Przejdź do treści głównej
50% zniżki wszystkie plany, oferta limitowana. Od $2.48/mo
7 min left
Aplikacje webowe i biznesowe

Najlepsze samodzielnie hostowane menedżery haseł w 2026: Jak wybrać odpowiedni dla swojego środowiska

B Autor: Bill 7 min czytania
Comparison of self-hosted password manager options for VPS deployment in 2026

W marcu 2025 roku federalni prokuratorzy powiązali zajęcie kryptowalut z kradzieżą, która zaczęła się od naruszenia LastPass. Ofiary przechowywały frazy seed w Bezpiecznych notatkach, napastnicy zabrali zaszyfrowane dane skarbca w 2022 roku, a słabe hasła główne zostały później złamane offline. Przeczytaj relacje z tej sprawy.

Ta historia nie stworzyła kategorii samodzielnie hostowanych menedżerów haseł, ale skłoniła w tym kierunku więcej osób.

Ten artykuł pomija zwykłe zestawienie funkcji. Podaje rekomendację dla użytkownika indywidualnego, małych zespołów i organizacji z potrzebami audytu. Obejmuje też dwa obszary, które większość poradników pomija: kopie zapasowe i migrację.

Bezpośrednia odpowiedź

  • Pojedynczy użytkownik, rodzina lub homelab: Vaultwarden na małym VPS. Korzysta z oficjalnych klientów Bitwarden, pozostaje lekki i utrzymuje prostą konfigurację.
  • Mały zespół lub workflow ze współdzielonymi poświadczeniami: Organizacje Vaultwarden dla zespołów intensywnie używających urządzeń mobilnych lub Passbolt jeśli praca ze współdzielonymi poświadczeniami jest prawdziwym powodem self-hostingu.
  • Organizacja z potrzebami audytu lub zgodności: Oficjalny serwer self-hosted Bitwarden. Jest cięższy, ale ma ścieżkę audytu i wsparcie dostawcy, których potrzebuje większość organizacji.
  • Niezależnie od tego, który wybierzesz: Kopia zapasowa, której nigdy nie przywróciłeś, nie jest kopią zapasową. Przetestuj pełne przywrócenie na pustej maszynie.

Co oznacza self-hosting

Model szyfrowania nie zmienia się. Szyfrowanie nadal odbywa się po stronie klienta. Serwer przechowuje szyfrogram, którego nie może odczytać. Różnica tkwi w tym, kto zarządza serwerem. W przypadku Bitwarden cloud robi to Bitwarden. W przypadku Vaultwarden lub Bitwarden self-hosted robisz to ty.

To nie to samo co menedżer sekretów jak HashiCorp Vault, Doppler czy AWS Secrets Manager. Te narzędzia służą aplikacjom. Menedżery haseł służą ludziom.

Co jest tu w zakresie: Vaultwarden, Bitwarden self-hosted, Passbolt CE, Psono i KeePassXC z Syncthing jako opcją bez serwera.

Pięć narzędzi w skrócie

NarzędzieStosTypowe zużycie zasobówStatus audytuNajlepszy dla
VaultwardenRust, jeden kontener Docker~50 MB w stanie bezczynnościBrak formalnego audytu strony trzeciejOsoby prywatne, rodziny, małe zespoły
Bitwarden samodzielnie hostowany.NET, stos wielu kontenerów~2 GB w stanie bezczynnościOpublikowane audyty stron trzecichOrganizacje wymagające historii audytu
Passbolt CEPHP / MariaDB / NGINX~512 MB działającyAudytowane przez stronę trzeciąUdostępnianie poświadczeń z myślą o zespole
PsonoPython / PostgreSQL, multi-kontener~512 MB+Częściowa historia audytuZespoły chcące modelu udostępniania na poziomie enterprise
KeePassXC + SyncthingLokalna baza danych + synchronizacja peerBrak serweraOpublikowane niezależne recenzjePojedynczy użytkownicy, którzy w ogóle nie chcą serwera

Vaultwarden

Vaultwarden to przepisany w Rust serwer Bitwarden. Korzysta z oficjalnych klientów Bitwarden, więc codzienna obsługa czuje się tak samo jak chmurowy Bitwarden. Działa w jednym kontenerze Docker i utrzymuje niskie zużycie zasobów.

Kompromis jest prosty. Vaultwarden nie ma formalnego audytu bezpieczeństwa przeprowadzonego przez stronę trzecią. Nie sprawia to, że jest gorszy. Oznacza to po prostu, że model zaufania jest inny.

