Vaultwarden

O artigo da XDA sobre migração de senhas, 2FA e passkeys para o Vaultwarden toca numa tendência de auto-hospedagem que continua ganhando força: um pequeno servidor em Rust, compatível com todo cliente Bitwarden, rodando num Raspberry Pi ou num NUC antigo num armário. Vaultwarden é a resposta certa para muitas residências. Não é a resposta certa para todos. O servidor oficial do Bitwarden é mais pesado, mas vem com os recursos que os administradores de equipe realmente precisam. Passbolt e Psono focam empresas que querem auditoria e permissões de grupo. KeePassXC contorna a questão do servidor por completo.

Testamos 7 alternativas ao Vaultwarden para desktop e as classificamos conforme os mesmos critérios: tempo de configuração numa instalação Debian limpa, procedimento de restauração de backup, compatibilidade de cliente, compartilhamento em grupo e o atrito do uso diário que decide se a residência realmente o adota.

Comparação rápida

AppMelhor paraPlano gratuitoPreço inicialFuncionalidade em destaque
Bitwarden Self-HostedStack oficial completoSim, totalmente no-premGratuito, org paga a partir de $3/usuário/mêsMesmo código do produto em nuvem
KeePassXCCofre local-first, baseado em arquivoSim, totalmenteGratuitoNenhum servidor para rodar
PassboltCompartilhamento de senhas em equipeCommunity Edition, totalmente gratuitoPro a partir de EUR 49/mês por 10 usuáriosCriptografia end-to-end baseada em GPG
PsonoAuto-hospedagem corporativaCommunity Edition, totalmente gratuitoEnterprise a partir de EUR 3/usuário/mêsLDAP, SAML, funções granulares
PadlocInterface moderna leveSim, no-prem apenasGratuitoRelatório de segurança integrado e verificações de vazamento
PassMinimalismo no estilo UnixSim, totalmenteGratuitoUm diretório de arquivos de senha criptografados com GPG
TeampassCofre de equipe baseado em navegadorSim, totalmenteGratuitoPermissões por pasta e árvore de funções

Por que as pessoas deixam o Vaultwarden

Três motivos aparecem repetidamente em r/selfhosted e nos issues do GitHub do Vaultwarden:

Nenhum destes é um fator impeditivo para uma residência. Todos importam para uma empresa com 50 pessoas.

As 7 alternativas ao Vaultwarden

1. Bitwarden Self-Hosted, melhor para a stack oficial

Bitwarden envia o mesmo software que executa na nuvem como um pacote auto-hospedado. A implantação completa executa onze contêineres (API, identidade, cofre web, anexos, admin, MSSQL e amigos) e usa um pouco mais de memória que o Vaultwarden, mas cada recurso chega aqui primeiro: sincronização de passkey, SSO com conector de chave, sincronização de diretório, SCIM, mecanismo de política e o novo painel de administração. O armazenamento funciona contra o Microsoft SQL Server por padrão, com uma compilação compatível com PostgreSQL surgindo em 2025. Bitwarden vs Vaultwarden em 2026: mesmos clientes, pegada de backend muito diferente.

Onde fica aquém: Pressão de memória e disco em VMs pequenas. Uma instância de dois vCPU, 2 GB que executa o Vaultwarden confortavelmente terá dificuldades com a stack completa do Bitwarden e um banco de dados.

Preços:

Migrando do Vaultwarden: Exporte cada cofre para JSON criptografado da interface web, importe para o Bitwarden. A estrutura de pasta e anexos são transferidos corretamente. A migração de org requer reinvitar membros e re-compartilhar coleções manualmente. Reserve uma noite para uma residência, um fim de semana para uma equipe de 20 pessoas.

Download: Bitwarden Self-Hosting

Resumo: Escolha isto quando a residência cresceu numa equipe e você precisa de recursos que o Vaultwarden ainda não mesclou.

2. KeePassXC, melhor para a opção sem servidor

KeePassXC é o fork multiplataforma do KeePass que roda em todo desktop sem servidor algum. O cofre é um único arquivo .kdbx que você sincroniza com o que já usa, Syncthing, Nextcloud, iCloud, OneDrive ou um pen drive. Suporta passkeys (adicionado em 2.7.x), integração de navegador através do KeePassXC-Browser, TOTP, anexos e integração de agente SSH. KeePassXC vs Vaultwarden em 2026: filosofias opostas. Vaultwarden executa um servidor para que vários dispositivos permaneçam em sincronização automática. KeePassXC delega a sincronização ao que você já confia.

