В марте 2025 года федеральные прокуроры связали изъятие криптовалюты с кражей, начавшейся со взлома LastPass. Жертвы хранили сид-фразы в безопасных заметках, злоумышленники похитили зашифрованные данные хранилища в 2022 году, а слабые мастер-пароли были взломаны в офлайн-режиме позднее. Прочитайте репортажи по этому делу.
Эта история не создала категорию самостоятельно размещаемых менеджеров паролей, но она подтолкнула к ней больше людей.
Эта статья пропускает обычный перечень функций. Она даёт вам выбор для личного использования, небольших команд и организаций с потребностями в аудите. Также рассматриваются два аспекта, которые большинство руководств упускает: резервное копирование и миграция.
Прямой ответ
- Одиночный пользователь, семья или домашняя лаборатория: Vaultwarden на небольшом VPS. Он использует официальные клиенты Bitwarden, остаётся лёгким и поддерживает простую настройку.
- Небольшая команда или рабочий процесс с общими учётными данными: Организации Vaultwarden для команд с активным использованием мобильных устройств, или Passbolt если работа с общими учётными данными — настоящая причина для самостоятельного хостинга.
- Организация с требованиями к аудиту или соответствию: Официальный сервер Bitwarden для самостоятельного хостинга. Он тяжелее, но предоставляет аудиторский след и поддержку вендора, необходимые большинству организаций.
- Независимо от того, какой вы выберете: Резервная копия, которую вы никогда не восстанавливали, — не резервная копия. Протестируйте полное восстановление на чистой машине.
Что означает самостоятельный хостинг
Модель шифрования не меняется. Шифрование по-прежнему происходит на клиенте. Сервер хранит зашифрованный текст, который он не может прочитать. Разница в том, кто управляет сервером. При использовании облачного Bitwarden его управляет Bitwarden. При использовании Vaultwarden или Bitwarden на собственном сервере — управляете вы.
Это не то же самое, что менеджер секретов, такой как HashiCorp Vault, Doppler или AWS Secrets Manager. Эти инструменты обслуживают приложения. Менеджеры паролей обслуживают людей.
Что входит в область рассмотрения: Vaultwarden, Bitwarden на собственном сервере, Passbolt CE, Psono и KeePassXC с Syncthing в качестве варианта без сервера.
Пять инструментов в кратком обзоре
| Инструмент | Стек | Типичный объём ресурсов | Статус аудита | Подходит для |
|---|---|---|---|---|
| Vaultwarden | Rust, один контейнер Docker | ~50 МБ в режиме ожидания | Без формального стороннего аудита | Частные лица, семьи, небольшие команды |
| Bitwarden самостоятельного хостинга | .NET, многоконтейнерный стек | ~2 ГБ в режиме ожидания | Опубликованные сторонние аудиты | Организации, которым нужна история аудита |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 МБ рабочая память | Проверен независимыми аудиторами | Совместное использование учётных данных с приоритетом на команду |
| Psono | Python / PostgreSQL, несколько контейнеров | ~512 МБ+ | Частичная история аудита | Команды, которым нужна корпоративная модель совместного использования |
| KeePassXC + Syncthing | Локальная БД + одноранговая синхронизация | Без сервера | Опубликованные независимые обзоры | Отдельные пользователи, которые не хотят никакого сервера |
Vaultwarden
Vaultwarden — это переработанный на Rust сервер Bitwarden. Он использует официальные клиенты Bitwarden, поэтому повседневный опыт ощущается так же, как и облачный Bitwarden. Он работает в одном контейнере Docker и потребляет мало ресурсов.
Компромисс прост. У Vaultwarden нет формального стороннего аудита безопасности. Это не делает его плохим. Это просто означает, что модель доверия отличается.
Для отдельных пользователей, пар и семей этот компромисс обычно приемлем. Для команд, активно использующих мобильные устройства, это всё ещё хорошее решение, если они в основном используют личные хранилища с несколькими общими коллекциями.
Небольшого VPS достаточно для большинства конфигураций Vaultwarden. Около 1 ГБ — идеальный вариант для личного хранилища. Для небольшого домашнего хозяйства или команды с дополнительной активностью 2 ГБ дают больше свободы.
Держите его обновлённым. Изменения клиентов Bitwarden могут временно сломать устаревшие сборки Vaultwarden, поэтому не позволяйте серверу отставать месяцами.
Выбор: Vaultwarden для большинства случаев личного использования.
Bitwarden Самостоятельного Хостинга
Bitwarden самостоятельного хостинга — это полный вендорский стек. Он тяжелее Vaultwarden, но это цена за получение точной серверной модели Bitwarden, опубликованных результатов аудита и пути поддержки, который легче отстаивать перед отделом закупок или экспертами по безопасности.
Bitwarden публикует сторонние оценочные работы по всем своим продуктам.
