Melhores aplicativos de gerenciador de senhas auto-hospedado em 2026 (testamos 7 em desktop)

A confirmação da Softonic em junho do incidente Klue/Salesforce é o segundo vazamento material do LastPass em quatro anos. Para uma categoria cuja proposta inteira é confiança, dois fracassos são suficientes para que um número crescente de usuários mude o cofre para um lugar que eles possam auditar e possuir. O artigo da XDA no início do mês sobre o Vaultwarden rodando em um contêiner Docker ao lado do Jellyfin captura o movimento óbvio: mantenha os mesmos clientes Bitwarden em cada dispositivo, aponte-os para um servidor na rede doméstica ou VPS barato, e nunca mais pague uma assinatura de gerenciador de senhas.

Testamos os 7 melhores aplicativos de gerenciador de senhas auto-hospedado para desktop em 2026. A lista abrange o padrão Vaultwarden-em-Docker no qual a maioria das configurações domésticas desembarca, a versão oficial do Bitwarden auto-hospedado para usuários que querem ficar na base de código original, as escolhas focadas em equipes que trazem compartilhamento adequado e políticas de acesso, e os cofres clássicos baseados em arquivo que não precisam de servidor.

O que procurar em um gerenciador de senhas auto-hospedado

Escolha um gerenciador de senhas auto-hospedado que:

Comparação rápida

AplicativoMelhor paraPlataformasPlano gratuitoClientes compatíveis
VaultwardenEscolha padrão do servidor domésticoLinux, DockerSim, totalmenteBitwarden mobile, desktop, navegador
Bitwarden Self-HostedO upstream oficialLinux, DockerSim para uso pessoalBitwarden mobile, desktop, navegador
PassboltFocado em equipe, baseado em GPGLinux, DockerCommunity Edition gratuitaExtensão de navegador Passbolt, mobile
PsonoCofre de equipe focado em privacidadeLinux, DockerSim, totalmenteExtensão de navegador Psono, desktop
PadlocInterface de usuário polida, criptografia end-to-endLinux, DockerSim para uso pessoalDesktop Padloc, mobile, navegador
KeePassXCBaseado em arquivo, nenhum servidor necessárioWindows, macOS, LinuxSim, totalmenteDesktop KeePassXC, KeePassDX, Strongbox
Pass (passwordstore.org)Melhor para usuários avançados de GPG e GitWindows, macOS, LinuxSim, totalmenteBrowserpass, clientes mobile Pass

Os 7 melhores aplicativos de gerenciador de senhas auto-hospedado para desktop

1. Vaultwarden — melhor escolha padrão do servidor doméstico

Vaultwarden é a reescrita em Rust da API do servidor Bitwarden, e tem sido a escolha padrão de gerenciador de senhas auto-hospedado para usuários domésticos desde 2021. O contêiner é pequeno (um único binário mais SQLite ou Postgres), o uso de recursos é negligenciável, e os clientes mobile, desktop e navegador oficiais do Bitwarden se comunicam com ele sem nenhuma modificação. Emparelhe com um proxy reverso como Caddy ou Traefik, aponte um registro DNS para o servidor doméstico, e a família está no mesmo cofre em uma hora. Vaultwarden roda limpo no Linux, em um contêiner Docker no Windows ou macOS, ou em um pequeno VPS por alguns dólares por mês.

Onde fica curto: Não é a base de código oficial do Bitwarden, então as auditorias de segurança cobrem o upstream em vez do fork. Alguns recursos empresariais (SSO, organizações além do básico) são stubs. O painel de admin é intencionalmente minimalista.

Plataformas: Linux, Docker. Clientes: Bitwarden mobile, desktop, extensões de navegador.

Conclusão: O padrão. Escolha isso se você quiser manter a experiência do cliente Bitwarden e executar o servidor você mesmo.

2. Bitwarden Self-Hosted — melhor upstream oficial

Bitwarden Self-Hosted é a versão oficial do servidor Bitwarden. O conjunto de contêineres é mais pesado que Vaultwarden (múltiplos serviços, MSSQL por padrão) e requer mais memória para rodar, mas a história de auditoria é a mais forte na categoria e recursos empresariais (SSO, compartilhamento de nível premium, políticas de identidade) estão todos disponíveis. Bitwarden Self-Hosted é a escolha certa para organizações que querem o código upstream, querem o rastreamento de auditoria e têm o hardware para suportá-lo.