Onde fica aquém: Resolução de conflitos é seu problema. Se dois dispositivos escrevem no mesmo arquivo de cofre offline, o KeePassXC não vai mesclá-los magicamente. Mobile também é mais fraco: KeePass2Android e Strongbox são bons, mas não são de primeira parte.

Preços:

Migrando do Vaultwarden: Exporte Vaultwarden para JSON criptografado, depois converta com o assistente de importação do KeePassXC. Pastas viram grupos, campos customizados são transferidos, anexos vêm junto. Passkeys não são migrados corretamente e têm que ser re-registrados em cada site.

Download: keepassxc.org

Resumo: Escolha isto quando você quer parar de executar um servidor e confia seu provedor de sincronização com o arquivo criptografado.

3. Passbolt, melhor para compartilhamento em equipe

Passbolt foi construído para equipes desde o início. O modelo de ameaça é criptografia end-to-end baseada em GPG: cada usuário tem uma chave, senhas compartilhadas são re-criptografadas por destinatário e o servidor nunca vê uma credencial em texto simples. A Community Edition é totalmente gratuita, roda em Debian ou Docker e envia uma extensão de navegador e uma interface web utilizável. Passbolt vs Vaultwarden em 2026: o modelo de permissão do Passbolt é mais granular, mas a interface é o preço que você paga.

Onde fica aquém: A interface web tem mais atrito que os clones Bitwarden. Integrar um colega não técnico envolve explicar chaves GPG, exportar kits de recuperação e importar para uma extensão de navegador. Aplicativos móveis existem (iOS e Android) mas ficam atrás da experiência desktop.

Preços:

Migrando do Vaultwarden: Exporte Vaultwarden para CSV, depois importe através do importador CSV do Passbolt. Pastas viram tags. Entradas de organização compartilhadas não mapeiam automaticamente para o modelo de permissão do Passbolt; espere refazer a matriz de compartilhamento.

Download: passbolt.com/community-downloads

Resumo: Escolha isto quando uma pequena empresa precisa de compartilhamento apropriado e está disposta a aprender um conceito de GPG.

4. Psono, melhor para auto-hospedagem corporativa

Psono é a opção corporativa construída na Alemanha para auto-hospedadores que querem LDAP, SAML, funções granulares e uma revisão de segurança escrita sem pagar o nível corporativo do Bitwarden. A Community Edition é código aberto e gratuita para usuários ilimitados; a compilação Enterprise adiciona SSO, registro de auditoria e suporte priorizado. Psono vs Vaultwarden em 2026: dirigido para o mesmo público auto-hospedado mas com o departamento de TI em mente.

Onde fica aquém: A Community Edition omite recursos que equipes médias esperam (retenção de registro de auditoria, SAML, suporte a módulo de segurança de hardware). Extensões de navegador são competentes mas não tão polidas quanto as do Bitwarden.

Preços:

Migrando do Vaultwarden: Exporte Vaultwarden, converta através do importador CSV do Psono. O compartilhamento se reorganiza em torno do modelo de grupo do Psono, que é mais próximo ao Active Directory que às Coleções Bitwarden. Planeje um fim de semana se a equipe tiver mais de 25 pessoas.

Download: psono.com

Resumo: Escolha isto quando uma empresa precisa de LDAP/SAML e o adesivo de preço Enterprise do Bitwarden é muito.

5. Padloc, melhor para uma interface moderna e leve

Padloc é a resposta para auto-hospedadores que gostaram da pegada mínima do Vaultwarden mas queriam uma interface mais polida. Executa num único processo Node.js, conversa WebSockets para sincronização ao vivo e envia um cofre web, extensão de navegador e aplicativos móveis. O nível gratuito cobre tudo que um indivíduo ou pequena família precisa. Padloc vs Vaultwarden em 2026: orçamento de recursos similar, interface mais moderna, ecossistema menor.

Onde fica aquém: A comunidade em torno do Padloc é menor que a do Vaultwarden, então ferramentas de terceiros (CLI, ajudantes de sincronização, páginas de status) são mais finas. Recursos corporativos são mínimos.

Preços:

Migrando do Vaultwarden: Padloc importa a exportação CSV do Bitwarden diretamente. Pastas e itens básicos vêm. Tipos de campos customizados e anexos precisam de uma passagem manual.

Download: padloc.app

Resumo: Escolha isto quando a interface importa mais que a lista de recursos e você não precisa de controles no nível de org.

