
Подтверждение Softonic в июне инцидента Klue/Salesforce — это второй значительный взлом LastPass за четыре года. Для категории, чей весь аргумент основан на доверии, двух неудач достаточно, чтобы растущее число пользователей переместило хранилище туда, где они смогут проверить и владеть им. Статья XDA в начале месяца о Vaultwarden, работающем в контейнере Docker рядом с Jellyfin, демонстрирует очевидный путь: сохраняйте одних и тех же клиентов Bitwarden на каждом устройстве, направляйте их на сервер в домашней сети или дешевый VPS, и никогда больше не платите за подписку менеджера паролей.
Мы протестировали 7 лучших приложений для самостоятельно размещаемых менеджеров паролей на рабочем столе в 2026 году. Список охватывает Vaultwarden-в-Docker по умолчанию, на которую приземляются большинство домашних установок, официальный релиз Bitwarden самостоятельного размещения для пользователей, которые хотят остаться на исходной кодовой базе, варианты, ориентированные на команды, которые обеспечивают надлежащий обмен и политики доступа, и классические хранилища на основе файлов, которые вообще не требуют сервера.
На что обратить внимание при выборе менеджера паролей с самостоятельным размещением
Выберите менеджер паролей с самостоятельным размещением, который:
- Имеет поддерживаемый образ Docker с известным циклом выпуска. Vaultwarden, официальный релиз Bitwarden, Passbolt и Psono подходят; старые проекты без недавнего выпуска следует избегать.
- Работает с клиентами Bitwarden, KeePass или расширениями браузера первой стороны, где это возможно. Блокировка пользовательского клиента — это трение, которое отправляет пользователей обратно к облачным поставщикам.
- Поддерживает надлежащее резервное копирование и восстановление. Хранилище — это самый важный файл на вашем сервере; проект должен сделать его резервное копирование очевидным.
- Обрабатывает обмен в семье или команде с управлением доступом на основе ролей, если им пользуется более одного человека.
- Имеет документированные опции для TLS, интеграции обратного прокси и двухфакторной аутентификации для интерфейса администратора.
- Имеет активное сообщество достаточного размера, чтобы ответить на вопрос, когда что-то идет не так.
Быстрое сравнение
| Приложение | Лучше всего для | Платформы | Бесплатный план | Совместимые клиенты |
|---|---|---|---|---|
| Vaultwarden | Выбор домашнего сервера по умолчанию | Linux, Docker | Да, полностью | Bitwarden мобильная, рабочий стол, браузер |
| Bitwarden Self-Hosted | Официальный апстрим | Linux, Docker | Да для личного пользования | Bitwarden мобильная, рабочий стол, браузер |
| Passbolt | Ориентирован на команду, на основе GPG | Linux, Docker | Community Edition бесплатно | Расширение браузера Passbolt, мобильная |
| Psono | Менеджер паролей команды, ориентированный на конфиденциальность | Linux, Docker | Да, полностью | Расширение браузера Psono, рабочий стол |
| Padloc | Полированный пользовательский интерфейс, сквозное шифрование | Linux, Docker | Да для личного пользования | Padloc рабочий стол, мобильная, браузер |
| KeePassXC | На основе файлов, сервер не требуется | Windows, macOS, Linux | Да, полностью | KeePassXC рабочий стол, KeePassDX, Strongbox |
| Pass (passwordstore.org) | Лучше всего для пользователей GPG и Git | Windows, macOS, Linux | Да, полностью | Browserpass, мобильные клиенты Pass |
7 лучших приложений для самостоятельно размещаемых менеджеров паролей на рабочем столе
1. Vaultwarden — лучший выбор для домашнего сервера по умолчанию
Vaultwarden — это переписка на Rust API сервера Bitwarden, и это был выбор по умолчанию для пользователей, самостоятельно размещающих менеджер паролей с 2021 года. Контейнер небольшой (один двоичный файл плюс SQLite или Postgres), использование ресурсов незначительно, и официальные клиенты Bitwarden для мобильных устройств, рабочего стола и браузера все взаимодействуют с ним без каких-либо изменений. Соедините его с обратным прокси, таким как Caddy или Traefik, направьте запись DNS на домашний сервер, и семья находится в одном хранилище в течение часа. Vaultwarden работает чисто на Linux, в контейнере Docker на Windows или macOS, или на крошечном VPS за несколько долларов в месяц.
Где это отстает: Не официальная кодовая база Bitwarden, поэтому аудиты безопасности охватывают апстрим, а не форк. Некоторые функции для предприятий (SSO, организации помимо основ) — это заглушки. Панель администратора намеренно минимальна.
Платформы: Linux, Docker. Клиенты: Bitwarden мобильная, рабочий стол, расширения браузера.
