Trình Quản Lý Mật Khẩu Tự Lưu Trữ Tốt Nhất Năm 2026: Chọn Đúng Cái Cho Thiết Lập Của Bạn

Vào tháng 3 năm 2025, các công tố viên liên bang đã kết nối vụ tịch thu tiền điện tử với vụ trộm bắt đầu từ vi phạm LastPass. Nạn nhân đã lưu trữ cụm từ hạt giống trong Ghi chú an toàn, kẻ tấn công đã lấy dữ liệu kho lưu trữ được mã hóa vào năm 2022, và mật khẩu chính yếu đã bị bẻ khóa ngoại tuyến sau đó. Đọc báo cáo về vụ việc.

Câu chuyện đó không tạo ra danh mục trình quản lý mật khẩu tự lưu trữ, nhưng nó đã thúc đẩy nhiều người hướng tới nó hơn.

Bài viết này bỏ qua danh sách tính năng thông thường. Nó cung cấp lựa chọn cho việc sử dụng cá nhân, nhóm nhỏ và tổ chức có nhu cầu kiểm toán. Nó cũng bao gồm hai phần mà hầu hết các hướng dẫn bỏ qua: sao lưu và di chuyển.

Câu trả lời trực tiếp

• Người dùng đơn lẻ, gia đình hoặc homelab: Vaultwarden trên VPS nhỏ. Nó sử dụng các máy khách Bitwarden chính thức, duy trì nhẹ nhàng và đơn giản hóa việc thiết lập.
• Nhóm nhỏ hoặc quy trình làm việc với thông tin xác thực dùng chung: Tổ chức Vaultwarden cho các nhóm sử dụng thiết bị di động nhiều, hoặc Passbolt nếu làm việc với thông tin xác thực dùng chung là lý do thực sự bạn tự lưu trữ.
• Tổ chức có nhu cầu kiểm toán hoặc tuân thủ quy định: Máy chủ tự lưu trữ chính thức của Bitwarden. Nó nặng hơn, nhưng có đường mòn kiểm toán và hỗ trợ nhà cung cấp mà hầu hết các tổ chức cần.
• Dù bạn chọn cái nào: Bản sao lưu mà bạn chưa bao giờ khôi phục không phải là bản sao lưu. Hãy kiểm tra khôi phục hoàn toàn trên một máy trống.

Tự Lưu Trữ Có Nghĩa Là Gì

Mô hình mã hóa không thay đổi. Mã hóa vẫn diễn ra ở phía client. Server lưu trữ bản mã mà nó không thể đọc được. Sự khác biệt là ai điều hành server. Với Bitwarden đám mây, Bitwarden điều hành. Với Vaultwarden hoặc Bitwarden tự lưu trữ, bạn điều hành.

Đây không giống như một secrets manager như HashiCorp Vault, Doppler, hay AWS Secrets Manager. Những công cụ đó phục vụ ứng dụng. Trình quản lý mật khẩu phục vụ con người.

Những gì nằm trong phạm vi ở đây: Vaultwarden, Bitwarden tự lưu trữ, Passbolt CE, Psono, và KeePassXC với Syncthing là tùy chọn không cần máy chủ.

Năm Công Cụ Tổng Quan

Vaultwarden

Vaultwarden là bản viết lại bằng Rust của máy chủ Bitwarden. Nó sử dụng các máy khách Bitwarden chính thức, vì vậy trải nghiệm hàng ngày giống hệt như Bitwarden đám mây. Nó chạy trong một container Docker duy nhất và duy trì mức sử dụng tài nguyên thấp.

Sự đánh đổi rất đơn giản. Vaultwarden không có kiểm toán bảo mật chính thức từ bên thứ ba. Điều đó không có nghĩa là nó tệ. Nó chỉ có nghĩa là mô hình tin cậy khác đi.

