У березні 2025 року федеральні прокурори пов'язали вилучення криптовалюти з крадіжкою, яка розпочалася з витоку даних LastPass. Жертви зберігали сид-фрази у захищених нотатках, зловмисники викрали зашифровані дані сховища у 2022 році, а слабкі мастер-паролі були зламані в офлайн-режимі пізніше. Прочитайте репортажі про цю справу.
Ця історія не створила категорію самостійно розміщених менеджерів паролів, але вона підштовхнула більше людей до цього рішення.
Ця стаття пропускає звичний перелік функцій. Вона дає вам вибір для особистого використання, невеликих команд та організацій з потребами в аудиті. Також розглядаються два аспекти, які більшість посібників опускає: резервне копіювання та міграція.
Пряма відповідь
- Одиночний користувач, сім'я або домашня лабораторія: Vaultwarden на невеликому VPS. Він використовує офіційні клієнти Bitwarden, залишається легким і підтримує просту конфігурацію.
- Невелика команда або робочий процес із спільними обліковими даними: Організації Vaultwarden для команд з активним використанням мобільних пристроїв, або Passbolt якщо робота зі спільними обліковими даними є справжньою причиною для власного хостингу.
- Організація з вимогами до аудиту або відповідності: Офіційний самостійно розгорнутий сервер Bitwarden. Він важчий, але має аудиторський слід і підтримку постачальника, необхідні більшості організацій.
- Незалежно від того, який ви оберете: Резервна копія, яку ви ніколи не відновлювали, — не резервна копія. Протестуйте повне відновлення на порожній машині.
Що означає власний хостинг
Модель шифрування не змінюється. Шифрування, як і раніше, відбувається на клієнті. Сервер зберігає зашифрований текст, який він не може прочитати. Різниця полягає в тому, хто керує сервером. При використанні хмарного Bitwarden ним керує Bitwarden. При використанні Vaultwarden або Bitwarden на власному сервері — керуєте ви.
Це не те саме, що менеджер секретів, наприклад HashiCorp Vault, Doppler або AWS Secrets Manager. Ці інструменти обслуговують додатки. Менеджери паролів обслуговують людей.
Що розглядається тут: Vaultwarden, Bitwarden на власному сервері, Passbolt CE, Psono і KeePassXC із Syncthing як варіант без сервера.
П'ять інструментів у короткому огляді
| Інструмент | Стек | Типове використання ресурсів | Статус аудиту | Найкраще для |
|---|---|---|---|---|
| Vaultwarden | Rust, один контейнер Docker | ~50 МБ у режимі очікування | Без формального стороннього аудиту | Приватні особи, сім'ї, невеликі команди |
| Bitwarden з самостійним хостингом | .NET, багатоконтейнерний стек | ~2 ГБ у режимі очікування | Опубліковані сторонні аудити | Організації, яким потрібна історія аудиту |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 МБ у роботі | Перевірено незалежними аудиторами | Спільне використання облікових даних з пріоритетом для команди |
| Psono | Python / PostgreSQL, кілька контейнерів | ~512 МБ+ | Частковий журнал аудиту | Команди, які хочуть корпоративну модель спільного використання |
| KeePassXC + Syncthing | Локальна БД + однорангова синхронізація | Без сервера | Опубліковані незалежні огляди | Окремі користувачі, які не хочуть ніякого сервера |
Vaultwarden
Vaultwarden — це переписаний на Rust сервер Bitwarden. Він використовує офіційні клієнти Bitwarden, тому щоденний досвід відчувається так само, як і хмарний Bitwarden. Він працює в одному контейнері Docker і підтримує низьке використання ресурсів.
Компроміс простий. Vaultwarden не має формального стороннього аудиту безпеки. Це не робить його поганим. Це просто означає, що модель довіри відрізняється.
Для одиночних користувачів, пар і сімей цей компроміс зазвичай прийнятний. Для команд, що активно використовують мобільні пристрої, це все ще міцний вибір, якщо вони переважно використовують особисті сховища з кількома спільними колекціями.
Невеликий VPS достатній для більшості конфігурацій Vaultwarden. Близько 1 ГБ — ідеальний варіант для особистого сховища. Для невеликого домогосподарства або команди з додатковою активністю 2 ГБ дають більше свободи.
Тримайте його оновленим. Зміни клієнтів Bitwarden можуть тимчасово зламати старіші збірки Vaultwarden, тому не дозволяйте серверу відставати на місяці.
Вибір: Vaultwarden для більшості випадків особистого використання.
Bitwarden з Самостійним Хостингом
Bitwarden з самостійним хостингом — це повний стек постачальника. Він важчий за Vaultwarden, але це ціна за точну серверну модель Bitwarden, опубліковані результати аудиту та шлях підтримки, який легше відстоювати перед відділом закупівель або фахівцями з безпеки.
Bitwarden публікує сторонні оціночні роботи по всіх своїх продуктах.
