Proč provozovat vlastní password manager Passbolt

blog

10. 10. 2025

Julie Šebestová

Rubriky: Správa serverů, Vedení on-line projektů

V dnešní digitální éře čelí firmy všech velikostí rostoucímu problému – správě desítek až stovek přístupových údajů k různým systémům, aplikacím a službám. Každý den se ve firemním prostředí používají přihlašovací údaje k cloudovým službám, interním systémům, sociálním sítím nebo správcovským rozhraním klientských projektů. Tato hesla představují klíče k citlivým datům a kritickým systémům vaší organizace.

Alarmující statistiky hovoří jasně: podle průzkumu Verizon Data Breach Investigations Report je více než 80% úspěšných hackerských útoků způsobeno slabými nebo ukradenými hesly. Další studie ukazují, že průměrný zaměstnanec používá 8-12 různých systémů vyžadujících přihlášení, a 62% firem sdílí hesla prostřednictvím e-mailu, textových dokumentů nebo ústně.

S rostoucím počtem vzdálených týmů a externích spolupracovníků narůstá také potřeba bezpečného sdílení přístupů mezi členy týmu. Jak zajistit, aby měli všichni oprávnění uživatelé přístup k potřebným heslům, a zároveň minimalizovat riziko jejich úniku? Jak efektivně spravovat změny hesel, když zaměstnanec odchází z firmy? A jak mít přehled o tom, kdo a kdy k jakým přístupovým údajům přistupoval?

Na tyto otázky odpovídá profesionální správa hesel, konkrétně open-source řešení Passbolt provozované na vlastní infrastruktuře.

Představení Passbolt

Passbolt je open-source platforma pro správu přístupových údajů určená pro moderní týmy. Jde o všestranné, praxí prověřené řešení pro správu a spolupráci na heslech, přístupech a tajných klíčích. Na rozdíl od běžných osobních správců hesel je Passbolt navržen přímo pro firemní prostředí s důrazem na bezpečné sdílení přístupů v týmech.

Mezi klíčové funkce Passbolt patří:

  • End-to-end šifrování – hesla jsou šifrována na straně klienta, na server se ukládají pouze zašifrovaná data
  • Kontrola přístupu na základě rolí – možnost definovat, kdo má přístup ke kterým heslům a s jakými právy
  • Možnost sdílení hesel v týmech – bezpečná distribuce přístupů v rámci projektových týmů
  • Audit a reporting – sledování, kdo a kdy k heslům přistupoval
  • Dvoufaktorová autentizace – další vrstva zabezpečení přístupu
  • Integrace s firemními systémy – napojení na LDAP, Active Directory a další firemní služby
  • Rozšíření pro prohlížeče – snadné používání v Chrome, Firefox a dalších prohlížečích
  • Automatické generování silných hesel – pomáhá dodržovat bezpečnostní standardy

Ve srovnání s jinými řešeními jako LastPass, 1Password nebo Bitwarden vyniká Passbolt především možností plné kontroly nad infrastrukturou, transparentností (jako open-source software) a flexibilitou přizpůsobení firemním potřebám.

Proč provozovat password manager na vlastní infrastruktuře

Zatímco cloudová řešení pro správu hesel nabízejí pohodlí a rychlé nasazení, provozování Passbolt na vlastní infrastruktuře přináší zásadní strategické výhody:

Úplná kontrola nad citlivými daty

Hesla představují nejcitlivější firemní data – jsou to klíče ke všem ostatním systémům a informacím. Při provozování vlastního password manageru máte 100% jistotu, kde jsou tato data uložena a kdo k nim má přístup. Data nikdy neopouštějí vaši infrastrukturu, což minimalizuje riziko jejich kompromitace. Zároveň víte přesně, jaká bezpečnostní opatření jsou implementována a máte možnost je rozšiřovat podle potřeby.

Nezávislost na externích poskytovatelích

Využívání služby třetí strany vždy vytváří závislost – na její dostupnosti, cenové politice i budoucím směřování. Provozování vlastního řešení vás osvobozuje od těchto rizik. Nemusíte se obávat, že poskytovatel ukončí službu, dramaticky zvýší ceny nebo změní podmínky používání. Zároveň nejste ohroženi případnými bezpečnostními incidenty na straně poskytovatele, které se v minulosti nevyhnuly ani velkým hráčům v oblasti správy hesel.

