I gestori di password sono diventati essenziali — eppure la maggior parte delle persone paga abbonamenti mensili per servizi cloud come 1Password o LastPass, o peggio, riutilizza le stesse password deboli ovunque. Ma c'è una terza opzione: autohostare il proprio gestore di password che è altrettanto valido delle alternative a pagamento, completamente gratuito e sotto il tuo totale controllo.
Entra in gioco Vaultwarden — un server leggero e open-source compatibile con tutti i client ufficiali di Bitwarden. Ti offre l'intera esperienza Bitwarden (estensioni per browser, app mobili, app desktop, CLI) mentre memorizza le tue password crittografate sul tuo hardware. Niente abbonamenti, niente dipendenza dal cloud, nessun problema di fiducia.
In questa guida, installeremo Vaultwarden da zero utilizzando Docker Compose. Alla fine, avrai un gestore di password pronto per la famiglia che non costa nulla da eseguire e mantiene i tuoi dati più sensibili esattamente dove appartengono — con te.
Perché Vaultwarden?
Prima di immergerci nella configurazione, comprendiamo perché Vaultwarden è la scelta ideale per la gestione delle password autohostate:
| Caratteristica | Vaultwarden | Bitwarden Cloud | 1Password |
|---|---|---|---|
| Costo | Gratuito (autohostato) | /bin/zsh-40/anno | -60/anno |
| Piano Familiare | Gratuito (utenti illimitati) | /anno (6 utenti) | /anno (5 utenti) |
| Archiviazione Dati | Il tuo server | Cloud di Bitwarden | Cloud di 1Password |
| Crittografia End-to-End | ✅ Stessa di Bitwarden | ✅ | ✅ |
| Estensioni per Browser | ✅ Tutti i browser | ✅ | ✅ |
| App Mobili | ✅ iOS & Android | ✅ | ✅ |
| App Desktop | ✅ Win/Mac/Linux | ✅ | ✅ |
| Organizzazioni/Condivisione | ✅ Supporto completo | ✅ (Premium) | ✅ |
| 2FA (TOTP) | ✅ Integrato | ✅ (Premium) | ✅ |
| Accesso di Emergenza | ✅ | ✅ (Premium) | ❌ |
| Invia (Condivisione Sicura) | ✅ | ✅ | ❌ |
| Accesso Offline | ✅ Copia locale del vault | ✅ | ✅ |
La chiave: Vaultwarden implementa la stessa API del server ufficiale di Bitwarden, quindi ottieni la stessa esperienza client esatta — app curate, compilazione automatica senza problemi, condivisione sicura — senza pagare per l'hosting cloud. Il server ufficiale di Bitwarden richiede risorse sostanziali (più contenitori, SQL Server), mentre Vaultwarden funziona felicemente su un Raspberry Pi.
Cosa Ti Serve
I requisiti sono minimi:
- Un server — Qualsiasi macchina Linux, VPS, NAS, o anche un Raspberry Pi. Vaultwarden utilizza circa 50MB di RAM.
- Docker e Docker Compose — il metodo di installazione consigliato.
- Un nome di dominio (consigliato) — per l'accesso HTTPS. Puoi utilizzare un sottodominio gratuito da servizi come DuckDNS se necessario.
- Circa 10 minuti — sul serio, è così veloce.
🔒 Sicurezza Prima di Tutto
- ⚠️HTTPS è obbligatorio per l'uso in produzione. I client di Bitwarden richiedono un contesto sicuro (HTTPS) per funzionare correttamente. Tratteremo come impostarlo.
- 💡La tua password principale non viene mai memorizzata — solo un hash crittografico. Anche se qualcuno ruba il tuo server, non può leggere le tue password senza la password principale.
Passo 1: Installa Docker
Se Docker non è già installato, configurarlo con lo script di convenienza ufficiale:
# Installa Docker
curl -fsSL https://get.docker.com | sh
# Aggiungi il tuo utente al gruppo docker
sudo usermod -aG docker clawdbot
# Disconnettiti e riconnettiti, poi verifica
docker --version
docker compose versionPasso 2: Crea la Directory di Vaultwarden
Crea una directory dedicata per il tuo gestore di password:
# Crea ed entra nella directory
mkdir ~/vaultwarden
cd ~/vaultwardenPasso 3: Crea il File Docker Compose
Crea un file docker-compose.yml:
# Crea il file di composizione
nano docker-compose.ymlIncolla questa configurazione:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.tuodominio.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "il-tuo-token-amministratore-sicuro-qui"
SMTP_HOST: "smtp.gmail.com"
SMTP_FROM: "[email protected]"
SMTP_PORT: "587"
SMTP_SECURITY: "starttls"
SMTP_USERNAME: "[email protected]"
SMTP_PASSWORD: "la-tua-password-app"
volumes:
- ./vw-data:/data
ports:
- "127.0.0.1:8080:80"Analizziamo le impostazioni chiave:
- DOMAIN: Il tuo URL completo con HTTPS. Questo è necessario affinché il vault web funzioni correttamente.
