ในเดือนมีนาคม 2025 อัยการของรัฐบาลกลางเชื่อมโยงการยึดสินทรัพย์คริปโตกับการโจรกรรมที่เริ่มต้นจากการละเมิด LastPass เหยื่อได้เก็บ seed phrases ไว้ใน Secure Notes ผู้โจมตีได้ขโมยข้อมูล vault ที่เข้ารหัสในปี 2022 และรหัสผ่านหลักที่อ่อนแอถูกถอดรหัสแบบออฟไลน์ในภายหลัง อ่านรายงานเกี่ยวกับคดีนี้
เรื่องนั้นไม่ได้สร้างหมวดหมู่ผู้จัดการรหัสผ่านแบบ self-hosted แต่มันช่วยผลักดันให้คนจำนวนมากขึ้นหันมาสนใจ
บทความนี้ข้ามการแสดงรายการคุณสมบัติตามปกติ และนำเสนอตัวเลือกสำหรับการใช้งานส่วนตัว ทีมขนาดเล็ก และองค์กรที่มีความต้องการด้านการตรวจสอบ นอกจากนี้ยังครอบคลุมสองส่วนที่คู่มือส่วนใหญ่ละเว้น ได้แก่ การสำรองข้อมูลและการย้ายระบบ
คำตอบตรงๆ
- ผู้ใช้คนเดียว ครอบครัว หรือ homelab: Vaultwarden บน VPS ขนาดเล็ก ใช้ไคลเอนต์ Bitwarden อย่างเป็นทางการ ยังคงเบา และทำให้การตั้งค่าง่าย
- ทีมขนาดเล็กหรือขั้นตอนการทำงานด้วยข้อมูลรับรองที่แชร์ร่วมกัน: องค์กร Vaultwarden สำหรับทีมที่ใช้มือถือเป็นหลัก หรือ Passbolt หากการทำงานกับข้อมูลรับรองที่แชร์ร่วมกันเป็นเหตุผลที่แท้จริงที่คุณโฮสต์ด้วยตนเอง
- องค์กรที่มีความต้องการด้านการตรวจสอบหรือการปฏิบัติตามกฎระเบียบ: เซิร์ฟเวอร์โฮสต์ด้วยตนเองอย่างเป็นทางการของ Bitwarden. มันหนักกว่า แต่มีเส้นทางการตรวจสอบและการสนับสนุนจากผู้จัดจำหน่ายที่องค์กรส่วนใหญ่ต้องการ
- ไม่ว่าคุณจะเลือกอันไหน: การสำรองข้อมูลที่คุณไม่เคยกู้คืนไม่ใช่การสำรองข้อมูลที่แท้จริง ทดสอบการกู้คืนแบบ cold restore บนเครื่องที่ว่างเปล่า
ความหมายของการโฮสต์ด้วยตนเอง
โมเดลการเข้ารหัสไม่เปลี่ยนแปลง การเข้ารหัสยังคงเกิดขึ้นบนไคลเอนต์ เซิร์ฟเวอร์จัดเก็บข้อความเข้ารหัสที่ไม่สามารถอ่านได้ ความแตกต่างคือใครเป็นผู้ดูแลเซิร์ฟเวอร์ สำหรับ Bitwarden บนคลาวด์ Bitwarden เป็นผู้ดูแล สำหรับ Vaultwarden หรือ Bitwarden โฮสต์ด้วยตนเอง คุณเป็นผู้ดูแล
นี่ไม่ใช่สิ่งเดียวกับ secrets manager อย่าง HashiCorp Vault, Doppler หรือ AWS Secrets Manager เครื่องมือเหล่านั้นให้บริการแอป ส่วน password manager ให้บริการคน
สิ่งที่อยู่ในขอบเขตที่นี่: Vaultwarden, Bitwarden แบบโฮสต์ด้วยตนเอง, Passbolt CE, Psono และ KeePassXC พร้อม Syncthing เป็นตัวเลือกที่ไม่ต้องใช้เซิร์ฟเวอร์
ห้าเครื่องมือในภาพรวม
| เครื่องมือ | สแต็ก | ขนาดการใช้ทรัพยากรทั่วไป | สถานะการตรวจสอบ | เหมาะสำหรับ |
