Gerenciadores de senhas se tornaram essenciais — no entanto, a maioria das pessoas paga assinaturas mensais por serviços em nuvem como 1Password ou LastPass, ou pior, reutiliza as mesmas senhas fracas em todos os lugares. Mas há uma terceira opção: hospedar seu próprio gerenciador de senhas que é tão bom quanto as alternativas pagas, completamente gratuito e sob seu total controle.
Apresentamos Vaultwarden — um servidor leve e de código aberto compatível com todos os clientes oficiais do Bitwarden. Ele oferece a experiência completa do Bitwarden (extensões de navegador, aplicativos móveis, aplicativos de desktop, CLI) enquanto armazena suas senhas criptografadas em seu próprio hardware. Sem assinaturas, sem dependência de nuvem, sem problemas de confiança.
Neste guia, configuraremos o Vaultwarden do zero usando o Docker Compose. Ao final, você terá um gerenciador de senhas pronto para a família que não custa nada para rodar e mantém seus dados mais sensíveis exatamente onde pertencem — com você.
Por que Vaultwarden?
Antes de mergulhar na configuração, vamos entender por que o Vaultwarden é a escolha ideal para gerenciamento de senhas auto-hospedado:
| Recurso | Vaultwarden | Bitwarden Cloud | 1Password |
|---|---|---|---|
| Custo | Gratuito (auto-hospedado) | /bin/zsh-40/ano | -60/ano |
| Plano Familiar | Gratuito (usuários ilimitados) | /ano (6 usuários) | /ano (5 usuários) |
| Armazenamento de Dados | Seu servidor | Nuvem Bitwarden | Nuvem 1Password |
| Criptografia de Ponta a Ponta | ✅ Igual ao Bitwarden | ✅ | ✅ |
| Extensões de Navegador | ✅ Todos os navegadores | ✅ | ✅ |
| Aplicativos Móveis | ✅ iOS & Android | ✅ | ✅ |
| Aplicativos de Desktop | ✅ Win/Mac/Linux | ✅ | ✅ |
| Organizações/Compartilhamento | ✅ Suporte total | ✅ (Premium) | ✅ |
| 2FA (TOTP) | ✅ Integrado | ✅ (Premium) | ✅ |
| Acesso de Emergência | ✅ | ✅ (Premium) | ❌ |
| Enviar (Compartilhamento Seguro) | ✅ | ✅ | ❌ |
| Acesso Offline | ✅ Cópia local do cofre | ✅ | ✅ |
A principal percepção: o Vaultwarden implementa a mesma API que o servidor oficial do Bitwarden, então você obtém a exata mesma experiência do cliente — aplicativos polidos, preenchimento automático sem costura, compartilhamento seguro — sem pagar por hospedagem em nuvem. O servidor oficial do Bitwarden requer recursos substanciais (múltiplos contêineres, SQL Server), enquanto o Vaultwarden funciona feliz em um Raspberry Pi.
O que você vai precisar
Os requisitos são mínimos:
- Um servidor — Qualquer máquina Linux, VPS, NAS ou até mesmo um Raspberry Pi. O Vaultwarden usa cerca de 50MB de RAM.
- Docker e Docker Compose — o método de instalação recomendado.
- Um nome de domínio (recomendado) — para acesso HTTPS. Você pode usar um subdomínio gratuito de serviços como DuckDNS, se necessário.
- Cerca de 10 minutos — sério, é tão rápido.
🔒 Segurança em Primeiro Lugar
- ⚠️HTTPS é obrigatório para uso em produção. Os clientes do Bitwarden requerem um contexto seguro (HTTPS) para funcionar corretamente. Vamos abordar como configurar isso.
- 💡Sua senha mestre nunca é armazenada — apenas um hash criptográfico. Mesmo que alguém roube seu servidor, não poderá ler suas senhas sem a senha mestre.
