
A confirmação da Softonic em junho do incidente Klue/Salesforce é o segundo vazamento material do LastPass em quatro anos. Para uma categoria cuja proposta inteira é confiança, dois fracassos são suficientes para que um número crescente de usuários mude o cofre para um lugar que eles possam auditar e possuir. O artigo da XDA no início do mês sobre o Vaultwarden rodando em um contêiner Docker ao lado do Jellyfin captura o movimento óbvio: mantenha os mesmos clientes Bitwarden em cada dispositivo, aponte-os para um servidor na rede doméstica ou VPS barato, e nunca mais pague uma assinatura de gerenciador de senhas.
Testamos os 7 melhores aplicativos de gerenciador de senhas auto-hospedado para desktop em 2026. A lista abrange o padrão Vaultwarden-em-Docker no qual a maioria das configurações domésticas desembarca, a versão oficial do Bitwarden auto-hospedado para usuários que querem ficar na base de código original, as escolhas focadas em equipes que trazem compartilhamento adequado e políticas de acesso, e os cofres clássicos baseados em arquivo que não precisam de servidor.
O que procurar em um gerenciador de senhas auto-hospedado
Escolha um gerenciador de senhas auto-hospedado que:
- Tenha uma imagem Docker mantida com um ciclo de lançamento conhecido. Vaultwarden, a versão oficial do Bitwarden, Passbolt e Psono se qualificam; projetos antigos sem lançamento recente devem ser evitados.
- Funcione com clientes Bitwarden, KeePass ou extensões de navegador de primeira parte quando possível. O bloqueio de cliente personalizado é o atrito que empurra os usuários de volta aos provedores de nuvem.
- Suporte backup e restauração adequados. O cofre é o arquivo mais importante no seu servidor; o projeto deve tornar seu backup óbvio.
- Lidar com compartilhamento familiar ou em equipe com controle de acesso baseado em papéis se mais de uma pessoa o usar.
- Tenha opções documentadas para TLS, integração de proxy reverso e 2FA para a interface de administrador.
- Tenha uma comunidade ativa grande o suficiente para responder a pergunta quando algo der errado.
Comparação rápida
| Aplicativo | Melhor para | Plataformas | Plano gratuito | Clientes compatíveis |
|---|---|---|---|---|
| Vaultwarden | Escolha padrão do servidor doméstico | Linux, Docker | Sim, totalmente | Bitwarden mobile, desktop, navegador |
| Bitwarden Self-Hosted | O upstream oficial | Linux, Docker | Sim para uso pessoal | Bitwarden mobile, desktop, navegador |
| Passbolt | Focado em equipe, baseado em GPG | Linux, Docker | Community Edition gratuita | Extensão de navegador Passbolt, mobile |
| Psono | Cofre de equipe focado em privacidade | Linux, Docker | Sim, totalmente | Extensão de navegador Psono, desktop |
| Padloc | Interface de usuário polida, criptografia end-to-end | Linux, Docker | Sim para uso pessoal | Desktop Padloc, mobile, navegador |
| KeePassXC | Baseado em arquivo, nenhum servidor necessário | Windows, macOS, Linux | Sim, totalmente | Desktop KeePassXC, KeePassDX, Strongbox |
| Pass (passwordstore.org) | Melhor para usuários avançados de GPG e Git | Windows, macOS, Linux | Sim, totalmente | Browserpass, clientes mobile Pass |
Os 7 melhores aplicativos de gerenciador de senhas auto-hospedado para desktop
1. Vaultwarden — melhor escolha padrão do servidor doméstico
Vaultwarden é a reescrita em Rust da API do servidor Bitwarden, e tem sido a escolha padrão de gerenciador de senhas auto-hospedado para usuários domésticos desde 2021. O contêiner é pequeno (um único binário mais SQLite ou Postgres), o uso de recursos é negligenciável, e os clientes mobile, desktop e navegador oficiais do Bitwarden se comunicam com ele sem nenhuma modificação. Emparelhe com um proxy reverso como Caddy ou Traefik, aponte um registro DNS para o servidor doméstico, e a família está no mesmo cofre em uma hora. Vaultwarden roda limpo no Linux, em um contêiner Docker no Windows ou macOS, ou em um pequeno VPS por alguns dólares por mês.
Onde fica curto: Não é a base de código oficial do Bitwarden, então as auditorias de segurança cobrem o upstream em vez do fork. Alguns recursos empresariais (SSO, organizações além do básico) são stubs. O painel de admin é intencionalmente minimalista.
Plataformas: Linux, Docker. Clientes: Bitwarden mobile, desktop, extensões de navegador.