Đối với người dùng đơn lẻ, cặp đôi và gia đình, sự đánh đổi đó thường ổn. Đối với các nhóm sử dụng nhiều thiết bị di động, đây vẫn là lựa chọn tốt nếu họ chủ yếu sử dụng kho lưu trữ cá nhân với một vài bộ sưu tập được chia sẻ.

Một VPS nhỏ là đủ cho hầu hết các cài đặt Vaultwarden. Khoảng 1 GB là điểm ngọt cho vault cá nhân. Đối với hộ gia đình nhỏ hoặc nhóm có thêm hoạt động, 2 GB cho phép thoải mái hơn.

Giữ cho nó được cập nhật. Các thay đổi của máy khách Bitwarden có thể làm hỏng các bản build Vaultwarden cũ hơn trong một thời gian ngắn, vì vậy đừng để máy chủ bị lỗi thời nhiều tháng.

Chọn: Vaultwarden cho hầu hết các trường hợp sử dụng cá nhân.

Bitwarden Tự Lưu Trữ

Bitwarden tự lưu trữ là stack đầy đủ của nhà cung cấp. Nó nặng hơn Vaultwarden, nhưng đó là cái giá để có được mô hình máy chủ Bitwarden chính xác, kết quả kiểm toán được công bố và con đường hỗ trợ dễ bảo vệ hơn trước bộ phận mua sắm hoặc người đánh giá bảo mật.

Bitwarden công bố kết quả đánh giá từ bên thứ ba cho tất cả các sản phẩm của mình.

Đây là lựa chọn phù hợp cho các tổ chức cần trả lời câu hỏi bằng ngày tháng và báo cáo cụ thể, không phải bằng những lời mơ hồ. Nó cũng cần thêm tài nguyên. Một tổ chức nhỏ nên lên kế hoạch với VPS 4 GB làm điểm khởi đầu, với nhiều dung lượng hơn cho các nhóm lớn hơn hoặc công việc sao lưu nặng hơn.

Lựa chọn: Bitwarden tự lưu trữ khi lịch sử kiểm toán quan trọng hơn một stack gọn nhẹ.

Passbolt CE

Passbolt được xây dựng xung quanh các nhóm ngay từ đầu. Mô hình chia sẻ của nó chi tiết hơn so với hầu hết các cài đặt trình quản lý mật khẩu cá nhân, và đó chính là điểm mạnh. Nó hoạt động tốt nhất khi thông tin xác thực dùng chung là công việc chính, không phải là điều nghĩ thêm.

Điểm yếu là ở trải nghiệm di động. Passbolt vẫn ưu tiên desktop trên thực tế. Chế độ truy cập offline khẩn cấp đang trong lộ trình phát triển, nhưng không giống như có một trải nghiệm offline trưởng thành ngay hôm nay.

Passbolt cũng cần nhiều tài nguyên hơn Vaultwarden. VPS 2 GB là mức tối thiểu, và 4 GB là điểm khởi đầu an toàn hơn cho một stack nhóm thực sự.

Lựa chọn: Passbolt CE khi quy trình làm việc với thông tin xác thực dùng chung là toàn bộ lý do bạn tự lưu trữ.

Psono

Psono nằm ở vị trí trung gian. Nó có mô hình chia sẻ kiểu doanh nghiệp, cổng quản trị và người dùng riêng biệt, và cấu trúc giúp quản lý quyền truy cập nhóm dễ dàng hơn so với kho cá nhân thông thường.

Nó ít phổ biến hơn Vaultwarden, Bitwarden hoặc Passbolt, vì vậy cộng đồng nhỏ hơn.

Psono phù hợp với các nhóm muốn điều gì đó có cấu trúc hơn Vaultwarden Organizations, nhưng không muốn đánh đổi di động khi dùng Passbolt.

Lựa chọn: Psono cho các nhóm muốn mô hình chia sẻ giống doanh nghiệp hơn mà không cần chuyển thẳng sang Bitwarden tự lưu trữ.