Možnost přizpůsobení firemním potřebám a procesům

Vlastní instance Passbolt vám umožňuje přizpůsobit řešení přesně vašim firemním procesům a integrovat ho s ostatními systémy. Můžete implementovat vlastní pravidla pro rotaci hesel, nastavit specifické workflow pro schvalování přístupů nebo integrovat správu hesel s firemními systémy pro správu identit. Tato flexibilita je s cloudovými službami často nemožná nebo velmi omezená.

Soulad s interními bezpečnostními politikami a regulacemi

Pro mnoho organizací, zejména ve finančním, zdravotnickém nebo veřejném sektoru, platí přísné regulatorní požadavky na správu přístupových údajů. Vlastní řešení vám dává plnou kontrolu nad bezpečnostními mechanismy, umístěním dat a procesem auditu, což usnadňuje dodržování předpisů jako GDPR, ISO 27001, SOC 2 nebo odvětvově specifických regulací. Můžete také implementovat dodatečné bezpečnostní vrstvy podle vašich interních bezpečnostních politik.

V neposlední řadě je třeba zmínit, že data uložená ve vlastním password manageru nejsou lákavým cílem pro útočníky v takovém měřítku, jako centralizované databáze velkých poskytovatelů, které obsahují hesla tisíců organizací a představují tak mnohem atraktivnější cíl.

Chci mít kontrolu nad citlivými data

Technické aspekty implementace

Nasazení vlastního Passbolt serveru není technicky náročné a nevyžaduje mimořádné investice do infrastruktury. Podívejme se na základní požadavky a kroky implementace.

Požadavky na infrastrukturu

Passbolt má velmi rozumné hardwarové nároky, které splní i základní VPS (Virtual Private Server):

  • Server: Dedikovaný server nebo VPS s minimálně 1–2 CPU jádry
  • Paměť: Minimálně 2 GB RAM, optimálně 4 GB pro větší týmy
  • Úložiště: 20 GB SSD prostoru je více než dostatečných (databáze hesel je velmi kompaktní)
  • OS: Ubuntu, Debian nebo jiná podporovaná Linuxová distribuce
  • Připojení: Stabilní internetové připojení s veřejnou IP adresou
  • Doména: Dedikovaná doména nebo subdoména (např. passwords.vasefirma.cz)

Pro většinu firem do 50 uživatelů bude stačit VPS server v ceně kolem 10–20 EUR měsíčně. Větší organizace mohou zvážit robustnější řešení s redundancí a vysokou dostupností; pro 100+ uživatelů se doporučuje aspoň 4–8 GB RAM a robustnější databázová vrstva (např. MariaDB s replikací).dancí a vysokou dostupností, ale i tak se pohybujeme v řádu desítek EUR měsíčně.

Základní kroky instalace a konfigurace

Instalace Passbolt zahrnuje několik základních kroků:

  • Příprava serveru – instalace potřebných komponent (nejčastěji Nginx + PHP-FPM + MariaDB)
  • Instalace Passbolt – buď pomocí oficiálních balíčků, nebo jako Docker kontejner (doporučená varianta pro snadnou správu)
  • Konfigurace databáze – vytvoření a zabezpečení MySQL/MariaDB databáze
  • Nastavení SSL certifikátu – implementace HTTPS, oficiální Docker image umí automaticky využít Let’s Encrypt
  • Konfigurace e-mailového serveru – pro rozesílání notifikací a pozvání uživatelům
  • Základní nastavení – konfigurace administrátora a bezpečnostních politik
  • Testování – ověření funkčnosti a bezpečnosti před nasazením do produkce

Pro zkušeného Linux administrátora jde o úkol na 2–4 hodiny. Pro organizace bez vlastního IT týmu je vhodné zvážit službu kompletní implementace a následné správy.tora jde o úkol na 2-4 hodiny. Pro organizace bez vlastního IT týmu nabízíme službu kompletní implementace a následné správy.