Passo 1: Instalar o Docker
Se o Docker ainda não estiver instalado, configure-o com o script de conveniência oficial:
# Instalar o Docker
curl -fsSL https://get.docker.com | sh
# Adicione seu usuário ao grupo docker
sudo usermod -aG docker clawdbot
# Faça logout e login novamente, depois verifique
docker --version
docker compose versionPasso 2: Criar o Diretório do Vaultwarden
Crie um diretório dedicado para seu gerenciador de senhas:
# Criar e entrar no diretório
mkdir ~/vaultwarden
cd ~/vaultwardenPasso 3: Criar o Arquivo Docker Compose
Crie um arquivo docker-compose.yml:
# Criar o arquivo de composição
nano docker-compose.ymlCole esta configuração:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.seudominio.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "seu-token-de-admin-seguro-aqui"
SMTP_HOST: "smtp.gmail.com"
SMTP_FROM: "[email protected]"
SMTP_PORT: "587"
SMTP_SECURITY: "starttls"
SMTP_USERNAME: "[email protected]"
SMTP_PASSWORD: "sua-senha-do-app"
volumes:
- ./vw-data:/data
ports:
- "127.0.0.1:8080:80"Vamos detalhar as configurações principais:
- DOMAIN: Sua URL completa com HTTPS. Isso é necessário para que o cofre da web funcione corretamente.
- SIGNUPS_ALLOWED: Defina como "true" inicialmente para criar sua conta, depois altere para "false" após a configuração.
- ADMIN_TOKEN: Um token seguro para acessar o painel de administração. Gere um com:
openssl rand -base64 48 - SMTP_*: Configurações de e-mail para redefinição de senha e notificações. Opcional, mas recomendado.
- Vinculação de porta: Vinculamos apenas ao 127.0.0.1 — um proxy reverso lidará com o acesso externo com HTTPS.
🔑 Gere um Token de Admin Seguro
# Gere um token seguro
openssl rand -base64 48
# Exemplo de saída: kR9h2s8K...long-random-string...
# Use isso como seu ADMIN_TOKENMantenha este token seguro — ele dá acesso total ao seu painel de administração do Vaultwarden.
Passo 4: Configurar HTTPS com Caddy (Recomendado)
Os clientes do Bitwarden requerem HTTPS. A maneira mais fácil de configurar isso é com Caddy, que lida automaticamente com certificados SSL.
Adicione o Caddy ao seu docker-compose.yml:
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.seudominio.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "seu-token-de-admin-seguro-aqui"
volumes:
- ./vw-data:/data
networks:
- vaultwarden
caddy:
image: caddy:latest
container_name: caddy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- ./caddy-data:/data
- ./caddy-config:/config
networks:
- vaultwarden
networks:
vaultwarden:
driver: bridgeCrie o Caddyfile:
# Criar o Caddyfile
nano CaddyfileAdicione esta configuração:
vault.seudominio.com {
reverse_proxy vaultwarden:80
}Substitua vault.seudominio.com pelo seu domínio real. O Caddy obterá e renovará automaticamente os certificados Let's Encrypt.
Passo 5: Iniciar o Vaultwarden
Inicie tudo:
# Puxe as imagens e inicie
docker compose up -d
# Verifique os logs
docker compose logs -fDê um minuto para o Caddy obter seu certificado SSL. Você deve ver algo como:
caddy | certificado obtido com sucesso para vault.seudominio.comPasso 6: Crie Sua Conta
Navegue até https://vault.seudominio.com em seu navegador. Você verá a interface do cofre da web do Bitwarden. Clique em "Criar Conta" e configure sua senha mestre.
🔐 Dicas para Senha Mestre
- ✅Use uma frase de senha — 4+ palavras aleatórias são mais fáceis de lembrar e mais seguras do que senhas complexas
- ✅Exemplo: "cavalo-correto-bateria-gaveta-piano" (mas crie a sua!)
- ⚠️Esta senha não pode ser recuperada se perdida — não há "esqueci a senha" para sua chave mestre
- 💡Anote e armazene em um lugar seguro (cofre físico, caixa de segurança)
Passo 7: Desativar Inscrições Públicas
Uma vez que sua conta é criada, desative o registro público:
# Edite seu docker-compose.yml
nano docker-compose.yml
# Mude:
SIGNUPS_ALLOWED: "false"
# Reinicie
docker compose up -dNovos usuários agora só podem ser convidados através do painel de administração ou criados por usuários existentes com privilégios de organização.
Passo 8: Configurar os Clientes do Bitwarden
É aqui que a auto-hospedagem brilha — você usa os aplicativos oficiais do Bitwarden, apenas apontados para seu servidor.
Extensões de Navegador
Instale a extensão do Bitwarden para seu navegador (Chrome, Firefox, Safari).
- Clique no ícone da extensão e selecione "Auto-hospedado"
- Insira a URL do seu servidor:
https://vault.seudominio.com - Faça login com sua conta
Aplicativos Móveis
Instale o Bitwarden na App Store ou Google Play.