Це правильний вибір для організацій, яким потрібно відповідати на запитання конкретними датами та звітами, а не розпливчастими обіцянками. Йому також потрібно більше місця. Невелика організація повинна планувати VPS на 4 ГБ як відправну точку, з більшим запасом для більших команд або важчих задач резервного копіювання.
Вибір: Bitwarden на власному сервері коли журнал аудиту важливіший за мінімалістичний стек.
Passbolt CE
Passbolt побудований навколо команд з самого початку. Його модель спільного використання більш деталізована, ніж те, що пропонує більшість менеджерів особистих паролів, — і в цьому вся суть. Він найкраще працює, коли спільні облікові дані є основним завданням, а не другорядним.
Недолік — в мобільному досвіді. На практиці Passbolt все ще орієнтований насамперед на десктоп. Режим аварійного автономного доступу є в дорожній карті, але це не те саме, що повноцінний автономний режим, доступний вже сьогодні.
Passbolt також потребує більше ресурсів, ніж Vaultwarden. VPS на 2 ГБ — це мінімум, а 4 ГБ — безпечніша відправна точка для реального командного стека.
Вибір: Passbolt CE коли робочий процес із спільними обліковими даними є єдиною причиною для власного хостингу.
Psono
Psono займає проміжне місце. Він має корпоративну модель спільного використання, окремі портали для адміністраторів і користувачів, а також структуру, яка спрощує управління груповим доступом порівняно зі звичайним особистим сховищем.
Він менш поширений, ніж Vaultwarden, Bitwarden або Passbolt, тому спільнота менша.
Psono підходить для команд, які хочуть щось більш структуроване, ніж організації Vaultwarden, але не хочуть мобільних компромісів Passbolt.
Вибір: Psono для команд, які хочуть більш корпоративну модель спільного використання без переходу одразу до Bitwarden на власному сервері.
KeePassXC + Syncthing
Це шлях без сервера. KeePassXC зберігає облікові дані у локальному зашифрованому .kdbx файл. Syncthing копіює цей файл на всі ваші пристрої. Без сервера. Без API. Без Docker. Без щомісячних рахунків.
Компроміси реальні. Немає нормального спільного доступу для команди. Обробка конфліктів стає заплутаною, якщо два пристрої записують одночасно. Немає веб-сховища, тому доступ із чужого пристрою неможливий.
Це правильна відповідь для одиночного користувача з двома або трьома пристроями, який не хоче керувати інфраструктурою.
Вибір: KeePassXC + Syncthing для тих, хто не хоче сервера.
Правила резервного копіювання, які важливі
Самостійний менеджер паролів настільки хороший, наскільки надійний процес його відновлення.
Найбезпечніший підхід простий:
- зберігати три копії даних
- зберігати на двох різних видах носіїв
- зберігати одну копію за межами площадки
Проста конфігурація працює добре. Робіть нічний дамп бази даних, копіюйте його в S3-сумісне сховище і зберігайте другу копію на знімних носіях, які знаходяться в іншому місці.
Тоді зробіть те, що більшість пропускає. Відновіть резервну копію на порожній ВМ і увійдіть у систему. Якщо це спрацювало — у вас є резервна копія. Якщо ні — у вас є файл, який ви сподіваєтеся, що спрацює.
Перехід з LastPass, 1Password або Bitwarden Cloud
Найпростіший перехід у цьому списку — з Bitwarden cloud на Vaultwarden. Змініть URL сервера в клієнті, увійдіть і синхронізуйте.
Перехід з LastPass на Vaultwarden потребує більше зусиль. Експортуйте сховище LastPass у CSV, імпортуйте через клієнт Bitwarden, а потім направте цього ж клієнта на ваш самостійно розміщений сервер.
Три речі потребують уваги:
- Вкладення експортуються окремо від CSV. Завантажте їх вручну повторно.
- Структура папок може змінитися. Зробіть швидку перевірку, перш ніж довіряти новому розташуванню.
- Seed'и TOTP потребують перевірки. Увійдіть у кілька акаунтів, перш ніж видаляти старе сховище.
Універсальне правило просте: не видаляйте вихідне сховище впродовж 30 днів.
Який варіант підходить якому читачеві
Якщо хочете найпростіший шлях для особистого використання, обирайте Vaultwarden.
Якщо ваша команда потребує спільних облікових даних і переважно працює на комп'ютері, Passbolt — найочевидніший вибір.
Якщо пріоритет — журнал аудиту та підтримка вендора, Bitwarden self-hosted є надійнішим вибором.
Якщо ви не хочете жодного сервера, поєднання KeePassXC та Syncthing — найчистіший вихід.
Підсумовування
Оберіть конфігурацію, що відповідає вашому сценарію, розгорніть потрібний інструмент і рухайтеся далі.
Наступний крок — тест холодного відновлення. Запустіть чисту VM, відновіть останній бекап і увійдіть у систему.