Onde fica curto: O uso de recursos é alto o suficiente para precisar de pelo menos 2 GB de memória para uma configuração de usuário único confortável. O contêiner MSSQL padrão é incomum no Linux; a ramificação Postgres não oficial é a opção mais amigável. As atualizações requerem cuidado porque o conjunto de contêineres tem mais peças móveis que Vaultwarden.

Plataformas: Linux, Docker. Clientes: Bitwarden mobile, desktop, extensões de navegador.

Conclusão: Escolha isso se você quer a base de código oficial e tem o hardware para isso.

3. Passbolt — melhor focado em equipe com GPG

Passbolt é o gerenciador de senhas construído para equipes desde o início. A arquitetura usa chaves GPG para criptografia do lado do cliente, então cada membro da equipe tem uma chave pessoal e recursos compartilhados são criptografados para todos os destinatários. Compartilhamento baseado em papéis, registros de auditoria e uma API extensível são todos recursos de primeira classe. Community Edition é gratuita para auto-hospedagem no Linux e funciona no Docker sem surpresas. Passbolt é a escolha certa quando mais de três pessoas compartilham um cofre.

Onde fica curto: O gerenciamento de chaves GPG é uma verdadeira etapa de integração para usuários não técnicos. A extensão do navegador é confiável, mas os clientes mobile são mais jovens que os principais concorrentes de nuvem. Sem suporte para passkeys ainda.

Plataformas: Linux, Docker. Clientes: extensão de navegador Passbolt, mobile.

Conclusão: Escolha isso se você está configurando um cofre para uma pequena equipe e quer compartilhamento baseado em GPG.

4. Psono — melhor cofre de equipe focado em privacidade

Psono é um gerenciador de senhas em equipe com sede em Berlim com uma sólida história de privacidade e uma Community Edition gratuita e totalmente funcional. Criptografia end-to-end é o padrão, telemetria do lado do servidor é mínima, e o projeto suporta o tipo de registro de auditoria e recursos de política de acesso que pequenas equipes realmente usam. A extensão do navegador e o cliente desktop são polidos, e o nível Enterprise opcional adiciona SSO, LDAP e o brilho que as maiores organizações desejam. Psono vs Passbolt é principalmente uma questão de GPG (Passbolt) vs modelo de chave simétrica (Psono).

Onde fica curto: Comunidade menor que Vaultwarden ou Bitwarden Self-Hosted. Clientes mobile são funcionais mas parecem uma geração atrás. A customização requer nível Enterprise para alguns recursos.

Plataformas: Linux, Docker. Clientes: extensão de navegador Psono, desktop.

Conclusão: Escolha isso se você quer um cofre de equipe focado em privacidade e prefere uma pilha amigável a Berlim.

5. Padloc — melhor interface de usuário polida

Padloc é a interface de usuário do gerenciador de senhas open-source mais polida na categoria auto-hospedada. Criptografia end-to-end é integrada, clientes desktop e mobile usam a mesma linguagem de design moderno, e o servidor auto-hospedado roda em um pequeno contêiner Docker sem dependências externas. O pega de Padloc é que o brilho historicamente veio com uma comunidade menor que o mundo Bitwarden, o que significa que o suporte depende dos canais do próprio projeto.

Onde fica curto: Ecossistema menor que o mundo Bitwarden. O nível gratuito auto-hospedado limita alguns recursos destinados ao plano pago hospedado. Alguns compartilhamentos avançados requerem licença Padloc Family ou Team mesmo quando auto-hospedado.

Plataformas: Linux, Docker. Clientes: desktop Padloc, mobile, extensões de navegador.

Conclusão: Escolha isso se você quer a interface de usuário open-source mais polida na categoria.

6. KeePassXC — melhor baseado em arquivo, nenhum servidor necessário

KeePassXC é o cliente desktop multiplataforma para o formato de banco de dados KeePass. A história “auto-hospedada” aqui é a mais simples possível: o cofre é um único arquivo .kdbx criptografado que você mantém no seu próprio disco, em Syncthing, em Nextcloud, em um compartilhamento SFTP ou em qualquer lugar. Sem servidor, sem API, sem superfície para quebrar. A extensão do navegador lida com preenchimento automático, KeePassDX e Strongbox cobrem Android e iOS, e o formato de arquivo tem sido estável há anos. KeePassXC é a escolha certa para usuários que querem completamente pular o servidor.

