O que é um gestor de palavras-passe open source?

É um gestor de palavras-passe cujo código-fonte é publicado sob uma licença livre/aberta (por exemplo GPL), de modo que qualquer pessoa o possa ler, auditar e verificar como armazena e cifra os seus dados. Bitwarden, KeePassXC e KeePass são os exemplos mais conhecidos. «Open source» refere-se à transparência do código — não implica automaticamente self-hosted nem gratuito, embora muitos gestores open source sejam ambas as coisas.

Um gestor de palavras-passe open source é seguro?

Sim, quando usa cifragem do lado do cliente (zero-knowledge), de forma que o fornecedor nunca veja o seu cofre. O open source acrescenta transparência: o código pode ser inspecionado e várias destas ferramentas tiveram auditorias de segurança independentes. Mas a segurança continua a depender sobretudo de uma palavra-passe mestra forte e única e da ativação da MFA — o código aberto é uma vantagem de confiança, não um escudo mágico.

Qual é o melhor gestor de palavras-passe open source?

Para a maioria das pessoas, o Bitwarden: open source sob GPL, auditado de forma independente, com um plano gratuito realmente ilimitado e a opção de self-host via Vaultwarden. O KeePassXC é a melhor escolha totalmente offline, baseada em ficheiro. O KeePass é o projeto original para Windows. O Proton Pass tornou open source as suas apps cliente, embora o servidor não o seja.

O Bitwarden é realmente open source?

Sim. Os clientes, o servidor e o SDK do Bitwarden são publicados no GitHub sob licenças open source, e o projeto passou por auditorias de segurança independentes (incluindo uma da Cure53). O Vaultwarden é um servidor distinto, construído pela comunidade, que reimplementa a API do Bitwarden e também é open source.

Gestor de palavras-passe open source 2026: o guia honesto (Bitwarden, KeePassXC e outros)

«Open source» é um dos rótulos mais tranquilizadores que um gestor de palavras-passe pode ostentar — e um dos mais mal compreendidos. Este guia explica o que significa de facto, porque importa para algo tão sensível como as suas palavras-passe, quais os gestores que são autenticamente open source em 2026 e como escolher um. É também honesto sobre o que o open source não garante.

A resposta curta

Open source = o código é público e auditável. Qualquer pessoa pode ler como a app cifra e armazena o seu cofre.
Melhor para tudo: Bitwarden — open source (GPL), auditado de forma independente, plano gratuito ilimitado, self-hostável.
Melhor totalmente offline: KeePassXC — ficheiro cifrado local, sem cloud, sob licença GPL.
O original: KeePass — o projeto Windows de longa data que iniciou o ecossistema.
Via self-hosted: Vaultwarden — servidor da comunidade que fala o protocolo do Bitwarden.
Parcialmente aberto: Proton Pass — as apps cliente são open source; o servidor não.

O que «open source» significa realmente aqui

Um gestor de palavras-passe open source publica o seu código-fonte sob uma licença livre (geralmente a GPL). Isso dá-lhe três benefícios concretos:

Auditabilidade. Os investigadores de segurança — e você, se ler código — podem inspecionar exatamente como a app deriva a sua chave de cifragem e armazena o seu cofre. As apps fechadas pedem que confie na sua descrição; as abertas deixam-no verificá-la.
Sem lock-in do fornecedor no formato. Os projetos abertos usam formatos de cofre documentados, pelo que não fica preso se quiser mudar ou fazer self-host.
Confiança verificável. Quando a cifragem é implementada de forma aberta, as fragilidades tendem a ser encontradas e corrigidas mais depressa, e a comunidade pode confirmar que não há nenhuma backdoor escondida.

Um esclarecimento importante: o open source diz respeito à transparência do código, não ao preço nem ao alojamento. Um gestor open source pode ainda assim oferecer planos pagos e pode correr na cloud ou no seu próprio servidor. As duas ideias muitas vezes sobrepõem-se, mas não são a mesma coisa.

O ecrã de um portátil a mostrar código-fonte com realce de sintaxe num editor de código escuro — código open source que qualquer pessoa pode ler e auditar.

As opções verdadeiramente open source em 2026

Bitwarden — a escolha open source predefinida

Bitwarden é open source sob GPL, com os seus clientes, servidor e SDK publicados no GitHub. Foi auditado de forma independente (incluindo uma revisão da Cure53), oferece um plano gratuito realmente ilimitado em dispositivos ilimitados e pode ser self-hostado. Para a maioria das pessoas que querem open source sem abrir mão da comodidade ou da sincronização entre dispositivos, é a escolha natural. A nossa análise completa do Bitwarden aprofunda o tema.

