O artigo da XDA sobre migração de senhas, 2FA e passkeys para o Vaultwarden toca numa tendência de auto-hospedagem que continua ganhando força: um pequeno servidor em Rust, compatível com todo cliente Bitwarden, rodando num Raspberry Pi ou num NUC antigo num armário. Vaultwarden é a resposta certa para muitas residências. Não é a resposta certa para todos. O servidor oficial do Bitwarden é mais pesado, mas vem com os recursos que os administradores de equipe realmente precisam. Passbolt e Psono focam empresas que querem auditoria e permissões de grupo. KeePassXC contorna a questão do servidor por completo.
Testamos 7 alternativas ao Vaultwarden para desktop e as classificamos conforme os mesmos critérios: tempo de configuração numa instalação Debian limpa, procedimento de restauração de backup, compatibilidade de cliente, compartilhamento em grupo e o atrito do uso diário que decide se a residência realmente o adota.
Comparação rápida
| App | Melhor para | Plano gratuito | Preço inicial | Funcionalidade em destaque |
|---|---|---|---|---|
| Bitwarden Self-Hosted | Stack oficial completo | Sim, totalmente no-prem | Gratuito, org paga a partir de $3/usuário/mês | Mesmo código do produto em nuvem |
| KeePassXC | Cofre local-first, baseado em arquivo | Sim, totalmente | Gratuito | Nenhum servidor para rodar |
| Passbolt | Compartilhamento de senhas em equipe | Community Edition, totalmente gratuito | Pro a partir de EUR 49/mês por 10 usuários | Criptografia end-to-end baseada em GPG |
| Psono | Auto-hospedagem corporativa | Community Edition, totalmente gratuito | Enterprise a partir de EUR 3/usuário/mês | LDAP, SAML, funções granulares |
| Padloc | Interface moderna leve | Sim, no-prem apenas | Gratuito | Relatório de segurança integrado e verificações de vazamento |
| Pass | Minimalismo no estilo Unix | Sim, totalmente | Gratuito | Um diretório de arquivos de senha criptografados com GPG |
| Teampass | Cofre de equipe baseado em navegador | Sim, totalmente | Gratuito | Permissões por pasta e árvore de funções |
Por que as pessoas deixam o Vaultwarden
Três motivos aparecem repetidamente em r/selfhosted e nos issues do GitHub do Vaultwarden:
- O mantenedor é uma pessoa. Daniel García carregou o projeto por anos. Muitos auto-hospedadores ficam nervosos com o fator de risco e querem um projeto com uma equipe paga atrás dele.
- Os recursos corporativos do Bitwarden chegam ao Vaultwarden tarde, se chegarem. Sincronização de diretório, SCIM, SSO com conector de chave e o mecanismo de política chegam primeiro ao servidor oficial. O fork Vaultwarden fica para trás.
- É não oficial. Vaultwarden envia um backend reimplementado que imita a API do Bitwarden. A maioria das vezes funciona. Ocasionalmente um novo recurso no cliente Bitwarden quebra o protocolo e o Vaultwarden tem que corrigir a volta.
Nenhum destes é um fator impeditivo para uma residência. Todos importam para uma empresa com 50 pessoas.
As 7 alternativas ao Vaultwarden
1. Bitwarden Self-Hosted, melhor para a stack oficial
Bitwarden envia o mesmo software que executa na nuvem como um pacote auto-hospedado. A implantação completa executa onze contêineres (API, identidade, cofre web, anexos, admin, MSSQL e amigos) e usa um pouco mais de memória que o Vaultwarden, mas cada recurso chega aqui primeiro: sincronização de passkey, SSO com conector de chave, sincronização de diretório, SCIM, mecanismo de política e o novo painel de administração. O armazenamento funciona contra o Microsoft SQL Server por padrão, com uma compilação compatível com PostgreSQL surgindo em 2025. Bitwarden vs Vaultwarden em 2026: mesmos clientes, pegada de backend muito diferente.
Onde fica aquém: Pressão de memória e disco em VMs pequenas. Uma instância de dois vCPU, 2 GB que executa o Vaultwarden confortavelmente terá dificuldades com a stack completa do Bitwarden e um banco de dados.
