Mart 2025'te federal savcılar, bir kripto parasına el koyma işlemini LastPass ihlaliyle başlayan bir hırsızlıkla ilişkilendirdi. Mağdurlar Güvenli Notlar'da tohum ifadeleri saklamıştı; saldırganlar 2022'de şifreli kasa verilerini ele geçirmiş, zayıf ana parolalar ise daha sonra çevrimdışı olarak kırılmıştı. Davayla ilgili haberleri okuyun.
Bu hikaye kendi kendine barındırılan şifre yöneticisi kategorisini yaratmadı, ancak daha fazla insanı o yöne itti.
Bu makale olağan özellik listesini atlıyor. Size bireysel kullanım, küçük ekipler ve denetim ihtiyacı olan kuruluşlar için seçim yapma olanağı sunuyor. Ayrıca çoğu kılavuzun atladığı iki konuyu da kapsıyor: yedekleme ve geçiş.
Doğrudan Yanıt
- Tek kullanıcı, aile veya homelab: Vaultwarden küçük bir VPS üzerinde. Resmi Bitwarden istemcilerini kullanır, hafif kalır ve kurulumu basit tutar.
- Küçük ekip veya paylaşılan kimlik bilgisi iş akışı: Vaultwarden Organizasyonları mobil ağırlıklı ekipler için veya Passbolt eğer paylaşılan kimlik bilgileriyle çalışmak, kendi kendine barındırmanın gerçek nedeni ise.
- Denetim veya uyumluluk ihtiyacı olan kuruluş: Bitwarden'ın resmi kendi kendine barındırılan sunucusu. Daha ağırdır, ancak çoğu kuruluşun ihtiyaç duyduğu denetim izine ve tedarikçi desteğine sahiptir.
- Hangisini seçerseniz seçin: Hiç geri yüklemediğiniz bir yedek, yedek değildir. Boş bir makinede tam sıfırdan geri yükleme testi yapın.
Kendi Kendine Barındırma Ne Demektir
Şifreleme modeli değişmez. Şifreleme hâlâ istemcide gerçekleşir. Sunucu, okuyamayacağı şifreli metni depolar. Fark, sunucuyu kimin çalıştırdığındadır. Bulut Bitwarden ile Bitwarden çalıştırır. Vaultwarden veya Bitwarden kendi kendine barındırıldığında, siz çalıştırırsınız.
Bu, HashiCorp Vault, Doppler veya AWS Secrets Manager gibi bir sır yöneticisiyle aynı şey değildir. Bu araçlar uygulamalara hizmet eder. Şifre yöneticileri insanlara hizmet eder.
Buradaki kapsam: Vaultwarden, Bitwarden kendi kendine barındırılan, Passbolt CE, Psono ve sunucusuz seçenek olarak Syncthing ile KeePassXC.
Beş Araca Genel Bakış
| Araç | Yığın | Tipik kaynak kullanımı | Denetim durumu | Şunlar için ideal |
|---|---|---|---|---|
| Vaultwarden | Rust, tek Docker konteyneri | ~50 MB boşta | Resmi üçüncü taraf denetimi yok | Bireyler, aileler, küçük ekipler |
| Bitwarden kendi kendine barındırılan | .NET, çok konteynerli yığın | ~2 GB boşta | Yayımlanmış üçüncü taraf denetimleri | Denetim geçmişine ihtiyaç duyan kuruluşlar |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB çalışma | Üçüncü taraf denetimli | Önce ekip odaklı kimlik bilgisi paylaşımı |
| Psono | Python / PostgreSQL, çoklu konteyner | ~512 MB+ | Kısmi denetim geçmişi | Kurumsal düzeyde paylaşım modeli isteyen ekipler |
| KeePassXC + Syncthing | Yerel DB + eşler arası senkronizasyon | Sunucu yok | Yayımlanan bağımsız incelemeler | Hiç sunucu istemeyenler için tek kullanıcı çözümü |
Vaultwarden
Vaultwarden, Bitwarden sunucusunun Rust ile yeniden yazılmış halidir. Resmi Bitwarden istemcilerini kullandığından günlük kullanım deneyimi, bulut tabanlı Bitwarden ile aynı hissettirir. Tek bir Docker konteynerinde çalışır ve kaynak kullanımını düşük tutar.