KeePassXC — o melhor totalmente offline

KeePassXC é um gestor multiplataforma orientado pela comunidade (sob licença GPL) que armazena tudo num único ficheiro cifrado .kdbx. Não há cloud nem servidor — guarda o ficheiro e sincroniza-o por si mesmo, se quiser. É a opção mais privada e mais local, ideal para power users que querem a posse total do ficheiro. O compromisso é uma curva de aprendizagem mais íngreme e a sincronização manual.

KeePass — o original

KeePass é o projeto Windows open source de longa data (GPL) que definiu o formato .kdbx usado por toda a família KeePass. É menos polido do que a moderna interface multiplataforma do KeePassXC, mas continua a ser uma base respeitada e auditada sobre a qual se constrói um grande ecossistema de apps compatíveis.

Vaultwarden — self-hosting open source

Vaultwarden é um servidor construído pela comunidade, baseado em Rust, que reimplementa a API do Bitwarden. É open source, corre num único contentor leve (até num Raspberry Pi) e funciona com as apps oficiais do Bitwarden — assim obtém um cofre aberto e self-hostado sem correr o mais pesado servidor oficial do Bitwarden. Veja o nosso guia de gestores de palavras-passe self-hosted para perceber onde se enquadra.

Proton Pass — parcialmente aberto

Proton Pass tornou open source as suas apps cliente (web, móvel e extensões de navegador) sob GPL, o que significa que o código que corre nos seus dispositivos pode ser inspecionado. O seu servidor, porém, não é open source — por isso é «parcialmente aberto» em vez de totalmente aberto como o Bitwarden. Continua a ser cifrado de ponta a ponta e tem um bom plano gratuito; saiba apenas a distinção. Comparamos os dois em Proton Pass vs Bitwarden.

Porquê escolher open source para as suas palavras-passe

Guarda os dados mais sensíveis que possui. Para um cofre de palavras-passe, «confia em mim» é uma promessa fraca. O código aberto permite verificar essa confiança em vez de a assumir.
Auditorias e código aberto reforçam-se mutuamente. As auditorias independentes (como as que o Bitwarden publicou) verificam um instantâneo; o open source mantém o código sob revisão contínua da comunidade entre auditorias.
Liberdade para sair. Os formatos abertos e as opções de self-host significam que nunca está refém dos preços ou das condições de uma única empresa.

Experimentar o Bitwarden — open source e auditado →Sob licença GPL · auditado de forma independente (Cure53) · plano gratuito ilimitado · self-hostável via Vaultwarden→

Os limites honestos do «open source»

O open source é uma vantagem real, mas por si só não é uma garantia:

Código aberto ≠ automaticamente auditado. Qualquer pessoa pode ler o código; isso não significa que especialistas já o tenham feito. A maior garantia é o open source mais uma auditoria independente publicada.
Continua a precisar de uma palavra-passe mestra forte e de MFA. Nenhuma quantidade de código aberto ajuda se a sua palavra-passe mestra for fraca ou reutilizada. Veja como criar uma palavra-passe forte.
O self-hosting transfere a responsabilidade para si. Correr o seu próprio servidor (Vaultwarden, Bitwarden self-host) significa que assume as atualizações, o TLS e os backups. Um cofre self-hostado mal configurado pode ser menos seguro do que um gerido de boa reputação.
«Aberto» pode ser parcial. Como no Proton Pass, só parte da stack pode estar aberta. Verifique se é o cliente, o servidor ou ambos.

Como escolher

Quer open source que «simplesmente funcione» em todo o lado? Bitwarden — aberto, auditado, plano gratuito, self-host opcional.
Quer zero cloud e controlo total do ficheiro? KeePassXC (ou KeePass no Windows).
Quer fazer self-host de um cofre aberto? Vaultwarden, com os clientes do Bitwarden.
Quer cifragem de ponta a ponta com apps cliente abertas e aliases integrados? Proton Pass — note apenas que o seu servidor não é aberto.

A conclusão

Em 2026, a escolha open source mais segura para a maioria das pessoas é o Bitwarden: o seu código é público, foi auditado de forma independente, o plano gratuito é realmente ilimitado e pode fazer self-host. O KeePassXC e o KeePass vencem no controlo totalmente offline, baseado em ficheiro, e o Vaultwarden traz o self-hosting aberto. Trate o Proton Pass como parcialmente aberto. E lembre-se da ressalva honesta: o open source é um forte sinal de confiança, mas uma palavra-passe mestra forte e a MFA continuam a fazer a maior parte do trabalho.

Saber mais

Panorâmica editorial baseada na licença, nas auditorias e na arquitetura publicamente documentadas de cada gestor em 2026. As ligações comerciais levam o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para si.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Obter NordPassGarantia de reembolso de 30 dias · Plano gratuito disponível→