Итог: По умолчанию. Выберите это, если вы хотите сохранить опыт клиента Bitwarden и запустить сервер самостоятельно.
2. Bitwarden Self-Hosted — лучший официальный апстрим
Bitwarden Self-Hosted — это официальный релиз сервера Bitwarden. Набор контейнеров тяжелее, чем Vaultwarden (несколько сервисов, MSSQL по умолчанию) и требует больше памяти для работы, но история аудита является самой сильной в категории, и функции для предприятий (SSO, общий доступ уровня премиум, политики идентификации) все доступны. Bitwarden Self-Hosted — правильный выбор для организаций, которые хотят исходную кодовую базу, хотят журнал аудита и имеют оборудование для его поддержки.
Где это отстает: Использование ресурсов достаточно велико, чтобы требовать по крайней мере 2 ГБ памяти для удобной установки для одного пользователя. Контейнер MSSQL по умолчанию необычен на Linux; неофициальная ветвь Postgres — более удобный вариант. Обновления требуют осторожности, потому что набор контейнеров имеет больше движущихся частей, чем Vaultwarden.
Платформы: Linux, Docker. Клиенты: Bitwarden мобильная, рабочий стол, расширения браузера.
Итог: Выберите это, если вы хотите официальную кодовую базу и у вас есть оборудование для этого.
3. Passbolt — лучше всего для команды на основе GPG
Passbolt — это менеджер паролей, созданный для команд с самого начала. Архитектура использует ключи GPG для шифрования на стороне клиента, поэтому каждый член команды имеет личный ключ и общие ресурсы зашифрованы для всех получателей. Управление доступом на основе ролей, журналы аудита и расширяемый API — все это функции первого класса. Community Edition бесплатна для самостоятельного размещения на Linux и работает в Docker без сюрпризов. Passbolt — правильный выбор, когда более трех человек делят хранилище.
Где это отстает: Управление ключами GPG — это реальный шаг при подключении для не технических пользователей. Расширение браузера надежно, но мобильные клиенты моложе, чем основные облачные конкуренты. Пока нет поддержки passkeys.
Платформы: Linux, Docker. Клиенты: расширение браузера Passbolt, мобильная.
Итог: Выберите это, если вы устанавливаете хранилище для небольшой команды и хотите использовать общий доступ на основе GPG.
4. Psono — лучшее хранилище команды, ориентированное на конфиденциальность
Psono — это менеджер паролей команды на основе Берлина с сильной историей конфиденциальности и полностью работающей бесплатной Community Edition. Сквозное шифрование — это по умолчанию, телеметрия на стороне сервера минимальна, и проект поддерживает тип журнала аудита и функции политики доступа, которые на самом деле используют более мелкие команды. Расширение браузера и клиент рабочего стола отполированы, и дополнительный уровень Enterprise добавляет SSO, LDAP и полировку, которую хотят более крупные организации. Psono vs Passbolt — в основном вопрос GPG (Passbolt) vs модели симметричного ключа (Psono).
Где это отстает: Меньшее сообщество, чем Vaultwarden или Bitwarden Self-Hosted. Мобильные клиенты функциональны, но ощущаются на поколение позади. Настройка требует уровня Enterprise для некоторых функций.
Платформы: Linux, Docker. Клиенты: расширение браузера Psono, рабочий стол.
Итог: Выберите это, если вы хотите хранилище команды, ориентированное на конфиденциальность, и предпочитаете немецкий стек, удобный для размещения.
5. Padloc — лучший полированный пользовательский интерфейс
Padloc — это самый отполированный пользовательский интерфейс менеджера паролей с открытым исходным кодом в категории самостоятельного размещения. Сквозное шифрование встроено, клиенты рабочего стола и мобильной используют одинаковый современный язык дизайна, и самостоятельно размещаемый сервер работает в небольшом контейнере Docker без внешних зависимостей. Уловка Padloc в том, что полировка исторически приходила с меньшим сообществом, чем мир Bitwarden, что означает, что поддержка полагается на собственные каналы проекта.
Где это отстает: Меньший экосистем, чем мир Bitwarden. Бесплатный уровень самостоятельного размещения ограничивает некоторые функции, предназначенные для платного плана размещения. Некоторые расширенные общие данные требуют лицензии Padloc Family или Team даже при самостоятельном размещении.
Платформы: Linux, Docker. Клиенты: Padloc рабочий стол, мобильная, расширения браузера.
Итог: Выберите это, если вы хотите самый отполированный пользовательский интерфейс с открытым исходным кодом в категории.
