Era un sabato sera e Grafana non mi faceva entrare. Avevo cambiato la password due settimane prima, dopo un audit che mi ero imposto da solo, e non riuscivo a ricordare quale variazione avessi usato. La maiuscola all'inizio? Il punto esclamativo o la chiocciola? Mentre provavo combinazioni, mi sono reso conto che stavo facendo la stessa cosa con almeno quattro servizi diversi. Dieci applicazioni, dieci credenziali, nessuna uguale — o peggio, tutte uguali.
Quel sabato ho deciso che il problema non era la mia memoria. Era l'architettura.
"SSO nel proprio homelab è overkill"
È la frase che trovi in ogni thread su Reddit e su qualsiasi forum di self-hosting. E ha senso, in superficie: sei l'unico utente, conosci tutte le password, puoi sempre resettare tutto da root. Perché aggiungere un identity provider enterprise a un homelab?
L'obiezione di solito suona così: è un componente in più che può rompersi, consuma RAM che potresti dare ai servizi, aggiunge complessità dove non serve. Un file passwords.txt sul desktop risolve lo stesso problema con zero overhead.
Ho pensato la stessa cosa per due anni.
Cosa succede davvero con 10 servizi e 10 password
Il mio homelab gira Proxmox, Grafana, Forgejo, n8n e il pannello admin di homelabz.cc. Più i servizi di supporto: PostgreSQL, Redis, il reverse proxy. Prima di SSO, ognuno aveva credenziali proprie. Alcuni supportavano il 2FA, altri no. Alcuni avevano un audit log, la maggior parte no.
Nella pratica, la situazione era questa:
- Password diverse per ogni servizio, con variazioni che dimenticavo dopo due settimane
- 2FA attivo solo dove me lo ricordavo — Proxmox sì, Grafana no, Forgejo forse
- Nessun modo per sapere chi avesse fatto login e quando, se non guardando i log di ogni singolo servizio
- Per revocare un accesso, dovevo entrare in ogni applicazione e cambiare la password a mano
Non è un problema di sicurezza teorico. È un problema operativo quotidiano. E se tratti il tuo homelab come produzione — come raccontato nella prima parte di questa serie — le credenziali frammentate sono un debito tecnico che cresce ogni volta che aggiungi un servizio.
You don't rise to the level of your security goals. You fall to the level of your password hygiene.