- SIGNUPS_ALLOWED: Imposta inizialmente su "true" per creare il tuo account, poi cambia in "false" dopo la configurazione.
- ADMIN_TOKEN: Un token sicuro per accedere al pannello di amministrazione. Generane uno con:
openssl rand -base64 48 - SMTP_*: Impostazioni email per il ripristino della password e le notifiche. Facoltativo ma consigliato.
- Port binding: Ci colleghiamo solo a 127.0.0.1 — un proxy inverso gestirà l'accesso esterno con HTTPS.
🔑 Genera un Token Amministratore Sicuro
# Genera un token sicuro
openssl rand -base64 48
# Esempio di output: kR9h2s8K...long-random-string...
# Usa questo come il tuo ADMIN_TOKENTieni questo token al sicuro — fornisce accesso completo al tuo pannello di amministrazione di Vaultwarden.
Passo 4: Imposta HTTPS con Caddy (Consigliato)
I client di Bitwarden richiedono HTTPS. Il modo più semplice per impostarlo è con Caddy, che gestisce automaticamente i certificati SSL.
Aggiungi Caddy al tuo docker-compose.yml:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.tuodominio.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "il-tuo-token-amministratore-sicuro-qui"
volumes:
- ./vw-data:/data
networks:
- vaultwarden
caddy:
image: caddy:latest
container_name: caddy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- ./caddy-data:/data
- ./caddy-config:/config
networks:
- vaultwarden
networks:
vaultwarden:
driver: bridgeCrea il Caddyfile:
# Crea il Caddyfile
nano CaddyfileAggiungi questa configurazione:
vault.tuodominio.com {
reverse_proxy vaultwarden:80
}Sostituisci vault.tuodominio.com con il tuo dominio reale. Caddy otterrà e rinnoverà automaticamente i certificati di Let's Encrypt.
Passo 5: Avvia Vaultwarden
Avvia tutto:
# Scarica le immagini e avvia
docker compose up -d
# Controlla i log
docker compose logs -fDai a Caddy un minuto per ottenere il tuo certificato SSL. Dovresti vedere qualcosa del tipo:
caddy | certificato ottenuto con successo per vault.tuodominio.comPasso 6: Crea il Tuo Account
Vai su https://vault.tuodominio.com nel tuo browser. Vedrai l'interfaccia del vault web di Bitwarden. Clicca su "Crea Account" e imposta la tua password principale.
🔐 Suggerimenti per la Password Principale
- ✅Usa una frase di passaggio — 4+ parole casuali sono più facili da ricordare e più sicure delle password complesse
- ✅Esempio: "cavallo-corretto-batteria-stapler-piano" (ma fai la tua!)
- ⚠️Questa password non può essere recuperata se persa — non esiste un "password dimenticata" per la tua chiave principale
- 💡Scrivila e conservala in un luogo sicuro (cassaforte fisica, cassetta di sicurezza)
Passo 7: Disabilita le Registrazioni Pubbliche
Una volta creato il tuo account, disabilita la registrazione pubblica:
# Modifica il tuo docker-compose.yml
nano docker-compose.yml
# Cambia:
SIGNUPS_ALLOWED: "false"
# Riavvia
docker compose up -dI nuovi utenti possono ora essere invitati solo tramite il pannello di amministrazione o creati da utenti esistenti con privilegi di organizzazione.
Passo 8: Imposta i Client di Bitwarden
Qui è dove l'autohosting brilla — utilizzi le app ufficiali di Bitwarden, semplicemente puntate al tuo server.
Estensioni per Browser
Installa l'estensione di Bitwarden per il tuo browser (Chrome, Firefox, Safari).
- Clicca sull'icona dell'estensione e seleziona "Autohostato"
- Inserisci l'URL del tuo server:
https://vault.tuodominio.com - Accedi con il tuo account
App Mobili
Installa Bitwarden dall'App Store o dal Google Play.