|---|---|---|---|---|
| Vaultwarden | Rust, คอนเทนเนอร์ Docker เดียว | ~50 MB ขณะไม่ได้ใช้งาน | ไม่มีการตรวจสอบอย่างเป็นทางการจากบุคคลที่สาม | บุคคล ครอบครัว ทีมขนาดเล็ก |
| Bitwarden แบบ self-hosted | .NET, สแต็กหลายคอนเทนเนอร์ | ~2 GB ขณะไม่ได้ใช้งาน | การตรวจสอบจากบุคคลที่สามที่เผยแพร่แล้ว | องค์กรที่ต้องการประวัติการตรวจสอบ |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB ขณะทำงาน | ได้รับการตรวจสอบโดยบุคคลที่สาม | การแชร์ข้อมูลรับรองที่ให้ทีมเป็นอันดับแรก |
| Psono | Python / PostgreSQL หลายคอนเทนเนอร์ | ~512 MB+ | ประวัติการตรวจสอบบางส่วน | ทีมที่ต้องการโมเดลการแชร์แบบองค์กร |
| KeePassXC + Syncthing | DB ในเครื่อง + การซิงค์แบบ peer | ไม่มีเซิร์ฟเวอร์ | บทวิจารณ์อิสระที่เผยแพร่แล้ว | ผู้ใช้รายเดียวที่ไม่ต้องการเซิร์ฟเวอร์เลย |
Vaultwarden
Vaultwarden คือการเขียนใหม่ด้วยภาษา Rust ของเซิร์ฟเวอร์ Bitwarden ใช้ไคลเอนต์ Bitwarden อย่างเป็นทางการ ทำให้ประสบการณ์การใช้งานประจำวันเหมือนกับ Bitwarden บนคลาวด์ รันในคอนเทนเนอร์ Docker เดียวและใช้ทรัพยากรน้อย
การแลกเปลี่ยนนั้นเรียบง่าย Vaultwarden ไม่มีการตรวจสอบความปลอดภัยอย่างเป็นทางการจากบุคคลที่สาม นั่นไม่ได้ทำให้มันแย่ เพียงแต่หมายความว่ารูปแบบความไว้วางใจแตกต่างออกไป
สำหรับผู้ใช้คนเดียว คู่รัก และครอบครัว การแลกเปลี่ยนนี้มักเป็นที่ยอมรับได้ สำหรับทีมที่ใช้มือถือเป็นหลัก ก็ยังเหมาะสมหากส่วนใหญ่ใช้คลังส่วนตัวพร้อมคอลเลกชันที่แชร์บางส่วน
VPS ขนาดเล็กเพียงพอสำหรับการตั้งค่า Vaultwarden ส่วนใหญ่ ประมาณ 1 GB เป็นจุดที่เหมาะสมสำหรับ vault ส่วนตัว สำหรับครัวเรือนขนาดเล็กหรือทีมที่มีกิจกรรมเพิ่มเติมเล็กน้อย 2 GB จะให้พื้นที่หายใจมากขึ้น
อัปเดตอยู่เสมอ การเปลี่ยนแปลงไคลเอนต์ Bitwarden อาจทำให้ Vaultwarden รุ่นเก่าใช้งานไม่ได้ชั่วคราว ดังนั้นอย่าปล่อยให้เซิร์ฟเวอร์ล้าหลังเป็นเดือน
เลือก: Vaultwarden สำหรับกรณีการใช้งานส่วนตัวส่วนใหญ่
Bitwarden แบบ Self-Hosted
Bitwarden แบบ self-hosted คือสแต็กของผู้ขายแบบเต็มรูปแบบ มันหนักกว่า Vaultwarden แต่นั่นคือราคาที่ต้องจ่ายเพื่อรับโมเดลเซิร์ฟเวอร์ Bitwarden แบบแน่นอน งานตรวจสอบที่เผยแพร่ และเส้นทางสนับสนุนที่ง่ายต่อการปกป้องต่อหน้าทีมจัดซื้อหรือผู้ตรวจสอบด้านความปลอดภัย
