No post anterior falei sobre a migração para o Nextcloud como solução de armazenamento. O que não contei é que o Nextcloud acabou sendo a peça que faltava para resolver outro problema: gerenciamento de senhas.

O fim do Bitwarden e do Authenticator (pelo menos pra mim)

Usei o Bitwarden por um bom tempo — e junto com ele, o Bitwarden Authenticator para os códigos TOTP. Funciona bem, é open source, tinha tudo que eu precisava. Mas o cenário mudou.

A empresa passou por mudanças que não me agradaram — o tipo de processo gradual que a gente conhece bem: começa com pequenas alterações de política, integração de telemetria, restrições no plano gratuito. O padrão é familiar. Tem até nome: enshittification.

O problema não é técnico. É estrutural. Qualquer empresa pode mudar. Qualquer serviço pode ser vendido, pivotado ou simplesmente encerrado. Enquanto suas senhas estão num servidor de terceiros, você está um comunicado de e-mail longe de precisar migrar tudo às pressas.

A alternativa que escolhi

KeePassXC no desktop e KeePassDX no Android. Os dois trabalham com o mesmo formato de arquivo: .kdbx, um banco de dados criptografado que fica armazenado localmente.

O arquivo .kdbx vive no meu Nextcloud. Ambos os apps leem e escrevem nesse arquivo diretamente. Sem servidor de sincronização proprietário, sem conta em nenhum serviço, sem dependência de infraestrutura de terceiros. O Nextcloud cuida da sincronização entre dispositivos — função que ele já fazia pra outros arquivos.

Como funciona no dia a dia

No desktop, o KeePassXC integra com o browser via extensão. Abre o banco, digita a senha mestre, e o preenchimento automático funciona como esperado. No Android, o KeePassDX lê o mesmo arquivo do Nextcloud. Qualquer senha criada num dispositivo aparece no outro na próxima sincronização.

E os códigos TOTP? O KeePassXC suporta TOTP nativamente por entrada. O KeePassDX também. Migrei as contas do Bitwarden Authenticator para dentro do próprio banco — mesma entrada da senha, mesmo arquivo, mesmo fluxo. Abriu o banco, tem a senha e o código de dois fatores no mesmo lugar.

Sem mágica, sem servidor rodando em algum lugar que você não controla. Um arquivo, dois apps, um serviço de sync que você já tem.

Por que faz sentido

O critério que uso pra avaliar ferramentas de infraestrutura pessoal é simples: se a empresa que faz isso fechar amanhã, o que acontece?

Com KeePass, a resposta é: nada. O formato .kdbx é aberto e documentado. Existem implementações em várias plataformas. Seus dados continuam acessíveis independente de qualquer decisão corporativa.

Com Bitwarden — ou qualquer outro gerenciador baseado em servidor —, a resposta é mais complicada. Você torce pra ter tempo de exportar antes de perder o acesso.

Mais um passo

Não é sobre paranoia. É sobre não criar dependências desnecessárias quando existem alternativas que funcionam tão bem ou melhor.

Blog fora das big-techs, armazenamento no Nextcloud, senhas no KeePass. A direção continua a mesma.