storage-p

Лучшие self-hosted менеджеры паролей 2026 (open source)

Когда менеджер паролей стоит на своём сервере, учётные данные не лежат в чужом облаке, а остаются полностью под вашим контролем. Разбираем сильнейшие self-hosted решения 2026 года: для чего каждое годится лучше всего и где в этом ряду место storage-p.

На что смотреть

Хороший self-hosted менеджер даёт реальную независимость от облака, не добавляя новых рисков: сквозное шифрование с нулевым разглашением (zero-knowledge), чтобы сервер никогда не видел открытый текст; простое развёртывание (в идеале — один Docker-контейнер); открытый или хотя бы прозрачный код; понятная схема бэкапов и восстановления. Плата за это — обновления и бесперебойная работа теперь на вас.

Vaultwarden

Лёгкий сервер на Rust, совместимый с клиентами Bitwarden: занимает заметно меньше 50 МБ памяти и запускается из одного Docker-контейнера. Работает со всеми официальными приложениями Bitwarden, поэтому это выбор по умолчанию для частных пользователей и семей, кому нужны клиенты Bitwarden без тяжёлого официального сервера.

Bitwarden (официальный self-hosted)

Официальный сервер — корпоративный стандарт: ежегодные независимые аудиты, SSO, синхронизация с каталогом, политики организаций. Но он тяжелее в эксплуатации (от 2 ГБ памяти, полноценная база данных) и требует сопровождения. Берите его, когда нужны функции соответствия требованиям и поддержка вендора.

Passbolt

Open source и заточен под команды: в основе — модель открытого и закрытого ключей на OpenPGP с тонкой настройкой доступа к каждому ресурсу. Разработка европейская (Люксембург), Community Edition бесплатна и разворачивается у себя. Лучший вариант, когда во главе угла — безопасный обмен доступами внутри команды.

Psono

Self-hosted менеджер, ориентированный на компании: SAML/LDAP, журналы аудита (аудит-логи) и политики соответствия. Бесплатен для небольших команд, крупные развёртывания оплачиваются по числу пользователей.

KeePassXC (вариант без сервера)

Это вообще не сервер, а один зашифрованный файл KDBX (AES-256), который вы синхронизируете сами (Syncthing, Nextcloud). Нулевая серверная поверхность атаки и поддержка аппаратных ключей — ценой ручной синхронизации между устройствами.

Где здесь storage-p

storage-p — это self-hosted хранилище с нулевым разглашением: ключ выводится прямо в браузере через Argon2id, на сервер попадает только шифротекст XChaCha20-Poly1305, а сама база вдобавок шифруется «в покое» через SQLCipher. Помимо паролей хранит SSH- и TLS-ключи, API-ключи и коды TOTP, создаёт ключи Ed25519 на стороне клиента и выдаёт узкие API-токены, каждое обращение которых можно требовать подтверждать в приложении или через Telegram. Разворачивается контейнером за Caddy.

Как выбрать

Нужны приложения Bitwarden при минимуме ресурсов — Vaultwarden. Нужны корпоративные требования и соответствие — официальный Bitwarden. Обмен доступами в команде на первом месте — Passbolt или Psono. Вообще без сервера — KeePassXC. Нужны нулевое разглашение прямо в браузере плюс SSH/TLS/API/TOTP в одном собственном хранилище — storage-p.