Conclusão: O padrão. Escolha isso se você quiser manter a experiência do cliente Bitwarden e executar o servidor você mesmo.
2. Bitwarden Self-Hosted — melhor upstream oficial
Bitwarden Self-Hosted é a versão oficial do servidor Bitwarden. O conjunto de contêineres é mais pesado que Vaultwarden (múltiplos serviços, MSSQL por padrão) e requer mais memória para rodar, mas a história de auditoria é a mais forte na categoria e recursos empresariais (SSO, compartilhamento de nível premium, políticas de identidade) estão todos disponíveis. Bitwarden Self-Hosted é a escolha certa para organizações que querem o código upstream, querem o rastreamento de auditoria e têm o hardware para suportá-lo.
Onde fica curto: O uso de recursos é alto o suficiente para precisar de pelo menos 2 GB de memória para uma configuração de usuário único confortável. O contêiner MSSQL padrão é incomum no Linux; a ramificação Postgres não oficial é a opção mais amigável. As atualizações requerem cuidado porque o conjunto de contêineres tem mais peças móveis que Vaultwarden.
Plataformas: Linux, Docker. Clientes: Bitwarden mobile, desktop, extensões de navegador.
Conclusão: Escolha isso se você quer a base de código oficial e tem o hardware para isso.
3. Passbolt — melhor focado em equipe com GPG
Passbolt é o gerenciador de senhas construído para equipes desde o início. A arquitetura usa chaves GPG para criptografia do lado do cliente, então cada membro da equipe tem uma chave pessoal e recursos compartilhados são criptografados para todos os destinatários. Compartilhamento baseado em papéis, registros de auditoria e uma API extensível são todos recursos de primeira classe. Community Edition é gratuita para auto-hospedagem no Linux e funciona no Docker sem surpresas. Passbolt é a escolha certa quando mais de três pessoas compartilham um cofre.
Onde fica curto: O gerenciamento de chaves GPG é uma verdadeira etapa de integração para usuários não técnicos. A extensão do navegador é confiável, mas os clientes mobile são mais jovens que os principais concorrentes de nuvem. Sem suporte para passkeys ainda.
Plataformas: Linux, Docker. Clientes: extensão de navegador Passbolt, mobile.
Conclusão: Escolha isso se você está configurando um cofre para uma pequena equipe e quer compartilhamento baseado em GPG.
4. Psono — melhor cofre de equipe focado em privacidade
Psono é um gerenciador de senhas em equipe com sede em Berlim com uma sólida história de privacidade e uma Community Edition gratuita e totalmente funcional. Criptografia end-to-end é o padrão, telemetria do lado do servidor é mínima, e o projeto suporta o tipo de registro de auditoria e recursos de política de acesso que pequenas equipes realmente usam. A extensão do navegador e o cliente desktop são polidos, e o nível Enterprise opcional adiciona SSO, LDAP e o brilho que as maiores organizações desejam. Psono vs Passbolt é principalmente uma questão de GPG (Passbolt) vs modelo de chave simétrica (Psono).
Onde fica curto: Comunidade menor que Vaultwarden ou Bitwarden Self-Hosted. Clientes mobile são funcionais mas parecem uma geração atrás. A customização requer nível Enterprise para alguns recursos.
Plataformas: Linux, Docker. Clientes: extensão de navegador Psono, desktop.
Conclusão: Escolha isso se você quer um cofre de equipe focado em privacidade e prefere uma pilha amigável a Berlim.
5. Padloc — melhor interface de usuário polida
Padloc é a interface de usuário do gerenciador de senhas open-source mais polida na categoria auto-hospedada. Criptografia end-to-end é integrada, clientes desktop e mobile usam a mesma linguagem de design moderno, e o servidor auto-hospedado roda em um pequeno contêiner Docker sem dependências externas. O pega de Padloc é que o brilho historicamente veio com uma comunidade menor que o mundo Bitwarden, o que significa que o suporte depende dos canais do próprio projeto.
Onde fica curto: Ecossistema menor que o mundo Bitwarden. O nível gratuito auto-hospedado limita alguns recursos destinados ao plano pago hospedado. Alguns compartilhamentos avançados requerem licença Padloc Family ou Team mesmo quando auto-hospedado.
Plataformas: Linux, Docker. Clientes: desktop Padloc, mobile, extensões de navegador.
Conclusão: Escolha isso se você quer a interface de usuário open-source mais polida na categoria.
