Negli ultimi anni i gestori di password sono diventati indispensabili. L’idea di usare la stessa password per ogni servizio, magari con una variante minuscola o un numero in più, dovrebbe appartenere al passato. Tra data leak continui, esposizione di credenziali e la crescente sofisticazione degli attacchi, affidarsi a una soluzione che generi, memorizzi e compili in automatico credenziali complesse e uniche per ogni sito non è più una scelta, ma una necessità.
Conoscete Bitwarden? Una delle opzioni open source più rispettate e sicure sul mercato. Funziona bene, è affidabile e multi-piattaforma. Ma nel tempo, quell’ansia sottile, quella nuvola di dubbi sul cloud — su dove finissero realmente i dati, su chi potesse accedervi, sulla dipendenza dai server di qualcun altro — inizia a pesare. Non per sfiducia verso Bitwarden nello specifico, qui si indaga più che altro un desiderio più ampio di riprendere il controllo. Volendo uscire dalla logica del “trust me” e spostarmi verso il “trust, but verify” — dove il “verify” significa avere le mani direttamente sui server, proviamo a cercare un’alternativa sempre open source.
Una risposta è Vaultwarden, un’implementazione alternativa, scritta in Rust, del server Bitwarden. La promessa? Mantenere la piena compatibilità con le app e le estensioni ufficiali di Bitwarden, ma con un’impronta hardware molto più leggera e la possibilità di hostare tutto in casa. L’idea di avere il mio vault delle password che gira su una macchina di mia proprietà, dietro la mia rete, senza che un singolo byte sensibile varchi il confine del mio firewall se non quando decido io, è stato il fattore decisivo.
Il setup, devo ammetterlo, suona più intimidatorio di quanto non sia in realtà. La via più semplice passa da Docker, che crea un ambiente isolato e pulito per far girare il server. Dopo aver installato Docker (Desktop per comodità, ma anche la versione engine va benissimo), ho creato una cartella sul mio disco che sarebbe diventata la casa permanente dei dati del vault. Poi, un file di configurazione YAML da personalizzare con le proprie impostazioni — niente di oscuro, solo parametri chiari come la porta di ascolto e il percorso dei dati. L’avvio, una volta configurato il tutto, è una singola riga di comando in PowerShell. Ci sono guide dettagliatissime su GitHub e nei forum, ma il processo è lineare anche per chi non è un amministratore di sistema di professione.
Un aspetto cruciale del self-hosting è la responsabilità dei backup. Con il cloud, è un problema di qualcun altro. Con il proprio server, diventa un tuo compito. La bellezza dell’ecosistema Docker è che puoi aggiungere un servizio di backup come sidecar, un container che periodicamente e automaticamente crea una copia sicura del database SQLite senza nemmeno dover fermare il server principale. È un’operazione da configurarsi una volta sola, e poi dimenticarsene, sapendo che i propri dati sono al sicuro.
Il vero scoglio, però, arriva dopo: una volta che il server di Vaultwarden è acceso e funzionante sul tuo PC di casa, come fai ad accedere alle tue password dal telefono, dal laptop in viaggio, o dal tablet? Qui è dove la storia diventa interessante, perché tirare semplicemente un cavo dal router verso l’esterno (aprire le porte con NAT) è sconsigliabile e pericoloso. Una soluzione può essere la combinazione di due strumenti: Tailscale e Caddy.
Tailscale è, in sostanza, una VPN a configurazione zero. Sfrutta WireGuard e una gestione centralizzata delle chiavi per creare una rete privata virtuale tra tutti i tuoi dispositivi, come se fossero tutti nella stessa stanza, sullo stesso Wi-Fi, anche se fisicamente sono distanti migliaia di chilometri. Dopo aver creato un account, ho installato Tailscale sul server e su tutti i miei device — smartphone, laptop, tablet. In pochi minuti, tutti parlavano tra loro attraverso un tunnel cifrato.
Per evitare i fastidiosi avvisi del browser “La connessione non è privata” quando accedi a un sito self-hosted, puoi utilizzare Caddy come reverse proxy. Caddy ha il grande pregio di gestire in automatico i certificati TLS (Let’s Encrypt), anche per domini locali di Tailscale. Il risultato è che puoi aprire il browser sul telefono, digitare l’indirizzo Tailscale del tuo server, e vedere il pannello di Vaultwarden con il lucchetto verde di HTTPS, perfettamente sicuro e riconosciuto dal browser come valido.
Certo, questo approccio ha un limite: se non puoi installare Tailscale su un dispositivo, quel dispositivo rimane fuori dalla rete. È il caso, tipicamente, dei computer aziendali bloccati. Il vantaggio, però, è enorme: quando sei connesso a una Wi-Fi pubblica, potenzialmente insicura, il traffico verso il password manager viaggia comunque attraverso il tunnel cifrato di Tailscale. Il “server di casa” è invisibile al mondo esterno, visibile solo ai miei dispositivi autorizzati.
Passare a una soluzione self-hosted come Vaultwarden non è un “set and forget”. Richiede manutenzione: aggiornare i container, monitorare gli spazi disco, assicurarsi che i backup funzionino. C’è anche il rischio concreto di rimanere senza accesso alle nuove password se il server di casa va giù mentre sei in viaggio. Ma questi sono i compromessi del controllo totale.
Il payoff, però, è una sensazione di sicurezza tangibile. I nostri segreti più digitali — le chiavi della vita online — non risiedono su un cluster di server di cui ignoro l’esatta locazione fisica e giuridica. Sono in una scatola metallica nella nostra stanza, protetti dai firewall, cifrati con le nostre chiavi. È un ritorno a una filosofia più artigianale dell’informatica, dove la sicurezza non è un servizio in abbonamento, ma una competenza che si coltiva e una responsabilità che si assume.
Alla fine, il processo da Bitwarden a Vaultwarden non è stato solo una migrazione tecnica. È stato un piccolo atto di indipendenza digitale. Un modo per ricordare che, in un mondo sempre più appiattito su servizi in cloud, l’opzione di tenersi le proprie cose in casa non solo esiste ancora, ma può essere più semplice, più leggera e, per certi versi, più gratificante di quanto ci si aspetterebbe.