- Toque no seletor de região (mostra "bitwarden.com" por padrão)
- Selecione "Auto-hospedado"
- Insira a URL do seu servidor e faça login
Ative o desbloqueio biométrico (Face ID, impressão digital) para acesso rápido sem digitar sua senha mestre toda vez.
Aplicativos de Desktop
Baixe de bitwarden.com/download — disponível para Windows, macOS e Linux. Mesma configuração: Configurações → Auto-hospedado → insira sua URL.
Configurando Compartilhamento Familiar
Um dos melhores recursos do Vaultwarden é organizações ilimitadas — perfeito para compartilhar senhas com membros da família.
Criar uma Organização Familiar
- Faça login no seu cofre da web
- Clique em "Nova Organização"
- Nomeie-a (por exemplo, "Senhas da Família")
- Escolha o plano "Gratuito" (todos os recursos estão disponíveis)
Convidar Membros da Família
- Vá para sua organização → Membros
- Clique em "Convidar Usuário"
- Insira o endereço de e-mail deles
- Escolha o papel deles (Membro, Admin ou Proprietário)
Se as inscrições estiverem desativadas, use o painel de administração (https://vault.seudominio.com/admin) para criar contas diretamente.
Criar Coleções Compartilhadas
Coleções são como pastas que podem ser compartilhadas com membros específicos:
- Serviços de Streaming — Netflix, Disney+, etc. (compartilhar com todos)
- Senhas de WiFi — rede doméstica, casas de parentes
- Assinaturas Compartilhadas — contas familiares que todos usam
- Informações de Emergência — contas bancárias, seguros (restringir a membros de confiança)
Dureza de Segurança Essencial
Seu cofre de senhas é um alvo de alto valor. Aqui está como protegê-lo:
Ativar Autenticação de Dois Fatores
Faça login no seu cofre da web → Configurações da Conta → Login em Duas Etapas. As opções incluem:
- Aplicativo de Autenticação (Google Authenticator, Authy, etc.) — recomendado
- YubiKey — chave de hardware para máxima segurança
- E-mail — envia um código para seu e-mail (requer configuração SMTP)
Configurar Fail2Ban
Proteja-se contra ataques de força bruta banindo IPs após tentativas de login falhadas. Crie /etc/fail2ban/filter.d/vaultwarden.conf:
[Definition]
failregex = ^.*Nome de usuário ou senha estão incorretos\. Tente novamente\. IP: <ADDR>\. Nome de usuário:.*$
ignoreregex =E /etc/fail2ban/jail.d/vaultwarden.local:
[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15mBackups Regulares
Seus dados do cofre estão no diretório ./vw-data. Faça backup regularmente:
# Script de backup simples
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210
# Pare o contêiner para consistência
docker compose -f ~/vaultwarden/docker-compose.yml stop
# Crie um backup criptografado
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"
# Reinicie
docker compose -f ~/vaultwarden/docker-compose.yml up -dArmazene backups fora do local — em um servidor diferente, armazenamento em nuvem com criptografia do lado do cliente ou até mesmo um pen drive em um cofre.
Recursos Avançados
Bitwarden Send
Send permite que você compartilhe texto ou arquivos com segurança com qualquer pessoa — até mesmo pessoas sem uma conta Bitwarden. Perfeito para compartilhar senhas de WiFi com convidados ou enviar documentos sensíveis.
- Em qualquer cliente Bitwarden, vá para Enviar
- Crie um novo Enviar (texto ou arquivo)
- Defina a expiração, contagem máxima de acessos e senha opcional
- Compartilhe o link gerado
Acesso de Emergência
Designe contatos de confiança que podem solicitar acesso ao seu cofre se algo acontecer com você:
- Vá para Configurações → Acesso de Emergência
- Adicione contatos de confiança (eles precisam de contas Vaultwarden)
- Defina um período de espera (por exemplo, 7 dias)
- Se eles solicitarem acesso e você não negar dentro do período de espera, eles obterão acesso somente leitura ao seu cofre
Painel de Administração
Acesse o painel de administração em https://vault.seudominio.com/admin usando seu ADMIN_TOKEN. Aqui você pode:
- Ver todos os usuários e organizações
- Convidar novos usuários ou excluir contas
- Ver configuração do servidor e diagnósticos
- Realizar manutenção do banco de dados
Importando Senhas Existentes
Mudando de outro gerenciador de senhas? O Bitwarden importa de praticamente tudo:
Do Chrome/Firefox
- Exporte senhas do seu navegador (geralmente em formato CSV)
- No cofre da web do Bitwarden: Ferramentas → Importar Dados
- Selecione seu navegador como o formato de origem
- Faça o upload do arquivo
Do 1Password, LastPass, Dashlane, etc.