Onde fica curto: Sincronização é seu problema. Compartilhar com membros da família envolve dar-lhes acesso ao arquivo, o que é estranho. Recuperação de uma senha mestra perdida é impossível.

Plataformas: Windows, macOS, Linux. Clientes: KeePassXC, KeePassDX (Android), Strongbox (iOS).

Conclusão: Escolha isso se você quer o cofre completamente fora de qualquer serviço de rede.

7. Pass (passwordstore.org) — melhor para usuários avançados de GPG e Git

Pass é o gerenciador de senhas de linha de comando Unix que armazena cada credencial como um arquivo criptografado GPG dentro de uma árvore de diretórios, com Git para sincronização e versionamento. Browserpass conecta navegadores, vários clientes mobile existem, e o design é a abordagem “tudo é um arquivo” mais limpa na categoria. Pass é a escolha certa para usuários avançados que já têm uma configuração GPG funcional e querem um cofre que se encaixe bem nas ferramentas existentes.

Onde fica curto: Curva de aprendizado mais íngreme nesta lista. Sem GUI por padrão. Compartilhamento familiar requer executar um pequeno servidor Git remoto e gerenciar chaves GPG entre destinatários.

Plataformas: Windows, macOS, Linux. Clientes: Browserpass, Pass para Android, vários forks iOS.

Conclusão: Escolha isso se você já usa GPG e Git e quer um cofre que se encaixe neles.

Como escolher o certo

Escolha Vaultwarden se você quer o caminho mais suave do LastPass para um cofre auto-hospedado que mantenha a experiência do cliente Bitwarden.

Escolha Bitwarden Self-Hosted se você precisa do código upstream, do rastreamento de auditoria e do conjunto de recursos empresariais, e tem o hardware para isso.

Escolha Passbolt se você está configurando um cofre para uma pequena equipe e quer um modelo de compartilhamento baseado em GPG.

Escolha Psono se você quer um cofre de equipe focado em privacidade e prefere uma pilha amigável a Berlim.

Escolha Padloc se você quer a interface de usuário open-source mais polida na categoria.

Escolha KeePassXC se você quer o cofre completamente fora de qualquer serviço de rede e está disposto a lidar com a sincronização você mesmo.

Escolha Pass se você já usa GPG e Git e quer um cofre que se encaixe neles.

FAQ

O Vaultwarden é seguro?

Vaultwarden é uma reescrita em Rust da API do servidor Bitwarden e usa a mesma criptografia do lado do cliente que Bitwarden. Os clientes Bitwarden (mobile, desktop, navegador) criptografam antes de qualquer coisa sair do dispositivo, então o servidor apenas segura blobs criptografados. O fork é amplamente auditado pela comunidade auto-hospedada.

Posso migrar do LastPass para um gerenciador de senhas auto-hospedado?

Sim. Exporte seu cofre LastPass para CSV, importe para o alvo auto-hospedado. Vaultwarden, Bitwarden Self-Hosted, Passbolt e Psono aceitam CSV LastPass diretamente através de seus cofres web.

Qual é o gerenciador de senhas auto-hospedado mais fácil de configurar?

Vaultwarden via Docker Compose é o mais fácil. Um contêiner, um proxy reverso, um registro DNS, e os clientes oficiais Bitwarden funcionam sem configuração adicional.

Preciso de um nome de domínio para auto-hospedar um gerenciador de senhas?

Um nome de domínio torna TLS mais fácil e é o caminho recomendado, mas um certificado auto-assinado em um endereço somente LAN funciona para uso pessoal. Os clientes mobile Bitwarden requerem HTTPS válido para conectar, então um certificado Let’s Encrypt gratuito via proxy reverso é a resposta usual.

Qual gerenciador de senhas auto-hospedado suporta passkeys?

Vaultwarden e Bitwarden Self-Hosted ambos suportam passkeys através da experiência do cliente Bitwarden. Padloc suporta passkeys nativamente. Passbolt tem suporte a passkeys no roadmap a partir de meados de 2026.