Bitwarden เผยแพร่ผลการประเมินจากบุคคลที่สามสำหรับผลิตภัณฑ์ทั้งหมด
นี่คือตัวเลือกที่เหมาะสมสำหรับองค์กรที่ต้องการตอบคำถามด้วยวันที่และรายงาน ไม่ใช่การพูดลอยๆ นอกจากนี้ยังต้องการพื้นที่มากขึ้นด้วย องค์กรขนาดเล็กควรวางแผนใช้ VPS ขนาด 4 GB เป็นจุดเริ่มต้น พร้อมพื้นที่สำรองเพิ่มเติมสำหรับทีมขนาดใหญ่หรืองานสำรองข้อมูลที่หนักกว่า
เลือก: Bitwarden โฮสต์ด้วยตนเอง เมื่อประวัติการตรวจสอบสำคัญกว่าสแต็กที่เบาบาง
Passbolt CE
Passbolt ถูกสร้างขึ้นโดยมีทีมเป็นศูนย์กลางตั้งแต่แรก โมเดลการแชร์ของมันมีความละเอียดมากกว่าที่การตั้งค่า password manager ส่วนตัวส่วนใหญ่นำเสนอ และนั่นคือจุดเด่นของมัน มันทำงานได้ดีที่สุดเมื่อข้อมูลรับรองที่แชร์เป็นงานหลัก ไม่ใช่สิ่งที่คิดขึ้นทีหลัง
ข้อเสียอยู่ที่ประสบการณ์บนมือถือ Passbolt ยังคงเน้นเดสก์ท็อปเป็นหลักในทางปฏิบัติ โหมดเข้าถึงแบบออฟไลน์สำหรับกรณีฉุกเฉินอยู่ในแผนงาน แต่มันไม่เหมือนกับการมีประสบการณ์ออฟไลน์ที่สมบูรณ์แบบในวันนี้
Passbolt ต้องการทรัพยากรมากกว่า Vaultwarden เช่นกัน VPS ขนาด 2 GB คือขั้นต่ำ และ 4 GB เป็นจุดเริ่มต้นที่ปลอดภัยกว่าสำหรับ stack ทีมจริง
เลือก: Passbolt CE เมื่อขั้นตอนการทำงานด้วยข้อมูลรับรองที่แชร์ร่วมกันเป็นเหตุผลทั้งหมดที่คุณโฮสต์ด้วยตนเอง
Psono
Psono อยู่ตรงกลาง มีโมเดลการแชร์แบบองค์กร พอร์ทัลแยกสำหรับผู้ดูแลระบบและผู้ใช้ และโครงสร้างที่ทำให้การจัดการการเข้าถึงกลุ่มง่ายกว่าตู้นิรภัยส่วนตัวธรรมดา
มันพบได้น้อยกว่า Vaultwarden, Bitwarden หรือ Passbolt ดังนั้นชุมชนจึงมีขนาดเล็กกว่า
Psono เหมาะสำหรับทีมที่ต้องการสิ่งที่มีโครงสร้างมากกว่าองค์กร Vaultwarden แต่ไม่ต้องการข้อเสียด้านมือถือที่มาพร้อมกับ Passbolt
เลือก: Psono สำหรับทีมที่ต้องการโมเดลการแชร์แบบองค์กรมากขึ้น โดยไม่ต้องกระโดดไปที่ Bitwarden แบบโฮสต์ด้วยตนเองทันที
KeePassXC + Syncthing
นี่คือเส้นทางที่ไม่ต้องใช้เซิร์ฟเวอร์ KeePassXC เก็บข้อมูลรับรองไว้ในไฟล์เข้ารหัสในเครื่อง .kdbx ไฟล์ Syncthing คัดลอกไฟล์นั้นไปยังอุปกรณ์ทั้งหมดของคุณ ไม่มีเซิร์ฟเวอร์ ไม่มี API ไม่มี Docker ไม่มีค่าใช้จ่ายรายเดือน
การแลกเปลี่ยนเหล่านี้มีจริง ไม่มีการแชร์ทีมที่เหมาะสม การจัดการข้อขัดแย้งจะยุ่งเหยิงหากอุปกรณ์สองเครื่องเขียนพร้อมกัน ไม่มี Web Vault ดังนั้นการเข้าถึงจากเครื่องที่ยืมมาจึงเป็นไปไม่ได้