Ödünleşim basittir. Vaultwarden'ın resmi bir üçüncü taraf güvenlik denetimi yoktur. Bu onu kötü yapmaz. Sadece güven modelinin farklı olduğu anlamına gelir.
Tek kullanıcılar, çiftler ve aileler için bu ödünleşim genellikle uygundur. Mobiliteye ağırlık veren takımlar için, çoğunlukla birkaç paylaşımlı koleksiyonlu kişisel kasalar kullanıyorlarsa, hâlâ sağlam bir seçenektir.
Küçük bir VPS, çoğu Vaultwarden kurulumu için yeterlidir. Kişisel bir kasa için yaklaşık 1 GB ideal noktadır. Küçük bir hane halkı veya biraz fazla aktivitesi olan bir ekip için 2 GB daha fazla nefes alma alanı sağlar.
Güncel tutun. Bitwarden istemci değişiklikleri eski Vaultwarden derlemelerini kısa bir süre için bozabilir; bu nedenle sunucunun aylarca sürüklenmesine izin vermeyin.
Seçin: Vaultwarden çoğu kişisel kullanım senaryosu için.
Bitwarden Kendi Kendine Barındırılan
Bitwarden kendi kendine barındırılan, tam tedarikçi yığınıdır. Vaultwarden'dan daha ağırdır; ancak bu, tam Bitwarden sunucu modelini, yayımlanmış denetim çalışmalarını ve tedarik ya da güvenlik inceleyicileri önünde savunması daha kolay bir destek yolunu elde etmenin bedelidir.
Bitwarden, ürünleri genelinde üçüncü taraf değerlendirme çalışmalarını yayımlar.
Bu, soruları tarihler ve raporlarla yanıtlaması gereken kuruluşlar için doğru seçimdir; muğlak yanıtlarla değil. Ayrıca daha fazla alana ihtiyaç duyar. Küçük bir kuruluş, başlangıç noktası olarak 4 GB VPS planlamalı; daha büyük ekipler veya daha ağır yedekleme işleri için ise daha fazla alan bırakmalıdır.
Seçim: Bitwarden kendi kendine barındırılan denetim geçmişi yalın bir yığından daha önemli olduğunda.
Passbolt CE
Passbolt, başından beri ekipler etrafında inşa edilmiştir. Paylaşım modeli, çoğu kişisel şifre yöneticisi kurulumunun sunduğundan daha ayrıntılıdır ve tam da bu özellik onun güçlü yönüdür. Paylaşılan kimlik bilgileri ana iş olduğunda, sonradan düşünülmüş bir şey değil, en iyi performansı gösterir.
Dezavantaj mobil taraftadır. Passbolt pratikte hâlâ masaüstü önceliklidir. Çevrimdışı acil erişim modu yol haritasında yer alıyor, ancak bu bugün olgun bir çevrimdışı deneyime sahip olmakla aynı şey değil.
Passbolt da Vaultwarden'dan daha fazla kaynak ister. 2 GB VPS taban, ve gerçek bir ekip kurulumu için 4 GB daha güvenli bir başlangıç noktasıdır.
Seçim: Passbolt CE paylaşılan kimlik bilgisi iş akışı kendi kendine barındırmanın tek nedeni olduğunda.
Psono
Psono ortada yer alır. Kurumsal düzeyde bir paylaşım modeline, ayrı yönetici ve kullanıcı portallarına ve sıradan bir kişisel kasaya kıyasla grup erişimini daha kolay yönetilebilir kılan bir yapıya sahiptir.
Vaultwarden, Bitwarden veya Passbolt'tan daha az yaygındır, dolayısıyla topluluk daha küçüktür.
