Лучшие self-hosted менеджеры паролей 2026 (open source)
Когда менеджер паролей стоит на своём сервере, учётные данные не лежат в чужом облаке, а остаются полностью под вашим контролем. Разбираем сильнейшие self-hosted решения 2026 года: для чего каждое годится лучше всего и где в этом ряду место storage-p.
На что смотреть
Хороший self-hosted менеджер даёт реальную независимость от облака, не добавляя новых рисков: сквозное шифрование с нулевым разглашением (zero-knowledge), чтобы сервер никогда не видел открытый текст; простое развёртывание (в идеале — один Docker-контейнер); открытый или хотя бы прозрачный код; понятная схема бэкапов и восстановления. Плата за это — обновления и бесперебойная работа теперь на вас.
Vaultwarden
Лёгкий сервер на Rust, совместимый с клиентами Bitwarden: занимает заметно меньше 50 МБ памяти и запускается из одного Docker-контейнера. Работает со всеми официальными приложениями Bitwarden, поэтому это выбор по умолчанию для частных пользователей и семей, кому нужны клиенты Bitwarden без тяжёлого официального сервера.
Bitwarden (официальный self-hosted)
Официальный сервер — корпоративный стандарт: ежегодные независимые аудиты, SSO, синхронизация с каталогом, политики организаций. Но он тяжелее в эксплуатации (от 2 ГБ памяти, полноценная база данных) и требует сопровождения. Берите его, когда нужны функции соответствия требованиям и поддержка вендора.
Passbolt
Open source и заточен под команды: в основе — модель открытого и закрытого ключей на OpenPGP с тонкой настройкой доступа к каждому ресурсу. Разработка европейская (Люксембург), Community Edition бесплатна и разворачивается у себя. Лучший вариант, когда во главе угла — безопасный обмен доступами внутри команды.
Psono
Self-hosted менеджер, ориентированный на компании: SAML/LDAP, журналы аудита (аудит-логи) и политики соответствия. Бесплатен для небольших команд, крупные развёртывания оплачиваются по числу пользователей.
KeePassXC (вариант без сервера)
Это вообще не сервер, а один зашифрованный файл KDBX (AES-256), который вы синхронизируете сами (Syncthing, Nextcloud). Нулевая серверная поверхность атаки и поддержка аппаратных ключей — ценой ручной синхронизации между устройствами.
Где здесь storage-p
storage-p — это self-hosted хранилище с нулевым разглашением: ключ выводится прямо в браузере через Argon2id, на сервер попадает только шифротекст XChaCha20-Poly1305, а сама база вдобавок шифруется «в покое» через SQLCipher. Помимо паролей хранит SSH- и TLS-ключи, API-ключи и коды TOTP, создаёт ключи Ed25519 на стороне клиента и выдаёт узкие API-токены, каждое обращение которых можно требовать подтверждать в приложении или через Telegram. Разворачивается контейнером за Caddy.
Как выбрать
Нужны приложения Bitwarden при минимуме ресурсов — Vaultwarden. Нужны корпоративные требования и соответствие — официальный Bitwarden. Обмен доступами в команде на первом месте — Passbolt или Psono. Вообще без сервера — KeePassXC. Нужны нулевое разглашение прямо в браузере плюс SSH/TLS/API/TOTP в одном собственном хранилище — storage-p.