Se quer um gestor de palavras-passe em que é você a deter os dados — e não a cloud de uma empresa — o self-hosting é a resposta. O apelo é real: o seu cofre cifrado reside numa infraestrutura que controla, sem fornecedores externos na cadeia de confiança. O compromisso é igualmente real: passa a ser responsável por atualizações, cópias de segurança e segurança. Este guia classifica honestamente as opções self-hosted sérias e ajuda-o a decidir se o self-hosting é realmente adequado para si.
A resposta curta
- Para a maioria das pessoas: Vaultwarden. Um servidor leve e de código aberto que fala o protocolo Bitwarden, corre num único contentor Docker (mesmo num Raspberry Pi) e funciona com as aplicações oficiais do Bitwarden. O melhor equilíbrio entre potência e simplicidade. Veja o nosso tutorial de self-hosting do Vaultwarden para a configuração completa.
- Quer a stack oficial: Bitwarden self-host. O servidor próprio do fornecedor — mais exigente em recursos, mas de primeira mão.
- Prefere baseado em ficheiros, sem servidor: KeePassXC + a sua própria sincronização. Uma base de dados cifrada local que sincroniza você mesmo.
- Self-hosting para equipa / empresa: Passbolt ou Psono. Concebidos em torno do acesso partilhado e de permissões granulares.
O que o "self-hosted" realmente lhe traz (e lhe custa)
O que ganha:
- Controlo e privacidade. O cofre cifrado reside no seu hardware ou VPS. Nenhum fornecedor externo pode ser obrigado, comprometido ou alterar os termos de uma forma que exponha os seus dados.
- Sem subscrição para o software em si (código aberto).
- Auditabilidade. Estes projetos são de código aberto, pelo que o código pode ser inspecionado.
O que assume:
- Manutenção. Atualizações de segurança, certificados TLS, reforço do servidor — fica ao seu encargo.
- Cópias de segurança. Se não fizer cópias, ninguém faz. Um disco perdido = um cofre perdido.
- Disponibilidade. Se o seu servidor estiver em baixo e você estiver em viagem, o seu cofre também está (mitigado pelas caches offline das aplicações).
Em resumo: o self-hosting troca comodidade por controlo. É uma ótima troca se o for realmente manter.
As opções, honestamente
Vaultwarden — a escolha por defeito
O Vaultwarden (antigamente "bitwarden_rs") é um servidor não oficial, escrito em Rust, que implementa a API do Bitwarden. É notavelmente leve — um único contentor Docker que corre sem problemas num Raspberry Pi ou no VPS mais barato — e, ainda assim, funciona com todos os clientes oficiais do Bitwarden (desktop, móvel, extensões de navegador). Obtém organizações, anexos e 2FA sem pagar o Premium alojado do Bitwarden. Para a esmagadora maioria dos self-hosters, é a resposta certa. O nosso tutorial passo a passo do Vaultwarden cobre o Docker Compose, um reverse proxy, TLS e as cópias de segurança automáticas.
Bitwarden self-host — a via oficial
O Bitwarden oferece um servidor self-hosted oficial. É de primeira mão e completo em funcionalidades, mas é um deployment mais pesado, com vários contentores (mais RAM, mais peças móveis) do que o Vaultwarden. Escolha-o se quiser especificamente a stack própria do fornecedor e não se importar com a pegada de recursos adicional.
KeePassXC + a sua própria sincronização — sem servidor nenhum
O KeePassXC é um gestor local e de código aberto que guarda tudo num único ficheiro cifrado .kdbx. Não há servidor para gerir: sincroniza esse ficheiro você mesmo com o Syncthing, o Nextcloud ou qualquer armazenamento em que confie. É a opção mais minimalista e mais privada — e a mais manual, já que gere você a sincronização e a resolução de conflitos. Excelente para quem quer zero servidor e total propriedade do ficheiro.
Passbolt — orientado a equipas
O Passbolt foi feito para equipas: partilha granular, permissões por utilizador/grupo e um modelo de administração concebido para organizações. É mais trabalhoso de implementar do que o Vaultwarden e está orientado para o uso colaborativo em vez de uma única pessoa. Uma escolha forte para uma pequena empresa que quer credenciais partilhadas e self-hosted.
Psono — self-hosting empresarial
O Psono é outro gestor self-hosted orientado a equipas/empresas, com acesso baseado em funções e uma API. Tal como o Passbolt, é excessivo para um indivíduo, mas bem adequado a organizações que querem manter as credenciais na sua própria infraestrutura.
Quem deve realmente fazer self-hosting?
- Sim, faça self-hosting se estiver à vontade para gerir um pequeno servidor, o mantiver atualizado e com cópias de segurança, e se o controlo for para si uma verdadeira prioridade. Comece pelo Vaultwarden.
- Provavelmente não se quer algo que "simplesmente funcione" em todo o lado com zero manutenção, ou se não estiver confiante quanto a TLS, atualizações e cópias de segurança. Um cofre self-hosted mal configurado é mais arriscado do que um bom serviço gerido.
Se a segunda descrição é a sua, não há vergonha nisso — um gestor gerido, de código aberto e reputado dá-lhe a maior parte dos benefícios de privacidade sem a administração do servidor.
Não quer gerir um servidor? Experimente o Proton PassCódigo aberto, cifrado de ponta a ponta, suíço, auditado de forma independente — com um plano gratuito. A alternativa gerida ao self-hosting.→Conclusão
Em 2026, o melhor gestor de palavras-passe self-hosted para a maioria das pessoas é o Vaultwarden — leve, de código aberto, compatível com o Bitwarden e fácil de gerir. O KeePassXC serve quem não quer servidor nenhum; o Passbolt e o Psono encaixam em equipas. Seja qual for a sua escolha, lembre-se das duas regras que ditam o sucesso ou o fracasso do self-hosting: mantenha-o atualizado e faça cópias de segurança automaticamente. E se gerir um servidor não é para si, um gestor gerido e de código aberto é uma escolha perfeitamente honesta.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Obter NordPassGarantia de reembolso de 30 dias · Plano gratuito disponível→