W marcu 2025 roku federalni prokuratorzy powiązali zajęcie kryptowalut z kradzieżą, która zaczęła się od naruszenia LastPass. Ofiary przechowywały frazy seed w Bezpiecznych notatkach, napastnicy zabrali zaszyfrowane dane skarbca w 2022 roku, a słabe hasła główne zostały później złamane offline. Przeczytaj relacje z tej sprawy.
Ta historia nie stworzyła kategorii samodzielnie hostowanych menedżerów haseł, ale skłoniła w tym kierunku więcej osób.
Ten artykuł pomija zwykłe zestawienie funkcji. Podaje rekomendację dla użytkownika indywidualnego, małych zespołów i organizacji z potrzebami audytu. Obejmuje też dwa obszary, które większość poradników pomija: kopie zapasowe i migrację.
Bezpośrednia odpowiedź
- Pojedynczy użytkownik, rodzina lub homelab: Vaultwarden na małym VPS. Korzysta z oficjalnych klientów Bitwarden, pozostaje lekki i utrzymuje prostą konfigurację.
- Mały zespół lub workflow ze współdzielonymi poświadczeniami: Organizacje Vaultwarden dla zespołów intensywnie używających urządzeń mobilnych lub Passbolt jeśli praca ze współdzielonymi poświadczeniami jest prawdziwym powodem self-hostingu.
- Organizacja z potrzebami audytu lub zgodności: Oficjalny serwer self-hosted Bitwarden. Jest cięższy, ale ma ścieżkę audytu i wsparcie dostawcy, których potrzebuje większość organizacji.
- Niezależnie od tego, który wybierzesz: Kopia zapasowa, której nigdy nie przywróciłeś, nie jest kopią zapasową. Przetestuj pełne przywrócenie na pustej maszynie.
Co oznacza self-hosting
Model szyfrowania nie zmienia się. Szyfrowanie nadal odbywa się po stronie klienta. Serwer przechowuje szyfrogram, którego nie może odczytać. Różnica tkwi w tym, kto zarządza serwerem. W przypadku Bitwarden cloud robi to Bitwarden. W przypadku Vaultwarden lub Bitwarden self-hosted robisz to ty.
To nie to samo co menedżer sekretów jak HashiCorp Vault, Doppler czy AWS Secrets Manager. Te narzędzia służą aplikacjom. Menedżery haseł służą ludziom.
Co jest tu w zakresie: Vaultwarden, Bitwarden self-hosted, Passbolt CE, Psono i KeePassXC z Syncthing jako opcją bez serwera.
Pięć narzędzi w skrócie
| Narzędzie | Stos | Typowe zużycie zasobów | Status audytu | Najlepszy dla |
|---|---|---|---|---|
| Vaultwarden | Rust, jeden kontener Docker | ~50 MB w stanie bezczynności | Brak formalnego audytu strony trzeciej | Osoby prywatne, rodziny, małe zespoły |
| Bitwarden samodzielnie hostowany | .NET, stos wielu kontenerów | ~2 GB w stanie bezczynności | Opublikowane audyty stron trzecich | Organizacje wymagające historii audytu |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB działający | Audytowane przez stronę trzecią | Udostępnianie poświadczeń z myślą o zespole |
| Psono | Python / PostgreSQL, multi-kontener | ~512 MB+ | Częściowa historia audytu | Zespoły chcące modelu udostępniania na poziomie enterprise |
| KeePassXC + Syncthing | Lokalna baza danych + synchronizacja peer | Brak serwera | Opublikowane niezależne recenzje | Pojedynczy użytkownicy, którzy w ogóle nie chcą serwera |
Vaultwarden
Vaultwarden to przepisany w Rust serwer Bitwarden. Korzysta z oficjalnych klientów Bitwarden, więc codzienna obsługa czuje się tak samo jak chmurowy Bitwarden. Działa w jednym kontenerze Docker i utrzymuje niskie zużycie zasobów.
Kompromis jest prosty. Vaultwarden nie ma formalnego audytu bezpieczeństwa przeprowadzonego przez stronę trzecią. Nie sprawia to, że jest gorszy. Oznacza to po prostu, że model zaufania jest inny.
Dla pojedynczych użytkowników, par i rodzin ten kompromis jest zazwyczaj akceptowalny. Dla zespołów mocno korzystających z urządzeń mobilnych, jest to nadal solidny wybór, jeśli korzystają głównie z osobistych skarbców z kilkoma udostępnionymi kolekcjami.
Mały VPS wystarczy dla większości konfiguracji Vaultwarden. Około 1 GB to optymalna ilość dla osobistego skarbca. Dla małego gospodarstwa domowego lub zespołu z nieco większą aktywnością, 2 GB zapewnia więcej swobody.
Trzymaj go zaktualizowanego. Zmiany w klientach Bitwarden mogą przez krótki czas psuć starsze wersje Vaultwarden, więc nie pozwól, by serwer opóźniał się o miesiące.
Wybierz: Vaultwarden dla większości prywatnych przypadków użycia.
Bitwarden Samodzielnie Hostowany
Bitwarden samodzielnie hostowany to pełny stos dostawcy. Jest cięższy niż Vaultwarden, ale to cena za otrzymanie dokładnego modelu serwera Bitwarden, opublikowanych wyników audytu i ścieżki wsparcia, którą łatwiej obronić przed działem zamówień lub recenzentami bezpieczeństwa.
Bitwarden publikuje prace oceniające stron trzecich dotyczące wszystkich swoich produktów.