Это правильный выбор для организаций, которым нужно отвечать на вопросы конкретными датами и отчётами, а не уклончивыми ответами. Ему также требуется больше ресурсов. Небольшая организация должна рассчитывать на VPS с 4 ГБ ОЗУ как отправную точку, с запасом для более крупных команд или объёмных задач резервного копирования.
Выбор: Bitwarden на собственном сервере когда история аудита важнее минималистичного стека.
Passbolt CE
Passbolt создан с ориентацией на команды с самого начала. Его модель совместного использования более детализирована, чем то, что предлагает большинство менеджеров личных паролей, — и в этом вся суть. Он лучше всего работает тогда, когда общие учётные данные являются основной задачей, а не второстепенной.
Слабое место — мобильная поддержка. На практике Passbolt всё ещё ориентирован прежде всего на десктоп. Режим аварийного автономного доступа находится в дорожной карте, но это не то же самое, что полноценный автономный режим, доступный уже сегодня.
Passbolt также требует больше ресурсов, чем Vaultwarden. VPS на 2 ГБ — это минимум, а 4 ГБ — более безопасная отправная точка для реального командного стека.
Выбор: Passbolt CE когда рабочий процесс с общими учётными данными — единственная причина для самостоятельного хостинга.
Psono
Psono занимает промежуточное положение. У него есть корпоративная модель совместного использования, отдельные порталы для администраторов и пользователей, а также структура, упрощающая управление групповым доступом по сравнению с обычным личным хранилищем.
Он менее распространён, чем Vaultwarden, Bitwarden или Passbolt, поэтому сообщество меньше.
Psono подходит для команд, которые хотят что-то более структурированное, чем организации Vaultwarden, но не хотят мириться с мобильными компромиссами Passbolt.
Выбор: Psono для команд, которые хотят более корпоративную модель совместного использования, не переходя сразу к Bitwarden на собственном сервере.
KeePassXC + Syncthing
Это путь без сервера. KeePassXC хранит учётные данные в локальном зашифрованном .kdbx файл. Syncthing копирует этот файл на все ваши устройства. Без сервера. Без API. Без Docker. Без ежемесячных платежей.
Компромиссы реальны. Нет нормального командного общего доступа. Обработка конфликтов становится запутанной, если два устройства записывают одновременно. Нет веб-хранилища, поэтому доступ с чужого компьютера исключён.
Это правильный ответ для одиночного пользователя с двумя или тремя устройствами, который не хочет управлять инфраструктурой.
Выбор: KeePassXC + Syncthing для тех, кто не хочет сервера.
Правила резервного копирования, которые важны
Самостоятельный менеджер паролей хорош настолько, насколько надёжен процесс его восстановления.
Самый безопасный подход прост:
- хранить три копии данных
- хранить их на двух разных видах носителей
- хранить одну копию за пределами площадки
Простая настройка работает хорошо. Делайте ночной дамп базы данных, копируйте его в совместимое с S3 хранилище и храните вторую копию на съёмном носителе где-то в другом месте.
Затем сделайте то, что большинство пропускает. Восстановите резервную копию на чистую ВМ и войдите в систему. Если это сработало — у вас есть резервная копия. Если нет — у вас есть файл, который вы надеетесь, что работает.
Переход с LastPass, 1Password или Bitwarden Cloud
Самый простой переход в этом списке — с Bitwarden cloud на Vaultwarden. Измените URL сервера в клиенте, войдите в систему и синхронизируйте.
Переход с LastPass на Vaultwarden потребует больше усилий. Экспортируйте хранилище LastPass в CSV, импортируйте его через клиент Bitwarden, а затем направьте тот же клиент на ваш самостоятельно размещённый сервер.
Три вещи требуют внимания:
- Вложения экспортируются отдельно от CSV. Загрузите их вручную.
- Структура папок может измениться. Проведите быструю проверку, прежде чем доверять новой структуре.
- Семена TOTP требуют проверки. Войдите в несколько аккаунтов, прежде чем удалять старое хранилище.
Универсальное правило простое: не удаляйте исходное хранилище в течение 30 дней.
Какой вариант подходит какому читателю
Если вам нужен самый простой путь для личного использования, выбирайте Vaultwarden.
Если вашей команде нужны общие учётные данные и она работает преимущественно на настольных компьютерах, Passbolt — самый очевидный выбор.
Если приоритет — история аудита и поддержка вендора, то Bitwarden self-hosted — более надёжный выбор.
Если вы вообще не хотите сервер, связка KeePassXC + Syncthing — самый чистый способ избежать этого.
Подводим итоги
Выберите подходящую конфигурацию, разверните нужный инструмент и двигайтесь дальше.
Следующий шаг — тест холодного восстановления. Запустите чистую VM, восстановите последний бэкап и войдите в систему.