Výhody nasazení přes Docker

V naší implementaci jsme zvolili nasazení přes Docker. Tento přístup má několik klíčových výhod:

  • Rychlé a opakovatelné nasazení – během pár minut je možné spustit plně funkční instanci
  • Jednoduché aktualizace – stačí stáhnout nový image a restartovat kontejner
  • Izolace od hostitelského systému – minimalizace rizika, že změny v OS ovlivní aplikaci
  • Snadná migrace a škálování – Passbolt lze rychle přenést na jiný server nebo rozšířit infrastrukturu
  • Přehledná správa – pomocí docker-compose jsou jasně definované služby (aplikace, databáze, proxy), což usnadňuje dokumentaci i provoz

Možnosti zabezpečení

Pro maximální bezpečnost vlastního Passbolt serveru doporučujeme implementovat:

  • Firewall – omezení přístupu jen na nezbytné porty (HTTPS, SSH)
  • Fail2ban – ochrana proti útokům hrubou silou
  • TLS/SSL – striktní nastavení bezpečných šifrovacích protokolů
  • Dvoufaktorová autentizace (2FA) – povinná pro všechny uživatele, ideálně pomocí TOTP aplikací
  • Pravidelné aktualizace – OS i Passbolt (Docker image nebo balíčky) pro minimalizaci rizik
  • Monitorovací nástroje – sledování dostupnosti a bezpečnostních incidentů
  • Pravidelné zálohování – šifrované zálohy na oddělené úložiště

Důležité je zmínit, že i v případě kompromitace serveru jsou samotná hesla chráněna end-to-end šifrováním, takže bez uživatelských klíčů k nim útočník nemá přístup. útočník nemá přístup.

Integrace s firemními systémy

Passbolt nabízí několik možností integrace s existující IT infrastrukturou:

  • LDAP/Active Directory – synchronizace uživatelů a skupin
  • SSO (Single Sign-On) – jednotné přihlašování do více systémů
  • API a CLI nástroje – pro pokročilou integraci a automatizaci v DevOps prostředí (např. Ansible, Terraform, CI/CD)

Pro plné využití pokročilých možností je vhodné zvážit Pro verzi Passboltu, která rozšiřuje Community Edition o enterprise funkce jako detailní audit logy, pokročilý reporting, SLA podporu nebo rozšířené možnosti integrace.vení je provoz velmi stabilní a nevyžaduje častou údržbu kromě rutinních aktualizací.

Poraďte mi ohledně serveru

Naše zkušenosti s provozováním Passbolt

Základní kostra pro doplnění vlastních zkušeností

Naše implementace

V naší firmě jsme implementovali Passbolt jako centrální řešení pro správu hesel a přístupových údajů. Systém jsme nasadili na našem VPS serveru pomocí Dockeru a používáme ho již od ledna 2025.

Pro naše potřeby jsme zvolili verzi Community a využíváme následující klíčové funkce:

Audit a reporting: Máme kompletní přehled o tom, kdo a kdy k jakým heslům přistupoval.

End-to-end šifrování: Hesla jsou šifrována přímo u nás, takže na server odcházejí pouze zabezpečená data.

Kontrola přístupu na základě rolí: Přesně definujeme, kdo a s jakými právy může k heslům přistupovat.

Bezpečné sdílení hesel v týmech: Efektivně a bezpečně distribuujeme přístupy v rámci našich projektových týmů.

Překážky a jejich řešení

Během implementace a provozu jsme se potýkali s několika překážkami:

[PROBLÉM #1] Migrace dat z KeeWebu
Zpočátku jsme se obávali, že přenos všech dat z KeeWebu bude komplikovaný a časově náročný. Očekávali jsme manuální práci, ale Passbolt má naštěstí přímý importní nástroj, který nám celý proces výrazně usnadnil.

Jak jsme ho vyřešili: Zjistili jsme, že existuje oficiální postup pro import z KeePassu, který funguje i pro KeeWeb. Postupovali jsme podle něj a data jsme přenesli snadno a bezpečně. To, co jsme považovali za velký problém, se nakonec ukázalo jako bezproblémová záležitost.

[PROBLÉM #2] Školení uživatelů
Pro některé kolegy, kteří byli zvyklí na starý systém, bylo zpočátku obtížné si zvyknout na Passbolt. Museli jsme jim vysvětlit nejen, jak se systém používá, ale hlavně proč je to důležité z pohledu bezpečnosti.

