lavora principalmente su desktop, Passbolt è la scelta più ovvia.
Se la cronologia degli audit e il supporto del fornitore sono la priorità assoluta, Bitwarden self-hosted è la scelta più sicura.
Se non vuoi alcun server, KeePassXC insieme a Syncthing è la via d'uscita più pulita.
Concludere
Scegli la configurazione adatta al tuo caso d'uso, distribuisci lo strumento corrispondente e vai avanti.
Il passo successivo è il test di ripristino a freddo. Avvia una VM vuota, ripristina il tuo ultimo backup e accedi.