To właściwy wybór dla organizacji, które muszą odpowiadać na pytania konkretnymi datami i raportami, a nie ogólnikami. Wymaga też więcej zasobów. Mała organizacja powinna zaplanować VPS z 4 GB jako punkt wyjścia, z większym zapasem dla większych zespołów lub cięższych zadań tworzenia kopii zapasowych.
Wybór: Bitwarden self-hosted gdy historia audytu liczy się bardziej niż lekki stack.
Passbolt CE
Passbolt jest zbudowany wokół zespołów od samego początku. Jego model udostępniania jest bardziej granularny niż to, co oferuje większość konfiguracji osobistych menedżerów haseł, i właśnie na tym polega jego siła. Działa najlepiej, gdy współdzielone poświadczenia są głównym zadaniem, a nie czymś dorzuconym.
Wadą jest doświadczenie mobilne. Passbolt w praktyce wciąż stawia desktop na pierwszym miejscu. Tryb offline dla sytuacji awaryjnych jest w roadmapie, ale to nie to samo co dojrzałe doświadczenie offline już dziś.
Passbolt potrzebuje też więcej zasobów niż Vaultwarden. VPS z 2 GB to minimum, a 4 GB to bezpieczniejszy punkt startowy dla prawdziwego stacku zespołowego.
Wybór: Passbolt CE gdy workflow ze współdzielonymi poświadczeniami jest całym powodem self-hostingu.
Psono
Psono leży pośrodku. Ma model udostępniania na poziomie enterprise, oddzielne portale dla administratorów i użytkowników oraz strukturę, która ułatwia zarządzanie dostępem grupowym w porównaniu do zwykłego osobistego sejfu.
Jest mniej powszechny niż Vaultwarden, Bitwarden czy Passbolt, więc społeczność jest mniejsza.
Psono ma sens dla zespołów, które chcą czegoś bardziej ustrukturyzowanego niż organizacje Vaultwarden, ale nie chcą mobilnych kompromisów związanych z Passbolt.
Wybór: Psono dla zespołów, które chcą modelu udostępniania bardziej przypominającego enterprise bez przeskakiwania od razu do Bitwarden self-hosted.
KeePassXC + Syncthing
To ścieżka bez serwera. KeePassXC przechowuje dane uwierzytelniające w lokalnym, zaszyfrowanym .kdbx pliku. Syncthing kopiuje ten plik na wszystkie Twoje urządzenia. Żadnego serwera. Żadnego API. Żadnego Dockera. Żadnych miesięcznych rachunków.
Kompromisy są realne. Brak właściwego udostępniania dla zespołu. Obsługa konfliktów staje się kłopotliwa, gdy dwa urządzenia piszą jednocześnie. Nie ma skarbca webowego, więc dostęp z pożyczonego urządzenia jest wykluczony.
To właściwa odpowiedź dla pojedynczego użytkownika z dwoma lub trzema urządzeniami, który nie chce zarządzać infrastrukturą.
Wybierz: KeePassXC + Syncthing dla tych, którzy nie chcą serwera.
Zasady tworzenia kopii zapasowych, które mają znaczenie
Samodzielnie hostowany menedżer haseł jest tak dobry, jak dobry jest stojący za nim proces przywracania.
Najbezpieczniejsze podejście jest proste:
- przechowywać trzy kopie danych
- przechowywać je na dwóch różnych rodzajach nośników
- przechowywać jedną kopię poza siedzibą
Proste ustawienie działa dobrze. Wykonuj nocny zrzut bazy danych, kopiuj go do pamięci masowej kompatybilnej z S3 i przechowuj drugą kopię na nośnikach wymiennych, które pozostają w innym miejscu.
Następnie zrób to, co większość pomija. Przywróć kopię zapasową na pustą maszynę VM i zaloguj się. Jeśli to działa, masz kopię zapasową. Jeśli nie, masz plik, który masz nadzieję, że zadziała.
Migracja z LastPass, 1Password lub Bitwarden Cloud
Najprostsze przejście na tej liście to z Bitwarden cloud do Vaultwarden. Zmień adres URL serwera w kliencie, zaloguj się i zsynchronizuj.
Migracja z LastPass do Vaultwarden wymaga więcej pracy. Wyeksportuj skarbiec LastPass do CSV, zaimportuj go przez klienta Bitwarden, a następnie skieruj tego samego klienta na swój własny serwer.
Trzy rzeczy wymagają uwagi:
- Załączniki są eksportowane osobno z CSV. Prześlij je ponownie ręcznie.
- Struktura folderów może ulec zmianie. Zrób szybki przegląd przed zaufaniem nowemu układowi.
- Seeds TOTP wymagają weryfikacji. Zaloguj się do kilku kont przed usunięciem starego skarbca.
Zasada uniwersalna jest prosta: nie usuwaj źródłowego skarbca przez 30 dni.
Która opcja pasuje do jakiego czytelnika
Jeśli chcesz najprostszej drogi do użytku osobistego, wybierz Vaultwarden.
Jeśli Twój zespół potrzebuje wspólnych danych uwierzytelniających i pracuje głównie na komputerze, Passbolt jest najoczywistszym wyborem.
Jeśli historia audytu i wsparcie dostawcy są najważniejsze, Bitwarden self-hosted to bezpieczniejszy wybór.
Jeśli w ogóle nie chcesz serwera, KeePassXC z Syncthing to najbardziej eleganckie wyjście.
Podsumowanie
Wybierz konfigurację pasującą do Twojego przypadku użycia, wdróż odpowiednie narzędzie i działaj.
Kolejny krok to test zimnego przywracania. Uruchom pustą VM, przywróć ostatnią kopię zapasową i zaloguj się.