Dla pojedynczych użytkowników, par i rodzin ten kompromis jest zazwyczaj akceptowalny. Dla zespołów mocno korzystających z urządzeń mobilnych, jest to nadal solidny wybór, jeśli korzystają głównie z osobistych skarbców z kilkoma udostępnionymi kolekcjami.

Mały VPS wystarczy dla większości konfiguracji Vaultwarden. Około 1 GB to optymalna ilość dla osobistego skarbca. Dla małego gospodarstwa domowego lub zespołu z nieco większą aktywnością, 2 GB zapewnia więcej swobody.

Trzymaj go zaktualizowanego. Zmiany w klientach Bitwarden mogą przez krótki czas psuć starsze wersje Vaultwarden, więc nie pozwól, by serwer opóźniał się o miesiące.

Wybierz: Vaultwarden dla większości prywatnych przypadków użycia.

Bitwarden Samodzielnie Hostowany

Bitwarden samodzielnie hostowany to pełny stos dostawcy. Jest cięższy niż Vaultwarden, ale to cena za otrzymanie dokładnego modelu serwera Bitwarden, opublikowanych wyników audytu i ścieżki wsparcia, którą łatwiej obronić przed działem zamówień lub recenzentami bezpieczeństwa.

Bitwarden publikuje prace oceniające stron trzecich dotyczące wszystkich swoich produktów.

To właściwy wybór dla organizacji, które muszą odpowiadać na pytania konkretnymi datami i raportami, a nie ogólnikami. Wymaga też więcej zasobów. Mała organizacja powinna zaplanować VPS z 4 GB jako punkt wyjścia, z większym zapasem dla większych zespołów lub cięższych zadań tworzenia kopii zapasowych.

Wybór: Bitwarden self-hosted gdy historia audytu liczy się bardziej niż lekki stack.

Vaultwarden versus Bitwarden self-hosted comparison showing resource footprint and audit status differences

Passbolt CE

Passbolt jest zbudowany wokół zespołów od samego początku. Jego model udostępniania jest bardziej granularny niż to, co oferuje większość konfiguracji osobistych menedżerów haseł, i właśnie na tym polega jego siła. Działa najlepiej, gdy współdzielone poświadczenia są głównym zadaniem, a nie czymś dorzuconym.

Wadą jest doświadczenie mobilne. Passbolt w praktyce wciąż stawia desktop na pierwszym miejscu. Tryb offline dla sytuacji awaryjnych jest w roadmapie, ale to nie to samo co dojrzałe doświadczenie offline już dziś.

Passbolt potrzebuje też więcej zasobów niż Vaultwarden. VPS z 2 GB to minimum, a 4 GB to bezpieczniejszy punkt startowy dla prawdziwego stacku zespołowego.

Wybór: Passbolt CE gdy workflow ze współdzielonymi poświadczeniami jest całym powodem self-hostingu.

Psono

Psono leży pośrodku. Ma model udostępniania na poziomie enterprise, oddzielne portale dla administratorów i użytkowników oraz strukturę, która ułatwia zarządzanie dostępem grupowym w porównaniu do zwykłego osobistego sejfu.

Jest mniej powszechny niż Vaultwarden, Bitwarden czy Passbolt, więc społeczność jest mniejsza.

Psono ma sens dla zespołów, które chcą czegoś bardziej ustrukturyzowanego niż organizacje Vaultwarden, ale nie chcą mobilnych kompromisów związanych z Passbolt.

Wybór: Psono dla zespołów, które chcą modelu udostępniania bardziej przypominającego enterprise bez przeskakiwania od razu do Bitwarden self-hosted.

KeePassXC + Syncthing

To ścieżka bez serwera. KeePassXC przechowuje dane uwierzytelniające w lokalnym, zaszyfrowanym .kdbx pliku. Syncthing kopiuje ten plik na wszystkie Twoje urządzenia. Żadnego serwera. Żadnego API. Żadnego Dockera. Żadnych miesięcznych rachunków.

Kompromisy są realne. Brak właściwego udostępniania dla zespołu. Obsługa konfliktów staje się kłopotliwa, gdy dwa urządzenia piszą jednocześnie. Nie ma skarbca webowego, więc dostęp z pożyczonego urządzenia jest wykluczony.

To właściwa odpowiedź dla pojedynczego użytkownika z dwoma lub trzema urządzeniami, który nie chce zarządzać infrastrukturą.

Wybierz: KeePassXC + Syncthing dla tych, którzy nie chcą serwera.