นี่คือคำตอบที่ถูกต้องสำหรับผู้ใช้คนเดียวที่มีอุปกรณ์สองหรือสามเครื่องและไม่ต้องการดูแลโครงสร้างพื้นฐาน
เลือก: KeePassXC + Syncthing สำหรับกลุ่มที่ไม่ต้องการเซิร์ฟเวอร์
กฎการสำรองข้อมูลที่สำคัญ
ผู้จัดการรหัสผ่านแบบ self-hosted ดีแค่ไหนก็ขึ้นอยู่กับกระบวนการกู้คืนที่อยู่เบื้องหลัง
แนวทางที่ปลอดภัยที่สุดนั้นชัดเจน:
- เก็บข้อมูลสามสำเนา
- จัดเก็บบนสื่อสองประเภทที่แตกต่างกัน
- เก็บสำเนาหนึ่งชุดไว้นอกสถานที่
การตั้งค่าอย่างง่ายก็ใช้งานได้ดี ทำ database dump ทุกคืน คัดลอกไปยังพื้นที่จัดเก็บแบบ S3-compatible และเก็บสำเนาที่สองบนสื่อถอดได้ที่เก็บไว้ที่อื่น
จากนั้นทำในส่วนที่คนส่วนใหญ่มักข้ามไป คืนค่าข้อมูลสำรองไปยัง VM ที่ว่างเปล่าแล้วลองเข้าสู่ระบบ ถ้าใช้งานได้ แสดงว่าคุณมีข้อมูลสำรอง แต่ถ้าไม่ได้ แสดงว่าคุณมีแค่ไฟล์ที่หวังว่าจะใช้งานได้
การย้ายจาก LastPass, 1Password หรือ Bitwarden Cloud
การย้ายที่ง่ายที่สุดในรายการนี้คือจาก Bitwarden cloud ไปยัง Vaultwarden เพียงเปลี่ยน URL เซิร์ฟเวอร์ในแอปพลิเคชัน เข้าสู่ระบบ และซิงค์
การย้ายจาก LastPass ไปยัง Vaultwarden ต้องใช้ความพยายามมากกว่า ส่งออก LastPass vault เป็น CSV นำเข้าผ่าน Bitwarden client แล้วชี้ client เดิมไปยังเซิร์ฟเวอร์ self-hosted ของคุณ
มีสามสิ่งที่ต้องให้ความสนใจ:
- ไฟล์แนบจะออกมาแยกต่างหากจาก CSV อัปโหลดใหม่ด้วยตนเอง
- โครงสร้างโฟลเดอร์อาจเปลี่ยนแปลง ตรวจสอบคร่าว ๆ ก่อนที่จะวางใจในเค้าโครงใหม่
- ต้องตรวจสอบ TOTP seeds เข้าสู่ระบบบัญชีสักสองสามบัญชีก่อนที่จะลบ vault เก่า
กฎสากลนั้นง่ายมาก: อย่าลบ vault ต้นทางเป็นเวลา 30 วัน
ตัวเลือกไหนเหมาะกับผู้อ่านแบบไหน
ถ้าต้องการเส้นทางที่ราบรื่นที่สุดสำหรับการใช้งานส่วนตัว ให้เลือก Vaultwarden
ถ้าทีมของคุณต้องการ credentials ที่แชร์ร่วมกันและทำงานบนเดสก์ท็อปเป็นหลัก Passbolt คือตัวเลือกที่ชัดเจนที่สุด
หากประวัติการตรวจสอบและการสนับสนุนจากผู้ขายมีความสำคัญสูงสุด Bitwarden แบบ self-hosted คือตัวเลือกที่ปลอดภัยกว่า
หากคุณไม่ต้องการเซิร์ฟเวอร์เลย KeePassXC รวมกับ Syncthing คือทางออกที่สะอาดที่สุด
สรุป
เลือกการตั้งค่าที่เหมาะกับกรณีการใช้งานของคุณ ติดตั้งเครื่องมือที่ตรงกัน แล้วก้าวต่อไป
ขั้นตอนต่อไปคือการทดสอบ cold-restore เปิด VM เปล่า กู้คืนข้อมูลสำรองล่าสุด แล้วเข้าสู่ระบบ