6. Pass (o gerenciador de senhas unix padrão), melhor para usuários focados em terminal

Pass armazena cada senha num arquivo criptografado com GPG dentro de um repositório Git. Esse é o produto inteiro. Não há GUI, sem cofre web, sem servidor: um shell de desenvolvedor, uma chave GPG e um repo Git remoto são a stack inteira. Plug-ins o estendem com TOTP, auto-preenchimento de navegador (browserpass) e clientes Android/iOS. Pass vs Vaultwarden em 2026: maximalmente minimalista, maximalmente portável, sem GUI auxiliar.

Onde fica aquém: Não é adequado para ninguém que não se sinta confortável num terminal. Compartilhamento requer ensinar cada destinatário como importar uma chave GPG. Membros da família não vão usá-lo.

Preços:

Migrando do Vaultwarden: Um script da comunidade lê a exportação JSON criptografada do Bitwarden e escreve um arquivo .gpg por entrada. A estrutura de pasta vira hierarquia de diretórios. Anexos não são transferidos.

Download: passwordstore.org

Resumo: Escolha isto quando você vive no terminal e seu gerenciador de senhas não precisa de uma GUI.

7. Teampass, melhor para pastas de equipe baseadas em navegador

Teampass é o gerenciador de senhas auto-hospedado PHP/MySQL de longa duração para organizações que querem uma interface apenas de navegador com permissões por pasta. Precedeu os clones Bitwarden por vários anos e permanece uma escolha sensata para equipes que têm uma stack LAMP e não querem adicionar outro runtime. Teampass vs Vaultwarden em 2026: uma estética diferente, mas a árvore de permissões é mais difícil de superar.

Onde fica aquém: A interface é datada e carece de facilidades (suporte a passkey, aplicativos móveis tão polidos quanto os do Bitwarden) que alternativas mais novas oferecem. A base de código é PHP, que alguns times veem como uma troca de segurança.

Preços:

Migrando do Vaultwarden: Exporte Vaultwarden para CSV, depois rode a importação do Teampass. A hierarquia de pasta mapeia quase diretamente. O compartilhamento por coleção tem que ser re-modelado como funções do Teampass.

Download: teampass.net

Resumo: Escolha isto quando uma pequena organização já roda LAMP e quer um gerenciador de senhas apenas de navegador.

Como escolher

FAQ

O servidor oficial do Bitwarden é melhor que o Vaultwarden?

O servidor oficial do Bitwarden é mais completo e mais conservador. Envia cada recurso primeiro, suporta cada integração corporativa e executa o mesmo código que o Bitwarden hospeda em produção. Vaultwarden é mais leve, roda num quarto do hardware e é bom para uma residência. A escolha certa depende de você precisar da superfície de recurso corporativo ou apenas um cofre pessoal.

Posso rodar um gerenciador de senhas auto-hospedado num Raspberry Pi?

Sim para Vaultwarden, KeePassXC (apenas arquivo, sem servidor), Padloc e Pass. Bitwarden Self-Hosted vai rodar num Raspberry Pi 4 com 4 GB de RAM mas você vai sentir o banco de dados sob carga. Psono e Passbolt ficam em algum lugar no meio.

Qual é o gerenciador de senhas auto-hospedado mais seguro?

Todos os sete projetos usam criptografia auditada em repouso. O modelo de ameaça que varia é o servidor: KeePassXC e Pass nunca têm um servidor em texto simples, enquanto Vaultwarden, Bitwarden, Padloc, Psono e Passbolt dependem de chaves derivadas de senhas mestre nunca deixarem o cliente. A re-criptografia GPG por destinatário do Passbolt é o modelo mais paranóico quando credenciais compartilhadas são a ameaça.

Meus clientes Bitwarden funcionarão com estas alternativas?

Os clientes oficiais do Bitwarden funcionam com Bitwarden Self-Hosted, Vaultwarden e (via modo API) Padloc. Eles não funcionam com KeePassXC, Pass, Passbolt, Psono ou Teampass, cada um envia seus próprios clientes.

Como migro do Vaultwarden sem perder códigos de 2FA?

Exporte Vaultwarden para JSON criptografado, depois importe para o alvo. Segredos TOTP viajam como parte da entrada, então códigos de 2FA existentes continuam funcionando no novo cofre. Passkeys são vinculados à origem e têm que ser re-registrados em cada site, independentemente de qual cofre você migre.

Qual é a alternativa mais barata ao Vaultwarden?

Cada alternativa nesta lista tem um nível totalmente gratuito e completo para auto-hospedagem. KeePassXC e Pass têm o menor custo de execução porque não precisam de um servidor.