Jak jsme ho vyřešili: Připravili jsme krátké interní prezentace a videonávody, které jsme zaslali všem zaměstnancům. Zdůraznili jsme klíčové výhody, jako je pohodlné vyplňování hesel v prohlížeči, což šetří čas a zvyšuje komfort práce.

[PROBLÉM #3] Volba způsobu nasazení
Na začátku jsme řešili, zda Passbolt provozovat klasicky na VPS s ruční konfigurací, nebo zvolit Docker. Měli jsme obavy, že Docker přinese složitost navíc, hlavně při aktualizacích a zálohování.

Jak jsme ho vyřešili: Nakonec jsme se rozhodli pro Docker a ukázalo se to jako velmi praktické řešení. Docker nám umožnil:

  • rychlé a opakovatelné nasazení – během pár minut jsme měli funkční instanci
  • jednoduchou aktualizaci – stačí stáhnout nový image a restartovat kontejner
  • oddělení od hostitelského systému – minimalizace rizika, že změny v OS rozbijí aplikaci
  • snadné škálování a migraci – Passbolt můžeme rychle přenést na jiný server

Navíc máme docker compose, kde jsou jasně definované služby (aplikace, databáze, nginx proxy), takže správa je přehledná a dobře dokumentovaná.

Pozitivní dopady na naši bezpečnost a efektivitu

Zvýšení bezpečnosti
Dříve jsme přístupy ukládali v KeeWebu. To bylo sice funkční, ale z pohledu bezpečnosti a auditu nepraktické – nebylo jasné, kdo má jaký přístup a kdy k němu naposledy přistoupil. Díky Passboltu máme všechny údaje šifrované end-to-end, auditovatelné a přístupné jen oprávněným uživatelům. Velký posun jsme zaznamenali i při odchodu zaměstnance – místo složitého řešení přístupů stačilo zablokovat jeho účet a všechny citlivé údaje zůstaly pod plnou kontrolou.

Úspora času
Dříve trvalo předání přístupů novému kolegovi i několik hodin, protože jsme museli ručně posílat přístupy do KeeWebu nebo vysvětlovat, kde co najde. Dnes stačí přidat uživatele do příslušné skupiny v Passboltu a má okamžitě k dispozici všechna potřebná hesla.

Zlepšení spolupráce v týmu
Passbolt odstranil chaos kolem toho, kdo má jaké přístupy. Když někdo z týmu potřebuje heslo k projektu, nemusí žádat kolegy nebo hledat v souborech – vše najde v jednom systému. To výrazně zjednodušilo spolupráci mezi vývojáři i administrátory a snížilo počet duplicitních dotazů.

Lepší dohled a audit
Máme jasný přehled o tom, kdo kdy k jakému heslu přistoupil. To nám pomáhá nejen z pohledu bezpečnosti, ale i při interních kontrolách nebo auditech. Dříve jsme takový přehled neměli a spolehli jsme se na důvěru – dnes máme tvrdá data.

Snazší správa a údržba
Díky nasazení v Dockeru je pro nás údržba minimální. Aktualizace probíhají rychle a bez výpadků – stačí aktualizovat image a restartovat kontejner. Navíc máme zálohy databáze i konfiguračních souborů řešené automatizovaně, což nám dává jistotu při případné obnově.

Potřebuji to také

Business case – návratnost investice

Analýza nákladů vlastního řešení

Implementace a provoz vlastního Passbolt serveru představuje investici, kterou je třeba porovnat s alternativami:

Jednorázové náklady:

  • Instalace a konfigurace: 4-8 hodin práce IT specialisty (přibližně 400-800 EUR)
  • Základní nastavení a dokumentace: 2-4 hodiny (přibližně 200-400 EUR)
  • Školení uživatelů: 1-2 hodiny podle velikosti týmu (přibližně 100-200 EUR)

Průběžné náklady:

  • Infrastruktura: VPS server s 2 CPU, 4 GB RAM, 40 GB SSD (15-25 EUR měsíčně)
  • Údržba a aktualizace: přibližně 1-2 hodiny měsíčně (100-200 EUR měsíčně)
  • Licence (v případě Pro verze): 29 EUR za uživatele ročně