Zasady tworzenia kopii zapasowych, które mają znaczenie

Overview of self-hosted password manager tools Vaultwarden, Bitwarden, Passbolt, Psono, and KeePassXC compared by stack and use case

Samodzielnie hostowany menedżer haseł jest tak dobry, jak dobry jest stojący za nim proces przywracania.

Najbezpieczniejsze podejście jest proste:

  • przechowywać trzy kopie danych
  • przechowywać je na dwóch różnych rodzajach nośników
  • przechowywać jedną kopię poza siedzibą

Proste ustawienie działa dobrze. Wykonuj nocny zrzut bazy danych, kopiuj go do pamięci masowej kompatybilnej z S3 i przechowuj drugą kopię na nośnikach wymiennych, które pozostają w innym miejscu.

Następnie zrób to, co większość pomija. Przywróć kopię zapasową na pustą maszynę VM i zaloguj się. Jeśli to działa, masz kopię zapasową. Jeśli nie, masz plik, który masz nadzieję, że zadziała.

Migracja z LastPass, 1Password lub Bitwarden Cloud

Step-by-step migration flow from LastPass or Bitwarden cloud to a self-hosted Vaultwarden instance

Najprostsze przejście na tej liście to z Bitwarden cloud do Vaultwarden. Zmień adres URL serwera w kliencie, zaloguj się i zsynchronizuj.

Migracja z LastPass do Vaultwarden wymaga więcej pracy. Wyeksportuj skarbiec LastPass do CSV, zaimportuj go przez klienta Bitwarden, a następnie skieruj tego samego klienta na swój własny serwer.

Trzy rzeczy wymagają uwagi:

  • Załączniki są eksportowane osobno z CSV. Prześlij je ponownie ręcznie.
  • Struktura folderów może ulec zmianie. Zrób szybki przegląd przed zaufaniem nowemu układowi.
  • Seeds TOTP wymagają weryfikacji. Zaloguj się do kilku kont przed usunięciem starego skarbca.

Zasada uniwersalna jest prosta: nie usuwaj źródłowego skarbca przez 30 dni.

Która opcja pasuje do jakiego czytelnika

Jeśli chcesz najprostszej drogi do użytku osobistego, wybierz Vaultwarden.

Jeśli Twój zespół potrzebuje wspólnych danych uwierzytelniających i pracuje głównie na komputerze, Passbolt jest najoczywistszym wyborem.

Jeśli historia audytu i wsparcie dostawcy są najważniejsze, Bitwarden self-hosted to bezpieczniejszy wybór.

Jeśli w ogóle nie chcesz serwera, KeePassXC z Syncthing to najbardziej eleganckie wyjście.

Podsumowanie

Wybierz konfigurację pasującą do Twojego przypadku użycia, wdróż odpowiednie narzędzie i działaj.

Kolejny krok to test zimnego przywracania. Uruchom pustą VM, przywróć ostatnią kopię zapasową i zaloguj się.

Często zadawane pytania

Jaki jest najlepszy self-hosted menedżer haseł?

Dla większości osób prywatnych i małych zespołów Vaultwarden to najlepszy wybór. Dla organizacji potrzebujących historii audytu lub wsparcia dostawcy lepszym rozwiązaniem jest Bitwarden self-hosted.

Czy Vaultwarden jest bezpieczny do użycia bez audytu bezpieczeństwa?

W przypadku wielu konfiguracji osobistych i małych zespołów tak, pod warunkiem utrzymywania ścisłego i zaktualizowanego wdrożenia. W bardziej wrażliwych środowiskach Bitwarden samodzielnie hostowany jest bezpieczniejszą drogą.

Jaka jest różnica między Vaultwarden a Bitwarden samodzielnie hostowanym?

Vaultwarden to przepisanie serwera Bitwarden w języku Rust. Jest znacznie lżejszy i działa w jednym kontenerze. Bitwarden self-hosted to oficjalny stack dostawcy z opublikowaną historią audytów.

Co się stanie, jeśli mój samodzielnie hostowany menedżer haseł ulegnie awarii?

Możesz zostać zablokowany, jeśli nie zaplanowałeś odzyskiwania. Dlatego przetestowane kopie zapasowe i kroki odzyskiwania mają znaczenie.

Share

Więcej z bloga

Czytaj dalej.

Gotowy do wdrożenia? Od $2,48/mies.

Niezależna chmura od 2008 roku. AMD EPYC, NVMe, 40 Gbps. Zwrot pieniędzy w ciągu 14 dni.