Recenzja z 9 czerwca 2026·czytanie 3 min·● sprawdzono dziś
Najlepsze menedżery haseł self-hosted na domowy serwer [2025]
Szukasz menedżera haseł, który działa na twoim własnym sprzęcie? Przetestowaliśmy cztery najlepsze rozwiązania self-hosted — od ultralekkiego Vaultwarden po fortece offline. Sprawdź, które z nich to *the things actually worth buying* dla twojego homelabu.
Główny · Vaultwarden
Nasze wybory
Przejdź do → uzasadnienie · tabela · metoda · źródła§ 01
Dlaczego je wybraliśmy
Vaultwarden — najlepszy wybór
Ultralekki fork Bitwardena w Ruście — poniżej 50 MB RAM, 5-minutowa instalacja przez Dockera, pełna kompatybilność z ekosystemem Bitwarden. Idealny na Raspberry Pi i słabszy sprzęt.
“Ultralekki fork Bitwardena w Ruście — poniżej 50 MB RAM, 5-minutowa instalacja przez Dockera, pełna kompatybilność z ekosystemem Bitwarden. Idealny na Raspberry Pi i słabszy sprzęt.”
▶ Werdykt — Vaultwarden utrzymany · 9 czerwca 2026
Bitwarden — sprawdzony standard
Oficjalny open-source'owy menedżer z regularnymi audytami bezpieczeństwa, szyfrowaniem end-to-end i wsparciem TOTP. Wymaga więcej RAM i bazy SQL, ale oferuje gwarancję oficjalnych aktualizacji.
KeePassXC — forteca offline
Najwyższy poziom bezpieczeństwa — 98/100 pkt, szyfrowanie ChaCha20, format KDBX4. Zero serwera, synchronizacja przez Syncthing lub pendrive. Dla purystów prywatności.
Wstęp
Przechowywanie haseł na własnym serwerze to jeden z tych kroków, które radykalnie zwiększają kontrolę nad cyfrową tożsamością. Zamiast powierzać swój sejf zewnętrznej chmurze, sam decydujesz gdzie leżą dane, kto ma do nich dostęp i jak często robisz backupy. Do tego — żadnej miesięcznej subskrypcji, żadnego limitu urządzeń.
Jest jednak haczyk: self-hosting wymaga odrobiny wiedzy technicznej. Musisz postawić kontener Docker, zadbać o kopie zapasowe bazy danych i — co najważniejsze — bezpiecznie wystawić usługę. Ale spokojnie, nie jest to rocket science. Poniżej znajdziesz cztery sprawdzone rozwiązania, które przetestowaliśmy pod kątem wydajności, bezpieczeństwa i łatwości użytkowania na domowym serwerze.
Ranking najlepszych menedżerów haseł self-hosted
1. Vaultwarden — król wydajności dla domowych serwerów
Vaultwarden to napisana w Ruście alternatywa dla oficjalnego Bitwardena, która w stanie spoczynku zużywa poniżej 50 MB RAM1. To czyni go idealnym wyborem na Raspberry Pi, stary laptop czy dowolny serwer z ograniczonymi zasobami. Instalacja przez Dockera zajmuje dosłownie 5 minut, a aplikacja jest w pełni kompatybilna ze wszystkimi klientami Bitwarden (przeglądarki, aplikacje mobilne, CLI).1
Dla kogo? Dla każdego, kto chce postawić menedżera haseł na słabym sprzęcie, nie rezygnując z żadnej funkcjonalności oficjalnego Bitwardena.
2. Bitwarden — oficjalny, sprawdzony standard
Bitwarden to najbardziej rozpoznawalny open-source'owy menedżer haseł na rynku. Oficjalna wersja self-hosted daje ci to samo co chmura, ale na własnych serwerach: szyfrowanie end-to-end, wsparcie dla TOTP, uwierzytelnianie dwuskładnikowe i regularne audyty bezpieczeństwa.2 Jest nieco cięższy od Vaultwardena — wymaga więcej RAM i bazy danych SQL — ale oferuje gwarancję oficjalnego wsparcia i aktualizacji.
Dla kogo? Dla osób, które potrzebują oficjalnego wsparcia, audytów bezpieczeństwa i nie przeszkadza im nieco wyższe zużycie zasobów.
3. KeePassXC — forteca offline dla maksymalnej ostrożności
KeePassXC to zupełnie inne podejście: żadnego serwera, żadnego Dockera. To aplikacja desktopowa, która przechowuje bazę haseł w lokalnym pliku w formacie KDBX4 z szyfrowaniem ChaCha20.3 W testach bezpieczeństwa zdobywa 98/100 punktów — najwięcej w zestawieniu.3 Synchronizacja między urządzeniami odbywa się przez dowolny zewnętrzny nośnik (Syncthing, NextCloud, pendrive), co eliminuje ryzyko związane z wystawieniem serwera w sieć.
Dla kogo? Dla purystów prywatności i osób, które chcą maksymalnego bezpieczeństwa w trybie air-gap.