6. KeePassXC — лучше всего на основе файлов, сервер не требуется
KeePassXC — это кроссплатформенный клиент рабочего стола для формата базы данных KeePass. История “самостоятельного размещения” здесь — это самая простая возможная: хранилище — это один зашифрованный файл .kdbx, который вы храните на собственном диске, в Syncthing, в Nextcloud, на общем ресурсе SFTP или где-либо еще. Без сервера, без API, без поверхности для нарушения. Расширение браузера обрабатывает автозаполнение, KeePassDX и Strongbox охватывают Android и iOS, а формат файла стабилен уже много лет. KeePassXC — правильный выбор для пользователей, которые хотят полностью пропустить сервер.
Где это отстает: Синхронизация — ваша проблема. Обмен с членами семьи связан с предоставлением им доступа к файлу, что неудобно. Восстановление после потери мастер-пароля невозможно.
Платформы: Windows, macOS, Linux. Клиенты: KeePassXC, KeePassDX (Android), Strongbox (iOS).
Итог: Выберите это, если вы хотите хранилище полностью вне любого сетевого сервиса.
7. Pass (passwordstore.org) — лучше всего для пользователей GPG и Git
Pass — это менеджер паролей командной строки Unix, который хранит каждые учетные данные как файл, зашифрованный GPG, внутри дерева каталогов, с Git для синхронизации и версионирования. Browserpass подключает браузеры, существует несколько мобильных клиентов, и дизайн — это самый чистый подход “все — это файл” в категории. Pass — правильный выбор для опытных пользователей, которые уже имеют рабочую установку GPG и хотят хранилище, которое чисто вписывается в существующие инструменты.
Где это отстает: Самый крутой борт на этом списке. Никакого графического интерфейса по умолчанию. Обмен в семье требует запуска небольшого удаленного хранилища Git и управления ключами GPG для получателей.
Платформы: Windows, macOS, Linux. Клиенты: Browserpass, Pass для Android, несколько форков iOS.
Итог: Выберите это, если вы уже используете GPG и Git и хотите хранилище, которое вписывается в них.
Как выбрать правильный
Выберите Vaultwarden, если вы хотите самый плавный путь от LastPass к самостоятельно размещаемому хранилищу, которое сохраняет опыт клиента Bitwarden.
Выберите Bitwarden Self-Hosted, если вам нужна исходная кодовая база, журнал аудита и набор функций для предприятий, и у вас есть оборудование для этого.
Выберите Passbolt, если вы устанавливаете хранилище для небольшой команды и хотите использовать модель общего доступа на основе GPG.
Выберите Psono, если вы хотите хранилище команды, ориентированное на конфиденциальность, и предпочитаете стек, удобный для Берлина.
Выберите Padloc, если вы хотите самый отполированный пользовательский интерфейс с открытым исходным кодом в категории.
Выберите KeePassXC, если вы хотите хранилище полностью вне любого сетевого сервиса и готовы обрабатывать синхронизацию самостоятельно.
Выберите Pass, если вы уже используете GPG и Git и хотите хранилище, которое вписывается в них.
FAQ
Является ли Vaultwarden безопасным?
Vaultwarden — это переписка на Rust API сервера Bitwarden и использует то же шифрование на стороне клиента, что и Bitwarden. Клиенты Bitwarden (мобильные, рабочий стол, браузер) шифруют перед тем, как что-нибудь покидает устройство, поэтому сервер только когда-либо держит зашифрованные большие двоичные объекты. Форк широко проверяется сообществом самостоятельного размещения.
Могу ли я переключиться с LastPass на менеджер паролей с самостоятельным размещением?
Да. Экспортируйте хранилище LastPass в CSV, импортируйте в целевое самостоятельно размещаемое. Vaultwarden, Bitwarden Self-Hosted, Passbolt и Psono все принимают CSV LastPass напрямую через их веб-хранилища.
Какой менеджер паролей с самостоятельным размещением является самым простым в настройке?
Vaultwarden через Docker Compose — самый простой. Один контейнер, обратный прокси, запись DNS, и официальные клиенты Bitwarden работают без дополнительной настройки.
Нужно ли мне имя домена для самостоятельного размещения менеджера паролей?
Имя домена облегчает TLS и является рекомендуемым путем, но самозаверяющий сертификат на LAN-только адресе работает для личного пользования. Мобильные клиенты Bitwarden требуют действительный HTTPS для подключения, поэтому бесплатный сертификат Let’s Encrypt через обратный прокси — обычный ответ.
Какой менеджер паролей с самостоятельным размещением поддерживает passkeys?
Vaultwarden и Bitwarden Self-Hosted оба поддерживают passkeys через опыт клиента Bitwarden. Padloc поддерживает passkeys в собственном коде. Passbolt имеет поддержку passkey на дорожной карте по состоянию на середину 2026 года.