Preços:
- Gratuito: Todos os recursos auto-hospedados para uso pessoal, dispositivos ilimitados
- Pago: Teams Starter em $20/mês para 10 usuários, Enterprise auto-hospedado a partir de $5/usuário/mês
- vs Vaultwarden: Gratuito para uso pessoal de qualquer forma. Bitwarden cobra apenas quando você precisa de recursos de org que o fork Vaultwarden ainda não enviou.
Migrando do Vaultwarden: Exporte cada cofre para JSON criptografado da interface web, importe para o Bitwarden. A estrutura de pasta e anexos são transferidos corretamente. A migração de org requer reinvitar membros e re-compartilhar coleções manualmente. Reserve uma noite para uma residência, um fim de semana para uma equipe de 20 pessoas.
Download: Bitwarden Self-Hosting
Resumo: Escolha isto quando a residência cresceu numa equipe e você precisa de recursos que o Vaultwarden ainda não mesclou.
2. KeePassXC, melhor para a opção sem servidor
KeePassXC é o fork multiplataforma do KeePass que roda em todo desktop sem servidor algum. O cofre é um único arquivo .kdbx que você sincroniza com o que já usa, Syncthing, Nextcloud, iCloud, OneDrive ou um pen drive. Suporta passkeys (adicionado em 2.7.x), integração de navegador através do KeePassXC-Browser, TOTP, anexos e integração de agente SSH. KeePassXC vs Vaultwarden em 2026: filosofias opostas. Vaultwarden executa um servidor para que vários dispositivos permaneçam em sincronização automática. KeePassXC delega a sincronização ao que você já confia.
Onde fica aquém: Resolução de conflitos é seu problema. Se dois dispositivos escrevem no mesmo arquivo de cofre offline, o KeePassXC não vai mesclá-los magicamente. Mobile também é mais fraco: KeePass2Android e Strongbox são bons, mas não são de primeira parte.
Preços:
- Gratuito: Tudo, sem planos, sem telemetria
- Pago: Nenhum
- vs Vaultwarden: Ambos gratuitos. KeePassXC poupa você do custo de executar um servidor.
Migrando do Vaultwarden: Exporte Vaultwarden para JSON criptografado, depois converta com o assistente de importação do KeePassXC. Pastas viram grupos, campos customizados são transferidos, anexos vêm junto. Passkeys não são migrados corretamente e têm que ser re-registrados em cada site.
Download: keepassxc.org
Resumo: Escolha isto quando você quer parar de executar um servidor e confia seu provedor de sincronização com o arquivo criptografado.
3. Passbolt, melhor para compartilhamento em equipe
Passbolt foi construído para equipes desde o início. O modelo de ameaça é criptografia end-to-end baseada em GPG: cada usuário tem uma chave, senhas compartilhadas são re-criptografadas por destinatário e o servidor nunca vê uma credencial em texto simples. A Community Edition é totalmente gratuita, roda em Debian ou Docker e envia uma extensão de navegador e uma interface web utilizável. Passbolt vs Vaultwarden em 2026: o modelo de permissão do Passbolt é mais granular, mas a interface é o preço que você paga.
Onde fica aquém: A interface web tem mais atrito que os clones Bitwarden. Integrar um colega não técnico envolve explicar chaves GPG, exportar kits de recuperação e importar para uma extensão de navegador. Aplicativos móveis existem (iOS e Android) mas ficam atrás da experiência desktop.
Preços:
- Gratuito: Community Edition, usuários ilimitados, todos os recursos de compartilhamento
- Pago: Pro a partir de EUR 49/mês por 10 usuários, Cloud-hosted Pro a partir de EUR 5/usuário/mês
- vs Vaultwarden: Ambos gratuitos para auto-hospedagem. O nível pago do Passbolt adiciona registros de auditoria, SSO e sincronização de diretório.
Migrando do Vaultwarden: Exporte Vaultwarden para CSV, depois importe através do importador CSV do Passbolt. Pastas viram tags. Entradas de organização compartilhadas não mapeiam automaticamente para o modelo de permissão do Passbolt; espere refazer a matriz de compartilhamento.
Download: passbolt.com/community-downloads
Resumo: Escolha isto quando uma pequena empresa precisa de compartilhamento apropriado e está disposta a aprender um conceito de GPG.
4. Psono, melhor para auto-hospedagem corporativa
Psono é a opção corporativa construída na Alemanha para auto-hospedadores que querem LDAP, SAML, funções granulares e uma revisão de segurança escrita sem pagar o nível corporativo do Bitwarden. A Community Edition é código aberto e gratuita para usuários ilimitados; a compilação Enterprise adiciona SSO, registro de auditoria e suporte priorizado. Psono vs Vaultwarden em 2026: dirigido para o mesmo público auto-hospedado mas com o departamento de TI em mente.