- Exporte do seu gerenciador atual (verifique a documentação deles para opções de exportação)
- No Bitwarden: Ferramentas → Importar Dados
- Selecione o aplicativo de origem no dropdown
- Faça o upload do seu arquivo de exportação
Após a importação: Exclua o arquivo de exportação com segurança — ele contém todas as suas senhas em texto claro!
Mantendo o Vaultwarden Atualizado
Atualizações trazem correções de segurança e novos recursos. Atualize regularmente:
# Navegue até seu diretório Vaultwarden
cd ~/vaultwarden
# Puxe a imagem mais recente
docker compose pull
# Reinicie com a nova versão
docker compose up -d
# Limpe imagens antigas
docker image prune -fVerifique a página de lançamentos do Vaultwarden para changelogs e mudanças significativas antes de atualizações importantes.
Solução de Problemas
Não Consigo Acessar o Cofre da Web
- Verifique se sua variável de ambiente
DOMAINcorresponde exatamente à sua URL real - Verifique o certificado SSL:
curl -I https://vault.seudominio.com - Verifique os logs do Caddy:
docker compose logs caddy
Notificações por E-mail Não Funcionando
- Se estiver usando Gmail, você precisa de uma Senha de App (não sua senha regular)
- Verifique as configurações SMTP no painel de administração → Diagnósticos
- Tente enviar um e-mail de teste do painel de administração
Aplicativo Móvel Não Consegue Conectar
- Certifique-se de que está usando HTTPS (não HTTP)
- Verifique se o certificado SSL é válido (não autoassinado, a menos que você o tenha instalado em seu dispositivo)
- Tente acessar a URL do cofre da web no navegador do seu telefone primeiro
Perguntas Frequentes
O Vaultwarden é tão seguro quanto o Bitwarden?
Sim. O Vaultwarden implementa o mesmo esquema de criptografia (AES-256-CBC com PBKDF2-SHA256 ou Argon2id). Seu cofre é criptografado localmente com sua senha mestre antes que qualquer dado toque o servidor. Mesmo que alguém comprometa seu servidor, não poderá ler suas senhas sem sua senha mestre.
O que acontece se meu servidor cair?
Os clientes do Bitwarden armazenam em cache seu cofre localmente. Você ainda pode acessar e preencher senhas offline. Você apenas não pode sincronizar novas alterações até que o servidor esteja online novamente.
Posso usar isso com vários dispositivos?
Absolutamente. Faça login em quantos dispositivos quiser — telefones, tablets, computadores, navegadores. As alterações são sincronizadas automaticamente.
Há um limite de senhas ou usuários?
Não há limites artificiais. Armazene quantas senhas quiser, crie quantas contas de usuário e organizações precisar. O único limite é o espaço de armazenamento do seu servidor.
Posso migrar de volta para a nuvem do Bitwarden depois?
Sim. Exporte seu cofre do Vaultwarden (Ferramentas → Exportar Cofre), depois importe para uma conta na nuvem do Bitwarden. Seus dados são portáteis.
Qual é o Próximo Passo?
Agora você tem um gerenciador de senhas de nível profissional rodando em sua própria infraestrutura. Aqui está como aproveitar ao máximo:
- Importe todas as suas senhas de navegadores e outros gerenciadores
- Instale a extensão do navegador em todos os dispositivos — o preenchimento automático é um divisor de águas
- Configure o compartilhamento familiar para assinaturas e contas compartilhadas
- Ative 2FA em todos os lugares — o Vaultwarden também pode armazenar seus códigos TOTP
- Explore mais aplicativos auto-hospedados no diretório da Hostly — talvez uma solução de backup de fotos a seguir?
A segurança das senhas não é mais opcional — é essencial. Com o Vaultwarden, você obtém o melhor dos dois mundos: a experiência polida dos gerenciadores de senhas comerciais, com a privacidade e controle da auto-hospedagem. Suas senhas permanecem suas, criptografadas em seu hardware, acessíveis apenas com sua senha mestre.
Sem taxas mensais. Sem mineração de dados. Sem confiança necessária. Apenas gerenciamento de senhas seguro e privado para você e sua família.