KeePassXC + Syncthing

Đây là con đường không cần máy chủ. KeePassXC lưu trữ thông tin xác thực trong tệp được mã hóa cục bộ .kdbx tệp. Syncthing sao chép tệp đó trên tất cả thiết bị của bạn. Không có máy chủ. Không có API. Không có Docker. Không có hóa đơn hàng tháng.

Những đánh đổi là có thật. Không có chia sẻ nhóm đúng nghĩa. Việc xử lý xung đột trở nên lộn xộn nếu hai thiết bị ghi đồng thời. Không có kho lưu trữ web, vì vậy việc truy cập từ máy mượn là không thể.

Đây là câu trả lời đúng cho người dùng đơn lẻ có hai hoặc ba thiết bị và không muốn chạy cơ sở hạ tầng.

Chọn: KeePassXC + Syncthing cho những người không muốn có máy chủ.

Các quy tắc sao lưu quan trọng

Trình quản lý mật khẩu tự lưu trữ chỉ tốt bằng quy trình khôi phục đằng sau nó.

Cách tiếp cận an toàn nhất rất rõ ràng:

• giữ ba bản sao dữ liệu
• lưu trữ trên hai loại phương tiện khác nhau
• giữ một bản sao ở ngoài địa điểm

Thiết lập đơn giản hoạt động tốt. Thực hiện database dump hàng đêm, sao chép vào bộ lưu trữ tương thích S3 và giữ bản sao thứ hai trên phương tiện di động được lưu ở nơi khác.

Sau đó hãy làm điều mà hầu hết mọi người bỏ qua. Khôi phục bản sao lưu vào một VM trống và đăng nhập. Nếu thành công, bạn có bản sao lưu thực sự. Nếu không, bạn chỉ có một tệp mà bạn hy vọng là dùng được.

Di chuyển từ LastPass, 1Password hoặc Bitwarden Cloud

Bước chuyển dễ nhất trong danh sách này là từ Bitwarden cloud sang Vaultwarden. Thay đổi URL máy chủ trong ứng dụng, đăng nhập và đồng bộ hóa.

Việc chuyển từ LastPass sang Vaultwarden đòi hỏi nhiều bước hơn. Xuất vault LastPass sang CSV, nhập qua ứng dụng Bitwarden, rồi trỏ ứng dụng đó về máy chủ tự lưu trữ của bạn.

Ba điều cần chú ý:

• Tệp đính kèm được xuất riêng biệt với CSV. Tải lại thủ công.
• Cấu trúc thư mục có thể thay đổi. Kiểm tra nhanh trước khi tin tưởng vào bố cục mới.
• Seed TOTP cần được kiểm tra. Đăng nhập vào một vài tài khoản trước khi xóa vault cũ.

Quy tắc chung rất đơn giản: đừng xóa vault nguồn trong 30 ngày.

Lựa chọn nào phù hợp với độc giả nào

Nếu bạn muốn con đường suôn sẻ nhất cho sử dụng cá nhân, hãy chọn Vaultwarden.

Nếu nhóm của bạn cần thông tin xác thực dùng chung và chủ yếu làm việc trên máy tính để bàn, Passbolt là lựa chọn rõ ràng nhất.

Nếu lịch sử kiểm toán và hỗ trợ nhà cung cấp là quan trọng nhất, Bitwarden self-hosted là lựa chọn an toàn hơn.

Nếu bạn không muốn máy chủ nào cả, KeePassXC kết hợp Syncthing là giải pháp thoát gọn gàng nhất.

Kết thúc

Chọn cấu hình phù hợp với trường hợp sử dụng của bạn, triển khai công cụ tương ứng và tiếp tục.

Bước tiếp theo là kiểm tra cold-restore. Khởi động một VM trống, khôi phục bản sao lưu mới nhất và đăng nhập.

Câu hỏi thường gặp