Onde fica aquém: A Community Edition omite recursos que equipes médias esperam (retenção de registro de auditoria, SAML, suporte a módulo de segurança de hardware). Extensões de navegador são competentes mas não tão polidas quanto as do Bitwarden.
Preços:
- Gratuito: Community Edition, usuários ilimitados
- Pago: Enterprise Server a partir de EUR 3/usuário/mês, plano SaaS a partir de EUR 1.50/usuário/mês
- vs Vaultwarden: Gratuito se você ficar na Community Edition. O nível Enterprise tem preço similar ao Bitwarden Teams.
Migrando do Vaultwarden: Exporte Vaultwarden, converta através do importador CSV do Psono. O compartilhamento se reorganiza em torno do modelo de grupo do Psono, que é mais próximo ao Active Directory que às Coleções Bitwarden. Planeje um fim de semana se a equipe tiver mais de 25 pessoas.
Download: psono.com
Resumo: Escolha isto quando uma empresa precisa de LDAP/SAML e o adesivo de preço Enterprise do Bitwarden é muito.
5. Padloc, melhor para uma interface moderna e leve
Padloc é a resposta para auto-hospedadores que gostaram da pegada mínima do Vaultwarden mas queriam uma interface mais polida. Executa num único processo Node.js, conversa WebSockets para sincronização ao vivo e envia um cofre web, extensão de navegador e aplicativos móveis. O nível gratuito cobre tudo que um indivíduo ou pequena família precisa. Padloc vs Vaultwarden em 2026: orçamento de recursos similar, interface mais moderna, ecossistema menor.
Onde fica aquém: A comunidade em torno do Padloc é menor que a do Vaultwarden, então ferramentas de terceiros (CLI, ajudantes de sincronização, páginas de status) são mais finas. Recursos corporativos são mínimos.
Preços:
- Gratuito: Auto-hospedado com todos os recursos pessoais
- Pago: Plano familiar $35/ano, Business a partir de $5/usuário/mês (hospedado)
- vs Vaultwarden: Ambos gratuitos para auto-hospedagem pessoal. Os níveis pagos do Padloc focam pessoas que querem que a empresa o hospede.
Migrando do Vaultwarden: Padloc importa a exportação CSV do Bitwarden diretamente. Pastas e itens básicos vêm. Tipos de campos customizados e anexos precisam de uma passagem manual.
Download: padloc.app
Resumo: Escolha isto quando a interface importa mais que a lista de recursos e você não precisa de controles no nível de org.
6. Pass (o gerenciador de senhas unix padrão), melhor para usuários focados em terminal
Pass armazena cada senha num arquivo criptografado com GPG dentro de um repositório Git. Esse é o produto inteiro. Não há GUI, sem cofre web, sem servidor: um shell de desenvolvedor, uma chave GPG e um repo Git remoto são a stack inteira. Plug-ins o estendem com TOTP, auto-preenchimento de navegador (browserpass) e clientes Android/iOS. Pass vs Vaultwarden em 2026: maximalmente minimalista, maximalmente portável, sem GUI auxiliar.
Onde fica aquém: Não é adequado para ninguém que não se sinta confortável num terminal. Compartilhamento requer ensinar cada destinatário como importar uma chave GPG. Membros da família não vão usá-lo.
Preços:
- Gratuito: Sim, GPL2
- Pago: Nenhum
- vs Vaultwarden: Ambos gratuitos. Pass substitui o servidor inteiro por um remoto Git.
Migrando do Vaultwarden: Um script da comunidade lê a exportação JSON criptografada do Bitwarden e escreve um arquivo .gpg por entrada. A estrutura de pasta vira hierarquia de diretórios. Anexos não são transferidos.
Download: passwordstore.org
Resumo: Escolha isto quando você vive no terminal e seu gerenciador de senhas não precisa de uma GUI.
7. Teampass, melhor para pastas de equipe baseadas em navegador
Teampass é o gerenciador de senhas auto-hospedado PHP/MySQL de longa duração para organizações que querem uma interface apenas de navegador com permissões por pasta. Precedeu os clones Bitwarden por vários anos e permanece uma escolha sensata para equipes que têm uma stack LAMP e não querem adicionar outro runtime. Teampass vs Vaultwarden em 2026: uma estética diferente, mas a árvore de permissões é mais difícil de superar.