6. KeePassXC — melhor baseado em arquivo, nenhum servidor necessário
KeePassXC é o cliente desktop multiplataforma para o formato de banco de dados KeePass. A história “auto-hospedada” aqui é a mais simples possível: o cofre é um único arquivo .kdbx criptografado que você mantém no seu próprio disco, em Syncthing, em Nextcloud, em um compartilhamento SFTP ou em qualquer lugar. Sem servidor, sem API, sem superfície para quebrar. A extensão do navegador lida com preenchimento automático, KeePassDX e Strongbox cobrem Android e iOS, e o formato de arquivo tem sido estável há anos. KeePassXC é a escolha certa para usuários que querem completamente pular o servidor.
Onde fica curto: Sincronização é seu problema. Compartilhar com membros da família envolve dar-lhes acesso ao arquivo, o que é estranho. Recuperação de uma senha mestra perdida é impossível.
Plataformas: Windows, macOS, Linux. Clientes: KeePassXC, KeePassDX (Android), Strongbox (iOS).
Conclusão: Escolha isso se você quer o cofre completamente fora de qualquer serviço de rede.
7. Pass (passwordstore.org) — melhor para usuários avançados de GPG e Git
Pass é o gerenciador de senhas de linha de comando Unix que armazena cada credencial como um arquivo criptografado GPG dentro de uma árvore de diretórios, com Git para sincronização e versionamento. Browserpass conecta navegadores, vários clientes mobile existem, e o design é a abordagem “tudo é um arquivo” mais limpa na categoria. Pass é a escolha certa para usuários avançados que já têm uma configuração GPG funcional e querem um cofre que se encaixe bem nas ferramentas existentes.
Onde fica curto: Curva de aprendizado mais íngreme nesta lista. Sem GUI por padrão. Compartilhamento familiar requer executar um pequeno servidor Git remoto e gerenciar chaves GPG entre destinatários.
Plataformas: Windows, macOS, Linux. Clientes: Browserpass, Pass para Android, vários forks iOS.
Conclusão: Escolha isso se você já usa GPG e Git e quer um cofre que se encaixe neles.
Como escolher o certo
Escolha Vaultwarden se você quer o caminho mais suave do LastPass para um cofre auto-hospedado que mantenha a experiência do cliente Bitwarden.
Escolha Bitwarden Self-Hosted se você precisa do código upstream, do rastreamento de auditoria e do conjunto de recursos empresariais, e tem o hardware para isso.
Escolha Passbolt se você está configurando um cofre para uma pequena equipe e quer um modelo de compartilhamento baseado em GPG.
Escolha Psono se você quer um cofre de equipe focado em privacidade e prefere uma pilha amigável a Berlim.
Escolha Padloc se você quer a interface de usuário open-source mais polida na categoria.
Escolha KeePassXC se você quer o cofre completamente fora de qualquer serviço de rede e está disposto a lidar com a sincronização você mesmo.
Escolha Pass se você já usa GPG e Git e quer um cofre que se encaixe neles.
FAQ
O Vaultwarden é seguro?
Vaultwarden é uma reescrita em Rust da API do servidor Bitwarden e usa a mesma criptografia do lado do cliente que Bitwarden. Os clientes Bitwarden (mobile, desktop, navegador) criptografam antes de qualquer coisa sair do dispositivo, então o servidor apenas segura blobs criptografados. O fork é amplamente auditado pela comunidade auto-hospedada.
Posso migrar do LastPass para um gerenciador de senhas auto-hospedado?
Sim. Exporte seu cofre LastPass para CSV, importe para o alvo auto-hospedado. Vaultwarden, Bitwarden Self-Hosted, Passbolt e Psono aceitam CSV LastPass diretamente através de seus cofres web.
Qual é o gerenciador de senhas auto-hospedado mais fácil de configurar?
Vaultwarden via Docker Compose é o mais fácil. Um contêiner, um proxy reverso, um registro DNS, e os clientes oficiais Bitwarden funcionam sem configuração adicional.
Preciso de um nome de domínio para auto-hospedar um gerenciador de senhas?
Um nome de domínio torna TLS mais fácil e é o caminho recomendado, mas um certificado auto-assinado em um endereço somente LAN funciona para uso pessoal. Os clientes mobile Bitwarden requerem HTTPS válido para conectar, então um certificado Let’s Encrypt gratuito via proxy reverso é a resposta usual.
Qual gerenciador de senhas auto-hospedado suporta passkeys?
Vaultwarden e Bitwarden Self-Hosted ambos suportam passkeys através da experiência do cliente Bitwarden. Padloc suporta passkeys nativamente. Passbolt tem suporte a passkeys no roadmap a partir de meados de 2026.