Em março de 2025, promotores federais ligaram uma apreensão de criptomoedas a um roubo que começou com a violação do LastPass. As vítimas tinham armazenado frases-semente em Notas Seguras, os invasores haviam obtido dados de cofre criptografados em 2022, e senhas mestras fracas foram quebradas offline posteriormente. Leia as reportagens sobre o caso.
Essa história não criou a categoria de gerenciadores de senhas auto-hospedados, mas empurrou mais pessoas nessa direção.
Este artigo pula a habitual lista de recursos. Ele dá a você a escolha para uso individual, pequenas equipes e organizações com necessidades de auditoria. Também cobre as duas partes que a maioria dos guias deixa de fora: backups e migração.
A resposta direta
- Usuário solo, família ou homelab: Vaultwarden em um VPS pequeno. Usa os clientes oficiais do Bitwarden, mantém-se leve e mantém a configuração simples.
- Equipa pequena ou fluxo de trabalho com credenciais partilhadas: Organizações Vaultwarden para equipas com uso intensivo de dispositivos móveis, ou Passbolt se a gestão de credenciais partilhadas é a verdadeira razão para o auto-alojamento.
- Organização com necessidades de auditoria ou conformidade: O servidor auto-hospedado oficial do Bitwarden. É mais pesado, mas tem o histórico de auditoria e o suporte do fornecedor que a maioria das organizações precisa.
- Independentemente de qual escolher: Um backup que nunca restaurou não é um backup. Teste uma restauração a frio numa máquina em branco.
O Que Significa o Auto-Alojamento
O modelo de encriptação não muda. A encriptação ainda acontece no cliente. O servidor armazena texto cifrado que não consegue ler. A diferença está em quem executa o servidor. Com o Bitwarden cloud, é o Bitwarden que o executa. Com o Vaultwarden ou o Bitwarden auto-hospedado, é você.
Isto não é o mesmo que um gestor de segredos como o HashiCorp Vault, o Doppler ou o AWS Secrets Manager. Essas ferramentas servem aplicações. Os gestores de palavras-passe servem pessoas.
O que está no âmbito aqui: Vaultwarden, Bitwarden auto-hospedado, Passbolt CE, Psono e KeePassXC com Syncthing como a opção sem servidor.
As Cinco Ferramentas de Relance
| Ferramenta | Pilha | Pegada típica de recursos | Status de auditoria | Melhor para |
|---|---|---|---|---|
| Vaultwarden | Rust, único contêiner Docker | ~50 MB em repouso | Sem auditoria formal de terceiros | Indivíduos, famílias, pequenas equipes |
| Bitwarden auto-hospedado | .NET, stack multi-contêiner | ~2 GB em repouso | Auditorias de terceiros publicadas | Organizações que precisam de histórico de auditoria |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB em funcionamento | Auditado por terceiros | Partilha de credenciais centrada na equipa |
| Psono | Python / PostgreSQL, multi-contentor | ~512 MB+ | Histórico de auditoria parcial | Equipas que querem um modelo de partilha empresarial |
| KeePassXC + Syncthing | BD local + sincronização peer | Sem servidor | Avaliações independentes publicadas | Usuários individuais que não querem servidor algum |
Vaultwarden
Vaultwarden é uma reescrita em Rust do servidor Bitwarden. Usa os clientes oficiais do Bitwarden, então a experiência do dia a dia é idêntica ao Bitwarden em nuvem. Roda em um único contêiner Docker e mantém o uso de recursos baixo.
A troca é simples. O Vaultwarden não tem uma auditoria de segurança formal de terceiros. Isso não o torna ruim. Significa apenas que o modelo de confiança é diferente.
Para usuários individuais, casais e famílias, essa troca geralmente é aceitável. Para equipes com uso intensivo de celular, ainda é uma boa opção se usarem principalmente cofres pessoais com algumas coleções compartilhadas.
Um VPS pequeno é suficiente para a maioria das configurações do Vaultwarden. Cerca de 1 GB é o ponto ideal para um cofre pessoal. Para uma família pequena ou uma equipe com um pouco mais de atividade, 2 GB oferece mais margem.
Mantenha-o atualizado. Mudanças nos clientes Bitwarden podem quebrar compilações mais antigas do Vaultwarden por um curto período, então não deixe o servidor desatualizar por meses.
Escolha: Vaultwarden para a maioria dos casos de uso pessoal.
Bitwarden Auto-hospedado
O Bitwarden auto-hospedado é o stack completo do fornecedor. É mais pesado que o Vaultwarden, mas esse é o preço pelo modelo exato do servidor Bitwarden, trabalho de auditoria publicado e um caminho de suporte mais fácil de defender perante compradores ou revisores de segurança.
O Bitwarden publica trabalhos de avaliação de terceiros em todos os seus produtos.