Psono, Vaultwarden Organizations'tan daha yapılandırılmış bir şey isteyen, ancak Passbolt'la gelen mobil ödünleşimlerini istemeyen ekipler için mantıklıdır.
Seçim: Psono doğrudan Bitwarden kendi kendine barındırmaya geçmeden daha kurumsal bir paylaşım modeli isteyen ekipler için.
KeePassXC + Syncthing
Bu, sunucusuz yoldur. KeePassXC kimlik bilgilerini yerel olarak şifrelenmiş bir .kdbx dosyasında saklar. Syncthing bu dosyayı tüm cihazlarınıza kopyalar. Sunucu yok. API yok. Docker yok. Aylık fatura yok.
Ödünleşimler gerçektir. Uygun bir ekip paylaşımı yoktur. İki cihaz aynı anda yazarsa çakışma yönetimi karmaşıklaşır. Web kasası yoktur, bu nedenle ödünç alınan makineden erişim mümkün değildir.
Bu, iki veya üç cihazı olan ve altyapı işletmek istemeyen tek bir kullanıcı için doğru cevaptır.
Seçin: KeePassXC + Syncthing sunucu istemeyenler için.
Önemli Yedekleme Kuralları
Kendi kendine barındırılan bir şifre yöneticisi, yalnızca arkasındaki geri yükleme sürecinin iyiliğiyle değer taşır.
En güvenli yaklaşım basittir:
- verilerin üç kopyasını sakla
- iki farklı türde medyada sakla
- bir kopyayı farklı bir konumda sakla
Basit bir kurulum iyi çalışır. Gecelik veritabanı dökümü alın, bunu S3 uyumlu depolamaya kopyalayın ve başka bir yerde duran çıkarılabilir medyada ikinci bir kopya saklayın.
Sonra çoğu insanın atladığı kısmı yapın. Boş bir VM'ye yedek geri yükleyin ve giriş yapın. Bu çalışırsa, bir yedeğiniz var demektir. Çalışmazsa, çalışmasını umduğunuz bir dosyanız var demektir.
LastPass, 1Password veya Bitwarden Cloud'dan geçiş
Bu listedeki en kolay geçiş, Bitwarden cloud'dan Vaultwarden'a geçiştir. İstemcideki sunucu URL'sini değiştirin, giriş yapın ve senkronize edin.
LastPass'ten Vaultwarden'a geçiş daha fazla çalışma gerektirir. LastPass kasasını CSV olarak dışa aktarın, Bitwarden istemcisi aracılığıyla içe aktarın ve ardından aynı istemciyi kendi sunucunuza yönlendirin.
Üç şeye dikkat edilmesi gerekiyor:
- Ekler CSV'den ayrı olarak çıkar. Onları manuel olarak yeniden yükleyin.
- Klasör yapısı değişebilir. Yeni düzene güvenmeden önce hızlı bir kontrol yapın.
- TOTP seed'lerinin kontrol edilmesi gerekiyor. Eski kasayı silmeden önce birkaç hesaba giriş yapın.
Evrensel kural basittir: kaynak kasayı 30 gün boyunca silmeyin.
Hangi Seçenek Hangi Okuyucuya Uyar
Kişisel kullanım için en sorunsuz yolu istiyorsanız Vaultwarden'ı seçin.
Ekibinizin paylaşılan kimlik bilgilerine ihtiyacı varsa ve ağırlıklı olarak masaüstünde çalışıyorsa, Passbolt en net seçimdir.
Denetim geçmişi ve satıcı desteği en önemli kriterlerinizse, Bitwarden kendi sunucunuzda daha güvenli bir seçimdir.
Hiç sunucu istemiyorsanız, KeePassXC ile Syncthing kombinasyonu en temiz çözümdür.
Sonuç
Kullanım senaryonuza uyan kurulumu seçin, uygun aracı dağıtın ve devam edin.
Bir sonraki adım soğuk geri yükleme testidir. Boş bir VM başlatın, en son yedeğinizi geri yükleyin ve oturum açın.