- Tocca il selettore di regione (mostra "bitwarden.com" per impostazione predefinita)
- Seleziona "Autohostato"
- Inserisci l'URL del tuo server e accedi
Abilita lo sblocco biometrico (Face ID, impronta digitale) per un accesso rapido senza digitare la tua password principale ogni volta.
App Desktop
Scarica da bitwarden.com/download — disponibile per Windows, macOS e Linux. Stessa configurazione: Impostazioni → Autohostato → inserisci il tuo URL.
Impostare la Condivisione Familiare
Una delle migliori caratteristiche di Vaultwarden è organizzazioni illimitate — perfetto per condividere password con i membri della famiglia.
Crea un'Organizzazione Familiare
- Accedi al tuo vault web
- Clicca su "Nuova Organizzazione"
- Dallo un nome (es. "Password Familiari")
- Scegli il piano "Gratuito" (tutte le funzionalità sono disponibili)
Invita i Membri della Famiglia
- Vai alla tua organizzazione → Membri
- Clicca su "Invita Utente"
- Inserisci il loro indirizzo email
- Scegli il loro ruolo (Membro, Amministratore o Proprietario)
Se le registrazioni sono disabilitate, utilizza il pannello di amministrazione (https://vault.tuodominio.com/admin) per creare account direttamente.
Crea Collezioni Condivise
Le collezioni sono come cartelle che possono essere condivise con membri specifici:
- Servizi di Streaming — Netflix, Disney+, ecc. (condividi con tutti)
- Password WiFi — rete domestica, case di parenti
- Abbonamenti Condivisi — account familiari che tutti usano
- Informazioni di Emergenza — conti bancari, assicurazione (ristretto a membri fidati)
Rinforzo della Sicurezza Essenziale
Il tuo vault di password è un obiettivo di alto valore. Ecco come blindarlo:
Abilita l'Autenticazione a Due Fattori
Accedi al tuo vault web → Impostazioni Account → Accesso a Due Fasi. Le opzioni includono:
- App Autenticatore (Google Authenticator, Authy, ecc.) — consigliato
- YubiKey — chiave hardware per la massima sicurezza
- Email — invia un codice alla tua email (richiede configurazione SMTP)
Imposta Fail2Ban
Proteggi contro attacchi di forza bruta vietando gli IP dopo tentativi di accesso falliti. Crea /etc/fail2ban/filter.d/vaultwarden.conf:
[Definition]
failregex = ^.*Nome utente o password errati\. Riprova\. IP: <ADDR>\. Nome utente:.*$
ignoreregex =E /etc/fail2ban/jail.d/vaultwarden.local:
[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15mBackup Regolari
I tuoi dati del vault si trovano nella directory ./vw-data. Esegui backup regolarmente:
# Script di backup semplice
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210
# Ferma il contenitore per coerenza
docker compose -f ~/vaultwarden/docker-compose.yml stop
# Crea un backup crittografato
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"
# Riavvia
docker compose -f ~/vaultwarden/docker-compose.yml up -dConserva i backup in un luogo sicuro — un server diverso, spazio di archiviazione cloud con crittografia lato client, o anche una chiavetta USB in una cassaforte.
Funzionalità Avanzate
Bitwarden Send
Send ti consente di condividere in modo sicuro testo o file con chiunque — anche persone senza un account Bitwarden. Perfetto per condividere password WiFi con gli ospiti o inviare documenti sensibili.
- In qualsiasi client di Bitwarden, vai su Invia
- Crea un nuovo Invio (testo o file)
- Imposta la scadenza, il numero massimo di accessi e una password facoltativa
- Condividi il link generato
Accesso di Emergenza
Designa contatti fidati che possono richiedere accesso al tuo vault se ti succede qualcosa:
- Vai su Impostazioni → Accesso di Emergenza
- Aggiungi contatti fidati (hanno bisogno di account Vaultwarden)
- Imposta un periodo di attesa (es. 7 giorni)
- Se richiedono accesso e non neghi entro il periodo di attesa, ottengono accesso in sola lettura al tuo vault
Pannello di Amministrazione
Accedi al pannello di amministrazione su https://vault.tuodominio.com/admin utilizzando il tuo ADMIN_TOKEN. Qui puoi:
- Visualizzare tutti gli utenti e le organizzazioni
- Invitare nuovi utenti o eliminare account
- Visualizzare la configurazione del server e i diagnostici
- Eseguire manutenzione del database
Importare Password Esistenti
Stai passando da un altro gestore di password? Bitwarden importa da praticamente tutto:
Da Chrome/Firefox
- Esporta le password dal tuo browser (di solito formato CSV)
- Nel vault web di Bitwarden: Strumenti → Importa Dati
- Seleziona il tuo browser come formato sorgente
- Carica il file
Da 1Password, LastPass, Dashlane, ecc.