Esta é a escolha certa para organizações que precisam responder a perguntas com datas e relatórios concretos, não com respostas vagas. Também precisa de mais espaço. Uma organização pequena deve planear um VPS de 4 GB como ponto de partida, com mais margem para equipas maiores ou tarefas de backup mais pesadas.
Escolha: Bitwarden auto-hospedado quando o histórico de auditoria importa mais do que uma stack enxuta.
Passbolt CE
O Passbolt foi construído em torno de equipas desde o início. O seu modelo de partilha é mais granular do que o que a maioria das configurações de gestores de palavras-passe pessoais oferece, e é exatamente esse o ponto. Funciona melhor quando as credenciais partilhadas são o trabalho principal, não uma ideia de última hora.
A desvantagem está na experiência móvel. O Passbolt ainda é desktop-first na prática. Um modo de acesso offline para emergências está no roadmap, mas não é o mesmo que ter uma experiência offline madura hoje.
O Passbolt também precisa de mais recursos do que o Vaultwarden. Um VPS de 2 GB é o mínimo, e 4 GB é um ponto de partida mais seguro para uma stack de equipa real.
Escolha: Passbolt CE quando o fluxo de trabalho de credenciais partilhadas é a razão principal do auto-alojamento.
Psono
O Psono fica no meio. Tem um modelo de partilha empresarial, portais separados para administradores e utilizadores, e uma estrutura que facilita a gestão do acesso em grupo em comparação com um simples cofre pessoal.
É menos comum do que o Vaultwarden, o Bitwarden ou o Passbolt, pelo que a comunidade é mais pequena.
O Psono faz sentido para equipas que querem algo mais estruturado do que as organizações do Vaultwarden, mas não querem as limitações móveis do Passbolt.
Escolha: Psono para equipas que querem um modelo de partilha mais parecido com o empresarial sem saltar diretamente para o Bitwarden auto-hospedado.
KeePassXC + Syncthing
Este é o caminho sem servidor. KeePassXC armazena as credenciais em um arquivo local criptografado .kdbx arquivo. Syncthing copia esse arquivo em todos os seus dispositivos. Sem servidor. Sem API. Sem Docker. Sem cobrança mensal.
As trocas são reais. Não há compartilhamento adequado em equipe. O tratamento de conflitos fica confuso se dois dispositivos escrevem ao mesmo tempo. Não há cofre web, então o acesso por uma máquina emprestada está fora de questão.
Esta é a resposta certa para um único usuário com dois ou três dispositivos que não quer gerenciar infraestrutura.
Escolha: KeePassXC + Syncthing para quem não quer servidor.
Regras de backup que importam
Um gerenciador de senhas auto-hospedado é tão bom quanto o processo de restauração por trás dele.
A abordagem mais segura é simples:
- manter três cópias dos dados
- armazená-los em dois tipos diferentes de mídia
- manter uma cópia fora do local
Uma configuração simples funciona bem. Faça um dump noturno do banco de dados, copie-o para armazenamento compatível com S3 e mantenha uma segunda cópia em mídia removível que fique em outro lugar.
Em seguida, faça a parte que a maioria das pessoas pula. Restaure um backup em uma VM em branco e faça login. Se funcionar, você tem um backup. Se não funcionar, você tem um arquivo que torce para funcionar.
Migrando do LastPass, 1Password ou Bitwarden Cloud
A mudança mais fácil nesta lista é de Bitwarden cloud para Vaultwarden. Altere a URL do servidor no cliente, faça login e sincronize.
A migração do LastPass para o Vaultwarden exige mais trabalho. Exporte o cofre do LastPass para CSV, importe pelo cliente Bitwarden e depois aponte o mesmo cliente para o seu servidor auto-hospedado.
Três coisas precisam de atenção:
- Anexos são exportados separadamente do CSV. Faça o upload novamente de forma manual.
- A estrutura de pastas pode mudar. Faça uma verificação rápida antes de confiar no novo layout.
- As seeds TOTP precisam de verificação. Faça login em algumas contas antes de excluir o cofre antigo.
A regra universal é simples: não exclua o cofre de origem por 30 dias.
Qual opção se encaixa para qual leitor
Se você quer o caminho mais tranquilo para uso pessoal, escolha Vaultwarden.
Se sua equipe precisa de credenciais compartilhadas e trabalha principalmente no desktop, Passbolt é a escolha mais clara.
Se o histórico de auditoria e o suporte do fornecedor são a principal prioridade, o Bitwarden self-hosted é a escolha mais segura.
Se você não quer servidor nenhum, KeePassXC mais Syncthing é a saída mais limpa.
Resumindo
Escolha a configuração que se encaixa no seu caso de uso, implante a ferramenta correspondente e siga em frente.
O próximo passo é o teste de restauração a frio. Suba uma VM em branco, restaure seu último backup e faça login.