Porovnání s komerčními alternativam

Komerční cloudové řešení pro 20 uživatelů:

  • LastPass Business: přibližně 6 EUR za uživatele měsíčně = 120 EUR měsíčně = 1 440 EUR ročně
  • 1Password Business: přibližně 8 EUR za uživatele měsíčně = 160 EUR měsíčně = 1 920 EUR ročně

Vlastní řešení Passbolt Community pro 20 uživatelů:

  • Infrastruktura: přibližně 240 EUR ročně
  • Údržba (interní nebo outsourcovaná): přibližně 1 200-2 400 EUR ročně
  • Celkem: 1 440-2 640 EUR ročně

Vlastní řešení Passbolt Pro pro 20 uživatelů:

  • Infrastruktura: přibližně 240 EUR ročně
  • Licence: 580 EUR ročně
  • Údržba: přibližně 1 200-2 400 EUR ročně
  • Celkem: 2 020-3 220 EUR ročně

Finanční dopady úniku dat

Náklady na řešení bezpečnostního incidentu způsobeného únikem přístupových údajů:

  • Přímé náklady: 15 000-50 000 EUR (forenzní analýza, náprava, právní služby)
  • Ztráta produktivity: 10 000-30 000 EUR (výpadky systémů, přesměrování zdrojů)
  • Reputační škody: obtížně vyčíslitelné, ale pro B2B firmy často kritické
  • Pokuty za porušení GDPR: až 20 milionů EUR nebo 4% globálního obratu

Zohlednění celkových nákladů na vlastnictví (TCO)

Kromě přímých nákladů je třeba zvážit i další faktory:

  • Kontrola nad citlivými daty: eliminace rizika třetích stran
  • Nezávislost: žádné riziko změny cenové politiky nebo podmínek poskytovatele
  • Škálovatelnost: marginální náklady na přidání dalších uživatelů
  • Integrace: úspory díky napojení na stávající firemní systémy
  • Audit a soulad s regulacemi: nižší náklady na prokázání souladu s předpisy

Návratnost investice

Pro střední firmu s 20 uživateli:

  • Přímá úspora oproti komerčním řešením: 0-480 EUR ročně (v závislosti na variantě)
  • Nepřímé úspory: efektivnější správa přístupů (cca 1-2 hodiny měsíčně na uživatele)
  • Snížení rizika: 30-50% redukce pravděpodobnosti bezpečnostního incidentu
  • Break-even point: typicky 12-18 měsíců
Chci také ušetřit

Implementační roadmapa

Fáze 1: Plánování a příprava (1-2 týdny)

  1. Analýza současného stavu správy hesel
    • Audit stávajících praktik a nástrojů
    • Identifikace klíčových požadavků a případů použití
    • Definice bezpečnostních politik
  2. Návrh infrastruktury
    • Volba platformy (VPS, on-premise server)
    • Specifikace hardwarových požadavků
    • Návrh zálohování a obnovy
  3. Sestavení projektového plánu
    • Definice časového harmonogramu
    • Určení odpovědných osob
    • Příprava rozpočtu

Fáze 2: Implementace (1 týden)

  1. Příprava infrastruktury
    • Konfigurace serveru a zabezpečení
    • Instalace potřebných komponent
    • Nastavení monitoringu a alertingu
  2. Instalace Passbolt
    • Základní konfigurace
    • Implementace SSL certifikátů
    • Nastavení e-mailových notifikací
  3. Bezpečnostní testování
    • Penetrační testy
    • Kontrola konfigurace
    • Ověření zálohování a obnovy

Fáze 3: Pilotní provoz (2-3 týdny)

  1. Zavedení pro klíčové uživatele
    • Výběr pilotní skupiny (typicky IT oddělení)
    • Základní školení
    • Migrace prvních přístupových údajů
  2. Testování v reálném provozu
    • Sběr zpětné vazby
    • Ladění konfigurace
    • Optimalizace procesů
  3. Příprava dokumentace a školících materiálů
    • Uživatelské příručky
    • Administrativní postupy
    • Bezpečnostní směrnice

Fáze 4: Plošné nasazení (2-4 týdny)