Onde fica aquém: A interface é datada e carece de facilidades (suporte a passkey, aplicativos móveis tão polidos quanto os do Bitwarden) que alternativas mais novas oferecem. A base de código é PHP, que alguns times veem como uma troca de segurança.
Preços:
- Gratuito: Sim, código aberto sob GPL
- Pago: Nenhum
- vs Vaultwarden: Ambos gratuitos. Teampass dimensiona o compartilhamento de forma diferente, uma árvore de permissões em vez de coleções.
Migrando do Vaultwarden: Exporte Vaultwarden para CSV, depois rode a importação do Teampass. A hierarquia de pasta mapeia quase diretamente. O compartilhamento por coleção tem que ser re-modelado como funções do Teampass.
Download: teampass.net
Resumo: Escolha isto quando uma pequena organização já roda LAMP e quer um gerenciador de senhas apenas de navegador.
Como escolher
- Escolha Bitwarden Self-Hosted se você precisa de cada recurso que o Vaultwarden ainda não mesclou e tem os recursos para rodar a stack completa.
- Escolha KeePassXC se executar um servidor é o que você está tentando evitar.
- Escolha Passbolt se você é uma equipe de 5–30 pessoas que quer compartilhamento apropriado e pode absorver um conceito de GPG.
- Escolha Psono se o departamento de TI precisa de LDAP, SAML ou registros de auditoria sem o preço do Bitwarden Enterprise.
- Escolha Padloc se você quer uma pegada no estilo Vaultwarden com uma interface mais moderna.
- Escolha Pass se você é desenvolvedor e o resto da residência usa um sistema diferente.
- Escolha Teampass se a equipe já roda LAMP e não quer adicionar outra stack.
- Fique no Vaultwarden se você é uma residência, o atrito do uso diário é o que você se importa e a preocupação com o fator de risco não o mantém acordado à noite.
FAQ
O servidor oficial do Bitwarden é melhor que o Vaultwarden?
O servidor oficial do Bitwarden é mais completo e mais conservador. Envia cada recurso primeiro, suporta cada integração corporativa e executa o mesmo código que o Bitwarden hospeda em produção. Vaultwarden é mais leve, roda num quarto do hardware e é bom para uma residência. A escolha certa depende de você precisar da superfície de recurso corporativo ou apenas um cofre pessoal.
Posso rodar um gerenciador de senhas auto-hospedado num Raspberry Pi?
Sim para Vaultwarden, KeePassXC (apenas arquivo, sem servidor), Padloc e Pass. Bitwarden Self-Hosted vai rodar num Raspberry Pi 4 com 4 GB de RAM mas você vai sentir o banco de dados sob carga. Psono e Passbolt ficam em algum lugar no meio.
Qual é o gerenciador de senhas auto-hospedado mais seguro?
Todos os sete projetos usam criptografia auditada em repouso. O modelo de ameaça que varia é o servidor: KeePassXC e Pass nunca têm um servidor em texto simples, enquanto Vaultwarden, Bitwarden, Padloc, Psono e Passbolt dependem de chaves derivadas de senhas mestre nunca deixarem o cliente. A re-criptografia GPG por destinatário do Passbolt é o modelo mais paranóico quando credenciais compartilhadas são a ameaça.
Meus clientes Bitwarden funcionarão com estas alternativas?
Os clientes oficiais do Bitwarden funcionam com Bitwarden Self-Hosted, Vaultwarden e (via modo API) Padloc. Eles não funcionam com KeePassXC, Pass, Passbolt, Psono ou Teampass, cada um envia seus próprios clientes.
Como migro do Vaultwarden sem perder códigos de 2FA?
Exporte Vaultwarden para JSON criptografado, depois importe para o alvo. Segredos TOTP viajam como parte da entrada, então códigos de 2FA existentes continuam funcionando no novo cofre. Passkeys são vinculados à origem e têm que ser re-registrados em cada site, independentemente de qual cofre você migre.
Qual é a alternativa mais barata ao Vaultwarden?
Cada alternativa nesta lista tem um nível totalmente gratuito e completo para auto-hospedagem. KeePassXC e Pass têm o menor custo de execução porque não precisam de um servidor.