- Esporta dal tuo gestore attuale (controlla la loro documentazione per le opzioni di esportazione)
- In Bitwarden: Strumenti → Importa Dati
- Seleziona l'applicazione sorgente dal menu a discesa
- Carica il tuo file di esportazione
Dopo l'importazione: Elimina il file di esportazione in modo sicuro — contiene tutte le tue password in testo chiaro!
Mantenere Vaultwarden Aggiornato
Gli aggiornamenti portano correzioni di sicurezza e nuove funzionalità. Aggiorna regolarmente:
# Naviga nella tua directory di Vaultwarden
cd ~/vaultwarden
# Scarica l'immagine più recente
docker compose pull
# Riavvia con la nuova versione
docker compose up -d
# Pulisci le vecchie immagini
docker image prune -fControlla la pagina delle release di Vaultwarden per changelog e cambiamenti significativi prima degli aggiornamenti maggiori.
Risoluzione dei Problemi
Impossibile Accedere al Vault Web
- Controlla che la tua variabile di ambiente
DOMAINcorrisponda esattamente al tuo URL reale - Verifica il certificato SSL:
curl -I https://vault.tuodominio.com - Controlla i log di Caddy:
docker compose logs caddy
Le Notifiche Email Non Funzionano
- Se utilizzi Gmail, hai bisogno di una Password App (non della tua password normale)
- Controlla le impostazioni SMTP nel pannello di amministrazione → Diagnostica
- Prova a inviare un'email di prova dal pannello di amministrazione
L'App Mobile Non Può Connettersi
- Assicurati di utilizzare HTTPS (non HTTP)
- Controlla che il certificato SSL sia valido (non auto-firmato, a meno che tu non l'abbia installato sul tuo dispositivo)
- Prova ad accedere all'URL del vault web nel browser del tuo telefono prima
FAQ
Vaultwarden è sicuro come Bitwarden?
Sì. Vaultwarden implementa lo stesso schema di crittografia (AES-256-CBC con PBKDF2-SHA256 o Argon2id). Il tuo vault è crittografato localmente con la tua password principale prima che qualsiasi dato tocchi il server. Anche se qualcuno compromette il tuo server, non può leggere le tue password senza la tua password principale.
Cosa succede se il mio server si guasta?
I client di Bitwarden memorizzano nella cache il tuo vault localmente. Puoi comunque accedere e compilare automaticamente le password offline. Non puoi semplicemente sincronizzare nuove modifiche fino a quando il server non è di nuovo online.
Posso usare questo con più dispositivi?
Assolutamente. Accedi su quanti più dispositivi vuoi — telefoni, tablet, computer, browser. Le modifiche si sincronizzano automaticamente.
Esiste un limite su password o utenti?
No limiti artificiali. Memorizza quante più password vuoi, crea quanti più account utente e organizzazioni hai bisogno. L'unico limite è lo spazio di archiviazione del tuo server.
Posso migrare di nuovo su Bitwarden cloud in seguito?
Sì. Esporta il tuo vault da Vaultwarden (Strumenti → Esporta Vault), poi importa in un account Bitwarden cloud. I tuoi dati sono portabili.
Cosa c'è dopo?
Ora hai un gestore di password di livello professionale in esecuzione sulla tua infrastruttura. Ecco come ottenere il massimo:
- Importa tutte le tue password da browser e altri gestori
- Installa l'estensione del browser su ogni dispositivo — la compilazione automatica è un cambiamento radicale
- Imposta la condivisione familiare per abbonamenti e account condivisi
- Abilita 2FA ovunque — Vaultwarden può memorizzare anche i tuoi codici TOTP
- Esplora altre app autohostate nella directory di Hostly — magari una soluzione di backup foto la prossima?
La sicurezza delle password non è più facoltativa — è essenziale. Con Vaultwarden, ottieni il meglio di entrambi i mondi: l'esperienza curata dei gestori di password commerciali, con la privacy e il controllo dell'autohosting. Le tue password rimangono tue, crittografate sul tuo hardware, accessibili solo con la tua password principale.
Nessuna tassa mensile. Nessun mining dei dati. Nessuna fiducia richiesta. Solo gestione delle password sicura e privata per te e la tua famiglia.