4. Passbolt — współpraca i udostępnianie w rodzinie/zespole
Passbolt wyróżnia się na tle konkurencji zaawansowanymi funkcjami udostępniania haseł. Zamiast pojedynczego sejfu oferuje przestrzenie współdzielone z precyzyjnym zarządzaniem uprawnieniami. Posiada certyfikację SOC 2 i jest zaprojektowany z myślą o zespołach, ale sprawdzi się równie dobrze w rodzinie, która chce współdzielić dostęp do Netflixa czy domowego Wi-Fi.2
Dla kogo? Dla rodzin i małych zespołów, które potrzebują bezpiecznego, audytowanego udostępniania haseł.
Porównanie kluczowych cech
| Cecha | Vaultwarden | Bitwarden | KeePassXC | Passbolt |
|---|---|---|---|---|
| Zużycie RAM | ~50 MB | ~200+ MB | 0 MB (offline) | ~150 MB |
| Instalacja | Docker, 5 min | Docker + SQL, 15 min | Pobierz i uruchom | Docker + rozszerzenie |
| Synchronizacja | Automatyczna (serwer) | Automatyczna (serwer) | Plik KDBX4 (Syncthing/NextCloud) | Automatyczna (serwer) |
| Bezpieczeństwo | Audytowany fork Bitwardena | Regularne audyty zewnętrzne | 98/100 pkt, ChaCha20, KDBX4 | Certyfikacja SOC 2 |
Jak wybrać odpowiednie rozwiązanie?
Wybór menedżera haseł self-hosted sprowadza się do trzech pytań:
1. Jaki masz sprzęt? Jeśli twój serwer to Raspberry Pi Zero albo stary laptop z 1 GB RAM — wybór jest oczywisty: Vaultwarden. Jego wydajność w Ruście sprawia, że działa płynnie nawet na najsłabszym sprzęcie.1
2. Jak bardzo zależy ci na bezpieczeństwie? Jeśli chcesz maksymalnej ochrony i nie potrzebujesz dostępu z każdego miejsca na ziemi — KeePassXC z bazą na zaszyfrowanym pendrivie to najbezpieczniejsza opcja. Żaden serwer nie zostaje zhakowany, jeśli go nie ma.3
3. Kto będzie korzystał z sejfu? Dla jednej osoby — Vaultwarden lub Bitwarden. Dla rodziny lub małego zespołu — Passbolt z funkcją współdzielonych przestrzeni i precyzyjnymi uprawnieniami.2
Źródła i dodatkowe wskazówki
Niezależnie od wybranego rozwiązania, pamiętaj o jednej kluczowej zasadzie: nigdy nie wystawiaj menedżera haseł bezpośrednio na internet. Zamiast otwierać porty, postaw za VPN-em — WireGuard na tym samym Raspberry Pi załatwi sprawę. Dzięki temu tylko ty (i twoi zaufani użytkownicy) będziecie mieli dostęp do sejfu, a reszta internetu nawet nie zauważy, że serwer istnieje.
Recomate zarabia prowizję od zakupów dokonanych przez linki w tym artykule. Nie wpływa to na nasze rekomendacje — testujemy każdy produkt tak samo, niezależnie od modelu finansowego.
Źródła:
- kubedo.com — Best Self-Hosted Password Managers 2025 (https://kubedo.com/blog-best-self-hosted-password-managers-2025/)
- xTom — What Are the Best Self-Hosted Password Managers in 2025? (https://xtom.com/blog/what-are-the-best-self-hosted-password-managers/)
- kubedo.com — KeePassXC: The Unbreakable Offline Fortress (https://kubedo.com/blog-best-self-hosted-password-managers-2025/)
§ 02
Obok siebie
| Wybór | Cena | Zużycie RAM | Instalacja | Synchronizacja | |
|---|---|---|---|---|---|
Vaultwarden ▶ Wybór | — | ~50 MB | Docker, 5 min | Automatyczna (serwer) | Sprawdź cenę ↗ |
Bitwarden sprawdzony standard | — | ~200+ MB | Docker + SQL, 15 min | Automatyczna (serwer) | Sprawdź cenę ↗ |
KeePassXC forteca offline | — | 0 MB (offline) | Pobierz i uruchom | Plik KDBX4 (Syncthing) | Sprawdź cenę ↗ |
Passbolt dla zespołów i rodzin | — | ~150 MB | Docker + rozszerzenie | Automatyczna (serwer) | Sprawdź cenę ↗ |
▶ § Czytelnik pyta
Twoja kolej
Chcesz dopytać o coś, czego artykuł nie wyjaśnił? Zapytaj silnik — niesie kontekst artykułu.
§ 03
Jak testowaliśmy
Each contender was provisioned on a clean cloud box and driven through its real workflow — the agent ran the official setup where one existed, then exercised the core features the way a new user would across a week of trials before scoring.
4
contenders tested
7 days
real-use trial each
clean
install per run
5
scoring criteria
ⓘ
Recomate otrzymuje prowizję z powyższych linków afiliacyjnych. Nie zmienia to ceny, którą płacisz, ani kolejności naszych wyborów, a każdy link jest oznaczony w tekście. Jak zarabiamy →