storage-p

Melhores gerenciadores de senhas auto-hospedados em 2026 (código aberto)

Auto-hospedar um gerenciador de senhas mantém suas credenciais fora dos servidores de outras empresas e sob o seu próprio controle — um ponto e tanto para quem leva a sério a privacidade e a conformidade com a LGPD, já que os dados nunca saem da sua infraestrutura. Estas são as opções mais fortes de 2026, o que cada uma faz de melhor e onde o storage-p se encaixa.

Critérios: o que observar

Um bom gerenciador auto-hospedado dá controle de verdade sem criar riscos novos: criptografia de ponta a ponta (conhecimento zero), para que o servidor jamais veja o texto puro; uma implantação simples (idealmente um único contêiner Docker); código aberto ou internamente transparente; e uma estratégia sensata de backup e recuperação. A contrapartida é que aplicar correções e manter o serviço no ar passa a ser responsabilidade sua.

Vaultwarden

Um servidor leve compatível com o Bitwarden, escrito em Rust, que consome bem menos de 50 MB de RAM e roda a partir de um único contêiner Docker. Funciona com todos os clientes oficiais do Bitwarden, o que faz dele a escolha natural para pessoas e famílias que querem os aplicativos do Bitwarden sem o peso do servidor oficial.

Bitwarden (auto-hospedado oficial)

O servidor oficial é o padrão corporativo — auditorias anuais por terceiros, SSO, sincronização de diretório e políticas de organização —, mas é mais pesado para rodar e manter (2 GB ou mais de RAM e um banco de dados de verdade). Vale a pena quando você precisa de recursos de conformidade e suporte do fornecedor.

Passbolt

De código aberto e feito para equipes, gira em torno de um modelo de chaves pública e privada com OpenPGP, com compartilhamento granular por recurso. Desenvolvido na União Europeia (Luxemburgo), a Community Edition é gratuita e auto-hospedável, sob licença AGPL. Melhor opção quando o compartilhamento seguro dentro da equipe é a prioridade.

Psono

Um gerenciador auto-hospedado voltado a empresas, com SAML/LDAP, logs de auditoria e políticas de conformidade. Gratuito para equipes pequenas; implantações maiores têm preço por usuário.

KeePassXC (opção sem servidor)

Não é um servidor: é um único arquivo KDBX criptografado (AES-256) que você mesmo sincroniza (com Syncthing, Nextcloud etc.). Superfície de ataque de servidor igual a zero e suporte a chaves de hardware, ao custo de sincronizar entre dispositivos na mão.

Onde o storage-p se encaixa

O storage-p é um cofre auto-hospedado e de conhecimento zero: sua chave é derivada no navegador com Argon2id, e o servidor só armazena texto cifrado com XChaCha20-Poly1305, com o banco de dados ainda criptografado em repouso via SQLCipher. Além de senhas, ele guarda chaves SSH/TLS, chaves de API e códigos TOTP, gera chaves Ed25519 no lado do cliente e emite tokens de API restritos, cujas leituras podem exigir a sua confirmação no aplicativo ou pelo Telegram. A implantação é feita como um contêiner atrás do Caddy.

Como escolher

Quer os aplicativos do Bitwarden com o mínimo de recursos — Vaultwarden. Precisa de conformidade corporativa — Bitwarden oficial. Compartilhamento em equipe em primeiro lugar — Passbolt ou Psono. Sem servidor nenhum — KeePassXC. Quer conhecimento zero no navegador somado a SSH/TLS/API/TOTP num único cofre que é seu — storage-p.