  1. Školení uživatelů
    • Sérii krátkých školení (max. 30 minut)
    • Praktické ukázky používání
    • Distribuce podpůrných materiálů
  2. Postupná migrace týmů
    • Plán migrace po jednotlivých odděleních
    • Asistence při prvním použití
    • Sledování adopce
  3. Stanovení procesů
    • Definice postupů pro přidávání/odebírání uživatelů
    • Vytvoření pravidel pro sdílení hesel
    • Nastavení pravidelných auditů

Tipy pro úspěšnou implementaci

  • Získejte podporu vedení před zahájením projektu
  • Začněte s malou skupinou nadšených uživatelů
  • Usnadněte první použití – předpřipravte nejdůležitější hesla
  • Poskytněte dostatečnou podporu v prvních týdnech
  • Monitorujte adopci a aktivně řešte případné překážky
  • Oceňte dobré bezpečnostní praktiky uživatelů

Shrnutí klíčových výhod a výhled do budoucna

Implementace vlastního password manageru Passbolt přináší organizacím několik zásadních výhod:

  1. Plná kontrola nad citlivými daty – hesla nikdy neopouštějí vaši infrastrukturu
  2. Nezávislost na externích poskytovatelích – žádné neočekávané změny podmínek nebo cen
  3. Flexibilita a přizpůsobitelnost – možnost adaptace na specifické potřeby organizace
  4. Zvýšená bezpečnost – snížení rizika úniku přístupových údajů
  5. Efektivnější týmová spolupráce – bezpečné a auditovatelné sdílení přístupů
  6. Transparentnost – díky open-source povaze řešení máte plný přehled o fungování systému

Doporučení podle velikosti organizace

Pro malé firmy (do 10 uživatelů):

  • Zvažte Passbolt Community Edition na jednoduchém VPS
  • Případně využijte outsourcing pro instalaci a správu
  • Zaměřte se na základní funkce a postupně rozšiřujte

Pro střední firmy (10-100 uživatelů):

  • Doporučujeme Passbolt Pro na dedikovaném VPS nebo serveru
  • Investujte čas do integrace s firemními systémy
  • Implementujte pokročilé bezpečnostní funkce a monitoring

Pro velké organizace (100+ uživatelů):

  • Nasaďte Passbolt Pro v high-availability konfiguraci
  • Integrujte s centrální správou identit (LDAP/AD)
  • Implementujte komplexní auditování a reportování

Budoucí trendy v oblasti správy hesel

Oblast bezpečné správy přístupových údajů se neustále vyvíjí. V blízké budoucnosti očekáváme:

  1. Integraci s biometrickými metodami – doplnění hesel o ověření pomocí otisků prstů, rozpoznávání obličeje apod.
  2. Zvýšený důraz na Zero Trust architekturu – správce hesel jako klíčový prvek bezpečnostního konceptu, kdy není důvěřováno žádné entitě automaticky
  3. Automatizace správy hesel – pokročilé nástroje pro automatickou rotaci a správu přístupů
  4. Hlubší integrace s DevOps nástroji – bezpečná správa přístupů v infrastruktuře jako kód

Kontakt a podpora

Pokud zvažujete implementaci vlastního password manageru nebo potřebujete pomoci s bezpečností přístupových údajů ve vaší organizaci, rádi vám poskytneme konzultaci nebo kompletní implementaci na klíč.

Chci zavést ve firmě vlastní password manager

Naše zkušenosti s provozováním Passbolt a dalších bezpečnostních řešení vám mohou ušetřit čas i prostředky a zajistit optimální nastavení pro vaše konkrétní potřeby.

Každý nový článek
u vás v emailu

Užitečné tipy z oblasti využití webu a online světa pro váš byznys a firmu.

Štítky: , , , , , , , , ,

Zpět na seznam článků
ATWEL
Vytvořeno s  GDPR Cookie Compliance
Přehled ochrany osobních údajů

Tyto webové stránky používají soubory cookies, abychom vám mohli poskytnout co nejlepší uživatelský zážitek. Informace o souborech cookie se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte, a pomáhají našemu týmu pochopit, které části webových stránek považujete za nejzajímavější a nejužitečnější.